Comment co-gérer SCCM et Intune en 2026

Dans un monde IT hybride, SCCM (désormais Microsoft Endpoint Configuration Manager - MECM) et Intune représentent les deux piliers de la gestion des endpoints. SCCM excelle dans les environnements on-premise avec un contrôle granulaire sur les déploiements complexes, tandis qu'Intune brille dans le cloud pour sa scalabilité et son intégration native à Microsoft 365.

La co-gestion (co-management) émerge comme la solution idéale en 2026 : elle permet de piloter les deux outils en parallèle, transférant progressivement les workloads (comme les déploiements d'applications ou la conformité) d'SCCM vers Intune. Pourquoi est-ce crucial ? Les entreprises font face à une explosion des appareils mobiles, du télétravail et des exigences ZTNA (Zero Trust). Selon Gartner, 80 % des firmes migreront vers une gestion cloud d'ici 2027.

Ce tutoriel intermédiaire explore la théorie, les phases d'implémentation et les bonnes pratiques, sans code, pour une approche conceptuelle actionable. Vous apprendrez à orchestrer cette symbiose, évitant les disruptions et maximisant la valeur business (réduction des coûts TCO de 30-50 %).

• Connaissances solides en administration Windows Server et Active Directory.
• Expérience avec SCCM (au moins version 2103+) et Intune via Microsoft Endpoint Manager.
• Accès à un tenant Azure AD Premium P1/P2 et un environnement SCCM hybride.
• Familiarité avec les concepts de MDM (Mobile Device Management) et MAM (Mobile Application Management).

La co-gestion repose sur Azure AD Connect pour hybrider les identités. SCCM gère les workloads traditionnels (OS Imaging, pilotes hardware), tandis qu'Intune prend en charge les scénarios cloud-natifs (gestion conditionnelle d'accès, autopilot).

Analogie : Imaginez SCCM comme un orchestre symphonique on-premise (contrôle total) et Intune comme un DJ cloud (flexibilité instantanée). La co-gestion est le chef qui assigne les partitions.

Commencez par évaluer la maturité : Utilisez le Cloud Management Readiness Tool de Microsoft pour scorer votre environnement (cible >75/100).

1. Configurer l'intégration : Activez le Cloud Attach dans SCCM (Administration > Cloud Services > Co-management).
2. Pilote sur 10-50 machines : Sélectionnez des pilotes Windows 10/11 jointe à Azure AD Hybrid.
3. Activer automatiquement l'inscription Intune via GPO ou script SCCM.

• Vérifiez la connectivité Cloud Management Gateway (CMG).
• Testez l'accès conditionnel (CA) pour valider les politiques.
• Monitorez via Console SCCM > Monitoring > Co-management.

Les 7 workloads clés se transfèrent un par un, du plus sûr au plus critique :

1. Client Apps : Transférez en premier (Win32 apps via Intune).
2. Compliance Policies : Migrez vers Intune pour l'intégration Defender for Endpoint.
3. Office Clic-to-Run : Naturellement cloud.
4. Windows Update : Gardez SCCM si WSUS custom.
5. Device Config : Intune pour Zero Trust.
6. OS Deploy : Hybride avec Autopilot.
7. Office Apps : Dernier.

Exemple concret : Pour les apps, packagez en MSIX et déployez via Intune Company Portal, fallback SCCM si échec.

Post-transfert, implémentez la gouvernance :

• RBAC : Séparez rôles SCCM (admins on-prem) et Intune (cloud ops).
• Analytics : Utilisez Intune Reports + Log Analytics pour KQL queries sur les échecs.
• Rollback : Gardez SCCM comme pilote (cloud manager = 1, pilote = 0).

• Phasage strict : Ne transférez jamais plus de 20 % des workloads par mois pour limiter les risques.
• Communication : Formez les équipes via Microsoft Learn paths et communiquez les changements aux end-users (email + Teams).
• Sécurité first : Activez toujours MAM sans inscription pour les BYOD avant MDM.
• Automatisation : Utilisez Graph API pour les rapports custom (sans code ici, focus PowerShell delegated).
• Coûts : Monitorez les licences Intune (1er appareil gratuit, puis /user) et désactivez CMG inutiles.

• Transfert massif : Évite le 'big bang' ; 60 % des échecs viennent d'un rollout trop rapide.
• Oubli Hybrid Join : Sans Azure AD Hybrid, les machines restent 'non co-gérées' (check via dsregcmd /status).
• Ignore les legacies : Apps MSI anciennes cassent en Intune ; testez en lab.
• Monitoring laxiste : Sans alertes Log Analytics, les dérives conformité passent inaperçues (ex: patches manquants).

• Documentation officielle : Microsoft Docs Co-management.
• Outils : Téléchargez le Co-management Dashboard gratuit.
• Communauté : Forums TechNet et Reddit r/Intune.
• Formations Learni : Plongez dans nos formations certifiantes Microsoft Endpoint Manager pour MD-102 et SC-300. Prochaines sessions en 2026 !