Planifier l’implémentation de la jonction Azure AD Hybride

Si vous avez un environnement Active Directory Domain Services (AD DS) local et que vous souhaitez joindre vos ordinateurs joints au domaine AD DS à Azure AD, vous pouvez le faire en effectuant une jonction Azure AD hybride.

Conseil

L’accès par authentification unique aux ressources locales est également disponible pour les appareils joints à Azure AD. Pour plus d’informations, consultez Fonctionnement de l’authentification unique auprès de ressources locales sur des appareils joints à Azure AD.

Prérequis

Cet article suppose que vous avez lu la Présentation de la gestion des identités des appareils dans Azure Active Directory.

Notes

La version de contrôleur de domaine minimale requise pour une jonction Azure AD Hybride Windows 10 ou version ultérieure est Windows Server 2008 R2.

Les appareils à jointure hybride Azure AD doivent avoir périodiquement une visibilité réseau directe vers vos contrôleurs de domaine. Sans cette connexion, les appareils deviennent inutilisables.

Scénarios sans visibilité directe vers vos contrôleurs de domaine :

  • Changement de mot de passe de l’appareil
  • Changement de mot de passe utilisateur (informations d’identification mises en cache)
  • Réinitialisation du module de plateforme sécurisée

Planifier l’implémentation

Pour planifier votre implémentation Azure AD hybride, prenez connaissance de ces étapes :

  • Vérifier les appareils pris en charge
  • Connaître les points à savoir
  • Examiner le déploiement ciblé de la jonction Azure AD hybride
  • Sélectionner votre scénario en fonction de votre infrastructure d’identité
  • Vérifier la prise en charge d’un UPN AD local pour la jonction Azure AD Hybride

Vérifier les appareils pris en charge

La jointure Azure AD hybride prend en charge un large éventail d’appareils Windows. Dans la mesure où la configuration des appareils exécutés sur des versions antérieures de Windows implique des étapes supplémentaires ou différentes, les appareils pris en charge sont divisés en deux catégories :

Appareils Windows actuels

  • Windows 11
  • Windows 10
  • Windows Server 2016
    • Remarque : Les clients Cloud national Azure doivent avoir la version 1803
  • Windows Server 2019

Pour les appareils exécutant le système d’exploitation Windows, les versions prises en charge sont listées dans l’article Informations sur les versions Windows 10. En tant que meilleure pratique, Microsoft recommande d’effectuer une mise à niveau vers la dernière version de Windows.

Appareils Windows de bas niveau

La première étape de la planification consiste à examiner l’environnement et à déterminer s’il est nécessaire de prendre en charge les appareils Windows de bas niveau.

Connaître les points à savoir

Scénarios non pris en charge

  • La jonction Azure AD hybride n’est pas prise en charge pour Windows Server avec le rôle Contrôleur de domaine.
  • La jonction Azure AD hybride n’est pas prise en charge sur les appareils Windows de bas niveau lors de l’utilisation de l’itinérance des informations d’identification, de l’itinérance du profil utilisateur ou du profil obligatoire.
  • Le système d’exploitation Server Core ne prend en charge aucun type d’inscription d’appareil.
  • L’outil de migration de l’état utilisateur (USMT) ne fonctionne pas avec l’inscription de l’appareil.

Considérations relatives aux images de système d’exploitation

  • Si vous comptez sur l’outil de préparation système (Sysprep) et utilisez une image pré-Windows 10 1809 pour l’installation, vérifiez que cette image ne provient pas d’un appareil déjà inscrit à Azure AD via la jonction Azure AD hybride.

  • Si vous utilisez une capture instantanée de machine virtuelle pour créer d’autres machines virtuelles, vérifiez qu’elle ne provient pas d’une machine virtuelle déjà inscrite à Azure AD via la jonction Azure AD hybride.

  • Si vous utilisez Filtre d’écriture unifié et des technologies similaires qui effacent les modifications apportées au disque au redémarrage, vous devez les appliquer une fois que l’appareil est joint via la jonction Azure AD hybride. L’activation de ces technologies avant la jonction Azure AD hybride entraîne la disjonction de l’appareil à chaque redémarrage.

