Déployer Microsoft Entra appareils joints hybrides à l’aide d’Intune et de Windows Autopilot

• S’applique à:

  ✅ Windows 11, ✅ Windows 10

Importante

Microsoft recommande de déployer de nouveaux appareils en tant que cloud natif à l’aide de Microsoft Entra jonction. Le déploiement de nouveaux appareils en tant que Microsoft Entra appareils de jointure hybride n’est pas recommandé, y compris via Autopilot. Pour plus d’informations, consultez Microsoft Entra joint ou Microsoft Entra joint hybride dans des points de terminaison natifs cloud : quelle option convient à votre organization.

Vous pouvez utiliser Intune et Windows Autopilot pour configurer Microsoft Entra appareils joints hybrides. Pour cela, effectuez les étapes de cet article. Pour plus d’informations sur Microsoft Entra jointure hybride, consultez Présentation Microsoft Entra jointure et cogestion hybrides.

Configuration requise

• Vos appareils Microsoft Entra joints hybrides ont été correctement configurés. Veillez à vérifier l’inscription de votre appareil à l’aide de l’applet de commande Get-MgDevice .
• Si le filtrage basé sur le domaine et l’unité d’organisation est configuré dans le cadre de Microsoft Entra Connect, vérifiez que l’unité d’organisation (UO) ou le conteneur par défaut destiné aux appareils Autopilot est inclus dans l’étendue de synchronisation.

Prérequis pour l’inscription d’appareils

L’appareil à inscrire doit respecter les exigences ci-après :

• Utilisez Windows 11 ou Windows 10 version 1809 ou ultérieure.
• Accédez à internet en suivant les exigences de réseau Windows Autopilot.
• Avoir accès à un contrôleur de domaine Active Directory.
• Test ping réussi sur le contrôleur de domaine du domaine que vous tentez de joindre.
• Si vous utilisez un Proxy, l’option des paramètres Proxy de WPAD doit être activée et configurée.
• Fournir l’expérience utilisateur OOBE (Out-of-Box Experience).
• Utilisez un type d’autorisation que Microsoft Entra ID prend en charge dans OOBE.

Bien que cela ne soit pas obligatoire, la configuration de Microsoft Entra jointure hybride pour les services fédérés Active Directory (AD FS) permet d’accélérer le processus d’inscription de Windows Autopilot Microsoft Entra pendant les déploiements. Les clients fédérés qui ne prennent pas en charge l’utilisation de mots de passe et l’utilisation d’AD FS doivent suivre les étapes décrites dans l’article Services ADFS prise en charge des paramètres prompt=login pour configurer correctement l’expérience d’authentification.

Prérequis du serveur de connecteur Intune

• Le connecteur Intune pour Active Directory doit être installé sur un ordinateur qui exécute Windows Server 2016 ou une version ultérieure avec .NET Framework version 4.7.2 ou ultérieure.

• Le serveur hébergeant le connecteur Intune doit avoir accès à Internet et à votre annuaire Active Directory.

  Remarque

  Le serveur du connecteur Intune nécessite un accès client de domaine standard aux contrôleurs de domaine, ce qui inclut les exigences de port RPC dont il a besoin pour communiquer avec Active Directory. Si vous souhaitez en savoir plus, consultez les articles suivants :

  • Vue d’ensemble des services et exigences de ports réseau pour Windows
  • Comment configurer un pare-feu pour les domaines et approbations Active Directory
  • Ports et protocoles nécessaires à l’identité hybride

• Pour augmenter la mise à l’échelle et la disponibilité, vous pouvez installer plusieurs connecteurs dans votre environnement. Nous vous recommandons d’installer le connecteur sur un serveur qui n’exécute aucun autre connecteur Intune. Chaque connecteur doit être en mesure de créer des objets ordinateur dans n’importe quel domaine que vous souhaitez prendre en charge.

