Planifiez la mise en œuvre de votre jointure hybride Microsoft Entra
Si vous avez un environnement Active Directory Domain Services (AD DS) local et que vous souhaitez joindre vos ordinateurs joints au domaine AD DS à Microsoft Entra ID, vous pouvez le faire en effectuant une jointure hybride Microsoft Entra.
Conseil
L’accès par authentification unique aux ressources locales est également disponible pour les appareils joints à Microsoft Entra. Pour plus d’informations, consultez Fonctionnement de l’authentification unique auprès de ressources locales sur des appareils joints à Microsoft Entra.
Prérequis
Cet article suppose que vous connaissez la Présentation de la gestion des identités d’appareils dans Microsoft Entra ID.
Remarque
La version minimale de contrôleur de domaine nécessaire pour une jointure hybride Microsoft Entra Windows 10 ou version ultérieure est Windows Server 2008 R2.
Les appareils joints hybrides Microsoft Entra doivent avoir périodiquement une ligne de vue réseau vers vos contrôleurs de domaine. Sans cette connexion, les appareils deviennent inutilisables.
Les scénarios sans visibilité directe vers vos contrôleurs de domaine comprennent :
- Changement de mot de passe de l’appareil
- Changement de mot de passe utilisateur (informations d’identification mises en cache)
- Réinitialisation du Module de plateforme sécurisée (TPM)
Planifier l’implémentation
Si vous souhaitez planifier votre implémentation hybride à Microsoft Entra, familiarisez-vous avec les éléments suivants :
- Vérifier les appareils pris en charge
- Connaître les points à savoir
- Passer en revue un déploiement ciblé de jointure hybride Microsoft Entra
- Sélectionner votre scénario en fonction de votre infrastructure d’identité
- Passer en revue la prise en charge locale du nom d’utilisateur principal (UPN) Microsoft Windows Server Active Directory pour la jointure hybride Microsoft Entra
Vérifier les appareils pris en charge
La jonction hybride à Microsoft Entra prend en charge un large éventail d’appareils Windows.
- Windows 11
- Windows 10
- Windows Server 2016
- Remarque : Les clients Cloud national Azure doivent avoir la version 1803
- Windows Server 2019
En tant que meilleure pratique, Microsoft recommande d’effectuer une mise à niveau vers la dernière version de Windows.
Connaître les points à savoir
Scénarios non pris en charge
- La jointure hybride Microsoft Entra n’est pas prise en charge pour Windows Server exécutant le rôle Contrôleur de domaine (DC).
- Le système d’exploitation Server Core ne prend en charge aucun type d’inscription d’appareil.
- L’outil de migration de l’état utilisateur (USMT) ne fonctionne pas avec l’inscription de l’appareil.
Considérations relatives aux images de système d’exploitation
Si vous comptez sur l’outil de préparation du système (Sysprep), et si vous utilisez une image antérieure à Windows 10 1809 pour l’installation, vérifiez que cette image ne provient pas d’un appareil déjà inscrit auprès de Microsoft Entra ID en tant qu’appareil joint hybride Microsoft Entra.
Si vous comptez sur un instantané de machine virtuelle pour créer d’autres machines virtuelles, vérifiez qu’il ne provient pas d’une machine virtuelle déjà inscrite auprès de Microsoft Entra ID en tant que machine virtuelle jointe hybride Microsoft Entra.
Si vous utilisez le Filtre d’écriture unifié et des technologies similaires qui effacent les modifications apportées au disque au moment du redémarrage, vous devez les appliquer une fois que l’appareil est joint via une jointure hybride Microsoft Entra. L’activation de ces technologies avant l’achèvement de la jointure hybride Microsoft Entra entraîne l’annulation de la jointure de l’appareil à chaque redémarrage.
