Planifiez la mise en œuvre de votre jointure hybride Microsoft Entra

Si vous avez un environnement Active Directory Domain Services (AD DS) local et que vous souhaitez joindre vos ordinateurs joints au domaine AD DS à Microsoft Entra ID, vous pouvez le faire en effectuant une jointure hybride Microsoft Entra.

Conseil

L’accès par authentification unique aux ressources locales est également disponible pour les appareils joints à Microsoft Entra. Pour plus d’informations, consultez Fonctionnement de l’authentification unique auprès de ressources locales sur des appareils joints à Microsoft Entra.

Prérequis

Cet article suppose que vous connaissez la Présentation de la gestion des identités d’appareils dans Microsoft Entra ID.

Remarque

La version minimale de contrôleur de domaine nécessaire pour une jointure hybride Microsoft Entra Windows 10 ou version ultérieure est Windows Server 2008 R2.

Les appareils joints hybrides Microsoft Entra doivent avoir périodiquement une ligne de vue réseau vers vos contrôleurs de domaine. Sans cette connexion, les appareils deviennent inutilisables.

Les scénarios sans visibilité directe vers vos contrôleurs de domaine comprennent :

  • Changement de mot de passe de l’appareil
  • Changement de mot de passe utilisateur (informations d’identification mises en cache)
  • Réinitialisation du module de plateforme sécurisée

Planifier l’implémentation

Si vous souhaitez planifier votre implémentation hybride à Microsoft Entra, familiarisez-vous avec les éléments suivants :

  • Vérifier les appareils pris en charge
  • Connaître les points à savoir
  • Passer en revue un déploiement ciblé de jointure hybride Microsoft Entra
  • Sélectionner votre scénario en fonction de votre infrastructure d’identité
  • Passer en revue la prise en charge d’un UPN AD local pour une jointure hybride Microsoft Entra

Vérifier les appareils pris en charge

La jonction hybride à Microsoft Entra prend en charge un large éventail d’appareils Windows. Dans la mesure où la configuration des appareils exécutés sur des versions antérieures de Windows implique des étapes supplémentaires ou différentes, les appareils pris en charge sont divisés en deux catégories :

Appareils Windows actuels

  • Windows 11
  • Windows 10
  • Windows Server 2016
    • Remarque : Les clients Cloud national Azure doivent avoir la version 1803
  • Windows Server 2019

Pour les appareils exécutant le système d’exploitation Windows, les versions prises en charge sont listées dans l’article Informations sur les versions Windows 10. En tant que meilleure pratique, Microsoft recommande d’effectuer une mise à niveau vers la dernière version de Windows.

Appareils Windows de bas niveau

  • Windows Server 2012 R2
  • Windows Server 2012

La première étape de la planification consiste à examiner l’environnement et à déterminer s’il est nécessaire de prendre en charge les appareils Windows de bas niveau.

Connaître les points à savoir

Scénarios non pris en charge

  • La jointure hybride Microsoft Entra n’est pas prise en charge pour Windows Server exécutant le rôle Contrôleur de domaine (DC).
  • La jointure hybride Microsoft Entra n’est pas prise en charge sur les appareils Windows de bas niveau lors de l’utilisation de l’itinérance des informations d’identification, de l’itinérance du profil utilisateur ou du profil obligatoire.
  • Le système d’exploitation Server Core ne prend en charge aucun type d’inscription d’appareil.
  • L’outil de migration de l’état utilisateur (USMT) ne fonctionne pas avec l’inscription de l’appareil.

Considérations relatives aux images de système d’exploitation

  • Si vous comptez sur l’outil de préparation du système (Sysprep), et si vous utilisez une image antérieure à Windows 10 1809 pour l’installation, vérifiez que cette image ne provient pas d’un appareil déjà inscrit auprès de Microsoft Entra ID en tant qu’appareil joint hybride Microsoft Entra.

  • Si vous comptez sur un instantané de machine virtuelle pour créer d’autres machines virtuelles, vérifiez qu’il ne provient pas d’une machine virtuelle déjà inscrite auprès de Microsoft Entra ID en tant que machine virtuelle jointe hybride Microsoft Entra.

  • Si vous utilisez le Filtre d’écriture unifié et des technologies similaires qui effacent les modifications apportées au disque au moment du redémarrage, vous devez les appliquer une fois que l’appareil est joint via une jointure hybride Microsoft Entra. L’activation de ces technologies avant la fin de la jointure hybride Microsoft Entra entraîne la disjonction de l’appareil lors de chaque redémarrage.

