Partager via

Jointure hybride Microsoft Entra pilotée par l’utilisateur : installer le connecteur Intune pour Active Directory

Étapes de jointure hybride windows Autopilot pilotée par l’utilisateur Microsoft Entra :

  • Étape 2 : Installer le connecteur Intune pour Active Directory

Pour obtenir une vue d’ensemble du workflow de jointure hybride Microsoft Entra windows Autopilot piloté par l’utilisateur, consultez Vue d’ensemble de la jointure hybride windows Autopilot Microsoft Entra pilotée par l’utilisateur.

Remarque

Si le connecteur Intune pour Active Directory est déjà installé et configuré, ignorez cette étape et passez à l’étape 3 : Augmenter la limite de compte d’ordinateur dans l’unité d’organisation (UO).

Installer le connecteur Intune pour Active Directory

Le connecteur Intune pour Active Directory, également appelé connecteur ODJ (Offline Domain Join), joint les ordinateurs à un domaine local pendant le processus Windows Autopilot. Le connecteur crée des objets ordinateur dans une unité d’organisation (UO) spécifiée dans Active Directory pendant le processus de jointure de domaine.

Importante

Les versions Intune Connector pour Active Directory antérieures à 6.2501.2000.5 sont déconseillées et ne peuvent plus traiter les demandes d’inscription. Pour plus d’informations, consultez le billet de blog connecteur Intune pour Active Directory avec un compte à faibles privilèges pour les déploiements de jonction de Microsoft Entra hybrides Windows Autopilot.

Pour mettre à jour le connecteur, vous devez :

  1. Désinstallez manuellement le connecteur hérité. Il n’existe pas d’option automatique.
  2. Téléchargez et installez le connecteur mis à jour (décrit dans cet article).

Conseil

Si vous utilisez plusieurs domaines pour inscrire des appareils Autopilot :

  • Vous avez besoin d’un connecteur distinct instance pour chaque domaine. Un connecteur peut uniquement traiter les demandes d’inscription pour le même domaine que le serveur sur lequel il a été installé.
  • Il peut y avoir au maximum 1 connecteur par serveur (machine virtuelle ou physique). Des serveurs supplémentaires par domaine peuvent être configurés pour la redondance, chacun avec son propre connecteur installé. Dans cette configuration, si un connecteur échoue, les demandes sont envoyées à un autre connecteur sur un autre serveur du même domaine.

Sélectionnez l’onglet qui correspond à la version du connecteur Intune pour Active Directory en cours d’installation :

Avant de commencer

Désactiver internet Explorer configuration de sécurité renforcée

À compter de la version 6.2504.2001.8, le connecteur Intune mis à jour pour Active Directory est passé à l’utilisation de WebView2, basé sur Microsoft Edge, au lieu de WebBrowser, basé sur Microsoft Internet Explorer. Cette modification signifie que le paramètre Configuration de la sécurité renforcée Explorer Internet dans Windows Server n’a plus besoin d’être désactivé. Veillez à installer la version 6.2504.2001.8 ou ultérieure du connecteur Intune pour Active Directory afin d’éviter les problèmes liés au paramètre Configuration de sécurité renforcée d’Internet Explorer.

Télécharger le connecteur Intune pour Active Directory

  1. Sur le serveur sur lequel Intune Connector pour Active Directory est installé, connectez-vous au centre d’administration Microsoft Intune.

  2. Dans l’écran d’accueil , sélectionnez Appareils dans le volet gauche.

  3. Dans les appareils | Écran Vue d’ensemble , sous Par plateforme, sélectionnez Windows.

  4. Dans windows | Écran Appareils Windows , sous Intégration de l’appareil, sélectionnez Inscription.

  5. Dans windows | Écran d’inscription Windows, sous Windows Autopilot, sélectionnez connecteur Intune pour Active Directory.

  6. Dans l’écran connecteur Intune pour Active Directory, sélectionnez Ajouter.

  7. Dans la fenêtre Ajouter un connecteur qui s’ouvre, sous Configuration du connecteur Intune pour Active Directory, sélectionnez Télécharger le connecteur Intune local pour Active Directory. Le lien télécharge un fichier appelé ODJConnectorBootstrapper.exe.

