Comment orchestrer une migration de parc Windows via Microsoft Intune ?
Migrer un poste individuellement est une chose. Migrer un parc de 50, 500 ou 5000 postes de Hybrid Azure AD vers Entra ID en est une autre. L'orchestration via Microsoft Intune permet de deployer un agent de migration sur les postes cibles, de declencher la migration par vagues, et de suivre la progression a distance. Cet article couvre le deploiement de l'agent, la strategie de vagues, le suivi en temps reel et les pieges a eviter.
Pourquoi Intune pour orchestrer la migration ?
Les postes en Hybrid Azure AD Join sont deja geres par Intune (en co-management ou en MDM pur). Intune est donc le canal naturel pour pousser un agent de migration sur les machines sans intervention physique.
Avantages par rapport a une approche manuelle ou par GPO :
- Ciblage par groupes Entra : assignez l'agent a un groupe dynamique ou statique pour controler quels postes sont concernes
- Deploiement progressif : ne touchez que les postes du pilote, puis elargissez
- Reporting integre : Intune remonte l'etat d'installation de l'application sur chaque poste
- Pas de dependance au DC : contrairement a une GPO, Intune fonctionne meme si le poste est hors du reseau d'entreprise
Comment deployer l'agent de migration via Intune ?
L'agent de migration — qu'il s'agisse d'un script PowerShell, d'un executable, ou d'un package — est deploye en tant qu'application Win32 dans Intune.
Preparation du package
- Empaquetez l'agent : utilisez l'outil Microsoft Win32 Content Prep pour convertir votre dossier de deploiement en fichier
.intunewin.
# Exemple : empaquetage d'un dossier contenant l'agent
IntuneWinAppUtil.exe -c "C:\Agent\" -s "install.cmd" -o "C:\Output\"
- Configurez l'application dans Intune : dans le portail Intune > Apps > Windows > Add > Windows app (Win32), uploadez le
.intunewinet configurez :
| Parametre | Valeur recommandee |
|---|---|
| Install command | install.cmd ou powershell -ExecutionPolicy Bypass -File install.ps1 |
| Uninstall command | uninstall.cmd |
| Install behavior | System |
| Detection rule | Fichier ou cle de registre cree par l'agent apres installation |
| Requirements | OS version >= Windows 10 21H2 |
- Assignez a un groupe : assignez l'application a un groupe Entra contenant les postes cibles. Commencez par un groupe de pilote.
Verification du deploiement
Apres l'assignation, Intune pousse l'application lors du prochain check-in du poste (par defaut toutes les 8 heures, accelerable via Sync dans le portail). Suivez l'etat dans Intune > Apps > Monitor > App install status.
Comment structurer les vagues de migration ?
Une migration de parc ne se fait jamais en une seule fois. La strategie par vagues reduit le risque et permet d'affiner le processus a chaque iteration.
Structure recommandee
| Vague | Taille | Population | Objectif |
|---|---|---|---|
| 0 — Lab | 2-3 VMs | Machines de test IT | Valider le processus complet |
| 1 — Pilote IT | 5-10 | Equipe IT, early adopters | Valider en conditions reelles |
| 2 — Pilote metier | 20-50 | Echantillon representatif (commerciaux, RH, finance) | Verifier la compatibilite applicative |
| 3 — Production | 100-200 | Premier lot de production | Confirmer le passage a l'echelle |
| 4+ — Generalisation | 200-500 par vague | Reste du parc | Migration en volume |
Delai entre les vagues
Laissez 48 a 72 heures entre chaque vague pour :
- Recueillir les retours utilisateurs
- Verifier que les postes migres fonctionnent normalement en production
- Identifier les problemes qui n'apparaissent qu'a l'usage (imprimantes, VPN, applications specifiques)
- Ajuster les scripts ou les politiques Intune si necessaire
Criteres de Go/No-Go entre les vagues
Avant de passer a la vague suivante, validez :
- Taux de reussite de la vague precedente >= 95%
- Aucun ticket de support critique non resolu
- Les politiques Intune sont appliquees sur les postes migres
- Les applications metier fonctionnent
Comment suivre la progression en temps reel ?
Le suivi par Intune seul a des limites : il montre si l'application est installee, pas si la migration est terminee. Pour un suivi fin, un dashboard de pilotage est necessaire.
Un dashboard efficace affiche pour chaque machine :
- Statut : Enregistree, Phase 1 en cours, Phase 2 en cours, Terminee, En erreur
- Derniere activite : timestamp du dernier rapport de l'agent
- Duree : temps ecoule depuis le debut de la migration
- Logs : dernieres lignes de log de l'agent pour le diagnostic
- Pre-checks : resultat des verifications pre-migration (voir la checklist pre-migration)
L'agent de migration doit reporter son etat a un serveur central a chaque etape cle : debut de la Phase 1, disjonction reussie, debut de la Phase 2, PPKG applique, jonction Entra reussie, remapping du profil termine, migration terminee.
Quels sont les pieges de l'orchestration a grande echelle ?
Bande passante reseau. Si 200 postes telechargent le PPKG et contactent les services Entra en meme temps, la bande passante peut etre saturee. Echelonnez les vagues dans le temps ou utilisez le Delivery Optimization d'Intune pour le P2P.
Postes hors ligne. Un poste eteint ou deconnecte ne recevra pas l'agent. Intune reessaiera au prochain check-in, mais le poste peut manquer la vague. Gerez les exceptions separement.
Fuseau horaire et heures ouvrables. Les redemarrages de la migration interrompent le travail de l'utilisateur. Planifiez les migrations en dehors des heures de pointe ou avec un delai de grace suffisant. Le parametre Intune Deadline permet de definir une heure limite.
Rollback a grande echelle. Si une vague echoue massivement, vous devez avoir la capacite de re-joindre les postes au domaine AD. Documentez la procedure de rollback et testez-la sur le pilote. Voir la checklist pre-migration pour les points de controle rollback.
FAQ
Peut-on declencher la migration a distance sans Intune ?
Techniquement oui, si vous avez un autre mecanisme de deploiement (SCCM, outil RMM, script via GPO). Mais Intune est le canal le plus adapte car les postes Hybrid Join y sont deja inscrits et il ne depend pas du DC pour fonctionner. De plus, Intune est l'outil qui gerera les postes apres la migration.
Combien de postes peut-on migrer en parallele ?
Il n'y a pas de limite technique stricte. La limite est pratique : votre equipe IT doit pouvoir absorber les tickets de support des utilisateurs dont la migration pose probleme. En general, des vagues de 100 a 200 postes sont geables par une equipe de 2-3 personnes. Au-dela, prevoyez un support dedie.
Que faire si l'agent ne s'installe pas sur certains postes ?
Verifiez dans Intune > Devices > [device] > App install status. Les raisons les plus frequentes sont : espace disque insuffisant, poste hors ligne depuis trop longtemps (pas de check-in Intune), ou conflit avec un antivirus qui bloque l'installation. Pour le diagnostic complet, consultez Erreurs frequentes lors d'une migration Hybrid AD vers Entra ID.
EntraLift gere l'orchestration de bout en bout : deploiement de l'agent via Intune en un clic, migration par vagues configurables, dashboard temps reel avec statut machine par machine, et alertes automatiques en cas d'echec.
Commentaires (0)
Laisser un commentaire