Jointure Microsoft Entra et Microsoft Entra hybride dans des points de terminaison natifs cloud
Conseil
Lors de la lecture des points de terminaison natifs cloud, vous voyez les termes suivants :
- Point de terminaison : un point de terminaison est un appareil, tel qu’un téléphone mobile, une tablette, un ordinateur portable ou un ordinateur de bureau. Les « points de terminaison » et les « appareils » sont utilisés indifféremment.
- Points de terminaison managés : points de terminaison qui reçoivent des stratégies de l’organisation à l’aide d’une solution GPM ou d’objets stratégie de groupe. Ces appareils appartiennent généralement à l’organisation, mais peuvent également être des appareils BYOD ou personnels.
- Points de terminaison natifs cloud : points de terminaison joints à Microsoft Entra. Ils ne sont pas joints à AD local.
- Charge de travail : tout programme, service ou processus.
De nombreux services critiques et précieux, notamment l’accès conditionnel et l’authentification unique Microsoft Entra, nécessitent que les points de terminaison aient une identité cloud. Pour les points de terminaison Windows appartenant à l’organisation, une identité cloud est créée lorsque l’appareil est joint à Microsoft Entra ou à Microsoft Entra hybride.
Lorsque vous passez à des points de terminaison natifs cloud, vous devez comprendre les différences entre les appareils joints à Microsoft Entra et les appareils joints à Microsoft Entra hybride :
Joint à Microsoft Entra : les appareils sont joints à Microsoft Entra. Ils ne sont pas joints à AD local.
Pour plus d’informations, accédez à Appareils joints à Microsoft Entra (ouvre un autre site web Microsoft).
Jointure Hybride Microsoft Entra : les appareils sont inscrits dans Microsoft Entra et joints à un domaine AD local.
Pour plus d’informations, accédez à Appareils joints à Microsoft Entra hybrides (ouvre un autre site web Microsoft).
Cette fonctionnalité s’applique à :
- Points de terminaison natifs cloud Windows
Cet article décrit certaines des différences entre les appareils joints à Microsoft Entra et les appareils joints à Microsoft Entra hybrides. Pour une vue d’ensemble des points de terminaison natifs cloud et de leurs avantages, accédez à Présentation des points de terminaison natifs cloud.
Microsoft Entra joint
Lorsqu’un point de terminaison, comme un appareil Windows 10/11, est joint à Microsoft Entra, il établit une approbation avec Microsoft Entra et a une identité (device-id) dans Microsoft Entra. Le point de terminaison est géré et contrôlé par l’organisation.
Le point de terminaison est joint à Microsoft Entra. Il n’est pas joint à un domaine AD local.
Pour joindre des points de terminaison Windows à Microsoft Entra, vous avez quelques options :
Utilisez Windows Autopilot. Windows Autopilot guide les utilisateurs dans l’expérience OOBE (Out of Box Experience) Windows. Lorsque les utilisateurs entrent leur compte professionnel ou scolaire, le point de terminaison rejoint Microsoft Entra.
Tous les appareils inscrits auprès de Windows Autopilot sont automatiquement considérés comme des appareils appartenant à l’organisation. Windows Autopilot est l’une des approches les plus adoptées pour joindre les appareils de l’organisation à Microsoft Entra et les gérer par le service informatique.
Utilisez Windows OOBE (Out of Box Experience). Lorsque les utilisateurs entrent leur compte professionnel ou scolaire sur l’appareil, le point de terminaison rejoint automatiquement Microsoft Entra.
Utilisez l’application Paramètres. Sur l’appareil, les utilisateurs finaux ouvrent l’application Paramètres (Comptes>Accès professionnel ou scolaire>Connecter) et utilisent leur compte professionnel ou scolaire.
Utilisez un package d’approvisionnement de fenêtres. Pour plus d’informations, voir :
Avantages informatiques de l’organisation
- À l’aide de l’accès conditionnel, vous pouvez autoriser ou restreindre l’accès aux ressources de l’organisation qui répondent ou ne répondent pas à vos besoins.
- Paramètres et les données de travail transitent par des clouds conformes à l’entreprise. Aucun compte Microsoft personnel, comme Hotmail, n’est utilisé et peut être bloqué.
- À l’aide de Windows Hello Entreprise, vous pouvez réduire le risque de vol d’informations d’identification.
Avantages de l’utilisateur final
Pour authentifier les utilisateurs finaux avec Microsoft Entra et le point de terminaison Windows, les utilisateurs ont besoin d’un compte professionnel ou scolaire. Aucun compte personnel n’est utilisé.
