Planifier le déploiement de votre appareil Azure Active Directory

Cet article vous aide à évaluer les méthodes d’intégration de votre appareil avec Azure AD, à choisir le plan d’implémentation et fournit des liens clés vers les outils de gestion des appareils pris en charge.

Le paysage des appareils de votre utilisateur s’étend constamment. Les organisations peuvent fournir des ordinateurs de bureau, des ordinateurs portables, des téléphones, des tablettes et d’autres appareils. Vos utilisateurs peuvent apporter leurs propres appareils et accéder à des informations à partir d’emplacements variés. Dans cet environnement, votre travail en tant qu’administrateur consiste à sécuriser vos ressources organisationnelles sur tous les appareils.

Azure Active Directory (Azure AD) permet à votre organisation de répondre à ces objectifs avec la gestion des identités des appareils. Vous pouvez maintenant intégrer vos appareils à Azure AD et les contrôler à partir d’un emplacement central dans le portail Azure. Ce processus vous permet de bénéficier d’une expérience unifiée, d’une sécurité renforcée et d’une réduction du temps nécessaire à la configuration d’un nouvel appareil.

Il existe plusieurs méthodes pour intégrer vos appareils dans Azure AD. Elles peuvent fonctionner séparément ou ensemble en fonction du système d’exploitation et de vos besoins :

Découvrir

Avant de commencer, assurez-vous que vous êtes familiarisé avec la vue d’ensemble de la gestion des identités des appareils.

Avantages

Voici les principaux avantages d’attribuer à vos appareils une identité Azure AD :

  • Augmenter la productivité : les utilisateurs peuvent effectuer une authentification unique fluide à vos ressources locales et cloud, ce qui leur permet d’être productifs où qu’ils se trouvent.

  • Renforcer la sécurité : appliquez des stratégies d’accès conditionnel aux ressources en fonction de l’identité de l’appareil ou de l’utilisateur. La jonction d’un appareil à Azure AD est un prérequis au renforcement de votre sécurité avec une stratégie sans mot de passe.

  • Améliorer l’expérience utilisateur : fournissez à vos utilisateurs un accès facile aux ressources cloud de votre organisation à partir d’appareils personnels et d’entreprise. Les administrateurs peuvent activer Enterprise State Roaming pour une expérience unifiée sur tous les appareils Windows.

  • Simplifier le déploiement et la gestion : simplifiez le processus d’intégration d’appareils à Azure AD avec Windows Autopilot, le provisionnement en bloc ou le libre-service : expérience OOBE (Out-of-Box Experience). Gérez ces appareils avec des outils de gestion des périphériques mobiles, comme Microsoft Intune et leurs identités dans le portail Azure.

Planifier le projet de déploiement

Tenez compte des besoins de votre organisation lorsque vous déterminez la stratégie de ce déploiement dans votre environnement.

Impliquer les parties prenantes appropriées

Lorsque des projets technologiques échouent, cela est généralement dû à des attentes qui ne correspondent pas à l’impact, aux résultats et aux responsabilités réels. Pour éviter un tel cas de figure, veillez à faire appel aux bonnes personnes et à ce que les rôles des parties prenantes soient bien compris.

Pour ce plan, ajoutez les parties prenantes suivantes à votre liste :

Role Description
Administrateur de l’appareil Représentant de l’équipe en charge des appareils qui peut vérifier que le plan répondra aux exigences de votre organisation en termes d’appareils.
Administrateur réseau Représentant de l’équipe en charge du réseau qui peut s’assurer que les exigences réseau sont respectées.
Équipe de gestion des appareils Équipe qui gère l’inventaire des appareils.
Équipes d’administration spécifiques au système d’exploitation Équipes qui prennent en charge et gèrent des versions de système d’exploitation spécifiques. Par exemple, il peut y avoir une équipe dédiée à Mac ou à iOS.

Planifier les communications

La communication est essentielle à la réussite de tout nouveau service. Communiquez de manière proactive avec vos utilisateurs sur ce qui va changer, à quel moment les changements seront appliqués et comment ils peuvent obtenir de l’aide en cas de problème.

Prévoir un pilote

Nous vous recommandons de procéder à la configuration initiale de votre méthode d’intégration dans un environnement de test ou avec un petit groupe d’appareils de test. Consultez Meilleures pratiques pour un pilote.

Vous pouvez effectuer un déploiement ciblé de la jonction Azure AD hybride avant de l’activer dans toute l’organisation.

Avertissement

Les organisations doivent inclure un échantillon d’utilisateurs de rôles et de profils différents dans leur groupe pilote. Un déploiement ciblé permettra d’identifier les problèmes que votre plan n’aura peut-être pas résolus avant d’étendre le déploiement à l’ensemble de l’organisation.

