FAQ sur la gestion des périphériques Microsoft Entra

Les appareils Windows 10 ou plus récent qui ont une jointure hybride à Microsoft Entra ne s'affichent pas sous Appareils UTILISATEUR. Utilisez la vue Tous les appareils. Vous pouvez également utiliser une applet de commande PowerShell Get-MgDevice.

Seuls les appareils suivants sont répertoriés en tant qu’appareils UTILISATEUR :

• Tous les appareils personnels qui ne sont pas joints à Microsoft Entra de manière hybride.
• Tous les appareils non-Windows 10 ou plus récent et non-Windows Server 2016 ou supérieur.
• Tous les appareils non Windows.

Accédez à Tous les appareils. Recherchez l’appareil à l’aide de l’ID d’appareil. Vérifiez la valeur dans la colonne de type de jointure. Parfois, l’appareil peut avoir été réinitialisé ou réimagé. Il est donc essentiel de vérifier l’état d’enregistrement de l’appareil sur l’appareil :

• Pour les appareils Windows 10 ou plus récent et Windows Server 2016 ou supérieur, exécutez dsregcmd.exe /status.
• Pour les versions de système d’exploitation de niveau inférieur, exécutez %programFiles%\Microsoft Workplace Join\autoworkplace.exe.

Pour obtenir des informations de résolution des problèmes, consultez ces articles :

• Dépannage des appareils à l’aide de la commande dsregcmd
• Résolution des problèmes liés aux appareils Windows 10 et Windows Server 2016 à jonction hybride Microsoft Entra
• Résolution des problèmes Microsoft Entra appareils hybrides joints de niveau inférieur

Les clients Windows récupèrent le PRT à partir de Microsoft Entra ID si l'utilisateur et l'appareil appartiennent au même client. Les utilisateurs ne recevront pas de PRT pour un autre locataire si l'appareil n'est pas enregistré ou si l'utilisateur n'en est pas membre. Si les deux locataires se font confiance via B2B, vous pouvez toujours créer un accès B2B entre locataires et faire confiance aux réclamations d'appareils de votre locataire d'origine.

L'état de jointure de l'appareil, reflété par deviceID, doit correspondre à l'état sur Microsoft Entra ID et répondre à tous les critères d'évaluation pour l'accès conditionnel. Pour plus d’informations, consultez Exiger des appareils gérés pour accéder aux applications cloud avec l’accès conditionnel.

Sur les appareils Windows 10/11 qui sont joints ou inscrits à Microsoft Entra ID, les utilisateurs reçoivent un jeton d'actualisation principal qui active l'authentification unique. La validité du jeton d’actualisation principal est basée sur la validité de l’appareil. Les utilisateurs voient ce message si l'appareil est supprimé ou désactivé dans Microsoft Entra ID sans que l'action ne soit initiée à partir de l'appareil lui-même. Un appareil peut être supprimé ou désactivé dans Microsoft Entra dans les cas suivants :

• L’utilisateur désactive l’appareil à partir du portail Mes applications.
• Un administrateur (ou un utilisateur) supprime ou désactive l’appareil.
• Jointure hybride à Microsoft Entra uniquement : un administrateur supprime l'UO des appareils hors de la portée de la synchronisation, ce qui entraîne la suppression des appareils de Microsoft Entra ID.
• Jointure hybride à Microsoft Entra uniquement : un administrateur désactive le compte d'ordinateur local, ce qui entraîne la désactivation de l'appareil dans Microsoft Entra ID.
• Mise à niveau Microsoft Entra Connect vers la version 1.4.xx.x. Comprendre Microsoft Entra Connect 1.4.xx.x et la disparition des appareils.

Cette opération est intentionnelle. Dans ce cas, l’appareil n’a pas accès aux ressources du cloud. Les administrateurs peuvent effectuer cette action pour des appareils devenus obsolètes, ou des appareils perdus ou volés, afin d’empêcher tout accès non autorisé. Si cette action a été effectuée involontairement, vous devez réactiver ou réinscrire l’appareil en suivant les étapes suivantes :

• Si l'appareil a été désactivé dans Microsoft Entra ID, un administrateur disposant de privilèges suffisants peut l'activer dans le centre d'administration Microsoft Entra.

  Remarque

  Si vous synchronisez des appareils à l’aide de Microsoft Entra Connect, les appareils à jonction hybride Microsoft Entra sont automatiquement réactivés au cours du prochain cycle de synchronisation. Ainsi, si vous devez désactiver un appareil joint à l’hybride Microsoft Entra, vous devez le désactiver à partir de votre AD sur site.

