0%

📌 Progression restaurée, tu reprends où tu t'es arrêté(e).

← Accueil
🏗️ Co-management ConfigMgr + Intune
🌐 Multi-tenant

Co-management ConfigMgr + Intune & Gestion Multi-tenant

Admin IT hybride / Architecte infrastructure : Workloads, migration progressive, isolation tenant et stratégies multi-org

⏱ 25–35 min 📊 Intermédiaire → Avancé 🎯 Modules 14 + 15 🔢 Lab 12 / 15
🕐 Contenu vérifié le 21 juin 2026 Co-management overview · Workloads · Multi-tenant Entra
🏗️ MODULE 14 : Co-management ConfigMgr + Intune
0
Contexte : Argos rachète ClientCo (200 PCs gérés en ConfigMgr)
📊

La situation héritée

200 PCs Windows 11 déjà gérés par Configuration Manager (SCCM) on-premises. Politiques GPO + Software Center + WSUS en place. Impossible de tout migrer en Intune-only du jour au lendemain.

🔄

Le co-management

Solution de transition : ConfigMgr ET Intune gèrent les mêmes appareils simultanément. L'équipe IT bascule les workloads un par un vers Intune à son rythme, sans risque pour la production.

🎯

Objectif à 12 mois

Migrer progressivement les workloads Compliance → WUfB → Endpoint Protection vers Intune. Garder ConfigMgr pour les apps lourdes complexes et les scripts d'inventaire métier le temps de les réarchitecturer.

💡 Co-management ≠ Hybrid Entra join. Le co-management est une option de gestion (qui gère quoi). Le Hybrid Entra join est une option d'identité (comment l'appareil est joiné). Un appareil peut être co-managé ET Entra join (cloud-native), ou co-managé ET Hybrid Entra join (on-prem + cloud).
1
Chemins vers le co-management : Deux approches
Prérequis
✓ ConfigMgr current branch (version supportée)
✓ Entra ID P1 ou P2 (EMS E3/E5 inclus)
✓ Appareils Entra hybrid join ou Entra join
✓ MDM auto-enrollment activé dans Intune
✓ Licence Intune assignée aux utilisateurs
Étapes d'activation
Configurer Hybrid Entra join synchroniser les objets device via Entra Connect
ConfigMgr : activer co-management Administration → Co-management → Configure
Choisir l'enrollment automatique collection pilote ou "All" pour l'enrollment Intune
Configurer les workloads sélectionner ConfigMgr / Pilot / Intune par workload
Vérifier le dashboard co-management surveiller les appareils co-gérés
⚠️ Les appareils seulement "Microsoft Entra registered" (Workplace Joined) ne sont PAS compatibles avec le co-management. Ils doivent être Entra hybrid joined ou Entra joined.
Principe

Nouveaux PC commandés par Argos. Ils rejoignent Entra ID via Autopilot, s'inscrivent dans Intune. Ensuite, Intune déploie le client ConfigMgr comme une app Win32 : l'appareil devient co-managé.

Utile pour les appareils qui ont besoin de capacités ConfigMgr spécifiques (inventaire matériel avancé, déploiement d'OS, BIOS management) tout en bénéficiant d'Intune pour le Modern Management.

Cloud Management Gateway (CMG)

Le client ConfigMgr doit pouvoir communiquer avec le site ConfigMgr depuis internet. Le CMG (Cloud Management Gateway) est le proxy cloud qui permet aux clients ConfigMgr d'atteindre le site depuis n'importe où.

CMG ≠ co-management : les deux sont indépendants mais complémentaires.

2
Les 7 workloads : Simulateur de basculement

Clique sur un workload pour voir ses détails et simuler son basculement. Chaque workload peut être indépendamment maintenu sur ConfigMgr, basculé en Pilot Intune (collection test) ou entièrement sur Intune.

💡 Ordre de migration recommandé : Compliance Policies → Windows Update → Client Apps → Endpoint Protection → Device Configuration (basculer Device Config inclut automatiquement Resource Access et Endpoint Protection). Office Click-to-Run en dernier si tu utilises ConfigMgr pour gérer les mises à jour M365.
3
Dashboard co-management : État de la flotte Argos

Monitoring → Co-management dashboard dans la console ConfigMgr, ou Devices → Overview dans Intune admin center.

183
Appareils co-gérés
12
Enrollment en attente
5
Erreurs enrollment
200
Total ConfigMgr
WorkloadStatut actuelCollection piloteAction
⚠️ Si tu bascules le workload Device Configuration vers Intune, les workloads Resource Access et Endpoint Protection sont automatiquement inclus dans ce basculement. Bien tester en pilote avant de basculer Device Configuration sur tous les appareils.
🌐 MODULE 15 : Gestion Multi-tenant
4
Contexte multi-tenant : Les scénarios Argos
🏢

Scénario 1 : MSP

Argos Consulting est un MSP qui gère l'IT de 8 PME clientes. Chaque PME a son propre tenant Microsoft 365. L'équipe IT Argos doit intervenir sur chaque tenant séparément.

🤝

Scénario 2 : Fusion

Argos rachète ClientCo. Les deux entités gardent leurs tenants pendant 18 mois. L'IT doit gérer des utilisateurs Argos qui travaillent sur des appareils ClientCo, et vice-versa.

⚠️

La réalité Intune

Intune ne supporte PAS nativement la gestion multi-tenant unifiée. Chaque tenant nécessite une connexion séparée au portail admin.microsoft.com ou intune.microsoft.com. Azure Lighthouse ne couvre pas Intune.

