Microsoft Entra Connect : activation de la réécriture de l'appareil

Remarque

Une souscription à Microsoft Entra ID P1 ou P2 est requis pour la réécriture de l'appareil.

La documentation suivante fournit des informations sur la façon d'activer la fonctionnalité d'écriture différée du périphérique dans Microsoft Entra Connect. L’écriture différée des appareils est utilisée dans les scénarios suivants :

• Activer Windows Hello Entreprise à l’aide d’un déploiement hybride de certificats de confiance
• Activer l’accès conditionnel basé sur les appareils pour les applications protégées ADFS (2012 R2 ou version ultérieure) (approbations de la partie de confiance)

Cela fournit une sécurité supplémentaire et l’assurance que l’accès aux applications est accordé uniquement aux appareils de confiance. Pour plus d'informations sur l'accès conditionnel, consultez Gestion des risques avec l'accès conditionnel et Configuration de l'accès conditionnel sur site à l'aide de l'enregistrement des appareils Microsoft Entra.

Important

Les appareils doivent se trouver dans la même forêt que les utilisateurs. Étant donné que les appareils doivent être réécrits dans une seule forêt, cette fonctionnalité ne prend pas en charge un déploiement à plusieurs forêts d’utilisateurs pour l’instant.

Vous ne pouvez ajouter qu’un seul objet de configuration d’enregistrement d’appareil à la forêt Active Directory locale. Cette fonctionnalité n'est pas compatible avec une topologie dans laquelle Active Directory sur site est synchronisé avec plusieurs annuaires Microsoft Entra.

Partie 1 : Installer Microsoft Entra Connect

Installez Microsoft Entra Connect à l'aide des paramètres personnalisés ou Express. Microsoft recommande de commencer par synchroniser correctement tous les utilisateurs et groupes avant d’activer l’écriture différée des appareils.

Partie 2 : Activer la réécriture de l'appareil dans Microsoft Entra Connect

1. Réexécutez l’Assistant d’installation. Sur la page Tâches supplémentaires, sélectionnez Configurer les options de l’appareil, puis cliquez sur Suivant.

   

   Remarque

   La nouvelle tâche Configurer les options de l’appareil est uniquement disponible dans la version 1.1.819.0 et dans les versions ultérieures.

2. Sur la page Options de l’appareil, sélectionnez Configurer la réécriture d’appareil. L’option Désactiver la réécriture d’appareil n’est accessible que si la réécriture d’appareil a été activée. Cliquez sur Suivant pour passer à la page suivante de l’Assistant.

3. Dans la page de l’écriture différée, vous verrez le domaine fourni en tant que forêt d’écriture différée d’appareil par défaut.

4. La page Conteneur d’appareil offre la possibilité de préparer Active Directory à l’aide de l’une des deux options disponibles :

   a. Fournir les informations d'identification de l'administrateur d'entreprise : Si les informations d'identification de l'administrateur d'entreprise sont fournies pour la forêt dans laquelle les appareils doivent être réécrits, Microsoft Entra Connect préparera automatiquement la forêt lors de la configuration de la réécriture des appareils.

   b. Télécharger le script PowerShell : Microsoft Entra Connect génère automatiquement un script PowerShell qui peut préparer le répertoire actif pour la réécriture du périphérique. Si les informations d'identification de l'administrateur d'entreprise ne peuvent pas être fournies dans Microsoft Entra Connect, il est suggéré de télécharger le script PowerShell. Fournissez le script PowerShell téléchargé CreateDeviceContainer.ps1 à l’administrateur d’entreprise de la forêt dans laquelle les appareils seront réécrits.

