Configurer une jonction Azure AD hybride

En intégrant vos appareils à Azure AD, vous optimisez la productivité des utilisateurs via SSO (authentification unique) parmi vos ressources cloud et locales. En parallèle, vous pouvez sécuriser l’accès à vos ressources à l’aide de l’accès conditionnel.

Prérequis

  • Azure AD Connect version 1.1.819.0 ou ultérieure.
    • N’excluez pas les attributs d’appareil par défaut de la configuration de synchronisation de votre instance Azure AD Connect. Pour en savoir plus sur les attributs d’appareil par défaut synchronisés avec Azure AD, consultez Attributs synchronisés par Azure AD Connect.
    • Si les objets informatiques des appareils pour lesquels vous voulez effectuer une jonction Azure AD hybride appartiennent à des unités d’organisation (OU) spécifiques, configurez les bonnes OU à synchroniser dans Azure AD Connect. Pour en savoir plus sur la synchronisation des objets ordinateur à l’aide d’Azure AD Connect, consultez Filtrage basé sur une unité d’organisation.
  • Les informations d’identification d’Administrateur général pour votre locataire Azure AD.
  • Les informations d’identification de l’administrateur d’entreprise pour chacune des forêts Active Directory Domain Services locales.
  • (Pour les domaines fédérés) Au moins Windows Server 2012 R2 avec les services de fédération Active Directory (AD FS) installés.
  • Les utilisateurs peuvent inscrire leurs appareils sur Azure AD. Pour plus d’informations sur ce paramètre, consultez la section Configurer les paramètres de l’appareil dans l’article Configurer les paramètres de l’appareil.

Les exigences de connectivité réseau

Pour permettre le bon fonctionnement de la jonction Azure AD Hybride, les appareils doivent avoir accès aux ressources Microsoft suivantes sur le réseau de votre organisation :

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (si vous utilisez ou prévoyez d’utiliser l’authentification unique fluide)
  • Le service d’émission de jeton de sécurité (STS, security token service) de votre organisation (pour les domaines fédérés)

Avertissement

Si votre organisation utilise des serveurs proxy qui interceptent le trafic SSL dans les scénarios de protection contre la perte de données ou de restriction de locataire Azure AD, vérifiez que le trafic vers https://device.login.microsoftonline.com est exclu des opérations d’interruption et d’inspection TLS. Si cette URL n’est pas exclue, cela peut entraîner des interférences avec l’authentification par certificat client ainsi que des problèmes d’inscription d’appareil et d’accès conditionnel en fonction de l’appareil.

Si votre organisation nécessite un accès à Internet via un proxy sortant, vous pouvez utiliser le protocole WPAD (Web Proxy Auto-Discovery) pour activer l’inscription des appareils auprès d’Azure AD pour les ordinateurs Windows 10 ou version ultérieure. Pour résoudre des problèmes de configuration et de gestion du protocole WPAD, consultez Résolution des problèmes liés à la détection automatique.

Si vous n’utilisez pas le protocole WPAD, vous pouvez configurer des paramètres de proxy WinHTTP sur votre ordinateur avec un objet de stratégie de groupe à partir de la build 1709 de Windows 10. Pour plus d’informations, consultez WinHTTP Proxy Settings deployed by GPO.

Notes

Si vous configurez les paramètres du proxy sur votre ordinateur à l’aide des paramètres WinHTTP, les ordinateurs qui ne peuvent pas se connecter au proxy configuré ne pourront pas non plus se connecter à Internet.

Si votre organisation nécessite un accès à Internet via un proxy sortant authentifié, vérifiez que vos ordinateurs Windows 10 ou version ultérieure parviennent à s’authentifier correctement auprès du proxy sortant. Dans la mesure où les ordinateurs Windows 10 ou version ultérieure effectuent l’inscription de l’appareil en fonction du contexte de la machine, configurez l’authentification du proxy sortant selon le contexte de la machine. Poursuivez avec la configuration requise pour votre fournisseur de proxy sortant.

Vérifiez que l’appareil peut accéder aux ressources Microsoft requises sous le compte système en utilisant le script Tester la connectivité d’inscription d’appareil.

les domaines managés ;

Nous pensons que la plupart des organisations déploieront une jonction Azure AD hybride avec des domaines managés. Les domaines managés utilisent la synchronisation de hachage de mot de passe (PHS) ou l’authentification directe (PTA, pass-through authentication) avec l’authentification unique transparente. Les scénarios de domaine managé ne demandent pas de configurer de serveur de fédération.

Configurez la jonction Azure AD hybride en utilisant Azure AD Connect pour un domaine managé :

  1. Démarrez Azure AD Connect, puis sélectionnez Configurer.

  2. Dans Tâches supplémentaires, sélectionnez Configurer les options de l’appareil, puis Suivant.

  3. Dans Vue d’ensemble, sélectionnez Suivant.

  4. Dans Connexion à Azure AD, entrez les informations d’identification d’un Administrateur général pour votre locataire Azure AD.

  5. Dans Options de l’appareil, sélectionnez Configurer joindre Hybrid Azure AD, puis Suivant.

  6. Dans Systèmes d’exploitation de l’appareil, sélectionnez les systèmes d’exploitation utilisés par les appareils dans votre environnement Active Directory, puis sélectionnez Suivant.

  7. Dans Configuration du SCP, pour chaque forêt où vous souhaitez qu’Azure AD Connect configure le SCP (point de connexion de service), suivez les étapes ci-dessous, puis sélectionnez Suivant.