Gestion des appareils avec un état inscrit auprès de Microsoft Entra

Si vos appareils Windows 10 ou version ultérieure joints à un domaine sont inscrits à Microsoft Entra dans votre tenant, il est possible que cela entraîne un double état d’appareil inscrit auprès de Microsoft Entra et d’appareil joint hybride Microsoft Entra. Nous vous recommandons de procéder à une mise à niveau vers Windows 10 1803 (avec KB4489894 appliqué) ou ultérieur pour corriger automatiquement ce scénario. Dans les versions antérieures à 1803, vous devrez supprimer manuellement l’état d’appareil inscrit à Microsoft Entra avant d’activer la jointure hybride Microsoft Entra. Dans les versions 1803 et ultérieures, les modifications suivantes ont été apportées pour éviter ce double état :

  • Tout état inscrit auprès de Microsoft Entra existant pour un utilisateur est automatiquement supprimé dès lors que l’appareil a une jointure hybride à Microsoft Entra et que le même utilisateur se connecte. Par exemple, si l’utilisateur A a un état inscrit auprès de Microsoft Entra sur l’appareil, le double état de l’utilisateur A est nettoyé uniquement lorsque l’utilisateur A se connecte à l’appareil. S’il y a plusieurs utilisateurs sur le même appareil, le double état est nettoyé individuellement quand ces utilisateurs se connectent. Lorsqu’un administrateur supprime l’état inscrit auprès de Microsoft Entra, Windows 10 désinscrit l’appareil d’Intune ou d’une autre gestion MDM, si l’inscription a eu lieu dans le cadre de l’inscription auprès de Microsoft Entra via une inscription automatique.
  • L’état inscrit auprès de Microsoft Entra sur tous les comptes locaux de l’appareil n’est pas affecté par cette modification. Il est uniquement applicable aux comptes de domaine. L’état inscrit auprès de Microsoft Entra sur les comptes locaux n’est pas supprimé automatiquement, même après l’ouverture de session de l’utilisateur, car l’utilisateur n’est pas un utilisateur de domaine.
  • Vous pouvez éviter que votre appareil joint au domaine soit inscrit à Microsoft Entra en ajoutant la valeur de registre suivante à HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
  • Dans Windows 10 1803, si vous aviez configuré Windows Hello Entreprise, l’utilisateur devra le reconfigurer après le nettoyage du double état. Ce problème a été résolu dans KB4512509.

Remarque

Bien que Windows 10 et Windows 11 suppriment automatiquement l’état inscrit auprès de Microsoft Entra localement, l’objet de l’appareil dans Microsoft Entra ID n’est pas supprimé immédiatement s’il est managé par Intune. Vous pouvez valider la suppression de l’état inscrit auprès de Microsoft Entra en exécutant « dsregcmd /status » et considérer l’appareil comme n’étant plus inscrit auprès de Microsoft Entra.

Jointure hybride Microsoft Entra pour une forêt unique, plusieurs tenants Microsoft Entra

Pour inscrire des appareils en tant que jointure hybride Microsoft Entra auprès des tenants respectifs, les organisations doivent vérifier que la configuration des points de connexion de service (SCP) est effectuée sur les appareils et pas dans AD. Si vous souhaitez obtenir plus d’informations sur l’accomplissement de cette tâche, consultez l’article Déploiement ciblé de jointure hybride Microsoft Entra. Il est important que les organisations sachent que certaines fonctionnalités Microsoft Entra ne fonctionnent pas dans les configurations à une seule forêt et plusieurs tenants Microsoft Entra.

Autres considérations

  • Si votre environnement utilise l’infrastructure VDI (Virtual Desktop Infrastructure), consultez Identité d’appareil et la virtualisation des services de Bureau.

  • La jointure hybride Microsoft Entra est prise en charge pour le module TPM 2.0 conforme à FIPS, mais pas pour TPM 1.2. Si vos appareils sont dotés de modules TPM 1.2 conformes à FIPS, vous devez les désactiver avant de procéder à une jointure hybride Microsoft Entra. Microsoft ne propose aucun outil permettant de désactiver le mode FIPS pour les modules TPM car il dépend du fabricant de ces modules. Pour obtenir de l’aide, contactez votre fabricant OEM.

  • À compter de la version 1903 de Windows 10, les modules TPM 1.2 ne sont pas utilisés avec la jointure hybride Microsoft Entra et les appareils avec ces TPM sont considérés comme s’ils n’en avaient pas.

  • Les modifications d’UPN ne sont prises en charge qu’à partir de la mise à jour Windows 10 2004. Pour les appareils antérieurs à la mise à jour Windows 10 2004, les utilisateurs peuvent rencontrent des problèmes liés à l’authentification unique et à l’accès conditionnel sur leurs appareils. Pour résoudre ce problème, vous devez déconnecter l’appareil de Microsoft Entra ID (exécutez « dsregcmd /leave » avec des privilèges élevés) et le reconnecter (ce qui s’effectue automatiquement). Cela étant, les utilisateurs qui se connectent avec Windows Hello Entreprise ne rencontrent pas ce problème.

Passer en revue une jointure hybride Microsoft Entra ciblée

Les organisations peuvent vouloir effectuer un lancement ciblé d’une jointure hybride Microsoft Entra avant de l’activer dans l’ensemble de l’organisation. Consultez l’article Déploiement ciblé de jointure hybride Microsoft Entra pour comprendre comment le mettre en œuvre.

Avertissement

Les organisations doivent inclure un échantillon d’utilisateurs de rôles et de profils différents dans leur groupe pilote. Un déploiement ciblé permettra d’identifier les problèmes que votre plan n’aura peut-être pas résolus avant d’étendre le déploiement à l’ensemble de l’organisation.

