Microsoft Entra hybride rejoint un déploiement ciblé

Vous pouvez valider votre planification et vos conditions préalables pour rejoindre les appareils hybrides Microsoft Entra à l’aide d’un déploiement ciblé avant de l’activer dans l’ensemble de l’organisation. Cet article explique comment réaliser un déploiement ciblé de la jointure hybride Microsoft Entra.

Attention

Soyez prudent lorsque vous modifiez des valeurs dans Active Directory. Apporter des changements dans un environnement établi peut avoir des conséquences inattendues.

Déploiement ciblé de la jointure hybride Microsoft Entra sur les appareils Windows actuels

Pour les appareils exécutant Windows 10, la version minimale prise en charge est Windows 10 (version 1607) pour effectuer une jointure hybride. La meilleure pratique consiste à effectuer une mise à niveau vers la dernière version de Windows 10 ou 11. Si vous devez prendre en charge les systèmes d'exploitation précédents, consultez la section Prise en charge des appareils de bas niveau.

Pour effectuer un déploiement ciblé de la jointure hybride Microsoft Entra sur les appareils Windows actuels, vous devez :

1. Effacer l’entrée Service Connection Point (SCP) de Windows Server Active Directory si elle existe.
2. Configurez les paramètres de registre côté client pour SCP sur vos ordinateurs joints au domaine à l'aide d'un objet de stratégie de groupe (GPO).
3. Si vous utilisez Active Directory Federation Services (AD FS), vous devez également configurer le paramètre de registre côté client pour SCP sur votre serveur AD FS à l'aide d'un GPO.
4. Vous devrez peut-être personnaliser les options de synchronisation dans Microsoft Entra Connect pour activer la synchronisation des appareils.

Conseil

Le SCP peut être configuré localement dans le registre du périphérique dans certaines situations. Si le périphérique trouve une valeur dans le registre, il utilise cette configuration, sinon il interroge le répertoire pour le SCP et tente une jointure hybride.

Effacer le SCP de Microsoft Windows Server Active Directory

Utilisez l’éditeur d’interfaces de services Active Directory (ADSI Edit) pour modifier les objets SCP dans Microsoft Windows Server Active Directory.

1. Lancez l’application de bureau ADSI Edit à partir d’un poste de travail d’administration ou d’un contrôleur de domaine en tant qu’administrateur d’entreprise.
2. Connectez-vous au contexte d’appellation de configuration de votre domaine.
3. Accédez à CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
4. Cliquez avec le bouton droit sur l’objet Nœud terminal CN=62a0ff2e-97b9-4513-943f-0d221bd30080 et sélectionnez Propriétés.
   1. Sélectionnez keywords (Mots clés) à partir de la fenêtre Éditeur d’attributs et sélectionnez Modifier.
   2. Sélectionnez les valeurs de azureADId et azureADName (une à la fois) et sélectionnez Supprimer.
5. Fermez ADSI Edit.

Configurer le paramètre de Registre côté client pour le point de connexion de service

Utilisez l’exemple suivant pour créer un objet de stratégie de groupe afin de déployer un paramètre de Registre configurant une entrée de point de connexion de service dans le Registre de vos appareils.

1. Ouvrez une console de gestion des stratégies de groupe et créez un objet Stratégie de groupe dans votre domaine.
   1. Nommez votre objet de stratégie de groupe nouvellement créé (par exemple, ClientSideSCP).
2. Modifiez le GPO et localisez le chemin suivant : Configuration ordinateur>Préférences>Paramètres Windows>Registre.
3. Cliquez avec le bouton droit sur le Registre, puis sélectionnez Nouveau>Élément du Registre.
   1. Sous l’onglet Général, configurez ce qui suit.
      1. Action : Mettre à jour.
      2. Ruche : HKEY_LOCAL_MACHINE.
      3. Chemin d’accès clé :SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nom de la valeur : TenantId.
      5. Type de valeur : REG_SZ.
      6. Données de valeur : L’identificateur unique global (GUID) ou Locataire ID de votre locataire Microsoft Entra, qui peut être trouvé dans Identité>Vue d’ensemble>Propriétés>Locataire ID.
   2. Cliquez sur OK.
4. Cliquez avec le bouton droit sur le Registre, puis sélectionnez Nouveau>Élément du Registre.
   1. Sous l’onglet Général, configurez ce qui suit.
      1. Action : Mettre à jour.
      2. Ruche : HKEY_LOCAL_MACHINE.
      3. Chemin d’accès clé :SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nom de la valeur : TenantName.
      5. Type de valeur : REG_SZ.
      6. Données de la valeur : Votre nom de domaine vérifié si vous utilisez un environnement fédéré comme AD FS. Votre nom de domaine vérifié ou votre nom de domaine onmicrosoft.com, par exemple contoso.onmicrosoft.com, si vous utilisez un environnement géré.
   2. Sélectionnez OK.
5. Fermez l’éditeur pour l’objet de stratégie de groupe nouvellement créé.
6. Liez le GPO nouvellement créé à l’unité d’organisation (OU) correcte contenant les ordinateurs reliés au domaine qui appartiennent à votre population de déploiement contrôlé.