    1. Sélectionnez la forêt.
    2. Sélectionnez un service d’authentification.
    3. Sélectionnez Ajouter pour entrer les informations d’identification de l’administrateur d’entreprise.

    Domaine managé de configuration SCP Azure AD Connect

  8. Dans Prêt pour la configuration, sélectionnez Configurer.

  9. Dans Configuration terminée, sélectionnez Quitter.

les domaines fédérés.

Un environnement fédéré doit disposer d’un fournisseur d’identité qui prend en charge les exigences suivantes : Si vous disposez d’un environnement fédéré utilisant les services de fédération Active Directory (AD FS), les exigences ci-dessous sont déjà prises en charge.

  • Revendication WIAORMULTIAUTHN : Cette revendication est nécessaire à des fins de jonction Azure AD Hybride pour les appareils Windows de bas niveau.
  • Protocole WS-Trust : Ce protocole est nécessaire pour authentifier auprès d’Azure AD les appareils Windows actuels ayant fait l’objet d’une jonction Azure AD Hybride. Lorsque vous utilisez AD FS, vous devez activer les points de terminaison WS-Trust suivants :
    • /adfs/services/trust/2005/windowstransport
    • /adfs/services/trust/13/windowstransport
    • /adfs/services/trust/2005/usernamemixed
    • /adfs/services/trust/13/usernamemixed
    • /adfs/services/trust/2005/certificatemixed
    • /adfs/services/trust/13/certificatemixed

Avertissement

adfs/services/trust/2005/windowstransport et adfs/services/trust/13/windowstransport doivent tous les deux être activés en tant que points de terminaison uniquement accessibles sur intranet et ils NE doivent PAS être exposés comme points de terminaison accessibles sur extranet via le proxy d’application web. Pour en savoir plus sur la désactivation des points de terminaison Windows WS-Trust, consultez Désactiver les points de terminaison Windows WS-Trust sur le proxy. Vous pouvez visualiser les points de terminaison qui sont activés par le biais de la console de gestion AD FS sous ServicePoints de terminaison.

Configurez la jonction Azure AD hybride en utilisant Azure AD Connect pour un environnement fédéré :

  1. Démarrez Azure AD Connect, puis sélectionnez Configurer.

  2. Sur la page Tâches supplémentaires, sélectionnez Configurer les options de l’appareil, puis Suivant.

  3. Sur la page Vue d’ensemble, sélectionnez Suivant.

  4. Dans la page Connexion à Azure AD, entrez les informations d’identification d’un Administrateur général pour votre locataire Azure AD, puis sélectionnez Suivant.

  5. Dans la page Options de l’appareil, sélectionnez Configurer la jonction Azure AD Hybride, puis Suivant.

  6. Dans la page SCP, effectuez les étapes suivantes, puis sélectionnez Suivant :

    1. Sélectionnez la forêt.
    2. Sélectionnez le service d’authentification. Vous devez sélectionner Serveur AD FS, sauf si votre organisation a exclusivement des clients Windows 10 ou ultérieur et si vous avez configuré la synchronisation d’ordinateur/appareil, ou si votre organisation utilise l’authentification unique fluide.
    3. Sélectionnez Ajouter pour entrer les informations d’identification de l’administrateur d’entreprise.

    Domaine fédéré de configuration SCP Azure AD Connect

  7. Dans la page Systèmes d’exploitation des appareils, sélectionnez les systèmes d’exploitation utilisés par les appareils dans votre environnement Active Directory, puis sélectionnez Suivant.

  8. Sur la page Configuration de la fédération, entrez les informations d’identification de votre administrateur AD FS, puis sélectionnez Suivant.

  9. Sur la page Prêt à configurer, sélectionnez Configurer.

  10. Sur la page Configuration effectuée, sélectionnez Quitter.

Avertissements concernant la fédération

Dans Windows 10 1803 ou ultérieur, si la jonction Azure AD hybride instantanée pour un environnement fédéré utilisant AD FS échoue, nous utilisons Azure AD Connect afin de synchroniser l’objet ordinateur dans Azure AD, qui est alors utilisé pour effectuer l’inscription de l’appareil à une jonction Azure AD hybride.

Autres scénarios

Les organisations peuvent tester la jonction Azure AD hybride sur une partie de leur environnement avant le déploiement complet. Vous trouverez les étapes pour effectuer un déploiement ciblé dans l’article Déploiement ciblé de la jonction Azure AD hybride. Les organisations doivent inclure un échantillon d’utilisateurs de rôles et de profils différents dans ce groupe pilote. Un déploiement ciblé permettra d’identifier les problèmes que votre plan n’aura peut-être pas résolus avant d’étendre le déploiement à l’ensemble de l’organisation.

Certaines organisations risquent de ne pas pouvoir utiliser Azure AD Connect pour configurer AD FS. Vous trouverez les étapes permettant de configurer les revendications manuellement dans l’article Configurer la jonction Azure Active Directory hybride manuellement.

Cloud Secteur public

Pour les organisations dans Azure Government, la jonction Azure AD hybride demande que les appareils disposent d’un accès aux ressources Microsoft suivantes sur le réseau de votre organisation :

  • https://enterpriseregistration.microsoftonline.us
  • https://login.microsoftonline.us
  • https://device.login.microsoftonline.us
  • https://autologon.microsoft.us (si vous utilisez ou prévoyez d’utiliser l’authentification unique fluide)

Résoudre les problèmes de jonction Azure AD hybride

Si vous rencontrez des problèmes durant l’exécution d’une jonction Azure AD Hybride pour des appareils Windows appartenant à un domaine, consultez :

Étapes suivantes