Installer le connecteur Intune pour Active Directory sur le serveur

Importante

L’installation du connecteur Intune pour Active Directory doit être effectuée avec un compte disposant des droits de domaine suivants :

  • Obligatoire : créez des objets msDs-ManagedServiceAccount dans le conteneur Comptes de service gérés.
  • Facultatif - Modifier les autorisations dans les unités d’organisation dans Active Directory : si l’administrateur qui installe le connecteur Intune mis à jour pour Active Directory n’a pas ce droit, des étapes de configuration supplémentaires sont requises par un administrateur disposant de ces droits. Pour plus d’informations, consultez l’étape/la section Augmenter la limite du compte d’ordinateur dans l’unité d’organisation.

  1. Connectez-vous au serveur sur lequel le connecteur Intune pour Active Directory est installé avec un compte disposant de droits d’administrateur local.

  2. Si le connecteur Intune hérité précédent pour Active Directory est installé, désinstallez-le avant d’installer le connecteur Intune mis à jour pour Active Directory. Pour plus d’informations, consultez Désinstaller le connecteur Intune pour Active Directory.

    Importante

    Lors de la désinstallation du connecteur Intune hérité précédent pour Active Directory, veillez à exécuter le programme d’installation hérité Intune Connector pour Active Directory dans le cadre du processus de désinstallation. Si le programme d’installation hérité du connecteur Intune pour Active Directory vous invite à le désinstaller lorsqu’il est exécuté, choisissez de le désinstaller. Cette étape garantit que le connecteur Intune hérité précédent pour Active Directory est entièrement désinstallé. Le programme d’installation du connecteur Intune hérité pour Active Directory peut être téléchargé à partir de Intune Connector pour Active Directory.

    Conseil

    Dans les domaines avec un seul connecteur Intune pour Active Directory, Microsoft recommande d’installer d’abord le connecteur Intune mis à jour pour Active Directory sur un autre serveur. L’installation du connecteur Intune mis à jour pour Active Directory sur un autre serveur doit être effectuée avant de désinstaller le connecteur Intune hérité pour Active Directory sur le serveur actuel. L’installation du connecteur Intune pour Active Directory sur un autre permet d’éviter tout temps d’arrêt pendant la mise à jour du connecteur Intune pour Active Directory sur le serveur actuel.

  3. Ouvrez le ODJConnectorBootstrapper.exe fichier téléchargé pour lancer l’installation du connecteur Intune pour le programme d’installation d’Active Directory.

  4. Parcourez pas à pas l’installation du connecteur Intune pour le programme d’installation d’Active Directory.

  5. À la fin de l’installation, cochez la case Lancer Intune Connector pour Active Directory.

    Remarque

    Si Intune installation du programme d’installation du connecteur pour Active Directory est fermée accidentellement sans avoir coché la case Lancer Intune Connecteur pour Active Directory, la configuration du connecteur Intune pour Active Directory peut être rouverte en sélectionnant Intune Connecteur pour Active Directory>Intune Connecteur pour Active Directory à partir du menu Démarrer.

Connectez-vous au connecteur Intune pour Active Directory

  1. Dans la fenêtre connecteur Intune pour Active Directory, sous l’onglet Inscription, sélectionnez Se connecter.

  2. Sous l’onglet Se connecter, connectez-vous avec les informations d’identification Microsoft Entra ID d’un rôle d’administrateur Intune. Le compte d’utilisateur doit avoir une licence Intune. Le processus de connexion peut prendre quelques minutes.

    Remarque

    Le compte utilisé pour inscrire le connecteur Intune pour Active Directory n’est qu’une exigence temporaire au moment de l’installation. Le compte n’est pas utilisé une fois le serveur inscrit.

  3. Une fois le processus de connexion terminé :

    1. La fenêtre de confirmation du connecteur Intune pour Active Directory s’affiche. Sélectionnez OK pour fermer la fenêtre.
    2. Un compte de service managé avec le nom «<>MSA_name » a été correctement configuré, la fenêtre de confirmation s’affiche. Le nom du msa est au format msaODJ########## sont cinq caractères aléatoires. Notez le nom du MSA qui a été créé, puis sélectionnez OK pour fermer la fenêtre. Le nom du MSA peut être nécessaire ultérieurement pour configurer le MSA afin d’autoriser la création d’objets ordinateur dans des unités d’organisation.

  4. L’onglet Inscription indique Intune Connecteur pour Active Directory est inscrit. Le bouton Se connecter est grisé et Configurer le compte de service géré est activé.

  5. Fermez la fenêtre connecteur Intune pour Active Directory.

Vérifier que le connecteur Intune pour Active Directory est actif

Après l’authentification, l’installation du connecteur Intune pour Active Directory est terminée. Une fois l’installation terminée, vérifiez qu’elle est active dans Intune en procédant comme suit :

  1. Accédez au Centre d’administration Microsoft Intune s’il est toujours ouvert. Si la fenêtre Ajouter un connecteur s’affiche toujours, fermez-la.

