Procédure : Planifier votre implémentation de la jointure d’Azure AD

Vous pouvez joindre des appareils directement à Azure Active Directory sans qu’il soit nécessaire de les joindre à une instance Active Directory locale, sans impacter la sécurité et la productivité de vos utilisateurs. La jonction Azure AD est prête à l’emploi par les entreprises pour les déploiements à grande échelle et les déploiements limités. L’accès par authentification unique aux ressources locales est également disponible pour les appareils joints à Azure AD. Pour plus d’informations, consultez Fonctionnement de l’authentification unique auprès de ressources locales sur des appareils joints à Azure AD.

Cet article vous fournit les informations nécessaires pour planifier votre implémentation de la jonction Azure AD.

Prérequis

Cet article suppose que vous avez lu la Présentation de la gestion des appareils dans Azure Active Directory.

Planifier l’implémentation

Pour planifier votre implémentation de jointure à Azure AD, familiarisez-vous avec les éléments suivants :

  • Passer en revue vos scénarios
  • Passer en revue votre infrastructure d’identité
  • Évaluer votre gestion des appareils
  • Comprendre les considérations relatives aux applications et aux ressources
  • Comprendre vos options de provisionnement
  • Configurer l’itinérance des états d’entreprise
  • Configurer un accès conditionnel

Passer en revue vos scénarios

La jonction Azure AD vous permet d’effectuer la transition vers un modèle privilégiant le cloud avec Windows. Si vous envisagez de moderniser votre gestion des appareils et de réduire les coûts informatiques liés aux appareils, la jonction Azure AD constitue un point de départ intéressant pour atteindre ces objectifs.

Envisagez la jonction Azure AD si vos objectifs répondent aux critères suivants :

  • Vous adoptez Microsoft 365 comme suite de productivité pour vos utilisateurs.
  • Vous voulez gérer les appareils avec une solution cloud de gestion des appareils.
  • Vous voulez simplifier le provisionnement des appareils pour les utilisateurs géographiquement dispersés.
  • Vous envisagez de moderniser votre infrastructure d’application.

Passer en revue votre infrastructure d’identité

La jonction Azure AD fonctionne à la fois avec les environnements gérés et les environnements fédérés. Nous pensons que la plupart des organisations procéderont au déploiement à l’aide des domaines managés. Les scénarios de domaine managé ne nécessitent pas de configuration et de gestion d’un serveur de fédération comme AD FS (Services de fédération Active Directory).

Environnement géré

Un environnement géré peut être déployé via la synchronisation du hachage de mot de passe ou via l’authentification directe avec l’authentification unique fluide.

Environnement fédéré

Un environnement fédéré doit avoir un fournisseur d’identité qui prend en charge les protocoles WS-Trust et WS-Fed :

  • WS-Fed : ce protocole est nécessaire pour joindre un appareil à Azure AD.
  • WS-Trust : ce protocole est nécessaire pour se connecter à un appareil joint à Azure AD.

Lorsque vous utilisez AD FS, vous devez activer les points de terminaison WS-Trust suivants : /adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

Si votre fournisseur d’identité ne prend pas en charge ces protocoles, la jonction Azure AD ne fonctionne pas en mode natif.

Notes

Actuellement, la jointure Azure AD ne fonctionne pas avec AD FS 2019 configuré avec des fournisseurs d’authentification externes comme méthode d’authentification principale. La jointure Azure AD est par défaut l’authentification par mot de passe comme méthode principale, ce qui entraîne des échecs d’authentification dans ce scénario

Configuration des utilisateurs

Si vous créez des utilisateurs dans :

  • Active Directory local : vous devez les synchroniser avec Azure AD en utilisant Azure AD Connect.
  • Azure AD, aucune configuration supplémentaire n’est requise.

Les noms d’utilisateur principal (UPN) locaux qui sont différents des UPN Azure AD ne sont pas pris en charge sur les appareils joints à Azure AD. Si vos utilisateurs utilisent un nom d’utilisateur principal local, vous devez prévoir d’utiliser leur nom d’utilisateur principal dans Azure AD.

Les modifications d’UPN ne sont prises en charge qu’à partir de la mise à jour Windows 10 2004. Les utilisateurs d’appareils comportant cette mise à jour n’auront pas de problèmes après avoir modifié leurs UPN. Pour les appareils antérieurs à la mise à jour Windows 10 2004, les utilisateurs rencontrent des problèmes liés à l’authentification unique et à l’accès conditionnel sur leurs appareils. Ils doivent se connecter à Windows via la vignette « Autre utilisateur » à l’aide de leur nouvel UPN pour résoudre ce problème.

