neirfy - stock.adobe.com

Comment fonctionne la co-administration de Windows 10

Microsoft a présenté la co-administration de Windows 10 avec Intune et SystemCenter Configuration Manager lors d'Ignite 17. Voici comment le concept s'étend à d'autres outils de gestion de la mobilité d'entreprise.

A l’automne dernier, lors de sa conférence Ignite, Microsoft a levé le voile sur la co-administration, un nouveau mode qui permet à SCCM et à Intune d’administrer de concert un appareil Windows 10. Certaines intégrations sont exclusives aux outils de l’éditeur, mais Windows 10 Fall Creators Update a apporté quelques changements de fond qui permettent à SCCM d’assurer une co-administration avec des systèmes de gestion de terminaux mobiles (MDM) tiers. Au final, cela conduit à un changement important dans l’administration des postes de travail, en apportant de nouvelles options flexibles pour passer d’approches traditionnelles à d’autres, plus modernes.

Le recours au MDM pour administrer Windows 10 est largement évoqué depuis deux ans. Le concept est intéressant, mais beaucoup d’entreprises vont avoir besoin d’aide pour faire la transition. VMware, MobileIron ou encore PolicyPak ont tenté d’apporter leur coup de pouce. Il est bienvenu que Microsoft se penche aussi sur le sujet, et aussi rapidement.

L’éditeur a expliqué comment a muri sa réflexion : initialement, il pensait que SCCM et Intune n’avaient pas être utilisés simultanément sur un même terminal utilisateur ; pour lui, la plupart des entreprises allaient migrer groupe par groupe. Mais les équipes de Microsoft ont entendu l’appel de leurs clients : il fallait une passerelle. Début 2017, elles ont commencé à travailler à la co-administration.

Les composants techniques clés

Entre Intune, les MDM tiers, SCCM, Active Directory, Azure AD, et encore AutoPilot, les options pour aborder la co-administration ne manquent pas. Pour l’heure, il y a trois concepts clés à connaître.

Tout d’abord, il y a coexistence de SCCM et du MDM. Initialement, activer l’agent SCCM désactivait le MDM. Il y avait des moyens de contourner cela, mais depuis Windows 10 Fall Creators Update (1709) et SCCM 1710, ce n’est plus nécessaire : l’agent SCCM et MDM peuvent coexister. Cela affecte également l’intégration avec l’annuaire : les systèmes fonctionnant sous Windows 10 Fall Creators Update et ultérieur peuvent être liés à la fois à un AD local et à Azure AD.

Le second concept clé est le fournisseur de service de configuration (CSP) DeviceManageability – ce que Windows 10 expose aux serveurs MDM. Ce CSP permet à un serveur MDM de voir les capacités d’administration supportées par un appareil. Depuis la Fall Creator Update, il présent un nouveau nœud qui permet à un serveur MDM de savoir s’il y a un agent d’administration traditionnel présent sur le poste de travail, et quels paramètres il a définis.

En somme, avec le DeviceManageability CSP, le serveur MDM peut se faire une idée de ce que fait SCCM. Pour autant, une intégration côté serveur aiderait à garder une certaine coordination. Et c’est le troisième composant clé.

Microsoft a montré comment il procédait à cette intégration côté serveur entre SCCM et Intune. Et le volet propriétaire de la co-administration. Il est possible de connecter SCCM à Intune. De là, il possible de migrer graduellement les tâches d’administration vers Intune. Cette intégration supportait initialement des traitements relatifs aux politiques de conformité, d’accès aux ressources, et de gestion des mises à jour Windows.

De leur côté, les MDM tiers doivent soit s’en remettre entièrement au DeviceManageability CSP ou construire leurs propres intégration SCCM, comme d’autres le font depuis des années.

Pour approfondir sur Administration des terminaux (MDM, EMM, UEM, BYOD)