    Si le centre d’administration Microsoft Intune n’est toujours pas ouvert :

    1. Connectez-vous au Centre d’administration Microsoft Intune.

    2. Dans l’écran d’accueil , sélectionnez Appareils dans le volet gauche.

    3. Dans les appareils | Écran Vue d’ensemble , sous Par plateforme, sélectionnez Windows.

    4. Dans windows | Écran Appareils Windows , sous Intégration de l’appareil, sélectionnez Inscription.

    5. Dans windows | Écran d’inscription Windows, sous Windows Autopilot, sélectionnez connecteur Intune pour Active Directory.

  2. Dans la page connecteur Intune pour Active Directory :

    • Vérifiez que le serveur s’affiche sous Nom du connecteur et qu’il est actif sous État
    • Pour le connecteur Intune mis à jour pour Active Directory, vérifiez que la version est supérieure ou égale à 6.2501.2000.5.

    Si le serveur n’est pas affiché, sélectionnez Actualiser ou quittez la page, puis revenez à la page Intune Connector pour Active Directory.

Remarque

  • L’affichage du serveur nouvellement inscrit dans la page connecteur Intune pour Active Directory du centre d’administration Microsoft Intune peut prendre plusieurs minutes. Le serveur inscrit s’affiche uniquement s’il peut communiquer avec le service Intune.

  • Les connecteurs Intune inactifs pour Active Directory apparaissent toujours dans la page connecteur Intune pour Active Directory et sont automatiquement nettoyés après 30 jours.

Une fois le connecteur Intune pour Active Directory installé, il démarre la journalisation dans le observateur d'événements sous le chemin d’accès Journaux >des applications et des servicesMicrosoft> Intune >ODJConnectorService. Sous ce chemin d’accès, vous trouverez les journaux d’activité Administration et opérationnels.

Configurer msa pour autoriser la création d’objets dans des unités d’organisation (facultatif)

Par défaut, les administrateurs de service ont uniquement accès à la création d’objets ordinateur dans le conteneur Ordinateurs . Les administrateurs de service administrés n’ont pas accès à la création d’objets ordinateur dans des unités d’organisation (UO). Pour permettre à MSA de créer des objets dans des unités d’organisation, les unités d’organisation doivent être ajoutées au ODJConnectorEnrollmentWizard.exe.config fichier XML qui se trouve dans ODJConnectorEnrollmentWizard le répertoire où le connecteur Intune pour Active Directory a été installé, normalement C:\Program Files\Microsoft Intune\ODJConnector\.

Pour configurer msa afin d’autoriser la création d’objets dans des unités d’organisation, procédez comme suit :

  1. Sur le serveur sur lequel le connecteur Intune pour Active Directory est installé, accédez au ODJConnectorEnrollmentWizard répertoire où le connecteur Intune pour Active Directory a été installé, normalement C:\Program Files\Microsoft Intune\ODJConnector\.

  2. Dans le ODJConnectorEnrollmentWizard répertoire, ouvrez le fichier XML existant ODJConnectorEnrollmentWizard.exe.config dans un éditeur de texte, par exemple, bloc-notes.

  3. Dans l’élément add key du ODJConnectorEnrollmentWizard.exe.config fichier XML :

    • En regard de value=, ajoutez toutes les unités d’organisation souhaitées auxquelles le MSA doit avoir accès pour créer des objets ordinateur.
    • Le nom de l’unité d’organisation doit être au format de nom unique LDAP et, le cas échéant, doit être placé dans une séquence d’échappement.
    • Plusieurs unités d’organisation sont prises en charge en séparant chaque unité d’organisation par un point-virgule (;).
    • Veillez à conserver les guillemets (") en regard de value=. Toutes les valeurs d’unité d’organisation doivent se trouver dans une paire de guillemets.
    • Ne modifiez pas le nom de l’élément OrganizationalUnitsUsedForOfflineDomainJoinde clé .

    L’exemple suivant est un exemple d’entrée XML avec plusieurs unités d’organisation au format de nom unique LDAP :

      <appSettings>

    <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format.
        The ODJ Connector will only have permission to create computer objects in these OUs.
        The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure

        Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY):
        Domain contains the following OUs:
          - OU=HybridDevices,DC=contoso,DC=com
          - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com

        Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" -->

    <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" />
  </appSettings>

    Conseil

    Dans l’exemple, remplacez l’exemple de texte rouge en regard de par value= les unités d’organisation de l’organization au format de nom unique LDAP. Comme indiqué dans l’exemple, assurez-vous que toutes les entrées d’unité d’organisation se trouvent entre guillemets (") et que chaque unité d’organisation est séparée par un point-virgule (;) .

