Déployer des appareils joints à un domaine Azure AD Hybride à l’aide d’Intune et de Windows Autopilot

• S’applique à:

  ✅ Windows 11, ✅ Windows 10

Vous pouvez utiliser Intune et Windows Autopilot pour configurer des appareils joints à un domaine Azure Active Directory (Azure AD) hybride. Pour cela, effectuez les étapes de cet article. Pour plus d’informations sur la jonction Azure AD Hybride, consultez Présentation de jonction Azure AD Hybride et cogestion.

Configuration requise

• Vos appareils joints à Azure AD hybrides ont été correctement configurés. Veillez à vérifier l’inscription de votre appareil à l’aide de l’applet de commande Get-MgDevice .
• Si vous avez configuré le filtrage basé sur un domaine et une unité d’organisation dans le cadre d’Azure Active Directory Connect, vérifiez que l’unité d’organisation (UO) ou le conteneur par défaut destiné aux appareils Autopilot est inclus dans l’étendue de synchronisation.

Prérequis pour l’inscription d’appareils

L’appareil à inscrire doit respecter les exigences ci-après :

• Utilisez Windows 11 ou Windows 10 version 1809 ou ultérieure.
• Accédez à internet en suivant les exigences de réseau Windows Autopilot.
• Avoir accès à un contrôleur de domaine Active Directory.
• Test ping réussi sur le contrôleur de domaine du domaine que vous tentez de joindre.
• Si vous utilisez un Proxy, l’option des paramètres Proxy de WPAD doit être activée et configurée.
• Fournir l’expérience utilisateur OOBE (Out-of-Box Experience).
• Utilisez un type d’autorisation pris en charge par Azure Active Directory dans OOBE.

Bien que cela ne soit pas obligatoire, la configuration de la jonction Azure AD hybride pour les services fédérés Active Directory (AD FS) permet un processus d’inscription Windows Autopilot Azure AD plus rapide pendant les déploiements. Les clients fédérés qui ne prennent pas en charge l’utilisation de mots de passe et l’utilisation d’AD FS doivent suivre les étapes décrites dans l’article Services ADFS prise en charge des paramètres prompt=login pour configurer correctement l’expérience d’authentification.

Prérequis du serveur du connecteur Intune

• Le connecteur Intune pour Active Directory doit être installé sur un ordinateur exécutant Windows Server 2016 ou une version ultérieure avec .NET Framework version 4.7.2 ou ultérieure.

• Le serveur hébergeant le connecteur Intune doit avoir accès à Internet et à votre annuaire Active Directory.

  Remarque

  Le serveur Intune Connector nécessite un accès client de domaine standard aux contrôleurs de domaine, ce qui inclut les exigences de port RPC dont il a besoin pour communiquer avec Active Directory. Si vous souhaitez en savoir plus, consultez les articles suivants :

  • Vue d’ensemble des services et exigences de ports réseau pour Windows
  • Comment configurer un pare-feu pour les domaines et approbations Active Directory
  • Ports et protocoles nécessaires à l’identité hybride

• Pour augmenter la mise à l’échelle et la disponibilité, vous pouvez installer plusieurs connecteurs dans votre environnement. Nous vous recommandons d’installer le connecteur sur un serveur qui n’exécute aucun autre connecteur Intune. Chaque connecteur doit être en mesure de créer des objets ordinateur dans n’importe quel domaine que vous souhaitez prendre en charge.

• Le connecteur Intune requiert les mêmes points de terminaison qu’lntune.

Configurer l’inscription GPM automatique Windows

1. Connectez-vous à Azure, dans le volet gauche, sélectionnez Azure Active Directory>Mobilité (GPM et GAM)>Microsoft Intune.

2. Vérifiez que les utilisateurs qui déploient des appareils joints à Azure AD à l’aide d’Intune et de Windows sont membres d’un groupe inclus dans l’étendue d’utilisateurs MDM.

3. Utilisez les valeurs par défaut des zones URL des conditions d’utilisation de GDR, URL de détection MDM et URL de conformité GDR, puis sélectionnez Enregistrer.

Augmenter la limite du nombre de comptes d’ordinateur dans l’unité d’organisation

Le connecteur Intune pour votre annuaire Active Directory crée des ordinateurs inscrits par Autopilot dans le domaine Active Directory local. L’ordinateur qui héberge le connecteur Intune doit avoir les droits nécessaires pour créer des objets ordinateur dans le domaine.

