Microsoft Entra hybride rejoint un déploiement ciblé

Vous pouvez valider votre planification et vos prérequis pour les appareils de jointure Microsoft Entra hybrides à l’aide d’un déploiement ciblé avant de l’activer dans l’ensemble de l’organisation. Cet article explique comment réaliser un déploiement ciblé de la jointure hybride Microsoft Entra.

Avertissement

Soyez prudent lors de la modification des valeurs dans Active Directory. Apporter des modifications dans un environnement établi peut avoir des conséquences inattendues.

Déploiement ciblé de jointure hybride Microsoft Entra sur les appareils Windows

Pour les appareils exécutant Windows 10, la version minimale prise en charge est Windows 10 (version 1607) pour effectuer une jointure hybride. La meilleure pratique consiste à effectuer une mise à niveau vers la dernière version de Windows 10 ou 11.

Pour effectuer un déploiement ciblé de la jointure hybride Microsoft Entra sur les appareils Windows, vous devez :

1. Si elle existe, effacez l'entrée du point de connexion de service (SCP) à partir de Windows Server Active Directory.
2. Configurez le paramètre de Registre côté client pour SCP sur vos ordinateurs joints à un domaine à l’aide d’un objet de stratégie de groupe (GPO).
3. Si vous utilisez Active Directory Federation Services (AD FS), vous devez également configurer le paramètre de registre côté client pour SCP sur votre serveur AD FS en utilisant un GPO.
4. Vous devrez peut-être personnaliser les options de synchronisation dans Microsoft Entra Connect pour activer la synchronisation des appareils.

Conseil / Astuce

Le SCP peut être configuré localement dans le Registre de l’appareil dans certaines situations. Si le périphérique trouve une valeur dans le registre, il utilise cette configuration, sinon il interroge le répertoire pour le SCP et tente une jointure hybride.

Effacer le SCP de Microsoft Windows Server Active Directory

Utilisez l’éditeur d’interfaces des services Active Directory (ADSI Edit) pour modifier les objets SCP dans Microsoft Windows Server Active Directory.

1. Lancez l'application de bureau ADSI Edit depuis une station de travail administrative ou un contrôleur de domaine en tant qu'administrateur général.
2. Connectez-vous au contexte d’affectation de noms de configuration de votre domaine.
3. Accédez à CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
4. Cliquez avec le bouton droit sur l’objet feuille CN=62a0ff2e-97b9-4513-943f-0d221bd30080 , puis sélectionnez Propriétés.
   1. Sélectionnez des mots clés dans la fenêtre Éditeur d’attributs , puis sélectionnez Modifier.
   2. Sélectionnez les valeurs d’azureADId et d’azureADName (une à la fois) et sélectionnez Supprimer.
5. Fermez ADSI Edit.

Configurer le paramètre de Registre côté client pour SCP

Utilisez l'exemple suivant pour créer un objet de stratégie de groupe afin de déployer un paramètre de registre configurant une entrée SCP dans le registre de vos appareils.

1. Ouvrez une console de gestion des stratégies de groupe et créez un objet Stratégie de groupe dans votre domaine.
   1. Nommez votre GPO nouvellement créé (par exemple, ClientSideSCP).
2. Modifiez le GPO et localisez le chemin suivant : Configuration de l'ordinateur>Préférences>Paramètres Windows>Registre.
3. Cliquez avec le bouton droit sur le Registre et sélectionnez Nouvel>élément de Registre.
   1. Sous l’onglet Général , configurez les éléments suivants.
      1. Action : Mise à jour.
      2. Hive : HKEY_LOCAL_MACHINE.
      3. Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nom de la valeur : TenantId.
      5. Type de valeur : REG_SZ.
      6. Données de valeur : L'identificateur global unique (GUID) ou ID client de votre locataire Microsoft Entra, que vous pouvez trouver dans Entra ID>, Vue d'ensemble>, Propriétés>, ID client.
   2. Sélectionnez OK.
4. Cliquez avec le bouton droit sur le Registre et sélectionnez Nouvel>élément de Registre.
   1. Sous l’onglet Général , configurez les éléments suivants.
      1. Action : Mise à jour.
      2. Hive : HKEY_LOCAL_MACHINE.
      3. Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nom de la valeur : TenantName.
      5. Type de valeur : REG_SZ.
      6. Données de valeur : votre nom de domaine vérifié si vous utilisez un environnement fédéré tel qu’AD FS. Votre nom de domaine vérifié ou votre nom de domaine onmicrosoft.com, par exemple contoso.onmicrosoft.com si vous utilisez un environnement managé.
   2. Sélectionnez OK.
5. Fermez l’éditeur du GPO nouvellement créé.
6. Liez le GPO nouvellement créé à l'unité d'organisation appropriée contenant des ordinateurs associés au domaine appartenant à votre population de déploiement contrôlé.

Configurer les paramètres AD FS

Si votre identifiant Microsoft Entra est fédéré avec AD FS, vous devez d'abord configurer le SCP côté client à l'aide des instructions mentionnées précédemment en liant le GPO à vos serveurs AD FS. L'objet SCP définit la source d'autorité pour les objets de dispositif. Il peut s'agir de solutions sur site ou d'Entra ID de Microsoft. Lorsque le SCP côté client est configuré pour AD FS, la source des objets de périphérique est établie comme Microsoft Entra ID.

Remarque

Si vous n'avez pas réussi à configurer SCP côté client sur vos serveurs AD FS, la source des identités des appareils sera considérée comme locale. AD FS commencera alors à supprimer les objets de l’appareil à partir du répertoire local après la période stipulée définie dans l'attribut « MaximumInactiveDays » de l’inscription d’appareil AD FS. Les objets AD FS Device Registration sont disponibles à l’aide de l’applet de commandeGet-AdfsDeviceRegistration.

Pourquoi un appareil peut être dans un état en attente

Lorsque vous configurez une tâche de jonction Microsoft Entra hybride dans la synchronisation de Microsoft Entra Connect pour vos appareils locaux, la tâche synchronise les objets d’appareil dans Microsoft Entra ID et définit temporairement l’état inscrit des appareils sur « en attente » avant que l’appareil ne termine son inscription. Cet état en attente est dû au fait que le périphérique doit être ajouté au répertoire Microsoft Entra avant de pouvoir être enregistré. Pour plus d’informations sur le processus d’inscription d’appareil, consultez Fonctionnement : Inscription de l’appareil.

Validation postérieure

Après avoir vérifié que tout fonctionne comme prévu, vous pouvez inscrire automatiquement le reste de vos appareils Windows avec l’ID Microsoft Entra. Automatisez la jonction hybride Microsoft Entra en configurant le SCP à l’aide de Microsoft Entra Connect.

Contenu connexe

• Planifier votre implémentation de jointure hybride Microsoft Entra
• Configurer une jonction Microsoft Entra hybride
• Configurer manuellement une jonction Microsoft Entra hybride