Évaluer votre gestion des appareils

Appareils pris en charge

La jonction Azure AD :

  • Prend en charge les appareils Windows 10 et Windows 11.
  • N’est pas pris en charge sur les versions antérieures de Windows ou à d’autres systèmes d’exploitation. Si vous avez des appareils Windows 7/8.1, vous devez les mettre à niveau vers Windows 10 pour déployer la jonction à Azure AD.
  • Est prise en charge pour les modules TPM 2.0 compatibles FIPS, mais pas pour les modules TPM 1.2. Si vos appareils sont dotés de modules TPM 1.2 compatibles FIPS, vous devez les désactiver avant de procéder à la jonction Azure AD. Microsoft ne propose aucun outil permettant de désactiver le mode FIPS pour les modules TPM car il dépend du fabricant de ces modules. Pour obtenir de l’aide, contactez votre fabricant OEM.

Recommandation : utilisez toujours la version de Windows la plus récente pour bénéficier des fonctionnalités mises à jour.

Plateforme de gestion

La gestion des appareils joints à Azure AD est basée sur une plateforme de gestion des périphériques mobiles (GPM) comme Intune, ainsi que sur les fournisseurs de solutions Cloud GPM. À compter de Windows 10, un agent GPM qui fonctionne avec toutes les solutions GPM compatibles est intégré.

Notes

Les stratégies de groupe ne sont pas prises en charge sur les appareils joints à Azure AD, car ils ne sont pas connectés à Active Directory local. Vous pouvez administrer les appareils joints à Azure AD uniquement via la gestion des périphériques mobiles

Il existe deux approches pour la gestion des appareils joints à Azure AD :

  • MDM uniquement : un appareil est géré exclusivement par un fournisseur MDM, comme Intune. Toutes les stratégies sont délivrées dans le cadre du processus d’inscription MDM. Pour les clients Azure AD Premium ou EMS, l’inscription MDM est une étape automatisée qui fait partie de la jonction Azure AD.
  • Cogestion : un appareil est géré par un fournisseur GPM et par Microsoft Endpoint Configuration Manager. Dans cette approche, l’agent Microsoft Endpoint Configuration Manager est installé sur un appareil géré par GPM pour administrer certains aspects.

Si vous utilisez des stratégies de groupe, évaluez votre GPO et la parité de stratégie MDM à l’aide de l’analytique des stratégies de groupe dans Microsoft Endpoint Manager.

Passez en revue les stratégies prises en charge ou non pour déterminer si vous pouvez utiliser une solution MDM au lieu de stratégies de groupe. Pour les stratégies non prises en charge, considérez les questions suivantes :

  • Les stratégies non prises en charge sont-elles nécessaires pour les appareils ou les utilisateurs joints à Azure AD ?
  • Les stratégies non prises en charge sont-elles applicables dans un déploiement cloud ?

Si votre solution MDM n’est pas disponible via la galerie d’applications Azure AD, vous pouvez l’ajouter en suivant la procédure décrite dans Intégration d’Azure Active Directory à MDM.

Grâce à la cogestion, vous pouvez utiliser Microsoft Endpoint Configuration Manager pour gérer certains aspects de vos appareils, les stratégies étant délivrées via votre plateforme GPM. Microsoft Intune permet la cogestion avec Microsoft Endpoint Configuration Manager. Pour plus d’informations sur la cogestion des appareils Windows 10 ou version ultérieure, consultez Présentation de la cogestion. Si vous utilisez un produit MDM autre qu’Intune, vérifiez auprès de votre fournisseur MDM les scénarios de cogestion applicables.

Recommandation : Envisagez la gestion uniquement MDM pour les appareils joints à Azure AD.

Comprendre les considérations relatives aux applications et aux ressources

Nous recommandons de migrer les applications d’un système local vers le cloud pour une meilleure expérience utilisateur et un meilleur contrôle d’accès. Les appareils joints à Azure AD peuvent sans problème accéder à la fois aux applications locales et aux applications cloud. Pour plus d’informations, consultez Fonctionnement de l’authentification unique auprès de ressources locales sur des appareils joints à Azure AD.

Les sections suivantes listent les considérations à prendre en compte pour différents types d’applications et de ressources.

Applications cloud

Si une application est ajoutée à la galerie d’applications Azure AD, les utilisateurs bénéficient de l’authentification unique via les appareils joints à Azure AD. Aucune configuration supplémentaire n’est nécessaire. Les utilisateurs bénéficient de l’authentification unique sur les navigateurs Microsoft Edge et Chrome. Pour Chrome, vous devez déployer l’extension Windows 10 Accounts.

Toutes les applications Win32 qui :

  • S’appuient sur le gestionnaire de comptes web pour les demandes de jeton bénéficient également de l’authentification unique sur les appareils joints à Azure AD.
  • Ne s’appuient pas sur le gestionnaire de comptes web peuvent inviter les utilisateurs à s’authentifier.