Gestion des appareils avec un état inscrit auprès de Microsoft Entra
Si vos appareils Windows 10 ou version ultérieure joints à un domaine sont inscrits à Microsoft Entra dans votre tenant, il est possible que cela entraîne un double état d’appareil inscrit auprès de Microsoft Entra et d’appareil joint hybride Microsoft Entra. Nous vous recommandons de procéder à une mise à niveau vers Windows 10 1803 (avec KB4489894 appliqué) ou ultérieur pour corriger automatiquement ce scénario. Dans les versions antérieures à 1803, vous devez supprimer manuellement l’état enregistré de Microsoft Entra avant d’activer la jointure hybride Microsoft Entra. Dans les versions 1803 et ultérieures, les modifications suivantes ont été apportées pour éviter ce double état :
- Tout état inscrit auprès de Microsoft Entra existant pour un utilisateur est automatiquement supprimé dès lors que l’appareil a une jointure hybride à Microsoft Entra et que le même utilisateur se connecte. Par exemple, si l’utilisateur A a un état inscrit auprès de Microsoft Entra sur l’appareil, le double état de l’utilisateur A est nettoyé uniquement lorsque l’utilisateur A se connecte à l’appareil. Si plusieurs utilisateurs se trouvent sur le même appareil, le double état est nettoyé individuellement lorsque ces utilisateurs se connectent. Lorsqu’un administrateur supprime l’état d’enregistrement de Microsoft Entra, Windows 10 désinscrit l’appareil d’Intune ou d’une autre solution de gestion des périphériques mobiles (GPM), si l’inscription a eu lieu dans le cadre de l’inscription de Microsoft Entra via une inscription automatique.
- L’état inscrit auprès de Microsoft Entra sur tous les comptes locaux de l’appareil n’est pas affecté par cette modification. Il est uniquement applicable aux comptes de domaine. L’état inscrit auprès de Microsoft Entra sur les comptes locaux n’est pas supprimé automatiquement, même après l’ouverture de session de l’utilisateur, car l’utilisateur n’est pas un utilisateur de domaine.
- Vous pouvez éviter que votre appareil joint au domaine soit inscrit à Microsoft Entra en ajoutant la valeur de registre suivante à HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
- Dans Windows 10 1803, si vous aviez configuré Windows Hello Entreprise, l’utilisateur devra le reconfigurer après le nettoyage du double état. Ce problème est corrigé par la KB4512509.
Remarque
Bien que Windows 10 et Windows 11 suppriment automatiquement l’état inscrit auprès de Microsoft Entra localement, l’objet de l’appareil dans Microsoft Entra ID n’est pas supprimé immédiatement s’il est managé par Intune. Vous pouvez valider la suppression de l’état inscrit auprès de Microsoft Entra en exécutant « dsregcmd /status » et considérer l’appareil comme n’étant plus inscrit auprès de Microsoft Entra.
Jointure hybride Microsoft Entra pour une forêt unique, plusieurs tenants Microsoft Entra
Pour inscrire des appareils en tant que jointure hybride Microsoft Entra auprès des tenants respectifs, les organisations doivent vérifier que la configuration des points de connexion de service (SCP) est effectuée sur les appareils et pas dans Microsoft Windows Server Active Directory. Si vous souhaitez obtenir plus d’informations sur l’accomplissement de cette tâche, consultez l’article Déploiement ciblé de jointure hybride Microsoft Entra. Il est important que les entreprises comprennent que certaines fonctionnalités de Microsoft Entra ne fonctionnent pas dans une configuration à forêt unique et à locataires multiples de Microsoft Entra.
- La réécriture d’appareil ne fonctionne pas. Cette configuration affecte l’accès conditionnel basé sur les appareils au niveau des applications locales fédérées avec AD FS. Cette configuration impacte aussi le déploiement de Windows Hello Entreprise avec le modèle d’approbation de certificat hybride.
- La réécriture de groupes ne fonctionne pas. Cette configuration impacte la réécriture des groupes Office 365 dans une forêt avec Exchange installé.