• Si votre organization a plusieurs domaines et que vous installez plusieurs connecteurs Intune, un compte de service de domaine qui peut créer des objets ordinateur dans tous les domaines doit être utilisé. Cette exigence est vraie même si vous envisagez d’implémenter Microsoft Entra jointure hybride uniquement pour un domaine spécifique. Si ces domaines sont des domaines non approuvés, vous devez désinstaller les connecteurs des domaines dans lesquels vous ne souhaitez pas utiliser Windows Autopilot. Dans le cas contraire, avec plusieurs connecteurs sur plusieurs domaines, tous les connecteurs doivent être en mesure de créer des objets ordinateur dans tous les domaines.

  Ce compte de service de connecteur doit disposer des autorisations suivantes :

  • Ouvrez une session en tant que service.
  • Doit faire partie du groupe d’utilisateurs domaine .
  • Doit être membre du groupe Administrateurs local sur le serveur Windows qui héberge le connecteur.

  Importante

  Les comptes de service gérés ne sont pas pris en charge pour le compte de service. Le compte de service doit être un compte de domaine.

• Le connecteur Intune requiert les mêmes points de terminaison qu’lntune.

Configurer l’inscription GPM automatique Windows

1. Connectez-vous au Portail Azure. Dans le volet gauche, sélectionnez Microsoft Entra ID>Mobilité (GPM et GAM)>Microsoft Intune.

2. Assurez-vous que les utilisateurs qui déploient Microsoft Entra appareils joints à l’aide d’Intune et de Windows sont membres d’un groupe inclus dans l’étendue utilisateur MDM.

3. Utilisez les valeurs par défaut des zones URL des conditions d’utilisation de GDR, URL de détection MDM et URL de conformité GDR, puis sélectionnez Enregistrer.

Augmenter la limite du nombre de comptes d’ordinateur dans l’unité d’organisation

Le connecteur Intune pour votre annuaire Active Directory crée des ordinateurs inscrits par Autopilot dans le domaine Active Directory local. L’ordinateur qui héberge le connecteur Intune doit avoir les droits nécessaires pour créer des objets ordinateur dans le domaine.

Dans certains domaines, les ordinateurs n’ont pas les droits pour créer des ordinateurs. De plus, les domaines ont une limite intégrée (10 par défaut) qui s’applique à tous les utilisateurs et ordinateurs auxquels des droits pour créer des objets ordinateur n’ont pas été délégués. Les droits doivent être délégués aux ordinateurs qui hébergent le connecteur Intune sur l’unité d’organisation où Microsoft Entra appareils hybrides joints sont créés.

L’unité d’organisation qui dispose des droits de création d’ordinateurs doit correspondre à :

• Unité d’organisation entrée dans le profil de jonction de domaine.
• Si aucun profil n’est sélectionné, au nom de domaine de l’ordinateur pour votre domaine.

1. Ouvrez Utilisateurs et ordinateurs Active Directory (DSA.msc).

2. Cliquez avec le bouton droit sur l’unité d’organisation à utiliser pour créer Microsoft Entra contrôle délégué d’ordinateurs joints hybrides>.

   

3. Dans l’Assistant Délégation de contrôle, sélectionnez Suivant>Ajouter>Types d’objets.

4. Dans le volet Types d’objets, sélectionnez lesOrdinateurs>OK.

   

5. Dans le volet Sélectionner des utilisateurs, des ordinateurs ou des groupes, dans la zone Entrez les noms des objets à sélectionner, entrez le nom de l’ordinateur où le connecteur est installé.

   

6. Sélectionnez Vérifier les noms pour valider votre entrée >OK>Suivant.

7. Sélectionnez Créer une tâche personnalisée à déléguer>Suivant.

8. Sélectionnez uniquement les objets suivants dans le dossier>Objets d'ordinateur.

9. Sélectionnez Créer des objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans ce dossier.

   

10. Sélectionnez Suivant.

11. Sous Autorisations, cochez la case Contrôle total. Cette action sélectionne toutes les autres options.

    

12. Sélectionnez Suivant>Terminer.

Installer le connecteur Intune

Avant de commencer l’installation, assurez-vous que tous les prérequis du serveur de connecteur Intune sont remplis.