Applications web locales

Si vos applications sont créées de façon personnalisée et/ou hébergées localement, vous devez les ajouter aux sites de confiance de votre navigateur pour :

  • Activer le fonctionnement de l’authentification Windows intégrée
  • Offrir une expérience d’authentification unique sans invites aux utilisateurs.

Si vous utilisez AD FS, consultez Vérifier et gérer l’authentification unique avec AD FS.

Recommandation : Envisagez l'hébergement dans le cloud (Azure, par exemple) et l'intégration à Azure AD pour une meilleure expérience.

Applications locales s’appuyant sur des protocoles hérités

Les utilisateurs bénéficient de l’authentification unique sur les appareils joints à Azure AD si l’appareil a accès à un contrôleur de domaine.

Notes

Les appareils joints à Azure AD peuvent sans problème accéder à la fois aux applications locales et aux applications cloud. Pour plus d’informations, consultez Fonctionnement de l’authentification unique auprès de ressources locales sur des appareils joints à Azure AD.

Recommandation : Déployez le proxy Azure AD App pour permettre un accès sécurisé à ces applications.

Partages de réseau local

Vos utilisateurs bénéficient de l’authentification unique à partir d’appareils joints à Azure AD quand un appareil a accès à un contrôleur de domaine local. Découvrir le fonctionnement

Imprimantes

Nous recommandons le déploiement de la fonctionnalité Impression universelle pour disposer d’une solution de gestion de l’impression basée sur le cloud sans dépendance locale.

Applications locales s’appuyant sur l’authentification de la machine

Les appareils joints à AD Azure ne prennent pas en charge les applications locales qui s’appuient sur l’authentification de la machine.

Recommandation : Envisagez la mise hors service de ces applications et leur déplacement vers leurs alternatives plus modernes.

Services Bureau à distance

La connexion Bureau à distance à des appareils joints à Azure AD nécessite que l’ordinateur hôte soit joint à Azure AD ou à Azure AD Hybride. Le Bureau à distance depuis un appareil non joint ou non-Windows n’est pas pris en charge. Pour plus d’informations, consultez Se connecter à un PC distant joint à Azure AD

À partir de la mise à jour Windows 10 2004, les utilisateurs peuvent également utiliser le Bureau à distance à partir d’un appareil Windows 10 ou version ultérieure inscrit auprès d’Azure AD pour se connecter à un autre appareil joint à Azure AD.

Authentification RADIUS et Wi-Fi

Actuellement, les appareils avec jointure Azure AD ne prennent pas en charge l’authentification RADIUS pour la connexion aux points d’accès Wi-Fi, car RADIUS repose sur la présence d’un objet informatique local. Comme alternative, vous pouvez utiliser des certificats envoyés (push) par le biais d’Intune ou des informations d’identification d’utilisateur pour vous authentifier auprès du Wi-Fi.

Comprendre vos options de provisionnement

Remarque : Les appareils joints à Azure AD ne peuvent pas être déployés à l’aide de l’outil de préparation du système (Sysprep) ou d’outils d’imagerie similaires

Vous pouvez provisionner les appareils joints à Azure AD en utilisant les approches suivantes :

  • Libre-service dans OOBE/Paramètres : dans le mode libre-service, les utilisateurs sont soumis au processus de jonction Azure AD pendant l’expérience OOBE Windows ou depuis Paramètres Windows. Pour plus d’informations, consultez Joindre votre appareil professionnel au réseau de votre organisation.
  • Windows Autopilot : Windows Autopilot permet la préconfiguration des appareils pour une meilleure expérience de jointure Azure AD dans OOBE. Pour plus d’informations, consultez Vue d’ensemble de Windows Autopilot.
  • Inscription en bloc : l’inscription en bloc permet une jonction Azure AD pilotée par l’administrateur avec un outil de provisionnement en bloc pour configurer les appareils. Pour plus d’informations, consultez Inscription en bloc pour les appareils Windows.

Voici une comparaison de ces trois approches

Élément Configuration en libre-service Windows Autopilot Inscription en bloc
Nécessite une interaction utilisateur pour la configuration Oui Oui Non
Nécessite du travail de la part du département informatique Non Oui Oui
Flux applicables OOBE et paramètres OOBE uniquement OOBE seul
Droits d’administrateur local pour l’utilisateur principal Oui, par défaut Configurable Non
Nécessite une prise en charge OEM Non Oui Non
Versions prises en charge 1511+ 1709+ 1703+

Choisissez votre ou vos approches de déploiement en consultant le tableau précédent, et en examinant les points suivants pour l’adoption de l’une ou l’autre approche :