• Si l'appareil a été supprimé dans Microsoft Entra, vous devez le réinscrire. Pour réinscrire l’appareil, vous devez procéder manuellement sur l’appareil en question. Consultez les étapes suivantes pour obtenir des instructions pour vous réinscrire en fonction de l’état de l’appareil.

  Pour réinscrire des appareils Windows 10/11 et Windows Server 2016/2019 à jointure hybride Microsoft Entra, effectuez les étapes suivantes :

  1. Ouvrez une invite de commandes en tant qu’administrateur.
  2. Entrez dsregcmd.exe /debug /leave.
  3. Déconnectez-vous, puis reconnectez-vous pour déclencher la tâche planifiée qui inscrit à nouveau l'appareil auprès de Microsoft Entra ID.

  Pour les versions de système d’exploitation Windows de bas niveau à jonction hybride Microsoft Entra, effectuez les étapes suivantes :

  1. Ouvrez une invite de commandes en tant qu’administrateur.
  2. Entrez "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l".
  3. Entrez "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j".

  Pour les appareils Windows 10/11 joints aux appareils Microsoft Entra, effectuez les étapes suivantes :

  1. Ouvrez une invite de commandes en tant qu’administrateur.
  2. Entrez dsregcmd /forcerecovery (Vous devez être administrateur pour effectuer cette action).
  3. Cliquez sur « Connexion » dans la boîte de dialogue qui s’ouvre et poursuivez le processus de connexion.
  4. Déconnectez-vous et reconnectez-vous sur l'appareil pour terminer la récupération.

  Pour les appareils Windows 10/11 référencés auprès de Microsoft Entra, effectuez les étapes suivantes :

  1. Accédez à Paramètres>Comptes>Accès professionnel ou scolaire.
  2. Sélectionnez le compte, puis Se déconnecter.
  3. Cliquez sur « +Se connecter », puis réinscrivez l’appareil en suivant le processus de connexion.

• Pour Windows 10 ou plus récent et Windows Server 2016 ou supérieur, les tentatives répétées de dissociation et d’association du même appareil peuvent entraîner des entrées en double.
• Chaque utilisateur Windows qui utilise Ajouter un compte professionnel ou scolaire crée un nouvel enregistrement d’appareil avec le même nom d’appareil.
• Pour les versions de système d’exploitation Windows de niveau inférieur des appareils sur site et joints à un domaine Azure Directory, l’inscription automatique crée un nouvel enregistrement d’appareil avec le même nom d’appareil pour chaque utilisateur du domaine qui se connecte à l’appareil.
• Une machine jointe à Microsoft Entra qui est réinitialisée, réinstallée et jointe à nouveau avec le même nom s'affiche en tant que nouvel enregistrement avec le même nom d'appareil.

L’inscription des appareils Windows 10/11 est prise en charge uniquement pour les modules TPM 2.0 compatibles FIPS, mais pas pour les modules TPM 1.2. Si vos appareils sont équipés de TPM 1.2 conformes à la norme FIPS, vous devez le désactiver avant de procéder à la jointure à Microsoft Entra ou à la jointure hybride à Microsoft Entra. Microsoft ne propose aucun outil permettant de désactiver le mode FIPS pour les modules TPM car il dépend du fabricant de ces modules. Pour obtenir de l’aide, contactez votre fabricant OEM.

L'application d'une révocation peut prendre jusqu'à une heure à partir du moment où l'appareil Microsoft Entra est marqué comme désactivé.

Microsoft Entra ID a ajouté la prise en charge de plusieurs comptes Microsoft Entra à partir de Windows 10 version 1803. Toutefois, Windows 10/11 limite le nombre de comptes Microsoft Entra à 3 sur un appareil pour limiter la taille des demandes de jetons et activer l'authentification unique (SSO) fiable. Une fois 3 comptes ajoutés, les utilisateurs voient une erreur pour les comptes suivants. Les informations supplémentaires sur le problème sur l'écran d'erreur fournissent le message suivant indiquant la raison : « L'opération d'ajout de compte est bloquée car la limite du compte est atteinte ».