  4. Une fois que toutes les unités d’organisation souhaitées sont ajoutées, enregistrez le ODJConnectorEnrollmentWizard.exe.config fichier XML.

  5. En tant qu’administrateur disposant des autorisations appropriées pour modifier les autorisations d’unité d’organisation, ouvrez le connecteur Intune pour Active Directory en accédant à Intune Connecteur pour Active Directory>Intune Connecteur pour Active Directory à partir du menu Démarrer.

    Importante

    Si l’administrateur qui installe et configure le connecteur Intune pour Active Directory ne dispose pas des autorisations nécessaires pour modifier les autorisations de l’unité d’organisation, la section/étapes Augmenter la limite de compte d’ordinateur dans l’unité d’organisation doit être suivie à la place par un administrateur qui dispose des autorisations nécessaires pour modifier les autorisations de l’unité d’organisation.

  6. Sous l’onglet Inscription dans la fenêtre connecteur Intune pour Active Directory, sélectionnez Configurer le compte de service géré.

  7. Un compte de service géré nommé «< MSA_name> » a été correctement configuré s’affiche. Sélectionnez OK pour fermer la fenêtre.

Utiliser un compte de service managé personnalisé (facultatif)

Si vous le souhaitez, vous pouvez configurer le connecteur pour qu’il utilise votre propre compte de service managé, par opposition au MSA configuré automatiquement par le connecteur.

Conditions requises pour MSA

Cette section décrit les exigences MSA.

  • Le compte fourni doit être un compte de service avec l’une des catégories d’objets suivantes dans Active Directory :

    • CN=ms-DS-Group-Managed-Service-Account,CN=Schema,CN=Configuration,DC=contoso,DC=com

    • CN=ms-DS-Managed-Service-Account,CN=Schema,CN=Configuration,DC=contoso,DC=com

  • La valeur de configuration du compte de service doit être au format suivant : <msaAccountName@domain>

  • Le compte de service doit exister dans le même domaine que le serveur du connecteur ODJ.

  • Le compte de service doit être installé sur le serveur hébergeant le connecteur ODJ. Pour plus d’informations, consultez Install-ADServiceAccount.

    • Si vous utilisez sMSA, le compte ne peut être lié qu’à un seul ordinateur.
    • Si vous utilisez un compte gMSA, le serveur sur lequel vous installez le gMSA doit avoir accès au mot de passe.

  • Le compte de service doit disposer d’une autorisation d’ouverture de session locale en tant que service qui peut être définie directement ou via l’appartenance au groupe. Pour plus d’informations, consultez Activer l’ouverture de session de service.

  • L’autorisation doit être accordée manuellement pour que les comptes de service créent des objets ordinateur pour les flux Autopilot hybrides. Pour plus d’informations, consultez Augmenter la limite de compte d’ordinateur dans l’unité d’organisation (UO).

Comment configurer

Mettez à jour ODJConnectorEnrollmentWizard.exe.config. Son emplacement par défaut est C:\Program Files\Microsoft Intune\ODJConnector\ODJConnectorEnrollmentWizard.

  1. Dans la section appSettings du fichier, ajoutez la ligne suivante : <add key="TenantConfiguredManagedServiceAccount" value="{accountname}" />
  2. Connectez-vous au connecteur.
Désactiver les mises à jour de l’unité d'

L’utilisation de votre propre MSA empêche le connecteur d’effectuer des mises à jour d’unité d’organisation, quelle que soit la configuration configurée dans OrganizationalUnitsUsedForOfflineDomainJoin. Pour éviter les erreurs, désactivez les mises à jour de l’unité d’organisation en mettant à jour ODJConnectorEnrollmentWizard.exe.config. Son emplacement par défaut est C:\Program Files\Microsoft Intune\ODJConnector\ODJConnectorEnrollmentWizard.

  1. Dans la section appSettings du fichier, ajoutez la ligne suivante : <add key="DisableOUUpdates" value="true" />
  2. Connectez-vous au connecteur.

Étape suivante : Augmenter la limite de compte d’ordinateur dans l’unité d’organisation (UO)

Étape 3 : Augmenter la limite de compte d’ordinateur dans l’unité d’organisation (UO)

  • Last updated on