Dans certains domaines, les ordinateurs n’ont pas les droits pour créer des ordinateurs. De plus, les domaines ont une limite intégrée (10 par défaut) qui s’applique à tous les utilisateurs et ordinateurs auxquels des droits pour créer des objets ordinateur n’ont pas été délégués. Les droits doivent être délégués aux ordinateurs hébergeant le connecteur Intune sur l’unité d’organisation où les appareils joints à un domaine Azure AD Hybride sont créés.

L’unité d’organisation qui a les droits de créer des ordinateurs doit correspondre :

• À l’unité d’organisation entrée dans le profil de jonction de domaine.
• Si aucun profil n’est sélectionné, au nom de domaine de l’ordinateur pour votre domaine.

1. Ouvrez Utilisateurs et ordinateurs Active Directory (DSA.msc).

2. Cliquez avec le bouton droit sur l’unité d’organisation à utiliser pour créer un contrôle délégué d’ordinateurs joints à Azure AD hybrides>.

   

3. Dans l’Assistant Délégation de contrôle, sélectionnez Suivant>Ajouter>Types d’objets.

4. Dans le volet Types d’objets, sélectionnez lesOrdinateurs>OK.

   

5. Dans le volet Sélectionner des utilisateurs, des ordinateurs ou des groupes, dans la zone Entrez les noms des objets à sélectionner, entrez le nom de l’ordinateur où le connecteur est installé.

   

6. Sélectionnez Vérifier les noms pour valider votre entrée >OK>Suivant.

7. Sélectionnez Créer une tâche personnalisée à déléguer>Suivant.

8. Sélectionnez uniquement les objets suivants dans le dossier>Objets d'ordinateur.

9. Sélectionnez Créer des objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans ce dossier.

   

10. Sélectionnez Suivant.

11. Sous Autorisations, cochez la case Contrôle total. Cette action sélectionne toutes les autres options.

    

12. Sélectionnez Suivant>Terminer.

Installer le connecteur Intune

Avant de commencer l’installation, assurez-vous que tous les prérequis du serveur de connecteur Intune ont été remplis.

Étapes d’installation

1. Désactivez Internet Explorer configuration de sécurité renforcée. Par défaut, sous Windows Server la configuration de sécurité renforcée d’Internet Explorer est activée. Si vous ne parvenez pas à vous connecter au connecteur Intune pour Active Directory, désactivez Internet Explorer Configuration de sécurité renforcée pour l’administrateur. Pour désactiver internet Explorer configuration de sécurité renforcée :

   1. Sur le serveur sur lequel le connecteur Intune est installé, ouvrez Gestionnaire de serveur.
   2. Dans le volet gauche de Gestionnaire de serveur, sélectionnez Serveur local.
   3. Dans le volet PROPRIÉTÉS droit de Gestionnaire de serveur, sélectionnez le lien Activé ou Désactivé en regard de Configuration de la sécurité renforcée d’Internet Explorer.
   4. Dans la fenêtre Configuration de la sécurité renforcée d’Internet Explorer, sélectionnez Désactivé sous Administrateurs, puis ok.

2. Dans le centre d’administration Microsoft Intune, sélectionnez Appareils>Inscription Windows>>windows Intune Connecteur pour Active Directory>Ajouter.

3. Suivez les instructions pour télécharger le connecteur.

4. Ouvrez le fichier d’installation du connecteur téléchargé ODJConnectorBootstrapper.exe pour installer le connecteur.

5. À la fin de l’installation, sélectionnez Configurer maintenant.

6. Sélectionnez Se connecter.

7. Entrez les informations d’identification du rôle d’Administrateur général ou d’Administrateur Intune. Le compte d’utilisateur doit avoir une licence Intune.

8. Accédez à Appareils>Windows>Inscription Windows>Connecteur Intune pour Active Directory, puis vérifiez que l’état de la connexion indique Actif.

Remarque

• Le rôle d’Administrateur général est une exigence temporaire au moment de l’installation.
• Une fois connecté au connecteur, l’affichage dans le centre d’administration Microsoft Intune peut prendre plusieurs minutes. Il apparaît seulement s’il peut communiquer avec le service Intune.
• Les connecteurs Intune inactifs apparaissent toujours dans la page Connecteurs Intune et sont automatiquement nettoyés après 30 jours.

Une fois le connecteur Intune installé, il démarre la journalisation dans le observateur d'événements sous le chemin Journaux >des applications et des servicesMicrosoft>Intune>ODJConnectorService. Sous ce chemin d’accès, vous trouverez les journaux d’activité Administration et opérationnels.