Gestion des appareils avec l’état inscrit auprès d’Azure AD

Si vos appareils Windows 10 ou version ultérieure joints à un domaine sont inscrits auprès d’Azure AD sur votre locataire, cela peut entraîner un double état : appareil joint par jointure hybride Azure AD et appareil inscrit sur Azure AD. Nous vous recommandons de procéder à une mise à niveau vers Windows 10 1803 (avec KB4489894 appliqué) ou ultérieur pour corriger automatiquement ce scénario. Dans les versions antérieures à 1803, vous devrez supprimer manuellement l’état « appareil inscrit à Azure AD » avant d’activer la jonction Azure AD hybride. Dans les versions 1803 et ultérieures, les modifications suivantes ont été apportées pour éviter ce double état :

  • Si l’état existant de l’utilisateur est Inscrit auprès d’Azure AD, il est automatiquement supprimé dès que l’appareil est joint via la jonction Azure AD hybride et que ce même utilisateur se connecte. Par exemple, si l’utilisateur A a un état Azure AD inscrit sur l’appareil, le double état de l’utilisateur A est nettoyé uniquement lorsque l’utilisateur A se connecte à l’appareil. S’il y a plusieurs utilisateurs sur le même appareil, le double état est nettoyé individuellement quand ces utilisateurs se connectent. Après avoir supprimé l’état Inscrit auprès d’Azure AD, Windows 10 désinscrit l’appareil d’Intune ou autre gestion MDM, si l’inscription a eu lieu dans le cadre de l’inscription auprès d’Azure AD via une inscription automatique.
  • L’état Inscrit auprès d’Azure AD sur tous les comptes locaux de l’appareil n’est pas affecté par cette modification. Il est uniquement applicable aux comptes de domaine. L’état Inscrit auprès d’Azure AD sur les comptes locaux n’est pas supprimé automatiquement, même après l’ouverture de session de l’utilisateur, car l’utilisateur n’est pas un utilisateur de domaine.
  • Vous pouvez éviter que votre appareil joint au domaine soit inscrit à Azure AD en ajoutant la valeur de registre suivante à HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
  • Dans Windows 10 1803, si vous aviez configuré Windows Hello Entreprise, l’utilisateur devra le reconfigurer après le nettoyage du double état. Ce problème a été résolu dans KB4512509.

Notes

Bien que Windows 10 et Windows 11 suppriment automatiquement l’état inscrit auprès d’Azure AD localement, l’objet de l’appareil dans Azure AD n’est pas supprimé immédiatement s’il est géré par Intune. Vous pouvez valider la suppression de l’état inscrit auprès d’Azure AD en exécutant « dsregcmd /status » et considérer l’appareil comme n’étant plus inscrit auprès d’Azure AD.

Jonction Azure AD Hybride pour une seule forêt avec plusieurs locataires Azure AD

Pour inscrire des appareils en tant que jonction Azure AD Hybride auprès des locataires respectifs, les organisations doivent configurer le SCP sur les appareils et pas dans AD. Pour plus d’informations sur l’accomplissement de cette tâche, consultez l’article Déploiement ciblé de la jonction Azure AD hybride. Il est important que les organisations sachent que certaines fonctionnalités Azure AD ne marchent pas dans les configurations à une seule forêt et plusieurs locataires Azure AD.

Autres considérations

  • Si votre environnement utilise l’infrastructure VDI (Virtual Desktop Infrastructure), consultez Identité d’appareil et la virtualisation des services de Bureau.

  • La jonction Azure AD Hybride est prise en charge pour les modules TPM 2.0 compatibles FIPS, mais pas pour les modules TPM 1.2. Si vos appareils ont des modules TPM 1.2 compatible FIPS, vous devez les désactiver avant de continuer avec la jonction Azure AD hybride. Microsoft ne propose aucun outil permettant de désactiver le mode FIPS pour les modules TPM car il dépend du fabricant de ces modules. Pour obtenir de l’aide, contactez votre fabricant OEM.

  • À compter de la version Windows 10 1903, les modules TPM 1.2 ne sont pas utilisés avec la jonctions Azure AD hybride, et les appareils avec ces TPM sont considérés comme s’ils n’en avaient pas.

  • Les modifications d’UPN ne sont prises en charge qu’à partir de la mise à jour Windows 10 2004. Pour les appareils antérieurs à la mise à jour Windows 10 2004, les utilisateurs peuvent rencontrent des problèmes liés à l’authentification unique et à l’accès conditionnel sur leurs appareils. Pour résoudre ce problème, vous devez déconnecter l’appareil d’Azure AD (exécutez « dsregcmd /leave » avec des privilèges élevés) et le reconnecter (ce qui s’effectue automatiquement). Cela étant, les utilisateurs qui se connectent avec Windows Hello Entreprise ne rencontrent pas ce problème.

Passer en revue le déploiement ciblé de la jonction Azure AD hybride

Les organisations peuvent vouloir effectuer un déploiement ciblé de la jonction Azure AD hybride avant de l’activer partout. Consultez l’article Déploiement ciblé de la jonction Azure AD hybride pour comprendre comment le mettre en œuvre.

Avertissement

Les organisations doivent inclure un échantillon d’utilisateurs de rôles et de profils différents dans leur groupe pilote. Un déploiement ciblé permettra d’identifier les problèmes que votre plan n’aura peut-être pas résolus avant d’étendre le déploiement à l’ensemble de l’organisation.