Les certificats MS-Organization-Access sont émis par le service d'enregistrement des appareils Microsoft Entra pendant le processus d'enregistrement des appareils. Ces certificats sont émis pour tous les types de jointure pris en charge sur Windows : la jointure Microsoft Entra, la jointure Microsoft Entra hybride et les appareils enregistrés sur Microsoft Entra. Une fois les certificats émis, ils sont utilisés dans le cadre du processus d’authentification sur l’appareil pour demander un jeton d’actualisation principal (PRT). Pour ce qui est de la jointure à Microsoft Entra et des périphériques de jointure hybride à Microsoft Entra, le chemin d'accès du certificat est le suivant : Ordinateur local\Personnel\Certificats. Quant aux appareils inscrits sur Microsoft Entra, le chemin d'accès du certificat est le suivant : Utilisateur actuel\Personnel\Certificats. Tous les certificats MS-Organization-Access ont une durée de vie par défaut de 10 ans. Ces certificats sont supprimés du magasin de certificats correspondant lorsque l'appareil n'est plus enregistré auprès de Microsoft Entra ID. Toute suppression involontaire de ce certificat entraîne des échecs d'authentification pour l'utilisateur, et nécessite dans de tels cas un réenregistrement de l'appareil.

Pour les appareils uniquement joints à Microsoft Entra, assurez-vous d'avoir un administrateur local en mode hors connexion de compte ou créez-en un. Vous ne pouvez pas vous connecter avec des informations d'identification utilisateur Microsoft Entra. Ensuite, accédez à Paramètres>Comptes>Accès professionnel ou scolaire. Sélectionnez Se déconnecter dans votre compte. Suivez les invites et fournissez les informations d’identification de l’administrateur local lorsque vous y êtes invité. Redémarrez l’appareil pour terminer le processus de disjonction.

Oui. Windows possède une fonctionnalité de mise en cache du nom d’utilisateur et du mot de passe qui permet aux utilisateurs qui se sont précédemment connectés d’accéder au bureau rapidement, même sans connectivité réseau.

Quand un appareil est supprimé ou désactivé dans Microsoft Entra ID, ce fait n’est pas connu par l’appareil Windows. Par conséquent, les utilisateurs qui se sont précédemment connectés continuent d’avoir accès au bureau avec le nom d’utilisateur et le mot de passe mis en cache. Cependant, comme l’appareil est supprimé ou désactivé, les utilisateurs ne peuvent pas accéder aux ressources protégées par l’accès conditionnel basé sur l’appareil.

Les utilisateurs qui ne se sont pas connectés précédemment ne peuvent pas accéder à l’appareil. La mise en cache du nom d’utilisateur et du mot de passe n’est pas activée pour eux.

Oui, mais uniquement pour une durée limitée. Quand un utilisateur est supprimé ou désactivé dans Microsoft Entra ID, cette action n'est pas connue immédiatement par l'appareil Windows. Par conséquent, les utilisateurs qui se sont précédemment connectés peuvent avoir accès au bureau avec le nom d’utilisateur et le mot de passe mis en cache.

En règle générale, il faut moins de quatre heures à l’appareil pour être au courant de l’état utilisateur. Alors, Windows bloque l’accès de ces utilisateurs au bureau. Quand l'utilisateur est supprimé ou désactivé dans Microsoft Entra ID, tous ses jetons sont révoqués. Par conséquent, il ne peut pas accéder aux ressources.

Les utilisateurs supprimés ou désactivés qui ne se sont pas connectés précédemment ne peuvent pas accéder à un appareil. La mise en cache du nom d’utilisateur et du mot de passe n’est pas activée pour eux.

Non. Actuellement, les utilisateurs invités ne peuvent pas se connecter à un appareil joint à Microsoft Entra.

Les organisations peuvent choisir de déployer l’impression cloud hybride Windows Server avec authentification préalable ou l’impression universelle pour leurs appareils joints à Microsoft Entra.

Reportez-vous à Se connecter à un PC distant joint à Microsoft Entra.

Avez-vous configuré certaines règles d’accès conditionnel pour exiger un état d’appareil spécifique ? Si l’appareil ne répond pas aux critères, les utilisateurs sont bloqués, et ce message s’affiche. Évaluez les règles de la stratégie d’accès conditionnel. Assurez-vous que l’appareil répond aux critères pour éviter le message.

Les raisons les plus courantes sont les suivantes :

• Vos informations d’identification ne sont plus valides.
• Votre ordinateur ne peut pas communiquer avec Microsoft Entra ID. Vérifiez les éventuels problèmes de connectivité réseau.
• Les connexions fédérées nécessitent que votre serveur de fédération prenne en charge des points de terminaison WS-Trust activés et accessibles.
• Vous avez activé l’authentification directe. Par conséquent, votre mot de passe temporaire doit être modifié lors de la connexion.

Actuellement, les appareils joints à Microsoft Entra ne forcent pas les utilisateurs à modifier leur mot de passe sur l'écran de verrouillage. Ainsi, les utilisateurs dont les mots de passe sont temporaires ou ont expiré seront obligés de changer de mot de passe uniquement lorsqu'ils accèdent à une application (qui nécessite un jeton Microsoft Entra) après s'être connectés à Windows.