- L’authentification unique fluide ne fonctionne pas. Cette configuration affecte les scénarios d’authentification unique dans les organisations utilisant des plateformes de navigateur telles que iOS ou Linux avec Firefox, Safari ou Chrome sans l’extension Windows 10.
- La protection de mot de passe Microsoft Entra locale ne fonctionne pas. Cette configuration affecte la possibilité de modifier ou de réinitialiser les mots de passe sur les contrôleurs de domaine AD DS (Active Directory Domain Services) locaux en utilisant les mêmes listes de mots de passe interdits globaux et personnalisés qui sont stockées dans Microsoft Entra ID.
Autres considérations
Si votre environnement utilise l’infrastructure VDI (Virtual Desktop Infrastructure), consultez Identité d’appareil et la virtualisation des services de Bureau.
La jointure hybride Microsoft Entra est prise en charge pour TPM 2.0 conforme aux normes FIPS (Federal Information Processing Standard), mais pas pour TPM 1.2. Si vos appareils sont dotés de modules TPM 1.2 conformes à FIPS, vous devez les désactiver avant de procéder à une jointure hybride Microsoft Entra. Microsoft ne propose aucun outil permettant de désactiver le mode FIPS pour les modules TPM car il dépend du fabricant de ces modules. Pour obtenir de l’aide, contactez votre fabricant OEM.
À partir de la version 1903 de Windows 10, les TPM 1.2 ne sont pas utilisés avec la jointure hybride Microsoft Entra et les appareils équipés de ces TPM sont considérés comme s’ils n’avaient pas de TPM.
Les modifications d’UPN ne sont prises en charge qu’à partir de la mise à jour Windows 10 2004. Pour les appareils antérieurs à la mise à jour Windows 10 2004, les utilisateurs peuvent rencontrent des problèmes liés à l’authentification unique et à l’accès conditionnel sur leurs appareils. Pour résoudre ce problème, vous devez déconnecter l’appareil de Microsoft Entra ID (exécutez « dsregcmd /leave » avec des privilèges élevés) et le reconnecter (ce qui s’effectue automatiquement). Cela étant, les utilisateurs qui se connectent avec Windows Hello Entreprise ne rencontrent pas ce problème.
Passer en revue une jointure hybride Microsoft Entra ciblée
Les organisations peuvent souhaiter procéder à un déploiement ciblé d’une jointure hybride Microsoft Entra avant de l’activer pour l’ensemble de leur organisation. Consultez l’article Déploiement ciblé de jointure hybride Microsoft Entra pour comprendre comment le mettre en œuvre.
Avertissement
Les organisations doivent inclure un échantillon d’utilisateurs de rôles et de profils différents dans leur groupe pilote. Un déploiement ciblé permettra d’identifier les problèmes que votre plan n’a peut-être pas résolus avant d’étendre le déploiement à l’ensemble de l’organisation.
Sélectionner votre scénario en fonction de votre infrastructure d’identité
La jointure hybride Microsoft Entra fonctionne avec les environnements managés et fédérés, selon que l’UPN est routable ou non. Consultez le bas de la page pour voir un tableau des scénarios pris en charge.
Environnement géré
Un environnement managé peut être déployé via la synchronisation de hachage de mot de passe (PHS) ou l’authentification directe (PTA) avec l’authentification unique fluide.
Ces scénarios ne nécessitent pas la configuration d’un serveur de fédération pour l’authentification (AuthN).
Remarque
L’authentification cloud en utilisant un déploiement par étapes est uniquement prise en charge après avoir effectué la mise à jour de Windows 10 1903.
Environnement fédéré
Un environnement fédéré doit disposer d’un fournisseur d’identité qui prend en charge les exigences suivantes : Si vous disposez d’un environnement fédéré utilisant les services de fédération Active Directory (AD FS), les exigences ci-dessous sont déjà prises en charge.