Étapes d’installation

1. Désactivez Internet Explorer configuration de sécurité renforcée. Par défaut, sous Windows Server la configuration de sécurité renforcée d’Internet Explorer est activée. Si vous ne parvenez pas à vous connecter au connecteur Intune pour Active Directory, désactivez Internet Explorer configuration de sécurité renforcée pour l’administrateur. Pour désactiver internet Explorer configuration de sécurité renforcée :

   1. Sur le serveur sur lequel le connecteur Intune est installé, ouvrez Gestionnaire de serveur.
   2. Dans le volet gauche de Gestionnaire de serveur, sélectionnez Serveur local.
   3. Dans le volet PROPRIÉTÉS droit de Gestionnaire de serveur, sélectionnez le lien Activé ou Désactivé en regard de Configuration de la sécurité renforcée d’Internet Explorer.
   4. Dans la fenêtre Configuration de la sécurité renforcée d’Internet Explorer, sélectionnez Désactivé sous Administrateurs, puis ok.

2. Dans le centre d’administration Microsoft Intune, sélectionnez Appareils>Windows>Inscription> WindowsConnecteur Intune pour Active Directory>Ajouter.

3. Suivez les instructions pour télécharger le connecteur.

4. Ouvrez le fichier d’installation du connecteur téléchargé ODJConnectorBootstrapper.exe pour installer le connecteur.

5. À la fin de l’installation, sélectionnez Configurer maintenant.

6. Sélectionnez Se connecter.

7. Entrez les informations d’identification du rôle d’Administrateur général ou d’Administrateur Intune. Le compte d’utilisateur doit avoir une licence Intune.

8. Accédez à Appareils>Windows>Inscription Windows>Connecteur Intune pour Active Directory, puis vérifiez que l’état de la connexion indique Actif.

Remarque

• Le rôle d’Administrateur général est une exigence temporaire au moment de l’installation.
• Une fois connecté au connecteur, l’affichage dans le centre d’administration Microsoft Intune peut prendre plusieurs minutes. Il apparaît seulement s’il peut communiquer avec le service Intune.
• Les connecteurs Intune inactifs apparaissent toujours dans la page Connecteurs Intune et sont automatiquement nettoyés après 30 jours.

Une fois le connecteur Intune installé, il démarre la journalisation dans le observateur d'événements sous le chemin Journaux des applications et des> servicesMicrosoft>Intune>ODJConnectorService. Sous ce chemin d’accès, vous trouverez les journaux d’activité Administration et opérationnels.

Remarque

Le connecteur Intune initialement connecté au observateur d'événements directement sous Journaux des applications et des services dans un journal appelé Service de connecteur ODJ. Toutefois, la journalisation pour le connecteur Intune a depuis été déplacée vers le chemin d’accès Journaux des applications et des> servicesMicrosoft>Intune>ODJConnectorService. Si vous constatez que le journal du service du connecteur ODJ à l’emplacement d’origine est vide ou n’est pas mis à jour, case activée le nouvel emplacement de chemin d’accès à la place.

Configuration des paramètres de proxy web

Si vous avez un proxy web dans votre environnement réseau, vérifiez que le connecteur Intune pour Active Directory fonctionne correctement en vous référant à Utiliser des serveurs proxy locaux existants.

Créer un groupe d'appareils

1. Dans le centre d’administration Microsoft Intune, sélectionnez Groupes>Nouveau groupe.

2. Dans le volet Groupe, choisissez les options suivantes :

   1. Pour Type de groupe, sélectionnez Sécurité.
   2. Renseignez les champs Nom du groupe et Description du groupe.
   3. Sélectionnez un Type d’adhésion.

3. Si vous avez sélectionné Appareils dynamiques pour le type d’adhésion, dans le volet Groupe, sélectionnez Membres de dispositif dynamique.

