Déploiement de la Cogestion avec Tenant attach

By | 8 mars 2021

J’ai eu l’occasion ces dernières années de participer à de nombreux projets de modernisation du poste de travail et la Cogestion (Co-management) était la plupart du temps un composant important dans cette démarche. Ceci est un article que je souhaitais écrire depuis longtemps, son objectif est de démystifier cette fonctionnalitée et de réaliser une vue d’ensemble sur les capacités offertes par la cogestion et l’attachement Cloud Attach) pour un public Francophone.

Mais La cogestion qu’est-ce que c’est ? La cogestion permet de gérer simultanément des appareils Windows 10 avec MEMCM et Microsoft Intune tout en ajoutant de nouvelles fonctionnalités.

Et du coup, l’attachement au tenant, qu’est ce que c’est ? Tout simplement la possibilité de gérer les appareils Configuration Manager et Intune dans la console Endpoint Manager (MEMAC). En somme, une console d’administration web pour MEMCM.

thumbnail image 1 captioned Paths to co-management with Microsoft Endpoint Manager

L’activation de la cogestion entraîne l’ajout de scénarios tel que :

  • Permettre de gérer des accès conditionnel basé sur conformité Windows 10
  • Réaliser des actions distantes via Microsoft Intune, par exemple : redémarrage, reset, wipe etc.
  • Avoir de la visibilité sur l’état de santé des clients MEMCM
  • Réaliser un provisionning moderne avec Windows Autopilot

Les chemins vers la Cogestion

Il existe deux méthodes principales pour configurer la cogestion. Il est important de comprendre et de respecter les prérequis pour chacun des chemins et nécessite une combinaison d’Azure Active Directory (Azure AD), MEMCM, Microsoft Intune et Windows 10.

Inscription automatique des appareils

La première méthode va permettre d’inscrire les appareils actuellement gérés par Configuration Manager dans Intune et permettre l’ajout des fonctionnalités Cloud décrites plus haut. L’avantage de cette méthode est sa transparence d’exécution vis à vis de l’utilisateur et évolutive au travers de MEMCM.

Les trois principales étapes pour inscrire des appareils existants et les basculer dans un mode de cogestion sont :

  • Le déploiement d’Azure AD hybride (avec PHS, PTA, ADFS)
  • La configuration de l’inscription automatique des appareils dans Microsoft Intune (Azure AD Premium)
  • L’activation de la cogestion dans Configuration Manager
Chemin vers la cogestion pour des appareils existants

La deuxième méthode est généralement à destination des organisations type « born in the Cloud » ou souhaitant moderniser leur environnement de travail utilisateur ou tout simplement un projet de déploiement comme nous avons pu vivre ces derniers mois avec la pandemie.

Cette fois, Windows Autopilot est utilisé pour le déploiement de la machine et c’est Microsoft Intune qui gère l’installation du client Configuration Manager :

Chemin vers la cogestion pour des nouveaux appareils

Les prérquis sont ici un peu differents:

  • Configurer un point de management en e-HTTP/HTTPS
  • Autoriser les clients à utiliser la passerelle de gestion Cloud
  • Microsoft Intune pour le déploiement du client Configuration Manager

Activation de la Cogestion

Pour l’activation de la Cogestion, je vous propose cette courte vidéo de configuration :

Après quelques minutes, les appareils Windows 10 apparaissent dans la console MEMAC.

On observe deux états dans cet exemple :

  1. Les appareils sont dans un état de « Cogestion », gérés par MEMCM et Microsoft Intune
  2. Les appareils « attachés » c’est à dire les appareils Windows (Windows Server compris) présent dans la base de donnée MEMCM sur lesquels nous pouvons effectuer des opérations directement depuis la console MEMAC.

Intéressons nous aux propriétés d’un appareils et des actions possibles. Dans un premier temps regardons de plus près le cas d’un poste en cogestion :

  1. L’appareil étant « Cogéré », l’état de l’agent MEMCM est indiqué juste en dessous et l’on peut voir son dernier contact avec le service.
  2. Les charges de travail (workload) basculées dans Microsoft Intune sont listé ici, conformément à notre configuration, aucune charge de travail n’est pour l’instant sous responsabilité de Microsoft Intune.
  3. L’appareil étant cogéré, nous voyons ici qu’il possible d’exécuter une synchronisation des politiques du clients et l’évaluation du déploiement d’applications. On retrouve également les actions Intune classique tel que le wipe, retire etc.
  4. Conséquence de « l’attachement » de notre infrastructure MEMCM lors de la configuration de la Cogestion, nous retrouvons ici les ressources permettant d’administrer depuis la console Intune les appareils MEMCM. Ceci concerne les appareils cogérés ou non, l’attachement au cloud est dissociable de la cogestion, c’est à dire que vous pouvez l’activer sans activer la cogestion et inversement.

Si l’on s’intéresse maintenant à un appareil qui n’est cette fois ci pas « cogéré » mais « attaché » au service Intune nous pouvons voir :

  1. Les actions propres à MEMCM (synchronisation des politiques du client)
  2. Les actions permettant d’administrer depuis la console les appareils MEMCM.

Activation côté clients

C’est dans les propriétés du client que nous pouvons constater que l’appareil est désormais cogéré. Notez que les capacités de cogestion ont une valeurs de « 1 », nous y reviendrons plus tard dans l’article.

Coté client, (pour rappel vous trouverez les journaux dans %WinDir%\CCM\logs) nous allons nous intéresser au fichier « CoManagementHandler.log » afin de suivre l’enregistrement de notre appareil dans Intune.

Etat de l’appareil avant l’activation de la cogestion
  1. La machine reçoit la configuration de la cogestion sous forme de Configuration Item (CI) MEMCM et l’applique.
  2. On retrouve ici la valeur du paramètre « Capabilities » qui est à « 1 », ce qui correspond au fait que l’ensemble des workloads sont pris en charge par MEMCM.
  1. Le client MEMCM concatène l’ensemble des éléments et planifie l’enregistrement de l’appareil. Ces informations sont ensuite envoyés au service Intune de découverte et d’enregistrement sous la forme suivante
<ClientCoManagementMessage>
   <MDMEnrollment>
      <Enrolled Value="1" />
      <Provisioned Value="0" />
      <ServiceUri Value="https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc" />
      <RegistrationKind Value="6" />
      <ScheduledEnrollTime Value="02/23/2021 14:35:52" />
      <ErrorCode Value="0" />
      <ErrorDetail Value="" />
   </MDMEnrollment>
   <CoMgmtPolicy>
      <Enabled Value="1" />
      <PolicyReceived Value="1" />
      <WorkloadFlags Value="1" />
   </CoMgmtPolicy>
</ClientCoManagementMessage>

Dans cette article, nous avons discuté de la cogestion et nous avons également examiné son déploiement et sa configuration. Nous avons également abordé l’effet de cette configuration du coté client. Dans un prochain article, nous aborderons plus en détail la notion de « capacité » de la cogestion et la bascule d’une charge de travail vers Microsoft Intune.