   Les opérations effectuées dans le cadre de la préparation de la forêt Active Directory sont les suivantes :

   • Si elles n’existent pas, des conteneurs et des objets sont créés et configurés sous CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
   • Si elles existent, des conteneurs et des objets sont créés et configurés sous CN=RegisteredDevices,[domain-dn]. Les objets d’appareil seront créés dans ce conteneur.
   • Définit les autorisations nécessaires sur le compte Microsoft Entra Connector, pour gérer les appareils sur votre Active Directory.
   • Ne doit s'exécuter que sur une seule forêt, même si Microsoft Entra Connect est installé sur plusieurs forêts.

Vérifier la synchronisation des appareils avec Active Directory

L’écriture différée des appareils doit désormais fonctionner correctement. Sachez que la réécriture des objets d’appareil dans AD peut prendre jusqu’à 3 heures. Pour vérifier que vos appareils sont correctement synchronisés, procédez comme suit après la fin des règles de synchronisation :

1. Lancez le Centre d’administration Active Directory.

2. Développez RegisteredDevices au sein du domaine en cours de fédération.

   

3. Les appareils enregistrés actuels sont répertoriés à cet emplacement.

   

Activer l’accès conditionnel

Des instructions détaillées pour activer ce scénario sont disponibles dans Configuration de l'accès conditionnel sur site à l'aide de l'enregistrement de périphérique Microsoft Entra.

Résolution des problèmes

La case à cocher de l'écriture différée est toujours désactivée.

Si la case à cocher pour l’écriture différée des appareils n’est pas activée alors que vous avez suivi les étapes ci-dessus, la procédure suivante vous guidera dans ce que l’Assistant d’installation vérifie avant l’activation de la case.

Commençons par le début :

• Le schéma de forêt de la forêt où figurent les appareils doit être mis à jour au niveau Windows 2012 R2 pour que l’objet d’appareil et les attributs associés soient présents.
• Si l’Assistant d’installation est déjà en cours d’exécution, les modifications ne seront pas détectées. Dans ce cas, terminez l'Assistant installation et exécutez-le à nouveau.
• Assurez-vous que le compte que vous fournissez dans le script d'initialisation est bien l'utilisateur utilisé par le connecteur Active Directory. Pour ce faire, procédez comme suit :
  • Dans le menu Démarrer, ouvrez Service de synchronisation.
  • Ouvrez l’onglet Connecteurs .
  • Trouvez le connecteur de type services de domaine Active Directory et sélectionnez-le.
  • Sous Actions, sélectionnez Propriétés.
  • Accédez à Se connecter à la forêt Active Directory. Vérifiez que le nom de domaine et le nom d’utilisateur spécifiés sur cet écran correspondent au compte fourni pour le script.

Vérifiez la configuration dans Active Directory :

• Vérifiez que le Service d’inscription de l’appareil se trouve à l’emplacement ci-dessous (CN = DeviceRegistrationService, CN = Services d’inscription de périphérique, CN = Inscription de l’appareil, CN = Services, CN = Configuration) dans le contexte d’appellation de configuration.

• Vérifiez qu’il n’y a qu’un seul objet de configuration en recherchant l’espace de noms de configuration. S’il en existe plusieurs, supprimez le doublon.

• Sur l'objet Service d'inscription de l'appareil, assurez-vous que l'attribut msDS-DeviceLocation est présent et a une valeur. Recherchez cet emplacement et assurez-vous qu’il est présent avec l’attribut objectType msDS-DeviceContainer.

• Vérifiez que le compte utilisé par le connecteur Active Directory dispose des autorisations requise sur le conteneur d’appareils inscrits trouvé à l’étape précédente. Voici les autorisations attendues sur ce conteneur :

• Vérifiez que le compte Active Directory dispose des autorisations sur CN = Inscription de l’appareil, CN = Services, CN = Objet de Configuration.

Informations supplémentaires

• Gestion des risques avec accès conditionnel
• Configuration de l'accès conditionnel sur site à l'aide de l'enregistrement de périphérique Microsoft Entra

Étapes suivantes

Explorez plus en détail l’Intégration de vos identités locales avec Microsoft Entra ID.