Sélectionner votre scénario en fonction de votre infrastructure d’identité

La jointure hybride Microsoft Entra fonctionne avec les environnements managés et fédérés, selon que l’UPN est routable ou non. Consultez le bas de la page pour voir un tableau des scénarios pris en charge.

Environnement géré

Un environnement managé peut être déployé par le biais de la synchronisation de hachage de mot de passe (PHS) ou de l’authentification directe (PTA) avec l’authentification unique fluide.

Ces scénarios ne nécessitent pas la configuration d’un serveur de fédération pour l’authentification.

Notes

L’authentification cloud en utilisant un déploiement par étapes est uniquement prise en charge après avoir effectué la mise à jour de Windows 10 1903.

Environnement fédéré

Un environnement fédéré doit disposer d’un fournisseur d’identité qui prend en charge les exigences suivantes : Si vous disposez d’un environnement fédéré utilisant les services de fédération Active Directory (AD FS), les exigences ci-dessous sont déjà prises en charge.

  • Revendication WIAORMULTIAUTHN : cette revendication est nécessaire à des fins de jonction hybride Microsoft Entra pour les appareils Windows de bas niveau.
  • Protocole WS-Trust : ce protocole est nécessaire pour authentifier les appareils joints hybrides Microsoft Entra actuels de Windows avec Microsoft Entra ID. Lorsque vous utilisez AD FS, vous devez activer les points de terminaison WS-Trust suivants : /adfs/services/trust/2005/windowstransport/adfs/services/trust/13/windowstransport/adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

Avertissement

adfs/services/trust/2005/windowstransport ou adfs/services/trust/13/windowstransport doivent tous les deux être activés en tant que points de terminaison uniquement accessibles sur intranet ; ils NE doivent PAS être exposés comme points de terminaison extranet via le proxy d’application web. Pour en savoir plus sur la désactivation des points de terminaison Windows WS-Trust, consultez Désactiver les points de terminaison Windows WS-Trust sur le proxy. Vous pouvez visualiser les points de terminaison qui sont activés par le biais de la console de gestion AD FS sous Service>Points de terminaison.

À compter de la version 1.1.819.0, Microsoft Entra Connect vous fournit un Assistant pour configurer une jointure hybride Microsoft Entra. Il simplifie considérablement le processus de configuration. Si vous n’avez pas la possibilité d’installer la version demandée de Microsoft Entra Connect, consultez le Guide pratique pour configurer manuellement l’inscription des appareils. Si contoso.com est inscrit en tant que domaine personnalisé confirmé, les utilisateurs peuvent obtenir un PRT même si leur suffixe UPN AD DS local synchronisé se trouve dans un sous-domaine comme test.contoso.com.

Passer en revue la prise en charge d’un UPN d’utilisateurs AD local pour une jointure hybride Microsoft Entra

Parfois, les UPN d’utilisateurs AD locaux sont différents de vos UPN Microsoft Entra. Dans ces situations, la jointure hybride Microsoft Entra sur Windows 10 ou version ultérieure offre une prise en charge limitée des UPN AD locaux, qui peut varier selon la méthode d’authentification, le type de domaine et la version de Windows. Deux types d’UPN AD locaux peuvent exister dans votre environnement :

  • UPN des utilisateurs routables : un UPN routable possède un domaine vérifié valide, qui est inscrit auprès d’un bureau d’enregistrement de domaines. Par exemple, si contoso.com est le domaine principal dans Microsoft Entra ID, contoso.org est le domaine principal dans l’AD local appartenant à Contoso et est vérifié dans Microsoft Entra ID.
  • UPN des utilisateurs non routables : un UPN non routable n’a pas de domaine vérifié et s’applique uniquement au réseau privé de votre organisation. Par exemple, si contoso.com est le domaine principal dans Microsoft Entra ID et contoso.local est le domaine principal dans l’AD locale, mais n’est pas un domaine vérifiable sur Internet et n’est utilisé qu’à l’intérieur du réseau de Contoso.

Remarque

Les informations contenues dans cette section s’appliquent uniquement aux UPN utilisateur locaux. Elles ne s’appliquent pas au suffixe de domaine d’ordinateur local (par exemple : ordinateur1.contoso.local).

Le tableau suivant fournit des informations sur la prise en charge de ces UPN AD locaux dans la jointure hybride Microsoft Entra sur Windows 10

Type d’UPN AD local Type de domaine version Windows 10 Description
Routable Adresses IP fédérées À partir de la version 1703 Mise à la disposition générale
Non routable Adresses IP fédérées À partir de la version 1803 Mise à la disposition générale
Routable Adresses IP gérées À partir de la version 1803 Le plus souvent disponible, la réinitialisation de mot de passe en libre-service (SSPR) Microsoft Entra sur l’écran de verrouillage Windows n’est pas pris en charge dans les environnements où l’UPN local est différent de l’UPN Microsoft Entra. L’UPN local doit être synchronisé avec l’attribut onPremisesUserPrincipalName dans Microsoft Entra ID
Non routable Adresses IP gérées Non pris en charge

Étapes suivantes