4. Sélectionnez Modifier dans la case Syntaxe de la règle, puis entrez l’une des lignes de code suivantes :

   • Pour créer un groupe qui inclut tous vos appareils Autopilot, entrez (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]").
   • Le champ Étiquette de groupe d’Intune est mappé à l’attribut OrderID sur Microsoft Entra appareils. Si vous voulez créer un groupe incluant tous vos appareils Autopilot avec une étiquette de groupe spécifique (OrderID), tapez : (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")
   • Pour créer un groupe qui inclut tous vos appareils Autopilot avec un ID de bon de commande spécifique, entrez (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342").

5. Sélectionnez Enregistrer>Créer.

Inscrire vos appareils Autopilot

Sélectionnez une des méthodes suivantes pour inscrire vos appareils Autopilot.

Inscrire les appareils Autopilot déjà inscrits

1. Créez un profil de déploiement Autopilot avec le paramètre Convertir tous les appareils ciblés en Autopilot défini sur Oui.

2. Affectez le profil à un groupe contenant les membres que vous voulez inscrire automatiquement avec Autopilot.

Pour plus d’informations, consultez Créer un profil de déploiement Autopilot.

Inscrire les appareils Autopilot qui ne sont pas inscrits

Si vos appareils ne sont pas encore inscrits, vous pouvez les inscrire vous-même. Pour plus d’informations, consultez Inscription manuelle.

Inscrire les appareils d’un OEM

Si vous achetez de nouveaux appareils, certains OEM peuvent les inscrire à votre place. Pour plus d’informations, consultez Inscription manuelle.

Afficher l’appareil Autopilot inscrit

Avant qu’ils ne soient inscrits dans Intune, les appareils Autopilot inscrits sont affichés à trois endroits (avec des noms définis sur leurs numéros de série) :

• Le volet Appareils Autopilot dans Intune, dans le portail Azure. Sélectionnez Inscription d’appareils>Inscription Windows>Appareils.
• Volet appareils Microsoft Entra dans Intune dans le Portail Azure. Sélectionnez Appareils>Microsoft Entra Appareils.
• Le volet Microsoft Entra Tous les appareils dans Microsoft Entra ID dans le Portail Azure en sélectionnant Appareils>Tous les appareils.

Une fois vos appareils Autopilot inscrits, ceux-ci apparaissent à quatre endroits :

• Le volet Appareils Autopilot dans Intune, dans le portail Azure. Sélectionnez Inscription d’appareils>Inscription Windows>Appareils.
• Volet appareils Microsoft Entra dans Intune dans le Portail Azure. Sélectionnez Appareils>Microsoft Entra Appareils.
• Volet Microsoft Entra Tous les appareils dans Microsoft Entra ID dans le Portail Azure. Sélectionnez Appareils>Tous les appareils.
• Le volet Tous les appareils dans Intune, dans le portail Azure. Sélectionnez Appareils>Tous les appareils.

Une fois vos appareils Autopilot inscrits, leur nom devient le nom d’hôte de l’appareil. Par défaut, le nom d’hôte commence par DESKTOP-.

Un objet d’appareil est précréé dans Microsoft Entra ID une fois qu’un appareil est inscrit dans Autopilot. Lorsqu’un appareil passe par un déploiement Microsoft Entra hybride, par conception, un autre objet d’appareil est créé, ce qui entraîne des entrées en double.

VPN BYO

Les clients VPN suivants sont testés et validés :

Clients VPN

• Client VPN Windows in-box
• Cisco AnyConnect (client Win32)
• Pulse Secure (client Win32)
• GlobalProtect (client Win32)
• Point de contrôle (client Win32)
• Citrix NetScaler (client Win32)
• SonicWall (client Win32)
• VPN FortiClient (client Win32)

Remarque

Cette liste de clients VPN n’est pas une liste complète de tous les clients VPN qui fonctionnent avec Autopilot. Contactez le fournisseur VPN correspondant pour la compatibilité et la prise en charge avec Autopilot ou pour tout problème lié à l’utilisation d’une solution VPN avec Autopilot.