  • Vos utilisateurs sont-ils suffisamment expérimentés pour effectuer la configuration eux-mêmes ?
    • Le libre-service peut être plus approprié pour ces utilisateurs. Envisagez Windows Autopilot pour améliorer l’expérience utilisateur.
  • Vos utilisateurs se trouvent-ils à distance ou dans les locaux de l’entreprise ?
    • Le libre-service ou Autopilot sont plus appropriés pour les utilisateurs à distance, car ils permettent une configuration facile.
  • Préférez-vous une configuration pilotée par l’utilisateur ou gérée par un administrateur ?
    • L’inscription en bloc est plus appropriée pour les déploiements pilotés par un administrateur afin de configurer des appareils avant de les confier aux utilisateurs.
  • Achetez-vous des appareils auprès de seulement un ou deux fabricants OEM, ou bien vos appareils OEM proviennent-ils de fournisseurs en plus grand nombre ?
    • Si vous achetez auprès d’un nombre limité de fabricants OEM qui prennent également en charge Autopilot, vous pouvez également bénéficier d’une intégration plus étroite avec Autopilot.

Configurer les paramètres de vos appareils

Le portail Azure vous permet de contrôler le déploiement d’appareils joints à Azure AD dans votre organisation. Pour configurer les paramètres concernés, dans la page Azure Active Directory, sélectionnez Devices > Device settings. En savoir plus

Les utilisateurs peuvent joindre des appareils à Azure AD

Définissez cette option sur Tous ou sur Sélectionné, en fonction de l’étendue de votre déploiement et de la personne pour qui vous voulez configurer un appareil joint à Azure AD.

Users may join devices to Azure AD

Administrateurs locaux supplémentaires sur les appareils joints à Azure AD

Choisissez Sélectionné et sélectionnez les utilisateurs que vous voulez ajouter au groupe local des administrateurs sur tous les appareils joints à Azure AD.

Additional local administrators on Azure AD joined devices

Exiger l’authentification multifacteur (MFA) pour joindre des appareils

Sélectionnez Oui si vous exigez que les utilisateurs effectuent MFA lors de la jonction d’appareils à Azure AD.

Require multi-factor Auth to join devices

Recommandation : Utilisez l’action de l’utilisateur Inscrire ou joindre des appareils dans un accès conditionnel pour l’application de l’authentification MFA afin de joindre des appareils.

Configurer vos paramètres de mobilité

Avant de pouvoir configurer vos paramètres de mobilité, il peut être nécessaire d’ajouter d’abord un fournisseur MDM.

Pour ajouter un fournisseur MDM :

  1. Dans la page Azure Active Directory, dans la section Gérer, sélectionnez Mobility (MDM and MAM).

  2. Sélectionnez Ajouter une application.

  3. Sélectionnez votre fournisseur MDM dans la liste.

    Screenshot of the Azure Active Directory Add an application page. Several M D M providers are listed.

Sélectionnez votre fournisseur MDM pour configurer les paramètres concernés.

Étendue des utilisateurs MDM

Sélectionnez Certain(e)s ou Tous, en fonction de l’étendue de votre déploiement.

MDM user scope

En fonction de votre étendue, une des actions suivantes se produit :

  • L'utilisateur est dans l'étendue MDM : Si vous disposez d'un abonnement Azure AD Premium, l'inscription MDM est automatisée, ainsi que la jonction Azure AD. Tous les utilisateurs de l’étendue doivent avoir une licence appropriée pour votre MDM. Si l’inscription MDM échoue dans ce scénario, la jonction Azure AD est également annulée.
  • L’utilisateur n’est pas dans l’étendue MDM : si les utilisateurs ne sont pas dans l’étendue MDM, la jonction Azure AD se termine sans aucune inscription MDM. Cette étendue aboutit à un appareil non géré.

URL MDM

Il existe trois URL liées à votre configuration MDM :

  • URL des conditions d’utilisation de MDM
  • URL de découverte MDM
  • URL de conformité MDM

Screenshot of part of the Azure Active Directory M D M configuration section, with U R L fields for M D M terms of use, discovery, and compliance.

Chaque URL a une valeur par défaut prédéfinie. Si ces champs sont vides, contactez votre fournisseur MDM pour plus d’informations.

Paramètres MAM

GAM ne s’applique pas à la jonction Azure AD.

Configurer l’itinérance des états d’entreprise

Si vous voulez activer l’itinérance des états dans Azure AD, afin que les utilisateurs puissent synchroniser leurs paramètres entre différents appareils, consultez Activer Enterprise State Roaming dans Azure Active Directory.

Recommandation : Activez ce paramètre même pour des appareils joints à Azure AD hybrides.

Configurer un accès conditionnel

Si vous avez un fournisseur MDM configuré pour vos appareils joints à Azure AD, ce fournisseur signale l’appareil comme étant conforme dès que l’appareil est inscrit pour la gestion.

Compliant device

Vous pouvez utiliser cette implémentation pour exiger des appareils gérés pour l’accès aux applications cloud avec l’accès conditionnel.

Étapes suivantes