Choisir vos méthodes d’intégration

Votre organisation peut utiliser plusieurs méthodes d’intégration d’appareils dans un seul locataire Azure AD. L’objectif est de choisir la ou les méthodes appropriées pour que vos appareils soient managés en toute sécurité dans Azure AD. Il existe de nombreux paramètres à l’origine de cette décision, notamment la propriété, les types d’appareils, les audiences principales et l’infrastructure de votre organisation.

Les informations suivantes peuvent vous aider à choisir les méthodes d’intégration à utiliser.

Arbre de décision pour l’intégration des appareils

Utilisez cet arbre afin de déterminer les options disponibles pour les appareils appartenant à l’organisation.

Notes

Les scénarios personnels ou BYOD (Bring-Your-Own Device) ne sont pas décrits dans ce diagramme. Ils entraînent toujours l’inscription à Azure AD.

Decision tree

Matrice de comparaison

Les appareils iOS et Android peuvent uniquement être inscrits auprès d’Azure AD. Le tableau suivant présente les considérations de haut niveau pour les appareils clients Windows. Utilisez-le comme vue d’ensemble, puis explorez les différentes méthodes d’intégration en détail.

Considération Appareils inscrits sur Azure AD Appareil joints Azure AD Appareils joints Azure AD hybrides
Systèmes d’exploitation clients
Appareils Windows 11 ou Windows 10 Checkmark for these values. Checkmark for these values. Checkmark for these values.
Appareils utilisant une version antérieure de Windows (Windows 8.1 ou Windows 7) Checkmark for these values.
Options de connexion
Informations d’identification locales de l’utilisateur final Checkmark for these values.
Mot de passe Checkmark for these values. Checkmark for these values. Checkmark for these values.
Code PIN d’appareil Checkmark for these values.
Windows Hello Checkmark for these values.
Windows Hello Entreprise Checkmark for these values. Checkmark for these values.
Clés de sécurité FIDO 2.0 Checkmark for these values. Checkmark for these values.
Application Microsoft Authenticator (sans mot de passe) Checkmark for these values. Checkmark for these values. Checkmark for these values.
Fonctionnalités clés
Ressources de l’authentification unique au cloud Checkmark for these values. Checkmark for these values. Checkmark for these values.
Authentification unique auprès de ressources locales Checkmark for these values. Checkmark for these values.
Accès conditionnel
(Les appareils doivent être marqués comme étant conformes)
(Administration par la solution de gestion des périphériques mobiles)
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Accès conditionnel
(Appareils joints Azure AD Hybride requis)
Checkmark for these values.
Réinitialisation du mot de passe en libre-service à partir de l’écran de connexion Windows Checkmark for these values. Checkmark for these values.
Réinitialisation du code PIN Windows Hello Checkmark for these values. Checkmark for these values.

Inscription à Azure AD

Les appareils inscrits sont souvent managés avec Microsoft Intune. Les appareils sont inscrits dans Intune de plusieurs façons, selon le système d’exploitation.

Les appareils inscrits à Azure AD offrent une prise en charge pour l’authentification unique (SSO) des appareils BYOD et des appareils d’entreprise sur les ressources cloud. L’accès aux ressources est basé sur les stratégies d’accès conditionnel d’Azure AD appliquées à l’appareil et à l’utilisateur.

Inscription des appareils

Les appareils inscrits sont souvent managés avec Microsoft Intune. Les appareils sont inscrits dans Intune de plusieurs façons, selon le système d’exploitation.

Les appareils BYOD et les appareils mobiles appartenant à l’entreprise sont enregistrés par les utilisateurs qui installent l’application Portail d’entreprise.

Si l’inscription de vos appareils est la meilleure option pour votre organisation, consultez les ressources suivantes :

jointure Azure AD ;

La jonction Azure AD vous permet d’effectuer la transition vers un modèle privilégiant le cloud avec Windows. Elle offre une bonne base si vous envisagez de moderniser votre gestion des appareils et de réduire les coûts informatiques liés aux appareils. La jonction Azure AD fonctionne avec les appareils Windows 10 ou version ultérieure uniquement. Considérez-la comme le premier choix pour les nouveaux appareils.

Les appareils joints à Azure AD peuvent utiliser l’authentification unique sur des ressources locales lorsqu’ils se trouvent sur le réseau de l’organisation, peuvent s’authentifier sur des serveurs locaux, comme des serveurs de fichiers, d’impression et d’autres applications.

S’il s’agit de la meilleure option pour votre organisation, consultez les ressources suivantes :

Provisionnement d’appareils joints à Azure AD

Vous pouvez provisionner des appareils pour la jonction Azure AD en utilisant les approches suivantes :

Si Windows 10 Professionnel ou Windows 10 Entreprise est installé sur un appareil, le processus exécuté par défaut est l’installation pour les appareils d’entreprise.

Choisissez votre procédure de déploiement après avoir effectué une comparaison détaillée de ces approches.