Configurer les paramètres AD FS

Si votre identifiant Microsoft Entra est fédéré avec AD FS, vous devez d'abord configurer le SCP côté client à l'aide des instructions mentionnées précédemment en liant l'objet de stratégie de groupe à vos serveurs AD FS. L’objet SCP définit la source d’autorité pour les objets d’appareil. Il peut s'agir d'un identifiant Microsoft Entra sur site ou sur site. Lorsque le SCP côté client est configuré pour AD FS, la source des objets de périphérique est établie comme Microsoft Entra ID.

Remarque

Si vous n'avez pas réussi à configurer SCP côté client sur vos serveurs AD FS, la source des identités des appareils sera considérée comme locale. AD FS commencera alors à supprimer les objets de l’appareil à partir du répertoire local après la période stipulée définie dans l'attribut « MaximumInactiveDays » de l’inscription d’appareil AD FS. Les objets de l’inscription d’appareil AD FS peuvent être identifiés en utilisant l’applet de commande Get-AdfsDeviceRegistration.

Prise en charge des appareils de niveau inférieur

Pour inscrire des ordinateurs Windows de bas niveau, les organisations doivent installer Microsoft Workplace Join pour les ordinateurs non-Windows 10 à partir du Centre de téléchargement Microsoft.

Vous pouvez déployer le package à l’aide d’un système de distribution de logiciels tel que Microsoft Configuration Manager. Le package prend en charge les options d’installation sans assistance standard avec le paramètre quiet. La branche actuelle de Configuration Manager offre des avantages supplémentaires par rapport aux versions précédentes, comme la possibilité d’effectuer le suivi des inscriptions effectuées.

Le programme d’installation crée une tâche planifiée sur le système, qui s’exécute dans le contexte de l’utilisateur. La tâche est déclenchée lorsque l’utilisateur se connecte à Windows. La tâche rejoint silencieusement l'appareil avec Microsoft Entra ID avec les informations d'identification de l'utilisateur après s'être authentifié avec Microsoft Entra ID.

Pour contrôler l’inscription des appareils, vous devez déployer le package Windows Installer uniquement sur un groupe sélectionné d’appareils Windows de bas niveau.

Remarque

Si un SCP n’est pas configuré dans Microsoft Windows Server Active Directory, vous devez suivre la même approche que celle décrite à la section Configurer les paramètres de registre côté client pour le SCP sur vos ordinateurs reliés à un domaine à l’aide d’un objet de stratégie de groupe (GPO).

Pourquoi un appareil peut être dans un état en attente

Lorsque vous configurez une tâche de jointure hybride Microsoft Entra dans Microsoft Entra Connect Sync pour vos appareils sur site, la tâche synchronise les objets de l'appareil avec l'ID Microsoft Entra et définit temporairement l'état enregistré des appareils sur « en attente » avant que l'appareil ne termine la tâche. enregistrement de l'appareil. Cet état en attente est dû au fait que le périphérique doit être ajouté au répertoire Microsoft Entra avant de pouvoir être enregistré. Pour plus d’informations sur le processus d’inscription d’appareil, consultez Fonctionnement : inscription de l’appareil.

Post-validation

Après avoir vérifié que tout fonctionne comme prévu, vous pouvez enregistrer automatiquement le reste de vos appareils Windows actuels et de bas niveau avec Microsoft Entra ID. Automatisez la jointure hybride Microsoft Entra en configurant le SCP à l'aide de Microsoft Entra Connect.

Contenu connexe

• Planifiez la mise en œuvre de votre jointure hybride Microsoft Entra
• Configurer la jointure hybride Microsoft Entra
• Configurer manuellement la jointure hybride Microsoft Entra