Clients VPN non pris en charge

Les solutions VPN suivantes ne fonctionnent pas avec Autopilot et ne sont donc pas prises en charge pour une utilisation avec Autopilot :

• Plug-ins VPN basés sur UWP
• Tout ce qui nécessite un certificat utilisateur
• DirectAccess

Remarque

Lorsque vous utilisez des VPN BYO, vous devez sélectionner Oui pour l’option Ignorer la connectivité AD case activée dans le profil de déploiement Windows Autopilot. Always-On VPN ne doivent pas nécessiter cette option, car ils se connectent automatiquement.

Créer et affecter un profil de déploiement Autopilot

Les profils de déploiement Autopilot sont utilisés pour configurer les appareils Autopilot.

1. Dans le centre d’administration Microsoft Intune, sélectionnez Appareils Windows>>inscription> Profils >de déploiementWindows Créer un profil.

2. Sur la page Informations de base, tapez un Nom et une Description facultative.

3. Si vous souhaitez que tous les appareils des groupes attribués s’inscrivent automatiquement auprès d’Autopilot, définissez Convertir tous les appareils ciblés en Autopilot sur Oui. Tous les appareils non Autopilot appartenant à l’entreprise dans les groupes attribués s’inscrivent auprès du service de déploiement Autopilot. Les appareils personnels ne sont pas inscrits auprès d’Autopilot. Le traitement de l’enregistrement prend 48 heures. Lorsque l’appareil est désinscrit et réinitialisé, Autopilot l’inscrit à nouveau. Une fois qu’un appareil est inscrit de cette façon, la désactivation de ce paramètre ou la suppression de l’attribution de profil ne supprime pas l’appareil du service de déploiement Autopilot. À la place, vous devez supprimer l’appareil directement.

4. Sélectionnez Suivant.

5. Sur la page Mode out-of-box experience (OOBE), pour Mode de déploiement, sélectionnez Géré par l’utilisateur.

6. Dans la zone Joindre à Microsoft Entra ID en tant que, sélectionnez Microsoft Entra jointure hybride.

7. Si vous déployez des appareils à partir du réseau de l’organisation à l’aide de la prise en charge de VPN, affectez la valeur Oui à l’option Ignorer la vérification de la connectivité du domaine. Pour plus d’informations, consultez Mode piloté par l’utilisateur pour Microsoft Entra jonction hybride avec prise en charge vpn.

8. Configurez les options restantes sur la page Out-of-box experience (OOBE) en fonction de vos besoins.

9. Sélectionnez Suivant.

10. Sur la page Balises d’étendue, sélectionnez les balises d’étendue pour ce profil.

11. Sélectionnez Suivant.

12. Dans la page Affectations, sélectionnez Sélectionner les groupes à inclure> dans la recherche, puis sélectionnez le groupe > d’appareils Sélectionner.

13. Sélectionnez Suivant>Créer.

Remarque

Intune recherche régulièrement de nouveaux appareils dans les groupes attribués, puis commence le processus d’attribution de profils à ces appareils. En raison de plusieurs facteurs différents impliqués dans le processus d’attribution de profil Autopilot, une durée estimée pour l’affectation peut varier d’un scénario à l’autre. Ces facteurs peuvent inclure les groupes Microsoft Entra, les règles d’appartenance, le hachage d’un appareil, le service Intune et Autopilot et la connexion Internet. Le temps d’affectation varie en fonction de tous les facteurs et variables impliqués dans un scénario spécifique.

(Facultatif) Activer la page d’état d’inscription

1. Dans le centre d’administration Microsoft Intune, sélectionnez Appareils> Paged’état del’inscription>Windows Windows>.

2. Dans le volet Page d’état d’inscription, sélectionnez Par défaut>Paramètres.

3. Pour Afficher la progression de l’installation des applications et des profils, sélectionnez Oui.

4. Configurez les autres options selon les besoins.

5. Sélectionnez Enregistrer.

Créer et affecter un profil de jonction de domaine

1. Dans le centre d’administration Microsoft Intune, sélectionnez Appareils>Profils> de configurationCréer un profil.

2. Entrez les propriétés suivantes :

   • Nom : attribuez un nom descriptif au nouveau profil.
   • Description : entrez une description pour le profil.
   • Plateforme : sélectionnez Windows 10 et ultérieur.
   • Type de profil : sélectionnez Modèles, choisissez le nom de modèle Jonction de domaine, puis sélectionnez Créer.