Remarque

Le connecteur Intune initialement connecté au observateur d'événements directement sous Journaux des applications et des services dans un journal appelé Service de connecteur ODJ. Toutefois, la journalisation du connecteur Intune a depuis été déplacée vers le chemin Journaux >des applications et des servicesMicrosoft> Intune >ODJConnectorService. Si vous constatez que le journal du service du connecteur ODJ à l’emplacement d’origine est vide ou n’est pas mis à jour, case activée le nouvel emplacement de chemin d’accès à la place.

Configuration des paramètres de proxy web

Si vous avez un proxy web dans votre environnement réseau, vérifiez que le connecteur Intune pour Active Directory fonctionne correctement en vous référant à Utiliser des serveurs proxy locaux existants.

Créer un groupe d'appareils

1. Dans le centre d’administration Microsoft Intune, sélectionnez Groupes>Nouveau groupe.

2. Dans le volet Groupe, choisissez les options suivantes :

   1. Pour Type de groupe, sélectionnez Sécurité.
   2. Renseignez les champs Nom du groupe et Description du groupe.
   3. Sélectionnez un Type d’adhésion.

3. Si vous avez sélectionné Appareils dynamiques pour le type d’adhésion, dans le volet Groupe, sélectionnez Membres de dispositif dynamique.

4. Sélectionnez Modifier dans la case Syntaxe de la règle, puis entrez l’une des lignes de code suivantes :

   • Pour créer un groupe qui inclut tous vos appareils Autopilot, entrez (device.devicePhysicalIDs -any _ -contains "[ZTDId]").
   • Le champ Balise de groupe d’Intune est mappé à l’attribut OrderID sur les appareils Azure AD. Si vous voulez créer un groupe incluant tous vos appareils Autopilot avec une étiquette de groupe spécifique (OrderID), tapez : (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")
   • Pour créer un groupe qui inclut tous vos appareils Autopilot avec un ID de bon de commande spécifique, entrez (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342").

5. Sélectionnez Enregistrer>Créer.

Inscrire vos appareils Autopilot

Sélectionnez une des méthodes suivantes pour inscrire vos appareils Autopilot.

Inscrire les appareils Autopilot déjà inscrits

1. Créez un profil de déploiement Autopilot avec le paramètre Convertir tous les appareils ciblés en Autopilot défini sur Oui.

2. Affectez le profil à un groupe contenant les membres que vous voulez inscrire automatiquement avec Autopilot.

Pour plus d’informations, consultez Créer un profil de déploiement Autopilot.

Inscrire les appareils Autopilot qui ne sont pas inscrits

Si vos appareils ne sont pas encore inscrits, vous pouvez les inscrire vous-même. Pour plus d’informations, consultez Inscription manuelle.

Inscrire les appareils d’un OEM

Si vous achetez de nouveaux appareils, certains OEM peuvent les inscrire à votre place. Pour plus d’informations, consultez Inscription manuelle.

Afficher l’appareil Autopilot inscrit

Avant qu’ils ne soient inscrits dans Intune, les appareils Autopilot inscrits sont affichés à trois endroits (avec des noms définis sur leurs numéros de série) :

• Le volet Appareils Autopilot dans Intune, dans le portail Azure. Sélectionnez Inscription d’appareils>Inscription Windows>Appareils.
• Le volet Appareils Azure AD dans Intune, dans le portail Azure. Sélectionnez Appareils>Appareils Azure AD.
• Le volet Tous les appareils Azure AD dans Azure Active Directory, dans le portail Azure en sélectionnant Appareils>Tous les appareils.

Une fois vos appareils Autopilot inscrits, ceux-ci apparaissent à quatre endroits :

• Le volet Appareils Autopilot dans Intune, dans le portail Azure. Sélectionnez Inscription d’appareils>Inscription Windows>Appareils.
• Le volet Appareils Azure AD dans Intune, dans le portail Azure. Sélectionnez Appareils>Appareils Azure AD.
• Le volet Tous les appareils Azure AD dans Azure Active Directory, dans le portail Azure. Sélectionnez Appareils>Tous les appareils.
• Le volet Tous les appareils dans Intune, dans le portail Azure. Sélectionnez Appareils>Tous les appareils.

Une fois vos appareils Autopilot inscrits, leur nom devient le nom d’hôte de l’appareil. Par défaut, le nom d’hôte commence par DESKTOP-. Un objet d’appareil est précréé dans Azure AD une fois qu’un appareil est inscrit dans Autopilot. Lorsqu’un appareil passe par un déploiement Azure AD hybride, par conception, un autre objet appareil est créé, ce qui entraîne des entrées en double.