Vous pouvez déterminer que la jonction Azure AD est la meilleure solution pour un appareil dans un état différent. Le tableau suivant indique comment modifier l’état d’un appareil.

État actuel de l’appareil État souhaité de l’appareil Procédures
Jonction au domaine local Appareil joints Azure AD Annulez la jonction de l’appareil au domaine local avant de le joindre à Azure AD.
Appareils joints Azure AD hybrides Appareil joints Azure AD Annulez la jonction de l’appareil au domaine local et à Azure AD avant de le joindre à Azure AD.
Appareils inscrits sur Azure AD Appareil joints Azure AD Annulez l’inscription de l’appareil avant de le joindre à Azure AD.

jointure Azure AD hybride ;

Si vous disposez d’un environnement Active Directory local et que vous souhaitez joindre vos ordinateurs joints au domaine existants à Azure AD, vous pouvez y parvenir en effectuant une jonction Azure AD Hybride. Elle prend en charge un large éventail d’appareils Windows, notamment les appareils Windows actuels et les appareils exécutant une version antérieure de Windows.

La plupart des organisations possèdent déjà des appareils joints à un domaine et les gèrent via une Stratégie de groupe ou System Center Configuration Manager (SCCM). Dans ce cas, nous vous recommandons de configurer la jonction Azure AD Hybride pour commencer à profiter des avantages tout en tirant parti des investissements existants.

Si la jonction Azure AD Hybride est la meilleure option pour votre organisation, consultez les ressources suivantes :

Provisionnement de la jonction Azure AD Hybride sur vos appareils

Passez en revue votre infrastructure d’identité. Azure AD Connect comporte un Assistant permettant de configurer la jonction Azure AD Hybride pour les éléments suivants :

Si vous n’envisagez pas d’installer la version requise d’Azure AD Connect, consultez comment configurer manuellement la jonction Azure AD Hybride.

Notes

L’appareil Windows 10 ou version ultérieure joint à un domaine local tente de se joindre automatiquement à Azure AD pour être joint par défaut par jointure hybride Azure AD. Cela ne fonctionnera que si vous avez configuré l’environnement approprié.

Vous pouvez déterminer que la jonction Azure AD Hybride est la meilleure solution pour un appareil dans un état différent. Le tableau suivant indique comment modifier l’état d’un appareil.

État actuel de l’appareil État souhaité de l’appareil Procédures
Jonction au domaine local Appareils joints Azure AD hybrides Utilisez Azure AD Connect ou AD FS pour la jonction à Azure.
Groupe de travail local joint ou nouveau Appareils joints Azure AD hybrides Prise en charge assurée avec Windows Autopilot. Sinon, l’appareil doit être joint au domaine local avant d’effectuer la jonction Azure AD Hybride.
Appareil joints Azure AD Appareils joints Azure AD hybrides Annulez la jonction avec Azure AD, ce qui le place dans le groupe de travail local ou dans un nouvel état.
Appareils inscrits sur Azure AD Appareils joints Azure AD hybrides Dépend de la version de Windows. Voir ces remarques.

Gestion de vos appareils

Une fois que vous avez inscrit ou joint vos appareils à Azure AD, utilisez le portail Azure comme emplacement central pour manager les identités des appareils. La page des appareils Azure Active Directory vous permet d’effectuer les opérations suivantes :

Veillez à préserver l’intégrité de l’environnement en gérant les appareils obsolètes et à concentrer vos ressources sur la gestion des appareils actuels.

Outils de gestion des appareils pris en charge

Les administrateurs peuvent sécuriser et mieux contrôler les appareils inscrits et joints à l’aide d’autres outils de gestion des appareils. Ces outils vous permettent d’appliquer les configurations, comme l’exigence du chiffrement du stockage, la complexité des mots de passe, les installations de logiciels et les mises à jour logicielles.

Passez en revue les plateformes prises en charge et non prises en charge pour les appareils intégrés :

Outils de gestion des appareils Appareils inscrits sur Azure AD Appareil joints Azure AD Appareils joints Azure AD hybrides
Gestion des périphériques mobiles
Exemple : Microsoft Intune
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Cogestion avec Microsoft Intune et Microsoft Endpoint Configuration Manager
(Windows 10 ou version ultérieure)
Checkmark for these values. Checkmark for these values.
Stratégie de groupe
(Windows uniquement)
Checkmark for these values.

Nous vous recommandons de prendre en compte la gestion des applications mobiles Microsoft Intune avec ou sans la gestion des appareils pour les appareils iOS ou Android inscrits.

Les administrateurs peuvent également déployer des plateformes VDI (Virtual Desktop Infrastructure) hébergeant des systèmes d’exploitation Windows dans leurs organisations afin de simplifier la gestion et de réduire les coûts grâce à la consolidation et à la centralisation des ressources.

Étapes suivantes