3. Entrez un Nom et une Description pour la nouvelle stratégie, puis sélectionnez Suivant.

4. Sélectionnez Préfixe de nom d’ordinateur et Nom de domaine.

5. (Facultatif) Indiquez une unité d’organisation (UO) au format de DN. Les options disponibles sont les suivantes :

   • Fournissez une unité d’organisation dans laquelle le contrôle est délégué à votre appareil Windows 2016 qui exécute le connecteur Intune.
   • Fournissez une unité d’organisation dans laquelle le contrôle est délégué aux ordinateurs racines de votre Active Directory local.
   • Si vous laissez ce champ vide, l’objet ordinateur est créé dans le conteneur Active Directory par défaut (CN=Computers si vous ne l’avez jamais modifié).

   Voici quelques exemples valides :

   • OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
   • OU=Mine,DC=contoso,DC=com

   Voici quelques exemples qui ne sont pas valides :

   • CN=Computers,DC=contoso,DC=com (vous ne pouvez pas spécifier de conteneur, laissez plutôt la valeur vide pour utiliser la valeur par défaut pour le domaine)
   • OU=Mine (vous devez spécifier le domaine via les DC= attributs)

   Remarque

   N’utilisez pas de guillemets autour de la valeur dans Unité d'organisation.

6. Sélectionnez OK>Créer. Le profil est créé et apparaît dans la liste.

7. Affectez un profil d’appareil au même groupe utilisé à l’étape Créer un groupe d’appareils. Vous pouvez utiliser différents groupes si vous devez joindre des appareils à différents domaines ou unités d’organisation.

Remarque

La fonctionnalité de nommage de Windows Autopilot pour Microsoft Entra jointure hybride ne prend pas en charge les variables telles que %SERIAL%. Il prend uniquement en charge les préfixes pour le nom de l’ordinateur.

Désinstaller le connecteur ODJ

Le connecteur ODJ est installé localement sur un ordinateur via un fichier exécutable. Si le connecteur ODJ doit être désinstallé d’un ordinateur, il doit également être effectué localement sur l’ordinateur. Le connecteur ODJ ne peut pas être supprimé via le portail Intune ou via un appel d’API graphe.

Pour désinstaller le connecteur ODJ de l’ordinateur, procédez comme suit :

1. Connectez-vous à l’ordinateur hébergeant le connecteur ODJ.
2. Cliquez avec le bouton droit sur le menu Démarrer et sélectionnez Paramètres.
3. Dans la fenêtre Paramètres Windows , sélectionnez Applications.
4. Sous Applications & fonctionnalités, recherchez et sélectionnez Connecteur Intune pour Active Directory.
5. Sous Connecteur Intune pour Active Directory, sélectionnez le bouton Désinstaller , puis sélectionnez à nouveau le bouton Désinstaller .
6. Le connecteur ODJ procède à la désinstallation.

Prochaines étapes

Une fois que vous avez configuré Windows Autopilot, découvrez comment gérer les appareils. Pour plus d’informations, consultez Qu’est-ce que la gestion des appareils Microsoft Intune ?.

Articles connexes

• Qu’est-ce qu’une identité d’appareil ?.
• En savoir plus sur les points de terminaison natifs cloud.
• Microsoft Entra joint ou Microsoft Entra joint hybride dans des points de terminaison natifs cloud.
• Tutoriel : Configurer et configurer un point de terminaison Windows natif cloud avec Microsoft Intune.
• Guide pratique pour planifier votre implémentation de jointure Microsoft Entra.
• Infrastructure pour la transformation de gestion des points de terminaison Windows.
• Présentation des scénarios azure AD hybrides et de cogestion.
• Réussite avec Windows Autopilot distant et la jonction Azure Active Directory hybride.