VPN BYO

Les clients VPN suivants ont été testés et validés :

Clients VPN

• Client VPN Windows in-box
• Cisco AnyConnect (client Win32)
• Pulse Secure (client Win32)
• GlobalProtect (client Win32)
• Point de contrôle (client Win32)
• Citrix NetScaler (client Win32)
• SonicWall (client Win32)
• VPN FortiClient (client Win32)

Remarque

Cette liste de clients VPN n’est pas une liste complète de tous les clients VPN qui fonctionnent avec Autopilot. Contactez le fournisseur VPN correspondant pour la compatibilité et la prise en charge avec Autopilot ou pour tout problème lié à l’utilisation d’une solution VPN avec Autopilot.

Clients VPN non pris en charge

Les solutions VPN suivantes ne fonctionnent pas avec Autopilot et ne sont donc pas prises en charge pour une utilisation avec Autopilot :

• Plug-ins VPN basés sur UWP
• Tout ce qui nécessite un certificat utilisateur
• DirectAccess

Remarque

Lorsque vous utilisez des VPN BYO, vous devez sélectionner Oui pour l’option Ignorer la connectivité AD case activée dans le profil de déploiement Windows Autopilot. Always-On VPN ne doivent pas nécessiter cette option, car ils se connectent automatiquement.

Créer et affecter un profil de déploiement Autopilot

Les profils de déploiement Autopilot sont utilisés pour configurer les appareils Autopilot.

1. Dans le centre d’administration Microsoft Intune, sélectionnez Appareils Windows>>inscription> Profils >de déploiementWindows Créer un profil.

2. Sur la page Informations de base, tapez un Nom et une Description facultative.

3. Si vous souhaitez que tous les appareils des groupes attribués s’inscrivent automatiquement auprès d’Autopilot, définissez Convertir tous les appareils ciblés en Autopilot sur Oui. Tous les appareils appartenant à l’entreprise et non Autopilot des groupes affectés vont s’inscrire auprès du service de déploiement Autopilot. Les appareils personnels ne sont pas inscrits auprès d’Autopilot. Le traitement de l’enregistrement prend 48 heures. Lorsque l’appareil est désinscrit et réinitialisé, Autopilot l’inscrit à nouveau. Une fois qu’un appareil est inscrit de cette façon, la désactivation de ce paramètre ou la suppression de l’attribution de profil ne supprime pas l’appareil du service de déploiement Autopilot. À la place, vous devez supprimer l’appareil directement.

4. Sélectionnez Suivant.

5. Sur la page Mode out-of-box experience (OOBE), pour Mode de déploiement, sélectionnez Géré par l’utilisateur.

6. Dans la zone Joindre à Azure AD comme, sélectionnez Joint à Azure AD Hybride.

7. Si vous déployez des appareils à partir du réseau de l’organisation à l’aide de la prise en charge de VPN, affectez la valeur Oui à l’option Ignorer la vérification de la connectivité du domaine. Pour plus d’informations, consultez Mode piloté par l’utilisateur pour la jonction de Azure Active Directory hybride avec prise en charge VPN.

8. Configurez les options restantes sur la page Out-of-box experience (OOBE) en fonction de vos besoins.

9. Sélectionnez Suivant.

10. Sur la page Balises d’étendue, sélectionnez les balises d’étendue pour ce profil.

11. Sélectionnez Suivant.

12. Dans la page Affectations, sélectionnez Sélectionner les groupes à inclure> dans la recherche, puis sélectionnez le groupe > d’appareils Sélectionner.

13. Sélectionnez Suivant>Créer.

Remarque

Intune case activée régulièrement de nouveaux appareils dans les groupes attribués, puis commence le processus d’attribution de profils à ces appareils. En raison de plusieurs facteurs différents impliqués dans le processus d’attribution de profil Autopilot, une durée estimée pour l’affectation peut varier d’un scénario à l’autre. Ces facteurs peuvent inclure les groupes AAD, les règles d’appartenance, le hachage d’un appareil, le Intune et le service Autopilot, et la connexion Internet. Le temps d’affectation varie en fonction de tous les facteurs et variables impliqués dans un scénario spécifique.

(Facultatif) Activer la page d’état d’inscription

1. Dans le centre d’administration Microsoft Intune, sélectionnez Appareils> Paged’état del’inscription>Windows Windows>.