Protocole WS-Trust : ce protocole est nécessaire pour authentifier les appareils joints hybrides Microsoft Entra actuels de Windows avec Microsoft Entra ID. Lorsque vous utilisez AD FS, vous devez activer les points de terminaison WS-Trust suivants :
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Avertissement
adfs/services/trust/2005/windowstransport ou adfs/services/trust/13/windowstransport doivent tous les deux être activés en tant que points de terminaison uniquement accessibles sur intranet ; ils NE doivent PAS être exposés comme points de terminaison extranet via le proxy d’application web. Pour en savoir plus sur la désactivation des points de terminaison Windows WS-Trust, consultez Désactiver les points de terminaison Windows WS-Trust sur le proxy. Vous pouvez visualiser les points de terminaison qui sont activés par le biais de la console de gestion AD FS sous Service>Points de terminaison.
À compter de la version 1.1.819.0, Microsoft Entra Connect vous fournit un Assistant pour configurer une jointure hybride Microsoft Entra. Il simplifie considérablement le processus de configuration. Si vous n’avez pas la possibilité d’installer la version demandée de Microsoft Entra Connect, consultez le guide pratique pour configurer manuellement l’inscription des appareils. Si contoso.com est inscrit en tant que domaine personnalisé confirmé, les utilisateurs peuvent obtenir un PRT même si leur suffixe UPN AD DS local synchronisé se trouve dans un sous-domaine comme test.contoso.com.
Passer en revue la prise en charge locale des UPN des utilisateurs Microsoft Windows Server Active Directory pour la jointure hybride Microsoft Entra
Parfois, les UPN des utilisateurs Microsoft Windows Server Active Directory locaux sont différents de vos UPN Microsoft Entra. Dans ces situations, la jointure hybride Microsoft Entra sur Windows 10 ou version ultérieure offre une prise en charge limitée des UPN Microsoft Windows Server Active Directory locaux, qui peut varier selon la méthode d’authentification, le type de domaine et la version de Windows. Deux types d’UPN Microsoft Windows Server Active Directory locaux peuvent exister dans votre environnement :
- UPN des utilisateurs routables : un UPN routable possède un domaine vérifié valide, qui est inscrit auprès d’un bureau d’enregistrement de domaines. Par exemple, si contoso.com est le domaine principal dans Microsoft Entra ID, contoso.org est le domaine principal dans Microsoft Windows Server Active Directory au niveau local appartenant à Contoso et est vérifié dans Microsoft Entra ID.
- UPN des utilisateurs non routables : un UPN non routable n’a pas de domaine vérifié et s’applique uniquement au réseau privé de votre organisation. Par exemple, si contoso.com est le domaine principal dans Microsoft Entra ID et contoso.local est le domaine principal dans Microsoft Windows Server Active Directory au niveau local, mais n’est pas un domaine vérifiable sur Internet et n’est utilisé qu’à l’intérieur du réseau de Contoso.
Remarque
Les informations contenues dans cette section s’appliquent uniquement aux UPN utilisateur locaux. Elles ne s’appliquent pas au suffixe de domaine d’ordinateur local (par exemple : ordinateur1.contoso.local).
Le tableau suivant fournit des informations sur la prise en charge de ces UPN Microsoft Windows Server Active Directory locaux dans la jointure hybride Microsoft Entra sur Windows 10 :
| Type d’UPN Microsoft Windows Server Active Directory local | Type de domaine | version Windows 10 | Description |
|---|---|---|---|
| Routable | Adresses IP fédérées | À partir de la version 1703 | Mise à la disposition générale |
| Non routable | Adresses IP fédérées | À partir de la version 1803 | Mise à la disposition générale |
| Routable | Adresses IP gérées | À partir de la version 1803 | Le plus souvent disponible, la réinitialisation de mot de passe en libre-service (SSPR) Microsoft Entra sur l’écran de verrouillage Windows n’est pas pris en charge dans les environnements où l’UPN local est différent de l’UPN Microsoft Entra. L’UPN local doit être synchronisé avec l’attribut onPremisesUserPrincipalName dans Microsoft Entra ID |
| Non routable | Adresses IP gérées | Non pris en charge |