Obtenez l’authentification unique (SSO) pour Microsoft 365 et les applications SaaS avec une connexion Internet.
Utilisez la commodité et la sécurité de Windows Hello Entreprise pour vous connecter à leur point de terminaison Windows.
Lorsqu’ils se connectent avec Windows Hello Entreprise, les utilisateurs utilisent automatiquement l’authentification unique pour la plupart de leurs applications et ressources en ligne et locales.
Les paramètres du système d’exploitation sont itinérants sur tous les appareils joints à Microsoft Entra.
Importante
Les utilisateurs finaux travaillant à distance sur des appareils joints à Microsoft Entra n’ont pas besoin d’un VPN pour se connecter lorsque les informations d’identification mises en cache expirent sur l’appareil. Sur les appareils joints à Microsoft Entra hybrides, ils ont besoin d’un VPN pour se connecter lorsque les informations d’identification mises en cache expirent.
Ressources jointes à Microsoft Entra
- Qu’est-ce que l’identité de l’appareil dans Microsoft Entra ?
- Qu’est-ce qu’un appareil joint à Microsoft Entra ?
- Fonctionnement de l’inscription des appareils Microsoft Entra
- Comment planifier l’implémentation de votre jointure Microsoft Entra
- Documentation Windows Hello Entreprise – sécurité Windows
Jointure Microsoft Entra hybride
Les appareils joints à Microsoft Entra hybrides sont joints à votre domaine AD local et sont inscrits auprès de Microsoft Entra. Ces appareils nécessitent une connexion réseau à vos contrôleurs de domaine locaux pour la connexion initiale et la gestion des appareils.
Si les appareils ne peuvent pas se connecter au contrôleur de domaine, les utilisateurs peuvent être empêchés de se connecter et ne pas recevoir de mises à jour de stratégie.
De nombreuses organisations disposant d’appareils joints à un domaine existants souhaitent bénéficier des avantages et des fonctionnalités de Microsoft Entra et de la gestion des points de terminaison. Si vos appareils ne peuvent pas encore être entièrement natifs cloud, vous pouvez inscrire ces appareils existants auprès de Microsoft Entra. Lorsque vous inscrivez des appareils existants dans Microsoft Entra, une identité d’appareil est créée et vos appareils sont joints à Un microsoft Entra hybride. Ils ne sont pas considérés comme des points de terminaison natifs cloud.
Si votre organisation est prête et souhaite être native cloud, la jonction à Microsoft Entra (dans cet article) est le bon choix. Les appareils existants doivent être réinitialisés. Pour obtenir des informations et des conseils plus spécifiques, consultez le guide de planification de haut niveau.
Ressources jointes à Microsoft Entra hybrides
Pour plus d’informations sur l’inscription de vos appareils joints à un domaine existant auprès de Microsoft Entra, consultez Configurer la jonction Microsoft Entra hybride. La configuration de la jonction Microsoft Entra hybride inclut des informations pour les domaines managés et les domaines fédérés.
Quelle option convient à votre organisation
La bonne option dépend de votre environnement, de vos points de terminaison et des objectifs de votre organisation. Lorsque vous prenez cette décision, tenez compte de l’impact futur et à long terme.
Plusieurs scénarios sont envisageables :
| Scénario | Jointure Microsoft Entra ou jointure Microsoft Entra hybride |
|---|---|
| Vous approvisionnez de nouveaux points de terminaison Windows | ✔️ Jointure Microsoft Entra Si vous avez des appareils Windows nouveaux, remis à neuf ou actualisés que vous approvisionnez et inscrivez, la jonction Microsoft Entra est recommandée. Windows 10/11 a des fonctionnalités modernes intégrées au système d’exploitation, notamment la gestion moderne, l’authentification moderne, etc. Microsoft Entra Join doit être votre option par défaut pour les points de terminaison nouveaux et réinitialisés. ❌ Jointure Microsoft Entra hybride Vous pouvez utiliser la jonction Microsoft Entra hybride pour les nouveaux points de terminaison, mais ce n’est généralement pas recommandé. Quand vous êtes joint à l’aide de la jointure Hybride Microsoft Entra, vous risquez de ne pas utiliser les fonctionnalités modernes intégrées à Windows 10/11. |
| Vous disposez de points de terminaison Windows précédemment provisionnés qui sont joints à Un microsoft Entra hybride ou à AD | ✔️ Jointure Microsoft Entra hybride Si vous avez des points de terminaison existants qui sont joints à un domaine AD local (y compris une jointure Hybride Microsoft Entra), la jonction Microsoft Entra hybride est recommandée. Les appareils obtiennent une identité cloud et peuvent utiliser des services cloud qui nécessitent une identité cloud. Pour les utilisateurs finaux avec des points de terminaison existants, cette option a un impact minimal. ❌ Jointure Microsoft Entra Les appareils existants joints à un domaine AD local (y compris les appareils joints à Microsoft Entra hybride) doivent être réinitialisés pour devenir joints à Microsoft Entra. S’ils ne peuvent pas être réinitialisés, il n’existe aucun chemin Microsoft pris en charge pour les joindre à Microsoft Entra. |
Questions, réponses et scénarios courants
Cette section répond aux questions courantes sur les appareils joints à Microsoft Entra et hybrides joints à Microsoft Entra.