Cette erreur se produit lorsque vous configurez l’inscription automatique de Microsoft Entra avec Intune sans que la licence appropriée soit attribuée. Assurez-vous que l'utilisateur qui tente de créer la jointure à Microsoft Entra dispose de la licence Intune appropriée. Pour plus d’informations, consultez Configurer l’inscription des appareils Windows.

Une cause possible est que vous vous êtes connecté à l’appareil à l’aide du compte administrateur local intégré. Créez un compte local distinct avant d’utiliser la jonction Microsoft Entra pour terminer la configuration.

L’application P2P Server est inscrite par Microsoft Entra ID pour autoriser les connexions RDP (Remote Desktop Protocol) à tous les appareils Windows à jointure ou à jointure hybride Microsoft Entra dans votre locataire. Cette application crée un certificat à l’échelle du locataire émis par l’autorité de certification de Microsoft Entra. Elle est utilisée pour émettre des certificats d’utilisateur et d’appareil RDP pour la connectivité RDP. Pour vous assurer qu’il s’agit de la bonne application, vous pouvez trouver l’ID d’objet de l’application P2P Server dans Centre d’administration Microsoft Entra>Applications>Applications d’entreprise. Supprimez le filtre par défaut appliqué pour voir toutes les applications. Comparez cet ID d’objet en utilisant l’API Microsoft Graph pour lancer une requête sur les détails avec GET /servicePrincipals/{objectid} et confirmez que la propriété servicePrincipalNames est urn:p2p_cert.

Les certificats MS-Organization-P2P-Access sont émis par Microsoft Entra ID pour les appareils joints à Microsoft Entra et à jointure hybride à Microsoft Entra. Ces certificats sont utilisés pour activer l’approbation entre les appareils dans le même locataire pour les scénarios de bureau à distance. Un certificat est émis pour l’appareil et un autre est émis pour l’utilisateur. Le certificat de l’appareil est présent dans Local Computer\Personal\Certificates et est valide pendant une journée. Ce certificat est renouvelé (par l'émission d'un nouveau certificat) si l'appareil est toujours actif dans Microsoft Entra ID. Le certificat utilisateur n'est pas permanent et est valable une heure. Cependant, il est émis à la demande lorsqu'un utilisateur tente d'établir une session Bureau à distance sur un autre appareil joint à Microsoft Entra ID. En cas d’expiration, il n’est pas renouvelé. Ces deux certificats sont émis à l’aide du certificat MS-Organization-P2P-Access présent dans Local Computer\AAD Token Issuer\Certificates. Ce certificat est émis par Microsoft Entra ID lors de l'inscription de l'appareil.

Il n'est pas possible de désactiver ou de provoquer l'expiration des connexions mises en cache précédentes sur les appareils joints à Microsoft Entra.

Pour les appareils à jointure hybride à Microsoft Entra, veillez à désactiver l'inscription automatique dans Active Directory à l'aide de l'article sur la validation contrôlée. Ainsi, la tâche planifiée n’inscrit pas l’appareil à nouveau. Ensuite, ouvrez une invite de commandes en tant qu’administrateur et saisissez dsregcmd.exe /debug /leave. Ou exécutez cette commande en tant que script sur plusieurs appareils pour les disjoindre en bloc.

Pour obtenir des informations de résolution des problèmes, consultez ces articles :

• Résolution des problèmes liés aux appareils Windows 10 et Windows Server 2016 à jonction hybride Microsoft Entra
• Résolution des problèmes Microsoft Entra appareils hybrides joints de niveau inférieur

Lorsque vos utilisateurs ajoutent leur compte aux applications sur un appareil joint à un domaine, ils peuvent être invités à répondre à la question Ajouter un compte à Windows ? Si l'utilisateur a entré Oui à l'invite, l'appareil est inscrit auprès de Microsoft Entra ID. Le type d'approbation est marqué comme étant inscrit à Microsoft Entra. Une fois que vous avez activé la jointure hybride à Microsoft Entra dans votre organisation, l'appareil obtient également la jointure hybride à Microsoft Entra. Ensuite, deux états s’affichent pour le même appareil.

