Microsoft Entra hybride rejoint un déploiement ciblé

Vous pouvez valider votre planification et vos conditions préalables pour rejoindre les appareils hybrides Microsoft Entra à l’aide d’un déploiement ciblé avant de l’activer dans l’ensemble de l’organisation. Cet article explique comment réaliser un déploiement ciblé de la jointure hybride Microsoft Entra.

Déploiement ciblé de la jointure hybride Microsoft Entra sur les appareils Windows actuels

Pour les appareils exécutant Windows 10, la version minimale prise en charge est Windows 10 (version 1607) pour effectuer une jointure hybride. La meilleure pratique consiste à effectuer une mise à niveau vers la dernière version de Windows 10 ou 11. Si vous devez prendre en charge des systèmes d’exploitation antérieurs, consultez la section Prise en charge des appareils de niveau inférieur

Pour effectuer un déploiement ciblé de la jointure hybride Microsoft Entra sur les appareils Windows actuels, vous devez :

  1. Effacer l’entrée de point de connexion de service (SCP) à partir d’Active Directory (AD) le cas échéant.
  2. Configurer le paramètre de Registre côté client pour le point de connexion de service sur vos ordinateurs joints au domaine à l’aide d’un objet de stratégie de groupe.
  3. Si vous utilisez les services de fédération Active Directory (AD FS), vous devez également configurer le paramètre de registre côté client pour SCP sur votre serveur AD FS à l’aide d’un objet de stratégie de groupe.
  4. Vous devrez peut-être également personnaliser les options de synchronisation dans Microsoft Entra Connect pour activer la synchronisation des appareils.

Effacer le point de connexion de service d’AD

Utilisez l’éditeur Active Directory Services Interfaces Editor (ADSI Edit) pour modifier les objets point de connexion de service dans Active Directory.

  1. Lancez l’application de bureau ADSI Edit à partir d’un poste de travail d’administration ou d’un contrôleur de domaine en tant qu’administrateur d’entreprise.
  2. Connectez-vous au contexte d’appellation de configuration de votre domaine.
  3. Accédez à CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
  4. Cliquez avec le bouton droit sur l’objet Nœud terminal CN=62a0ff2e-97b9-4513-943f-0d221bd30080 et sélectionnez Propriétés.
    1. Sélectionnez keywords (Mots clés) à partir de la fenêtre Éditeur d’attributs et sélectionnez Modifier.
    2. Sélectionnez les valeurs de azureADId et azureADName (une à la fois) et sélectionnez Supprimer.
  5. Fermez ADSI Edit.

Configurer le paramètre de Registre côté client pour le point de connexion de service

Utilisez l’exemple suivant pour créer un objet de stratégie de groupe afin de déployer un paramètre de Registre configurant une entrée de point de connexion de service dans le Registre de vos appareils.

  1. Ouvrez une console de gestion des stratégies de groupe et créez un objet Stratégie de groupe dans votre domaine.
    1. Nommez votre objet de stratégie de groupe nouvellement créé (par exemple, ClientSideSCP).
  2. Modifiez le GPO et localisez le chemin suivant : Configuration ordinateur>Préférences>Paramètres Windows>Registre.
  3. Cliquez avec le bouton droit sur le Registre, puis sélectionnez Nouveau>Élément du Registre.
    1. Sous l’onglet Général, configurez ce qui suit.
      1. Action : Mettre à jour.
      2. Ruche : HKEY_LOCAL_MACHINE.
      3. Chemin d’accès clé :SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nom de la valeur : TenantId.
      5. Type de valeur : REG_SZ.
      6. Données de valeur : Le GUID ou Tenant ID de votre locataire Microsoft Entra, qui peut être trouvé dans Identité>Vue d’ensemble>Propriétés>Tenant ID.
    2. Cliquez sur OK.
  4. Cliquez avec le bouton droit sur le Registre, puis sélectionnez Nouveau>Élément du Registre.
    1. Sous l’onglet Général, configurez ce qui suit.
      1. Action : Mettre à jour.
      2. Ruche : HKEY_LOCAL_MACHINE.
      3. Chemin d’accès clé :SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD.
      4. Nom de la valeur : TenantName.
      5. Type de valeur : REG_SZ.
      6. Données de la valeur : Votre nom de domaine vérifié si vous utilisez un environnement fédéré comme AD FS. Votre nom de domaine vérifié ou votre nom de domaine onmicrosoft.com, par exemple contoso.onmicrosoft.com, si vous utilisez un environnement géré.
    2. Sélectionnez OK.
  5. Fermez l’éditeur pour l’objet de stratégie de groupe nouvellement créé.
  6. Liez l’objet de stratégie de groupe nouvellement créé à l’unité d’organisation correcte contenant des ordinateurs joints au domaine qui appartiennent à votre analyse de lancement contrôlée.

Configurer les paramètres AD FS

Si votre identifiant Microsoft Entra est fédéré avec AD FS, vous devez d'abord configurer le SCP côté client à l'aide des instructions mentionnées précédemment en liant l'objet de stratégie de groupe à vos serveurs AD FS. L’objet SCP définit la source d’autorité pour les objets d’appareil. Il peut s'agir d'un identifiant Microsoft Entra sur site ou sur site. Lorsque le SCP côté client est configuré pour AD FS, la source des objets de périphérique est établie comme Microsoft Entra ID.

Remarque

Si vous n'avez pas réussi à configurer SCP côté client sur vos serveurs AD FS, la source des identités des appareils sera considérée comme locale. AD FS commencera alors à supprimer les objets de l’appareil à partir du répertoire local après la période stipulée définie dans l'attribut « MaximumInactiveDays » de l’inscription d’appareil AD FS. Les objets de l’inscription d’appareil AD FS peuvent être identifiés en utilisant l’applet de commande Get-AdfsDeviceRegistration.

Prise en charge des appareils de niveau inférieur

Pour inscrire des ordinateurs Windows de bas niveau, les organisations doivent installer Microsoft Workplace Join pour les ordinateurs non-Windows 10 à partir du Centre de téléchargement Microsoft.

Vous pouvez déployer le package à l’aide d’un système de distribution de logiciels tel que Microsoft Configuration Manager. Le package prend en charge les options d’installation sans assistance standard avec le paramètre quiet. La branche actuelle de Configuration Manager offre des avantages supplémentaires par rapport aux versions précédentes, comme la possibilité d’effectuer le suivi des inscriptions effectuées.

Le programme d’installation crée une tâche planifiée sur le système, qui s’exécute dans le contexte de l’utilisateur. La tâche est déclenchée lorsque l’utilisateur se connecte à Windows. La tâche rejoint silencieusement l'appareil avec Microsoft Entra ID avec les informations d'identification de l'utilisateur après s'être authentifié avec Microsoft Entra ID.

Pour contrôler l’inscription des appareils, vous devez déployer le package Windows Installer uniquement sur un groupe sélectionné d’appareils Windows de bas niveau.

Notes

Si aucun point de connexion de service n’est configuré dans Active Directory, vous devez suivre la même approche décrite pour configurer le paramètre de Registre côté client pour le point de connexion de service sur vos ordinateurs joints au domaine à l’aide d’un objet de stratégie de groupe.

Pourquoi un appareil peut être dans un état en attente

Lorsque vous configurez une tâche de jointure hybride Microsoft Entra dans Microsoft Entra Connect Sync pour vos appareils sur site, la tâche synchronise les objets de l'appareil avec l'ID Microsoft Entra et définit temporairement l'état enregistré des appareils sur « en attente » avant que l'appareil ne termine la tâche. enregistrement de l'appareil. Cet état en attente est dû au fait que le périphérique doit être ajouté au répertoire Microsoft Entra avant de pouvoir être enregistré. Pour plus d’informations sur le processus d’inscription d’appareil, consultez Fonctionnement : inscription de l’appareil.

Post-validation

Après avoir vérifié que tout fonctionne comme prévu, vous pouvez enregistrer automatiquement le reste de vos appareils Windows actuels et de bas niveau avec Microsoft Entra ID. Automatisez la jointure hybride Microsoft Entra en configurant le SCP à l'aide de Microsoft Entra Connect.

Étapes suivantes