La jointure hybride de Microsoft Entra doit-elle être un état d’objectif à long terme ou d’objectif final pour les appareils ?
Non, la jonction Microsoft Entra hybride ne doit pas être à long terme ni l’objectif final d’une organisation.
Lorsque vous n’êtes pas limité ou limité (pour des raisons techniques, politiques ou réglementaires), votre organisation doit migrer ou planifier le passage à Microsoft Entra pour vos points de terminaison Windows.
Quelle stratégie une organisation doit-elle adopter pour déplacer les appareils Microsoft Entra Join hybrides existants vers Microsoft Entra Join ?
La stratégie dépend de nombreux facteurs, dont plusieurs sont spécifiques à votre organisation.
En général, Microsoft recommande d’attendre un événement complémentaire. Par exemple, vous pouvez passer à la jonction Microsoft Entra pendant une actualisation matérielle, une mise à niveau du système d’exploitation ou un scénario de résolution des problèmes d’appareil en cas de nouvelle (ou de réinitialisation) d’instance de Windows. À l’aide de cette approche, vous réduisez l’interruption des utilisateurs et simplifiez le processus de conversion en Microsoft Entra Join. N’oubliez pas qu’il n’existe aucun processus ou chemin pris en charge par Microsoft pour convertir un appareil existant de La jonction Microsoft Entra hybride en jonction Microsoft Entra sans réinitialisation de Windows.
Sur les appareils joints hybrides Microsoft Entra, vous devez effectuer une réinitialisation complète de l’appareil, car la réinitialisation de Windows Autopilot ne prend pas en charge les appareils joints hybrides Microsoft Entra.
Pour passer à Microsoft Entra Join, vous pouvez réinitialiser de manière proactive les appareils existants. Cette approche peut être plus perturbante pour les utilisateurs et nécessite davantage de planification & de tests. Toutefois, vous pouvez utiliser cette approche si vous avez quelques appareils ou si vous avez une solide analyse de rentabilité pour passer à Microsoft Entra Join.
Il existe un bloqueur qui empêche mon organisation de passer à Microsoft Entra Join
Il est possible qu’il existe des obstacles et des défis en dehors du contrôle de Microsoft qui peuvent empêcher votre organisation de passer entièrement à Microsoft Entra Join. Il peut également y avoir des bloqueurs inconnus qui sont spécifiques à votre organisation et à sa configuration ou à ses attentes. Ces blocages peuvent être techniques ou se produire pour d’autres raisons non techniques.
N’oubliez pas que le passage à Microsoft Entra Join n’est pas une proposition tout ou rien. Le déplacement d’appareils vers Microsoft Entra Join prend du temps, même avec ou sans bloqueurs ou inhibiteurs.
Si vous identifiez un bloqueur potentiel qui vous empêche d’utiliser Microsoft Entra Join, déterminez l’étendue, l’impact et la solution. Le guide de planification de haut niveau pour passer à des points de terminaison natifs cloud peut vous aider.
Les points de terminaison de jointure Microsoft Entra et de jointure Microsoft Entra hybride peuvent-ils coexister dans le même environnement ?
Oui, les points de terminaison de jointure Microsoft Entra et de jointure Microsoft Entra hybride peuvent coexister dans le même environnement. Ils ne s’excluent pas mutuellement.
Le fait d’avoir un environnement mixte augmente la complexité, la maintenance et les coûts de support. Toutefois, vous pouvez utiliser la jonction Microsoft Entra hybride jusqu’à ce que ces points de terminaison soient remplacés ou réinitialisés. N’oubliez pas que la jonction Microsoft Entra hybride ne doit pas être l’objectif final de votre organisation pour l’état du point de terminaison Windows.