Dans la plupart des cas, une jointure hybride Microsoft Entra a priorité sur l’état inscrit auprès de Microsoft Entra, de sorte que votre appareil est considéré comme une jointure hybride Microsoft Entra pour toute évaluation d’authentification et d’accès conditionnel. Cependant, ce double état peut parfois entraîner une évaluation non déterministe du périphérique et provoquer des problèmes d'accès. Nous vous recommandons vivement de procéder à une mise à niveau vers Windows 10 versions 1803 et ultérieures qui nous permet de nettoyer automatiquement l'état inscrit sur Microsoft Entra. Découvrez comment éviter ou nettoyer cet état double sur l’ordinateur Windows 10.

Les changements UPN sont pris en charge avec la mise à jour 2004 de Windows 10 et sont également applicables à Windows 11. Les utilisateurs d’appareils comportant cette mise à jour n’auront pas de problèmes après avoir modifié leurs UPN.

Les modifications UPN sur les anciennes versions de Windows 10 ne sont pas entièrement prises en charge avec les appareils connectés hybrides Microsoft Entra. Les utilisateurs peuvent se connecter à l'appareil et accéder à leurs applications locales, mais l'authentification auprès de Microsoft Entra échoue après la modification d'un UPN. C'est la raison pour laquelle les utilisateurs rencontrent des problèmes liés à l'authentification unique et à l'accès conditionnel sur leurs appareils. Vous devez dissocier l'appareil de Microsoft Entra ID (exécuter « dsregcmd/leave » avec des privilèges élevés) et le rejoindre (cela se produit automatiquement) pour résoudre le problème.

Non, sauf en cas de modification du mot de passe. Après qu'une jointure hybride à Microsoft Entra Windows 10/11 hybride a été établie, et que l'utilisateur s'est connecté au moins une fois, l'appareil ne nécessite pas de visibilité du contrôleur de domaine pour accéder aux ressources cloud. Windows 10/11 peut obtenir une authentification unique pour des applications Microsoft Entra en tout lieu avec une connexion Internet, sauf lorsque le mot de passe est modifié. Les utilisateurs qui se connectent avec Windows Hello Entreprise pour obtenir une authentification unique se connectent à des applications Microsoft Entra, même après un changement de mot de passe, même s'ils ne disposent pas d'une visibilité sur leur contrôleur de domaine.

Si un mot de passe est modifié en dehors du réseau d'entreprise (par exemple, à l'aide de Microsoft Entra SSPR), la connexion de l'utilisateur avec le nouveau mot de passe échoue. Pour des appareils à jointure hybride à Microsoft Entra, Active Directory local est l'autorité principale. Lorsqu'un appareil n'a pas de visibilité directe sur un contrôleur de domaine, il ne peut pas valider le nouveau mot de passe. L'utilisateur doit établir une connexion avec le contrôleur de domaine (soit via VPN, soit sur le réseau d'entreprise) avant de pouvoir se connecter à l'appareil avec son nouveau mot de passe. Autrement, il peut uniquement se connecter avec son ancien mot de passe en raison de la fonctionnalité de connexion mise en cache dans Windows. Toutefois, l'ancien mot de passe est invalidé par Microsoft Entra lors des demandes de jetons, et par conséquent, empêche toute authentification unique et fait échouer toute stratégie d'accès conditionnel basée sur appareil jusqu'à ce que l'utilisateur s'authentifie avec son nouveau mot de passe dans une application ou un navigateur. Ce problème ne se produit pas si vous utilisez des appareils joints à Microsoft Entra.

• Pour les appareils Microsoft Entra inscrits sur Windows 10/11, accédez à Paramètres>Comptes>Accès professionnel ou scolaire. Sélectionnez Se déconnecter dans votre compte. L’inscription de l’appareil se fait par profil utilisateur sur Windows 10/11.
• Pour iOS et Android, vous pouvez utiliser l’application Microsoft Authenticator et aller dans Paramètres>Inscription de l’appareil et sélectionnez Désinscrire l’appareil.
• Pour macOS, vous pouvez utiliser l’application Portail d’entreprise Microsoft Intune pour annuler l’inscription de l’appareil à partir de la gestion et supprimer toute inscription.

Pour Windows 10 version 2004 et versions antérieures, ce processus peut être automatisé avec l'outil de suppression Workplace Join (WPJ).

Activez le registre suivant pour empêcher vos utilisateurs d'ajouter d'autres comptes professionnels à vos appareils Windows 10/11 avec jonction de domaine d'entreprise, avec jointure à Microsoft Entra ou avec jointure hybride à Microsoft Entra. Cette stratégie peut également être utilisée pour empêcher les ordinateurs joints à un domaine d'être inscrits par inadvertance sur Microsoft Entra avec le même compte d'utilisateur.

HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001

Contenu connexe

• Outil de recherche d’erreurs Microsoft