2. Dans le volet Page d’état d’inscription, sélectionnez Par défaut>Paramètres.

3. Pour Afficher la progression de l’installation des applications et des profils, sélectionnez Oui.

4. Configurez les autres options selon les besoins.

5. Sélectionnez Enregistrer.

Créer et affecter un profil de jonction de domaine

1. Dans le centre d’administration Microsoft Intune, sélectionnez Appareils>Profils> de configurationCréer un profil.

2. Entrez les propriétés suivantes :

   • Nom : attribuez un nom descriptif au nouveau profil.
   • Description : entrez une description pour le profil.
   • Plateforme : sélectionnez Windows 10 et ultérieur.
   • Type de profil : sélectionnez Modèles, choisissez le nom de modèle Jonction de domaine, puis sélectionnez Créer.

3. Entrez un Nom et une Description pour la nouvelle stratégie, puis sélectionnez Suivant.

4. Sélectionnez Préfixe de nom d’ordinateur et Nom de domaine.

5. (Facultatif) Indiquez une unité d’organisation (UO) au format de DN. Les options disponibles sont les suivantes :

   • Indiquez une unité d’organisation dans laquelle vous avez délégué le contrôle à votre appareil Windows 2016 qui exécute le connecteur Intune.
   • Fournissez une unité d’organisation dans laquelle vous avez délégué le contrôle aux ordinateurs racines de votre Active Directory local.
   • Si vous laissez ce champ vide, l’objet ordinateur est créé dans le conteneur Active Directory par défaut (CN=Computers si vous ne l’avez jamais modifié).

   Voici quelques exemples valides :

   • OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
   • OU=Mine,DC=contoso,DC=com

   Voici quelques exemples qui ne sont pas valides :

   • CN=Computers,DC=contoso,DC=com (vous ne pouvez pas spécifier de conteneur, laissez plutôt la valeur vide pour utiliser la valeur par défaut pour le domaine)
   • OU=Mine (vous devez spécifier le domaine via les DC= attributs)

   Remarque

   N’utilisez pas de guillemets autour de la valeur dans Unité d'organisation.

6. Sélectionnez OK>Créer. Le profil est créé et apparaît dans la liste.

7. Affectez un profil d’appareil au même groupe utilisé à l’étape Créer un groupe d’appareils. Vous pouvez utiliser différents groupes si vous devez joindre des appareils à différents domaines ou unités d’organisation.

Remarque

Les fonctionnalités de nommage de Windows Autopilot pour la jonction Azure AD hybride ne prennent pas en charge les variables telles que %SERIAL%. Il prend uniquement en charge les préfixes pour le nom de l’ordinateur.

Désinstaller le connecteur ODJ

Le connecteur OSD est installé localement sur un ordinateur via un fichier exécutable. Si le connecteur ODJ doit être désinstallé d’un ordinateur, il doit également être effectué localement sur l’ordinateur. Le connecteur ODJ ne peut pas être supprimé via le portail Intune ou via un appel d’API de graphe.

Pour désinstaller le connecteur ODJ de l’ordinateur sur lequel il est installé, procédez comme suit :

1. Connectez-vous à l’ordinateur hébergeant le connecteur ODJ.
2. Cliquez avec le bouton droit sur le menu Démarrer et sélectionnez Paramètres.
3. Dans la fenêtre Paramètres Windows , sélectionnez Applications.
4. Sous Fonctionnalités des applications&, recherchez et sélectionnez Intune Connecteur pour Active Directory.
5. Sous Intune Connecteur pour Active Directory, sélectionnez le bouton Désinstaller, puis sélectionnez à nouveau le bouton Désinstaller.
6. Le connecteur ODJ procède à la désinstallation.

Prochaines étapes

Une fois que vous avez configuré Windows Autopilot, découvrez comment gérer les appareils. Pour plus d’informations, consultez Qu’est-ce que la gestion des appareils Microsoft Intune ?.

Articles connexes

• Qu’est-ce qu’une identité d’appareil ?.
• En savoir plus sur les points de terminaison natifs cloud.
• Joint à Azure AD et Joint à Azure AD hybride dans des points de terminaison natifs cloud.
• Tutoriel : Configurer et configurer un point de terminaison Windows natif cloud avec Microsoft Intune.
• Guide pratique pour planifier votre implémentation de jointure Azure AD.
• Infrastructure pour la transformation de gestion des points de terminaison Windows.
• Présentation des scénarios azure AD hybrides et de cogestion.
• Réussite avec Windows Autopilot distant et la jonction Azure Active Directory hybride.