Les utilisateurs des systèmes Microsoft Entra Join peuvent-ils accéder aux ressources locales ?
Oui, les utilisateurs sur les systèmes Microsoft Entra Join peuvent accéder aux ressources locales.
Les points de terminaison Microsoft Entra Join peuvent accéder aux ressources locales et utiliser l’authentification unique (SSO). Pour plus d’informations, accédez aux points de terminaison natifs cloud et aux ressources locales.
Quels états de jointure d’appareil intune peut-il gérer ?
Microsoft Intune, qui est une solution 100 % cloud, peut gérer les appareils clients Windows qui sont Microsoft Entra Join ou Hybrid Microsoft Entra Join. Intune dispose de nombreuses fonctionnalités et paramètres intégrés qui peuvent gérer les paramètres, contrôler les fonctionnalités de l’appareil, sécuriser vos points de terminaison, etc.
Le Guide de planification de haut niveau pour passer aux points de terminaison natifs cloud : Intune fonctionnalités que vous devez connaître répertorie certaines de ces fonctionnalités. Ce qui est Intune est également une bonne ressource.
Sur les points de terminaison de jointure Microsoft Entra hybrides, vous pouvez utiliser des objets de stratégies de groupe (GPO) locaux ou Intune pour contrôler les paramètres de stratégie. Il est également possible d’utiliser une combinaison d’objets de stratégie de groupe et d’Intune, mais cette combinaison ajoute de la surcharge administrative et de la complexité. Si vous activez la cogestion (Intune (cloud) + Configuration Manager (local)), vous pouvez utiliser certaines fonctionnalités de Microsoft Entra, telles que l’accès conditionnel.
Pour obtenir des conseils, consultez le Guide de déploiement : configurer ou passer à Microsoft Intune.
Quels sont les états de jointure d’appareil requis pour la conformité des appareils et/ou l’accès conditionnel ?
Les points de terminaison Microsoft Entra Join et Microsoft Entra Join hybrides prennent en charge les stratégies de conformité et l’accès conditionnel lorsqu’ils sont gérés par Intune ou cogérés par Intune et Configuration Manager.
Existe-t-il des limitations pour la jointure Hybride Microsoft Entra ?
Oui, il existe des limitations pour la jointure Hybride Microsoft Entra.
Ces limitations sont généralement les mêmes pour les appareils locaux joints au domaine uniquement. Plus précisément, les points de terminaison de jointure Microsoft Entra hybride nécessitent une connexion directe au contrôleur de domaine AD local pour la connexion initiale et pour modifier les mots de passe. Si le domaine est arrêté ou n’est pas disponible, les utilisateurs peuvent être empêchés de se connecter à leurs points de terminaison. Si votre organisation ne dispose plus d’un domaine local, vous devez également quitter la jonction Microsoft Entra hybride pour vos appareils.
Si vous utilisez l’authentification sans mot de passe, les utilisateurs ont besoin d’un accès à Internet et d’une ligne de vue sur les contrôleurs de domaine . Pour s’authentifier, les points de terminaison de jointure Hybride Microsoft Entra peuvent utiliser Kerberos et NTLM.
La jonction Microsoft Entra hybride est-elle considérée comme native cloud ?
Non, la jonction Microsoft Entra hybride n’est pas considérée comme native cloud.
La solution cloud consiste à joindre vos points de terminaison à Microsoft Entra. Les points de terminaison et leurs identités sont créés et stockés dans Microsoft Entra. Intune gère les points de terminaison avec des paramètres et des stratégies. Ces services fonctionnent avec d’autres services cloud, notamment Microsoft 365, Microsoft Defender XDR, etc.
Suivez les conseils sur les points de terminaison natifs cloud
- Vue d’ensemble : que sont les points de terminaison natifs cloud ?
- Didacticiel : Démarrage avec des points de terminaison Windows natifs cloud
- 🡺 Concept : Joint à Microsoft Entra et Joint à Microsoft Entra hybride (Vous êtes ici)
- Concept : points de terminaison natifs cloud et ressources locales
- Guide de planification de haut niveau
- Problèmes connus et informations importantes
Commentaires
Prochainement : Tout au long de l'année 2024, nous supprimerons progressivement les GitHub Issues en tant que mécanisme de retour d'information pour le contenu et nous les remplacerons par un nouveau système de retour d'information. Pour plus d’informations, voir: https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour