Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Importante
Microsoft recommande de déployer de nouveaux appareils en tant que cloud natif à l’aide de Microsoft Entra jonction. Le déploiement de nouveaux appareils en tant que Microsoft Entra appareils de jointure hybride n’est pas recommandé, notamment via Windows Autopilot. Pour plus d’informations, consultez Microsoft Entra joint ou Microsoft Entra joint hybride dans des points de terminaison natifs cloud : quelle option convient à votre organization.
Intune et Windows Autopilot peuvent être utilisés pour configurer Microsoft Entra appareils joints hybrides. Pour cela, effectuez les étapes de cet article. Pour plus d’informations sur Microsoft Entra jointure hybride, consultez Présentation Microsoft Entra jointure et cogestion hybrides.
Configuration requise
La liste des conditions requises pour effectuer Microsoft Entra jointure hybride pendant Windows Autopilot est organisée en trois catégories différentes :
- Général : conditions générales.
- Inscription de l’appareil : conditions requises pour l’inscription des appareils.
- connecteur Intune : connecteur Intune pour les exigences d’Active Directory.
Sélectionnez l’onglet approprié pour afficher les exigences pertinentes :
Généralités- Les appareils joints hybrides Microsoft Entra ont été correctement configurés. Veillez à vérifier l’inscription de l’appareil à l’aide de l’applet de commande Get-MgDevice .
- Si le filtrage basé sur un domaine et une unité d’organisation est configuré dans le cadre de Microsoft Entra Connect, vérifiez que l’unité d’organisation (UO) ou le conteneur par défaut destiné aux appareils Windows Autopilot est inclus dans l’étendue de synchronisation.
Configurer l’inscription GPM automatique Windows
Connectez-vous au Portail Azure et sélectionnez Microsoft Entra ID.
Dans le volet gauche, sélectionnez Gérer la | mobilité (MDM et WIP)>Microsoft Intune.
Assurez-vous que les utilisateurs qui déploient Microsoft Entra appareils joints à l’aide de Intune et Windows sont membres d’un groupe inclus dans l’étendue utilisateur MDM.
Utilisez les valeurs par défaut des zones URL des conditions d’utilisation de GDR, URL de détection MDM et URL de conformité GDR, puis sélectionnez Enregistrer.
Installer le connecteur Intune pour Active Directory
Le connecteur Intune pour Active Directory, également appelé connecteur ODJ (Offline Domain Join), joint les ordinateurs à un domaine local pendant le processus Windows Autopilot. Le connecteur crée des objets ordinateur dans une unité d’organisation (UO) spécifiée dans Active Directory pendant le processus de jointure de domaine.
Importante
Les versions Intune Connector pour Active Directory antérieures à 6.2501.2000.5 sont déconseillées et ne peuvent plus traiter les demandes d’inscription. Pour plus d’informations, consultez le billet de blog connecteur Intune pour Active Directory avec un compte à faibles privilèges pour les déploiements de jonction de Microsoft Entra hybrides Windows Autopilot.
Pour mettre à jour le connecteur, vous devez :
- Désinstallez manuellement le connecteur hérité. Il n’existe pas d’option automatique.
- Téléchargez et installez le connecteur mis à jour (décrit dans cet article).
Conseil
Si vous utilisez plusieurs domaines pour inscrire des appareils Autopilot :
- Vous avez besoin d’un connecteur distinct instance pour chaque domaine. Un connecteur peut uniquement traiter les demandes d’inscription pour le même domaine que le serveur sur lequel il a été installé.
- Il peut y avoir au maximum 1 connecteur par serveur (machine virtuelle ou physique). Des serveurs supplémentaires par domaine peuvent être configurés pour la redondance, chacun avec son propre connecteur installé. Dans cette configuration, si un connecteur échoue, les demandes sont envoyées à un autre connecteur sur un autre serveur du même domaine.
Sélectionnez l’onglet qui correspond à la version du connecteur Intune pour Active Directory en cours d’installation :
Connecteur mis à jourAvant de commencer
Avant d’installer, assurez-vous que toutes les exigences du connecteur Intune pour le serveur Active Directory sont remplies.
Microsoft recommande (non obligatoire) que l’administrateur qui installe et configure le connecteur Intune pour Active Directory dispose des droits de domaine répertoriés dans Intune Configuration requise pour Active Directory. Ces droits permettent au programme d’installation et au processus de configuration Intune Connector pour Active Directory de définir des autorisations pour le compte de service administré (MSA) sur le conteneur d’ordinateur ou les unités d’organisation où des objets ordinateur sont créés.
Si l’administrateur n’a pas ces autorisations, un autre administrateur disposant des droits appropriés doit augmenter la limite de compte d’ordinateur dans l’unité d’organisation (UO).
Désactiver internet Explorer configuration de sécurité renforcée
À compter de la version 6.2504.2001.8, le connecteur Intune mis à jour pour Active Directory est passé à l’utilisation de WebView2, basé sur Microsoft Edge, au lieu de WebBrowser, basé sur Microsoft Internet Explorer. Cette modification signifie que le paramètre Configuration de la sécurité renforcée Explorer Internet dans Windows Server n’a plus besoin d’être désactivé. Veillez à installer la version 6.2504.2001.8 ou ultérieure du connecteur Intune pour Active Directory afin d’éviter les problèmes liés au paramètre Configuration de sécurité renforcée d’Internet Explorer.
Télécharger le connecteur Intune pour Active Directory
Sur le serveur sur lequel Intune Connector pour Active Directory est installé, connectez-vous au centre d’administration Microsoft Intune.
Dans l’écran d’accueil , sélectionnez Appareils dans le volet gauche.
Dans les appareils | Écran Vue d’ensemble , sous Par plateforme, sélectionnez Windows.
Dans windows | Écran Appareils Windows , sous Intégration de l’appareil, sélectionnez Inscription.
Dans windows | Écran d’inscription Windows, sous Windows Autopilot, sélectionnez connecteur Intune pour Active Directory.
Dans l’écran connecteur Intune pour Active Directory, sélectionnez Ajouter.
Dans la fenêtre Ajouter un connecteur qui s’ouvre, sous Configuration du connecteur Intune pour Active Directory, sélectionnez Télécharger le connecteur Intune local pour Active Directory. Le lien télécharge un fichier appelé
ODJConnectorBootstrapper.exe.
Installer le connecteur Intune pour Active Directory sur le serveur
Importante
L’installation du connecteur Intune pour Active Directory doit être effectuée avec un compte disposant des droits de domaine suivants :
- Obligatoire : créez des objets msDs-ManagedServiceAccount dans le conteneur Comptes de service gérés.
- Facultatif - Modifier les autorisations dans les unités d’organisation dans Active Directory : si l’administrateur qui installe le connecteur Intune mis à jour pour Active Directory n’a pas ce droit, des étapes de configuration supplémentaires sont requises par un administrateur disposant de ces droits. Pour plus d’informations, consultez l’étape/la section Augmenter la limite du compte d’ordinateur dans l’unité d’organisation.
Connectez-vous au serveur sur lequel le connecteur Intune pour Active Directory est installé avec un compte disposant de droits d’administrateur local.
Si le connecteur Intune hérité précédent pour Active Directory est installé, désinstallez-le avant d’installer le connecteur Intune mis à jour pour Active Directory. Pour plus d’informations, consultez Désinstaller le connecteur Intune pour Active Directory.
Importante
Lors de la désinstallation du connecteur Intune hérité précédent pour Active Directory, veillez à exécuter le programme d’installation hérité Intune Connector pour Active Directory dans le cadre du processus de désinstallation. Si le programme d’installation hérité du connecteur Intune pour Active Directory vous invite à le désinstaller lorsqu’il est exécuté, choisissez de le désinstaller. Cette étape garantit que le connecteur Intune hérité précédent pour Active Directory est entièrement désinstallé. Le programme d’installation du connecteur Intune hérité pour Active Directory peut être téléchargé à partir de Intune Connector pour Active Directory.
Conseil
Dans les domaines avec un seul connecteur Intune pour Active Directory, Microsoft recommande d’installer d’abord le connecteur Intune mis à jour pour Active Directory sur un autre serveur. L’installation du connecteur Intune mis à jour pour Active Directory sur un autre serveur doit être effectuée avant de désinstaller le connecteur Intune hérité pour Active Directory sur le serveur actuel. L’installation du connecteur Intune pour Active Directory sur un autre permet d’éviter tout temps d’arrêt pendant la mise à jour du connecteur Intune pour Active Directory sur le serveur actuel.
Ouvrez le
ODJConnectorBootstrapper.exefichier téléchargé pour lancer l’installation du connecteur Intune pour le programme d’installation d’Active Directory.Parcourez pas à pas l’installation du connecteur Intune pour le programme d’installation d’Active Directory.
À la fin de l’installation, cochez la case Lancer Intune Connector pour Active Directory.
Remarque
Si Intune installation du programme d’installation du connecteur pour Active Directory est fermée accidentellement sans avoir coché la case Lancer Intune Connecteur pour Active Directory, la configuration du connecteur Intune pour Active Directory peut être rouverte en sélectionnant Intune Connecteur pour Active Directory>Intune Connecteur pour Active Directory à partir du menu Démarrer.
Connectez-vous au connecteur Intune pour Active Directory
Dans la fenêtre connecteur Intune pour Active Directory, sous l’onglet Inscription, sélectionnez Se connecter.
Sous l’onglet Se connecter, connectez-vous avec les informations d’identification Microsoft Entra ID d’un rôle d’administrateur Intune. Le compte d’utilisateur doit avoir une licence Intune. Le processus de connexion peut prendre quelques minutes.
Remarque
Le compte utilisé pour inscrire le connecteur Intune pour Active Directory n’est qu’une exigence temporaire au moment de l’installation. Le compte n’est pas utilisé une fois le serveur inscrit.
Une fois le processus de connexion terminé :
- La fenêtre de confirmation du connecteur Intune pour Active Directory s’affiche. Sélectionnez OK pour fermer la fenêtre.
-
Un compte de service managé avec le nom «<>MSA_name » a été correctement configuré, la fenêtre de confirmation s’affiche. Le nom du msa est au format
msaODJ#####où ##### sont cinq caractères aléatoires. Notez le nom du MSA qui a été créé, puis sélectionnez OK pour fermer la fenêtre. Le nom du MSA peut être nécessaire ultérieurement pour configurer le MSA afin d’autoriser la création d’objets ordinateur dans des unités d’organisation.
L’onglet Inscription indique Intune Connecteur pour Active Directory est inscrit. Le bouton Se connecter est grisé et Configurer le compte de service géré est activé.
Fermez la fenêtre connecteur Intune pour Active Directory.
Vérifier que le connecteur Intune pour Active Directory est actif
Après l’authentification, l’installation du connecteur Intune pour Active Directory est terminée. Une fois l’installation terminée, vérifiez qu’elle est active dans Intune en procédant comme suit :
Accédez au Centre d’administration Microsoft Intune s’il est toujours ouvert. Si la fenêtre Ajouter un connecteur s’affiche toujours, fermez-la.
Si le centre d’administration Microsoft Intune n’est toujours pas ouvert :
Connectez-vous au Centre d’administration Microsoft Intune.
Dans l’écran d’accueil , sélectionnez Appareils dans le volet gauche.
Dans les appareils | Écran Vue d’ensemble , sous Par plateforme, sélectionnez Windows.
Dans windows | Écran Appareils Windows , sous Intégration de l’appareil, sélectionnez Inscription.
Dans windows | Écran d’inscription Windows, sous Windows Autopilot, sélectionnez connecteur Intune pour Active Directory.
Dans la page connecteur Intune pour Active Directory :
- Vérifiez que le serveur s’affiche sous Nom du connecteur et qu’il est actif sous État
- Pour le connecteur Intune mis à jour pour Active Directory, vérifiez que la version est supérieure ou égale à 6.2501.2000.5.
Si le serveur n’est pas affiché, sélectionnez Actualiser ou quittez la page, puis revenez à la page Intune Connector pour Active Directory.
Remarque
L’affichage du serveur nouvellement inscrit dans la page connecteur Intune pour Active Directory du centre d’administration Microsoft Intune peut prendre plusieurs minutes. Le serveur inscrit s’affiche uniquement s’il peut communiquer avec le service Intune.
Les connecteurs Intune inactifs pour Active Directory apparaissent toujours dans la page connecteur Intune pour Active Directory et sont automatiquement nettoyés après 30 jours.
Une fois le connecteur Intune pour Active Directory installé, il démarre la journalisation dans le observateur d'événements sous le chemin d’accès Journaux >des applications et des servicesMicrosoft> Intune >ODJConnectorService. Sous ce chemin d’accès, vous trouverez les journaux d’activité Administration et opérationnels.
Configurer msa pour autoriser la création d’objets dans des unités d’organisation (facultatif)
Par défaut, les administrateurs de service ont uniquement accès à la création d’objets ordinateur dans le conteneur Ordinateurs . Les administrateurs de service administrés n’ont pas accès à la création d’objets ordinateur dans des unités d’organisation (UO). Pour permettre à MSA de créer des objets dans des unités d’organisation, les unités d’organisation doivent être ajoutées au ODJConnectorEnrollmentWizard.exe.config fichier XML qui se trouve dans ODJConnectorEnrollmentWizard le répertoire où le connecteur Intune pour Active Directory a été installé, normalement C:\Program Files\Microsoft Intune\ODJConnector\.
Pour configurer msa afin d’autoriser la création d’objets dans des unités d’organisation, procédez comme suit :
Sur le serveur sur lequel le connecteur Intune pour Active Directory est installé, accédez au
ODJConnectorEnrollmentWizardrépertoire où le connecteur Intune pour Active Directory a été installé, normalementC:\Program Files\Microsoft Intune\ODJConnector\.Dans le
ODJConnectorEnrollmentWizardrépertoire, ouvrez le fichier XML existantODJConnectorEnrollmentWizard.exe.configdans un éditeur de texte, par exemple, bloc-notes.Dans l’élément
add keyduODJConnectorEnrollmentWizard.exe.configfichier XML :- En regard de
value=, ajoutez toutes les unités d’organisation souhaitées auxquelles le MSA doit avoir accès pour créer des objets ordinateur. - Le nom de l’unité d’organisation doit être au format de nom unique LDAP et, le cas échéant, doit être placé dans une séquence d’échappement.
- Plusieurs unités d’organisation sont prises en charge en séparant chaque unité d’organisation par un point-virgule (;).
- Veillez à conserver les guillemets (") en regard de
value=. Toutes les valeurs d’unité d’organisation doivent se trouver dans une paire de guillemets. - Ne modifiez pas le nom de l’élément
OrganizationalUnitsUsedForOfflineDomainJoinde clé .
L’exemple suivant est un exemple d’entrée XML avec plusieurs unités d’organisation au format de nom unique LDAP :
<appSettings> <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format. The ODJ Connector will only have permission to create computer objects in these OUs. The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY): Domain contains the following OUs: - OU=HybridDevices,DC=contoso,DC=com - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" --> <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" /> </appSettings>Conseil
Dans l’exemple, remplacez l’exemple de texte rouge en regard de par
value=les unités d’organisation de l’organization au format de nom unique LDAP. Comme indiqué dans l’exemple, assurez-vous que toutes les entrées d’unité d’organisation se trouvent entre guillemets (") et que chaque unité d’organisation est séparée par un point-virgule (;) .- En regard de
Une fois que toutes les unités d’organisation souhaitées sont ajoutées, enregistrez le
ODJConnectorEnrollmentWizard.exe.configfichier XML.En tant qu’administrateur disposant des autorisations appropriées pour modifier les autorisations d’unité d’organisation, ouvrez le connecteur Intune pour Active Directory en accédant à Intune Connecteur pour Active Directory>Intune Connecteur pour Active Directory à partir du menu Démarrer.
Importante
Si l’administrateur qui installe et configure le connecteur Intune pour Active Directory ne dispose pas des autorisations nécessaires pour modifier les autorisations de l’unité d’organisation, la section/étapes Augmenter la limite de compte d’ordinateur dans l’unité d’organisation doit être suivie à la place par un administrateur qui dispose des autorisations nécessaires pour modifier les autorisations de l’unité d’organisation.
Sous l’onglet Inscription dans la fenêtre connecteur Intune pour Active Directory, sélectionnez Configurer le compte de service géré.
Un compte de service géré nommé «< MSA_name> » a été correctement configuré s’affiche. Sélectionnez OK pour fermer la fenêtre.
Utiliser un compte de service managé personnalisé (facultatif)
Si vous le souhaitez, vous pouvez configurer le connecteur pour qu’il utilise votre propre compte de service managé, par opposition au MSA configuré automatiquement par le connecteur.
Conditions requises pour MSA
Cette section décrit les exigences MSA.
Le compte fourni doit être un compte de service avec l’une des catégories d’objets suivantes dans Active Directory :
CN=ms-DS-Group-Managed-Service-Account,CN=Schema,CN=Configuration,DC=contoso,DC=comCN=ms-DS-Managed-Service-Account,CN=Schema,CN=Configuration,DC=contoso,DC=com
La valeur de configuration du compte de service doit être au format suivant :
<msaAccountName@domain>Le compte de service doit exister dans le même domaine que le serveur du connecteur ODJ.
Le compte de service doit être installé sur le serveur hébergeant le connecteur ODJ. Pour plus d’informations, consultez Install-ADServiceAccount.
- Si vous utilisez sMSA, le compte ne peut être lié qu’à un seul ordinateur.
- Si vous utilisez un compte gMSA, le serveur sur lequel vous installez le gMSA doit avoir accès au mot de passe.
Le compte de service doit disposer d’une autorisation d’ouverture de session locale en tant que service qui peut être définie directement ou via l’appartenance au groupe. Pour plus d’informations, consultez Activer l’ouverture de session de service.
L’autorisation doit être accordée manuellement pour que les comptes de service créent des objets ordinateur pour les flux Autopilot hybrides. Pour plus d’informations, consultez Augmenter la limite de compte d’ordinateur dans l’unité d’organisation (UO).
Comment configurer
Mettez à jour ODJConnectorEnrollmentWizard.exe.config. Son emplacement par défaut est C:\Program Files\Microsoft Intune\ODJConnector\ODJConnectorEnrollmentWizard.
- Dans la section appSettings du fichier, ajoutez la ligne suivante :
<add key="TenantConfiguredManagedServiceAccount" value="{accountname}" /> - Connectez-vous au connecteur.
Désactiver les mises à jour de l’unité d'
L’utilisation de votre propre MSA empêche le connecteur d’effectuer des mises à jour d’unité d’organisation, quelle que soit la configuration configurée dans OrganizationalUnitsUsedForOfflineDomainJoin. Pour éviter les erreurs, désactivez les mises à jour de l’unité d’organisation en mettant à jour ODJConnectorEnrollmentWizard.exe.config. Son emplacement par défaut est C:\Program Files\Microsoft Intune\ODJConnector\ODJConnectorEnrollmentWizard.
- Dans la section appSettings du fichier, ajoutez la ligne suivante :
<add key="DisableOUUpdates" value="true" /> - Connectez-vous au connecteur.
Configuration des paramètres de proxy web
S’il existe un proxy web dans l’environnement de mise en réseau, assurez-vous que le connecteur Intune pour Active Directory fonctionne correctement en vous référant à Configurer les paramètres de proxy pour le connecteur Intune pour Active Directory.
Augmenter la limite du nombre de comptes d’ordinateur dans l’unité d’organisation
Importante
Cette étape n’est nécessaire que dans l’une des conditions suivantes :
- L’administrateur qui a installé et configuré le connecteur Intune pour Active Directory ne disposait pas des droits appropriés, comme indiqué dans Intune Connector for Active Directory Requirements.
- L’administrateur qui a installé et configuré le connecteur Intune disposait des droits appropriés comme indiqué ci-dessus, mais le compte de service administré (MSA) n’a pas pu se voir accorder l’autorisation de créer des objets ordinateur dans les unités d’organisation spécifiées lors de l’installation du connecteur Intune. Pour plus d’informations, consultez Configurer le nouveau connecteur Microsoft Intune pour Active Directory avec le principe de privilège minimum.
- Le
ODJConnectorEnrollmentWizard.exe.configfichier XML n’a pas été modifié pour ajouter des unités d’organisation pour lesquelles le MSA doit disposer d’autorisations.
L’objectif de Intune Connector pour Active Directory est de joindre des ordinateurs à un domaine et de les ajouter à une unité d’organisation. Pour cette raison, le compte de service géré utilisé pour le connecteur Intune pour Active Directory doit disposer des autorisations nécessaires pour créer des comptes d’ordinateur dans l’unité d’organisation où les ordinateurs sont joints au domaine local.
Avec les autorisations par défaut dans Active Directory, les jointures de domaine par le connecteur Intune pour Active Directory peuvent initialement fonctionner sans aucune modification d’autorisation de l’unité d’organisation dans Active Directory. Toutefois, après que MSA tente de joindre plus de 10 ordinateurs au domaine local, il cesse de fonctionner, car par défaut, Active Directory n’autorise qu’un seul compte à joindre jusqu’à 10 ordinateurs au domaine local.
Les utilisateurs suivants ne sont pas limités par la limitation de jointure de domaine d’ordinateur 10 :
- Utilisateurs dans les groupes Administrateurs ou Administrateurs de domaine : Pour se conformer au modèle des principes de privilège minimum, Microsoft ne recommande pas de faire de MSA un administrateur ou un administrateur de domaine.
- Utilisateurs disposant d’autorisations déléguées sur les unités d’organisation (UO) et les conteneurs dans Active Directory pour créer des comptes d’ordinateur : cette méthode est recommandée, car elle suit le modèle des principes de privilège minimum.
Pour résoudre cette limitation, msa a besoin de l’autorisation Créer des comptes d’ordinateur dans l’unité d’organisation (UO) à laquelle les ordinateurs sont joints dans le domaine local. Le connecteur Intune pour Active Directory définit les autorisations pour les contrats MSA sur les unités d’organisation tant que l’une des conditions suivantes est remplie :
- L’administrateur qui installe le connecteur Intune pour Active Directory dispose des autorisations nécessaires pour définir des autorisations sur les unités d’organisation.
- L’administrateur qui configure le connecteur Intune pour Active Directory dispose des autorisations nécessaires pour définir des autorisations sur les unités d’organisation.
Si l’administrateur qui installe ou configure le connecteur Intune pour Active Directory ne dispose pas des autorisations nécessaires pour définir les autorisations sur les unités d’organisation, les étapes suivantes doivent être suivies :
Connectez-vous à un ordinateur qui a accès à la console Utilisateurs et ordinateurs Active Directory avec un compte qui est les autorisations nécessaires pour définir les autorisations sur les unités d’organisation.
Ouvrez la console Utilisateurs et ordinateurs Active Directory en exécutant DSA.msc.
Développez le domaine souhaité et accédez à l’unité d’organisation (UO) à laquelle les ordinateurs sont joints pendant Windows Autopilot.
Remarque
L’unité d’organisation que les ordinateurs rejoignent pendant le déploiement De Windows Autopilot est spécifiée ultérieurement lors de l’étape Configurer et attribuer un profil de jointure de domaine .
Cliquez avec le bouton droit sur l’unité d’organisation, puis sélectionnez Propriétés.
Remarque
Si les ordinateurs rejoignent le conteneur Ordinateurs par défaut au lieu d’une unité d’organisation, cliquez avec le bouton droit sur le conteneur Ordinateurs et sélectionnez Déléguer le contrôle.
Dans les fenêtres Propriétés de l’unité d’organisation qui s’ouvrent, sélectionnez l’onglet Sécurité .
Sous l’onglet Sécurité , sélectionnez Avancé.
Dans la fenêtre Paramètres de sécurité avancés , sélectionnez Ajouter.
Dans les fenêtres Entrée d’autorisation , en regard de Principal, sélectionnez le lien Sélectionner un principal .
Dans la fenêtre Sélectionner un utilisateur, un ordinateur, un compte de service ou un groupe, sélectionnez le bouton Types d’objets...
Dans la fenêtre Types d’objets, sélectionnez la zone Comptes de service case activée, puis sélectionnez OK.
Dans la fenêtre Sélectionner un utilisateur, un ordinateur, un compte de service ou un groupe, sous Entrez le nom de l’objet à sélectionner, entrez le nom du MSA utilisé pour le connecteur Intune pour Active Directory.
Conseil
La msa a été créée lors de l’étape/section Installer le connecteur Intune pour Active Directory et a le format de
msaODJ#####nom où ##### sont cinq caractères aléatoires. Si le nom MSA n’est pas connu, procédez comme suit pour rechercher le nom MSA :- Sur le serveur exécutant le connecteur Intune pour Active Directory, cliquez avec le bouton droit sur le menu Démarrer, puis sélectionnez Gestion de l’ordinateur.
- Dans la fenêtre Gestion de l’ordinateur , développez Services et applications , puis sélectionnez Services.
- Dans le volet de résultats, recherchez le service nommé Intune ODJConnector pour Active Service. Le nom de msa est répertorié dans la colonne Ouvrir une session en tant que .
Sélectionnez Vérifier les noms pour valider l’entrée de nom MSA. Une fois l’entrée validée, sélectionnez OK.
Dans les fenêtres Entrée d’autorisation , sélectionnez le menu déroulant S’applique à : , puis sélectionnez Cet objet uniquement.
Sous Autorisations, désélectionnez tous les éléments, puis sélectionnez uniquement la zone Créer des objets ordinateur case activée.
Sélectionnez OK pour fermer la fenêtre Entrée d’autorisation .
Dans la fenêtre Paramètres de sécurité avancés , sélectionnez Appliquer ou OK pour appliquer les modifications.
Créer un groupe d'appareils
Dans le centre d’administration Microsoft Intune, sélectionnez Groupes>Nouveau groupe.
Dans le volet Groupe , sélectionnez les options suivantes :
Pour Type de groupe, sélectionnez Sécurité.
Renseignez les champs Nom du groupe et Description du groupe.
Sélectionnez un Type d’adhésion.
Si Appareils dynamiques est sélectionné pour le type d’appartenance, dans le volet Groupe , sélectionnez Membres de l’appareil dynamique.
Sélectionnez Modifier dans la case Syntaxe de la règle, puis entrez l’une des lignes de code suivantes :
Pour créer un groupe qui inclut tous les appareils Windows Autopilot, entrez :
(device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")Le champ Étiquette de groupe de Intune est mappé à l’attribut OrderID sur Microsoft Entra appareils. Pour créer un groupe qui inclut tous les appareils Windows Autopilot avec une balise de groupe spécifique (OrderID), entrez :
(device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")Pour créer un groupe qui inclut tous les appareils Windows Autopilot avec un ID de bon de commande spécifique, entrez :
(device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")
Sélectionnez Enregistrer>Créer.
Inscrire des appareils Windows Autopilot
Sélectionnez l’une des méthodes suivantes pour inscrire des appareils Windows Autopilot.
Inscrire des appareils Windows Autopilot déjà inscrits
Créez un profil de déploiement Windows Autopilot avec le paramètre Convertir tous les appareils ciblés en Autopilot défini sur Oui.
Affectez le profil à un groupe qui contient les membres qui doivent être inscrits automatiquement auprès de Windows Autopilot.
Pour plus d’informations, consultez Configurer des profils Windows Autopilot.
Inscrire des appareils Windows Autopilot qui ne sont pas inscrits
Les appareils qui ne sont pas encore inscrits dans Windows Autopilot peuvent être inscrits manuellement. Pour plus d’informations, consultez Inscription manuelle.
Inscrire les appareils d’un OEM
Si vous achetez de nouveaux appareils, certains fabricants OEM peuvent inscrire les appareils au nom du organization. Pour plus d’informations, consultez Inscription manuelle.
Afficher l’appareil Windows Autopilot inscrit
Avant que les appareils ne s’inscrivent dans Intune, les appareils Windows Autopilot inscrits sont affichés à trois emplacements (avec des noms définis sur leurs numéros de série) :
- Volet Appareils Windows Autopilot dans le centre d’administration Microsoft Intune. Sélectionner appareils>par plateforme | Intégration d’appareils Windows >| Inscription. Sous Windows Autopilot, sélectionnez Appareils.
- Les appareils | Volet Tous les appareils dans le Portail Azure. Sélectionnez Appareils>Tous les appareils.
- Volet Autopilot dans Centre d’administration Microsoft 365. Sélectionnez Appareils>Autopilot.
Une fois les appareils Windows Autopilot inscrits, les appareils sont affichés à quatre endroits :
- Les appareils | Volet Tous les appareils dans le centre d’administration Microsoft Intune. Sélectionnez Appareils>Tous les appareils.
- Windows | Volet Appareils Windows dans le centre d’administration Microsoft Intune. Sélectionner appareils>par plateforme | Windows.
- Les appareils | Volet Tous les appareils dans le Portail Azure. Sélectionnez Appareils>Tous les appareils.
- Volet Appareils actifs dans Centre d’administration Microsoft 365. Sélectionnez Appareils>Appareils actifs.
Remarque
Une fois les appareils inscrits, les appareils sont toujours affichés dans le volet Appareils Windows Autopilot du centre d’administration Microsoft Intune et dans le volet Autopilot dans Centre d’administration Microsoft 365, mais ces objets sont les objets inscrits windows Autopilot.
Un objet d’appareil est précréé dans Microsoft Entra ID une fois qu’un appareil est inscrit dans Windows Autopilot. Lorsqu’un appareil passe par un déploiement Microsoft Entra hybride, par conception, un autre objet d’appareil est créé, ce qui entraîne des entrées en double.
VPNs
Les clients VPN suivants sont testés et validés :
- Client VPN Windows in-box
- Cisco AnyConnect (client Win32)
- Pulse Secure (client Win32)
- GlobalProtect (client Win32)
- Point de contrôle (client Win32)
- Citrix NetScaler (client Win32)
- SonicWall (client Win32)
- VPN FortiClient (client Win32)
Lorsque vous utilisez des VPN, sélectionnez Oui pour l’option Ignorer la connectivité AD case activée dans le profil de déploiement Windows Autopilot. Always-On VPN ne doivent pas nécessiter cette option, car ils se connectent automatiquement.
Remarque
Cette liste de clients VPN n’est pas une liste complète de tous les clients VPN qui fonctionnent avec Windows Autopilot. Contactez le fournisseur VPN correspondant pour la compatibilité et la prise en charge avec Windows Autopilot ou pour tout problème lié à l’utilisation d’une solution VPN avec Windows Autopilot.
Clients VPN non pris en charge
Les solutions VPN suivantes ne fonctionnent pas avec Windows Autopilot et ne sont donc pas prises en charge pour une utilisation avec Windows Autopilot :
- Plug-ins VPN basés sur UWP
- Tout ce qui nécessite un certificat utilisateur
- DirectAccess
Remarque
L’omission d’un client VPN spécifique dans cette liste ne signifie pas automatiquement qu’il est pris en charge ou qu’il fonctionne avec Windows Autopilot. Cette liste répertorie uniquement les clients VPN qui ne fonctionnent pas avec Windows Autopilot.
Créer et attribuer un profil de déploiement Windows Autopilot
Les profils de déploiement Windows Autopilot sont utilisés pour configurer les appareils Windows Autopilot.
Connectez-vous au Centre d’administration Microsoft Intune.
Dans l’écran d’accueil , sélectionnez Appareils dans le volet gauche.
Dans les appareils | Écran Vue d’ensemble , sous Par plateforme, sélectionnez Windows.
Dans windows | Écran Appareils Windows , sous Intégration de l’appareil, sélectionnez Inscription.
Dans windows | Écran d’inscription Windows , sous Windows Autopilot, sélectionnez Profils de déploiement.
Dans l’écran Profils de déploiement Windows Autopilot , sélectionnez le menu déroulant Créer un profil , puis PC Windows.
Dans l’écran Créer un profil , dans la page Informations de base , entrez un nom et une description facultative.
Si tous les appareils des groupes attribués doivent s’inscrire automatiquement auprès de Windows Autopilot, définissez Convertir tous les appareils ciblés en Autopilot sur Oui. Tous les appareils autopilot non Windows appartenant à l’entreprise dans des groupes attribués s’inscrivent auprès du service de déploiement Windows Autopilot. Les appareils personnels ne sont pas inscrits auprès de Windows Autopilot. Le traitement de l’enregistrement prend 48 heures. Lorsque l’appareil est désinscrit et réinitialisé, Windows Autopilot l’inscrit à nouveau. Une fois qu’un appareil est inscrit de cette façon, la désactivation de ce paramètre ou la suppression de l’attribution de profil ne supprime pas l’appareil du service de déploiement Windows Autopilot. Au lieu de cela, les appareils doivent être supprimés directement. Pour plus d’informations, consultez Supprimer des appareils Windows Autopilot.
Sélectionnez Suivant.
Sur la page Mode out-of-box experience (OOBE), pour Mode de déploiement, sélectionnez Géré par l’utilisateur.
Dans la zone Joindre à Microsoft Entra ID en tant que, sélectionnez Microsoft Entra jointure hybride.
Si vous déployez des appareils hors du réseau de l’organization à l’aide de la prise en charge vpn, définissez l’option Ignorer la vérification de la connectivité du domaine sur Oui. Pour plus d’informations, consultez Mode piloté par l’utilisateur pour Microsoft Entra jonction hybride avec prise en charge vpn.
Configurez les options restantes sur la page Out-of-box experience (OOBE) en fonction de vos besoins.
Sélectionnez Suivant.
Sur la page Balises d’étendue, sélectionnez les balises d’étendue pour ce profil.
Sélectionnez Suivant.
Dans la page Affectations, sélectionnez Sélectionner les groupes à inclure> dans la recherche, puis sélectionnez le groupe > d’appareils Sélectionner.
Sélectionnez Suivant>Créer.
Remarque
Intune recherche régulièrement de nouveaux appareils dans les groupes attribués, puis commencez le processus d’attribution de profils à ces appareils. En raison de plusieurs facteurs différents impliqués dans le processus d’attribution de profil Windows Autopilot, une durée estimée pour l’affectation peut varier d’un scénario à l’autre. Ces facteurs peuvent inclure les groupes Microsoft Entra, les règles d’appartenance, le hachage d’un appareil, le Intune et le service Windows Autopilot et la connexion Internet. Le temps d’affectation varie en fonction de tous les facteurs et variables impliqués dans un scénario spécifique.
(Facultatif) Activer la page d’état d’inscription
Connectez-vous au Centre d’administration Microsoft Intune.
Dans l’écran d’accueil , sélectionnez Appareils dans le volet gauche.
Dans les appareils | Écran Vue d’ensemble , sous Par plateforme, sélectionnez Windows.
Dans windows | Écran Appareils Windows , sous Intégration de l’appareil, sélectionnez Inscription.
Dans windows | Écran d’inscription Windows , sous Windows Autopilot, sélectionnez Page d’état de l’inscription.
Dans le volet Page d’état d’inscription, sélectionnez Par défaut>Paramètres.
Pour Afficher la progression de l’installation des applications et des profils, sélectionnez Oui.
Configurez les autres options selon les besoins.
Sélectionnez Enregistrer.
Créer et affecter un profil de jonction de domaine
Dans le centre d’administration Microsoft Intune, sélectionnez Appareils>Gérer les appareils | Stratégiesde> configuration >Créez une>stratégie.
Dans la fenêtre Créer un profil qui s’ouvre, entrez les propriétés suivantes :
- Nom : attribuez un nom descriptif au nouveau profil.
- Description : entrez une description pour le profil.
- Plateforme : sélectionnez Windows 10 et ultérieur.
- Type de profil : sélectionnez Modèles, sélectionnez le nom de modèle Jonction de domaine, puis Créer.
Entrez un Nom et une Description pour la nouvelle stratégie, puis sélectionnez Suivant.
Sélectionnez Préfixe de nom d’ordinateur et Nom de domaine.
(Facultatif) Indiquez une unité d’organisation (UO) au format de DN. Les options sont les suivantes :
- Fournissez une unité d’organisation dans laquelle le contrôle est délégué à l’appareil Windows qui exécute le connecteur Intune pour Active Directory.
- Fournissez une unité d’organisation dans laquelle le contrôle est délégué aux ordinateurs racines dans le Active Directory local de organization.
- Si ce champ est vide, l’objet ordinateur est créé dans le conteneur Active Directory par défaut. Le conteneur par défaut est normalement le
CN=Computersconteneur. Pour plus d’informations, consultez Rediriger les conteneurs d’utilisateurs et d’ordinateurs dans les domaines Active Directory.
Exemples valides :
OU=SubOU,OU=TopLevelOU,DC=contoso,DC=comOU=Mine,DC=contoso,DC=com
Exemples non valides :
-
CN=Computers,DC=contoso,DC=com- un conteneur ne peut pas être spécifié. Au lieu de cela, laissez la valeur vide pour utiliser la valeur par défaut pour le domaine. -
OU=Mine- le domaine doit être spécifié via lesDC=attributs .
Veillez à ne pas utiliser de guillemets autour de la valeur dans Unité d’organisation.
Sélectionnez OK>Créer. Le profil est créé et apparaît dans la liste.
Affectez un profil d’appareil au même groupe utilisé à l’étape Créer un groupe d’appareils. Vous pouvez utiliser différents groupes si vous devez joindre des appareils à différents domaines ou unités d’organisation.
Remarque
La fonctionnalité de nommage de Windows Autopilot pour Microsoft Entra jointure hybride ne prend pas en charge les variables telles que %SERIAL %. Il prend uniquement en charge les préfixes pour le nom de l’ordinateur.
Désinstaller le connecteur Intune pour Active Directory
Le connecteur Intune pour Active Directory est installé localement sur un ordinateur via un fichier exécutable. Si le connecteur Intune pour Active Directory doit être désinstallé d’un ordinateur, il doit également être effectué localement sur l’ordinateur. Le connecteur Intune pour Active Directory ne peut pas être supprimé via le portail Intune ou via un appel d’API de graphe.
Pour désinstaller le connecteur Intune pour Active Directory du serveur, sélectionnez l’onglet approprié pour la version du système d’exploitation Windows Server, puis suivez les étapes :
Connectez-vous à l’ordinateur hébergeant le connecteur Intune pour Active Directory.
Cliquez avec le bouton droit sur le menu Démarrer , puis sélectionnez Paramètres>Applications>Installées.
Ou
Sélectionnez le raccourci Applications > installées ci-dessous :
Dans la fenêtre Applications > installées,recherchez Intune Connecteur pour Active Directory.
En regard de Intune Connector pour Active Directory, sélectionnez ...>Désinstallez, puis sélectionnez le bouton Désinstaller.
Le connecteur Intune pour Active Directory procède à la désinstallation.
Dans certains cas, le connecteur Intune pour Active Directory peut ne pas être entièrement désinstallé tant que le programme d’installation
ODJConnectorBootstrapper.exeIntune Connector pour Active Directory d’origine n’est pas réexécuté. Pour vérifier que le connecteur Intune pour Active Directory est entièrement désinstallé, réexécutez le programme d’installationODJConnectorBootstrapper.exe. S’il vous invite à Désinstaller, sélectionnez pour le désinstaller. Sinon, fermez le programme d’installationODJConnectorBootstrapper.exe.Remarque
Le programme d’installation du connecteur Intune hérité pour Active Directory peut être téléchargé à partir du connecteur Intune pour Active Directory et ne doit être utilisé que pour les désinstallations. Pour les nouvelles installations, utilisez le connecteur Intune mis à jour pour Active Directory.
Étapes suivantes
Une fois Windows Autopilot configuré, découvrez comment gérer ces appareils. Pour plus d’informations, consultez Qu’est-ce que la gestion des appareils Microsoft Intune ?.
Contenu connexe
- Qu’est-ce qu’une identité d’appareil ?.
- En savoir plus sur les points de terminaison natifs cloud.
- Microsoft Entra joint ou Microsoft Entra joint hybride dans des points de terminaison natifs cloud.
- Tutoriel : Configurer et configurer un point de terminaison Windows natif cloud avec Microsoft Intune.
- Guide pratique pour planifier votre implémentation de jointure Microsoft Entra.
- Infrastructure pour la transformation de gestion des points de terminaison Windows.
- Présentation des scénarios Azure AD hybrides et de cogestion.
- Réussite avec Windows Autopilot distant et Azure jointure Active Directory hybride.