Sélectionner votre scénario en fonction de votre infrastructure d’identité

La jointure Azure AD Hybride fonctionne avec les environnements managés et fédérés, selon que l’UPN est routable ou non routable. Consultez le bas de la page pour voir un tableau des scénarios pris en charge.

Environnement géré

Un environnement managé peut être déployé par le biais de la synchronisation de hachage de mot de passe (PHS) ou de l’authentification directe (PTA) avec l’authentification unique fluide.

Ces scénarios ne nécessitent pas la configuration d’un serveur de fédération pour l’authentification.

Notes

L’authentification cloud en utilisant un déploiement par étapes est uniquement prise en charge après avoir effectué la mise à jour de Windows 10 1903.

Environnement fédéré

Un environnement fédéré doit disposer d’un fournisseur d’identité qui prend en charge les exigences suivantes : Si vous disposez d’un environnement fédéré utilisant les services de fédération Active Directory (AD FS), les exigences ci-dessous sont déjà prises en charge.

  • Revendication WIAORMULTIAUTHN : Cette revendication est nécessaire à des fins de jonction Azure AD Hybride pour les appareils Windows de bas niveau.
  • Protocole WS-Trust : Ce protocole est nécessaire pour authentifier auprès d’Azure AD les appareils Windows actuels ayant fait l’objet d’une jonction Azure AD Hybride. Lorsque vous utilisez AD FS, vous devez activer les points de terminaison WS-Trust suivants : /adfs/services/trust/2005/windowstransport/adfs/services/trust/13/windowstransport/adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

Avertissement

adfs/services/trust/2005/windowstransport ou adfs/services/trust/13/windowstransport doivent tous les deux être activés en tant que points de terminaison uniquement accessibles sur intranet ; ils NE doivent PAS être exposés comme points de terminaison extranet via le proxy d’application web. Pour en savoir plus sur la désactivation des points de terminaison Windows WS-Trust, consultez Désactiver les points de terminaison Windows WS-Trust sur le proxy. Vous pouvez visualiser les points de terminaison qui sont activés par le biais de la console de gestion AD FS sous ServicePoints de terminaison.

Depuis la version 1.1.819.0, Azure AD Connect comporte un Assistant permettant de configurer la jointure Azure AD hybride. Il simplifie considérablement le processus de configuration. Si vous n’avez pas la possibilité d’installer la version requise d’Azure AD Connect, consultez le Guide pratique pour configurer manuellement l’inscription des appareils.

Vérifier la prise en charge d’un UPN utilisateur AD local pour la jonction Azure AD hybride

Parfois, les UPN des utilisateurs AD locaux sont différents de vos UPN Azure AD. Dans ce cas, la jonction Azure AD Hybride Windows 10 ou version ultérieure offre une prise en charge limitée des UPN AD locaux, qui peut varier selon la méthode d’authentification, le type de domaine et la version de Windows. Deux types d’UPN AD locaux peuvent exister dans votre environnement :

  • UPN des utilisateurs routables : un UPN routable possède un domaine vérifié valide, qui est inscrit auprès d’un bureau d’enregistrement de domaines. Par exemple, si contoso.com est le domaine principal dans Azure AD, contoso.org est le domaine principal dans l’instance AD locale appartenant à Contoso et vérifié dans Azure AD.
  • UPN des utilisateurs non routables : un UPN non routable n’a pas de domaine vérifié et s’applique uniquement au réseau privé de votre organisation. Par exemple, si contoso.com est le domaine principal dans Azure AD et contoso.local est le domaine principal dans l’instance AD locale, mais n’est pas un domaine vérifiable sur Internet et n’est utilisé qu’à l’intérieur du réseau de Contoso.

Notes

Les informations contenues dans cette section s’appliquent uniquement aux UPN utilisateur locaux. Elles ne s’appliquent pas au suffixe de domaine d’ordinateur local (par exemple : ordinateur1.contoso.local).

Le tableau suivant fournit des détails sur la prise en charge de ces UPN AD locaux dans la jonction Azure AD hybride sur Windows 10

Type d’UPN AD local Type de domaine version Windows 10 Description
Routable Adresses IP fédérées À partir de la version 1703 Mise à la disposition générale
Non routable Adresses IP fédérées À partir de la version 1803 Mise à la disposition générale
Routable Adresses IP gérées À partir de la version 1803 Le plus souvent disponible, Azure AD SSPR sur l’écran de verrouillage Windows n’est pas pris en charge dans les environnements où l’UPN local est différent de l’UPN Azure AD. Le nom d’utilisateur principal local doit être synchronisé avec l’attribut onPremisesUserPrincipalName dans Azure AD
Non routable Adresses IP gérées Non pris en charge

Étapes suivantes