5
Architecture : Visiblité et isolation des tenants
Argos (votre tenant)
🏢
argos.onmicrosoft.com
80 appareils · Intune + ConfigMgr · Accès admin complet
Client MSP
🏪
clientco.onmicrosoft.com
200 appareils · Intune only · Accès délégué via GDAP
Client MSP
🏭
industrie-xyz.onmicrosoft.com
45 appareils · ConfigMgr · Accès délégué via GDAP
Post-fusion
🔗
clientco-new.onmicrosoft.com
En cours de migration · Cross-tenant sync activée
Outils disponibles pour la gestion multi-tenant
GDAP (Granular Delegated Admin Privileges)
Pour MSP/partenaires CSP. Accès délégué granulaire par rôle et durée limitée. Remplace le DAP (Delegated Admin Privileges) classique. Accès à Intune admin center du tenant client possible.
Cross-tenant synchronization
Synchronise les utilisateurs B2B entre tenants Entra ID. Utile pour les fusions où les équipes partagées doivent accéder aux ressources des deux tenants. ≠ merge de tenants.
Multitenant Organization (MTO)
Définit un périmètre entre plusieurs tenants d'une même organisation. Optimise la collaboration Teams et Viva Engage inter-tenant. N'inclut pas la gestion Intune unifiée.
Azure Lighthouse ⚠️
Gestion déléguée des services Azure uniquement. Ne couvre PAS Microsoft Intune. Ne pas confondre avec GDAP qui, lui, couvre Intune.
6
Scénarios avancés : Stratégies et bonnes pratiques

En tant que MSP, Argos configure le GDAP (Granular Delegated Admin Privileges) dans le Partner Center pour chaque client. Le technicien Argos reçoit un rôle Entra dans le tenant client (ex : Intune Administrator) pour une durée définie.

Procédure :

  1. Partner Center → Customers → Sélectionner client → Admin relationships
  2. Create relationship → Définir rôles et durée (max 2 ans)
  3. Le client approuve depuis son portail M365 admin center
  4. Le technicien Argos peut accéder à intune.microsoft.com du tenant client via "Switch directory"

Limitation : chaque tenant client a sa propre configuration Intune séparée. Un admin Argos doit changer de contexte manuellement pour passer d'un tenant à l'autre : pas de vue unifiée.

✓ GDAP remplace le DAP classique depuis octobre 2023. Le DAP donne un accès Global Admin permanent : à éviter par principe de moindre privilège.

Pendant les 18 mois de coexistence post-fusion entre argos.fr et clientco.fr, la stratégie recommandée :

  1. Cross-tenant synchronization : les utilisateurs ClientCo sont synchronisés comme comptes invités B2B dans le tenant Argos → accès aux apps M365 Argos depuis leur propre compte.
  2. Intune séparé : les appareils ClientCo restent gérés par l'Intune ClientCo. Les appareils Argos par l'Intune Argos. Pas de gestion unifiée.
  3. Conditional Access cross-tenant : configurer des policies CA dans chaque tenant pour exiger la conformité des appareils invités (Cross-tenant access settings → Inbound trust).
  4. Migration progressive : réenroller les appareils ClientCo dans Intune Argos au fur et à mesure des remplacement de PC (Autopilot User-Driven avec comptes Argos).
⚠️ Un appareil ne peut être enregistré que dans UN seul tenant Intune à la fois. La migration nécessite une désinscription de l'ancien tenant et une réinscription dans le nouveau.

Dans un environnement multi-tenant, les Cross-tenant Access Settings (XTAS) dans Entra ID permettent de contrôler ce que les utilisateurs invités (B2B) peuvent faire dans votre tenant.

Inbound settings (visiteurs entrants)
  • B2B collaboration : autoriser/bloquer les invités d'autres tenants
  • Trust claims : faire confiance à la MFA et conformité appareil du tenant externe
  • ⭐ "Require device to be compliant" = l'appareil invité doit être conforme dans SON tenant Intune
Outbound settings (vos utilisateurs sortants)
  • Contrôler où vos utilisateurs Argos peuvent aller comme invités
  • Bloquer l'accès aux tenants personnels (consumer)
  • Réduire le risque de fuite de données vers tenants non autorisés
Identité & accès
Appareils & conformité
7
Quiz de validation : Co-management & Multi-tenant
⭐ FondamentaleQu'est-ce que le co-management dans un contexte Intune + ConfigMgr ?
⭐ FondamentaleArgos veut tester le basculement du workload "Compliance policies" vers Intune sur 10 PCs avant de l'appliquer à toute la flotte. Quelle option de pilotage utiliser ?
⭐ FondamentaleUn admin veut utiliser Azure Lighthouse pour gérer l'Intune de ses clients MSP depuis un seul portail. Est-ce possible ?
⭐ FondamentaleSi Argos bascule le workload "Device Configuration" vers Intune, quels autres workloads sont automatiquement inclus dans ce basculement ?
⭐⭐ AvancéeAprès une fusion, Argos veut permettre aux utilisateurs ClientCo (tenant clientco.fr) d'accéder aux apps M365 Argos depuis leurs appareils, tout en exigeant que ces appareils soient conformes. Comment configurer cette exigence sans réenroller les appareils ClientCo dans Intune Argos ?
⭐⭐ AvancéeArgos veut activer Windows Autopatch pour automatiser les mises à jour Windows sur les appareils co-gérés. Quels workloads doivent obligatoirement être gérés par Intune (pas ConfigMgr) pour que Windows Autopatch fonctionne ?

Sources : Co-management overview · Workloads ConfigMgr · Multi-tenant Entra

Vérifié le 21 juin 2026 · Version 1.0 · Support pédagogique : consulter la documentation officielle pour toute décision de production.