Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Si vous disposez d’un environnement Active Directory Domain Services (AD DS) local et que vous souhaitez joindre vos ordinateurs joints à un domaine AD DS à Microsoft Entra ID, vous pouvez effectuer cette tâche en effectuant une jointure hybride Microsoft Entra.
Conseil / Astuce
L’accès par authentification unique (SSO) aux ressources locales est également disponible pour les appareils joints à Microsoft Entra. Pour plus d’informations, consultez Fonctionnement de l’authentification unique (SSO) auprès de ressources locales sur des appareils joints à Microsoft Entra.
Conditions préalables
Cet article suppose que vous connaissez bien la gestion des identités des appareils dans Microsoft Entra ID.
Remarque
La version minimale requise du contrôleur de domaine (DC) pour Windows 10 ou une jointure hybride Microsoft Entra est Windows Server 2008 R2.
Les Appareils connectés hybrides Microsoft Entra doivent avoir périodiquement une visibilité réseau directe vers vos contrôleurs de domaine. Sans cette connexion, les appareils deviennent inutilisables.
Les scénarios qui échouent sans connexion directe à vos contrôleurs de domaine incluent :
- Modification du mot de passe de l’appareil
- Modification du mot de passe de l’utilisateur (informations d’identification mises en cache)
- Réinitialisation du module de plateforme sécurisée (TPM)
Planifier l’implémentation
Pour planifier votre implémentation De Microsoft Entra hybride, familiarisez-vous avec :
- Passer en revue les appareils pris en charge
- Passer en revue les éléments que vous devez savoir
- Réviser le déploiement ciblé de l'intégration hybride Microsoft Entra
- Sélectionnez votre scénario en fonction de votre infrastructure d’identité
- Passez en revue la prise en charge sur site du nom principal d’utilisateur (UPN) dans Microsoft Windows Server Active Directory pour la jonction hybride avec Microsoft Entra.
Passer en revue les appareils pris en charge
La jonction hybride Microsoft Entra prend en charge un large éventail d’appareils Windows.
- Windows 11
- Windows 10
- Windows Server 2016
- Note: Les clients du cloud national Azure nécessitent la version 1803
- Windows Server 2019
- Windows Server 2022
En guise de bonne pratique, Microsoft vous recommande de mettre à niveau vers la dernière version de Windows.
Passer en revue les éléments que vous devez savoir
Scénarios non pris en charge
- La jointure hybride Microsoft Entra n’est pas prise en charge pour Windows Server exécutant le rôle contrôleur de domaine (DC).
- Le système d’exploitation Server Core ne prend pas en charge aucun type d’inscription d’appareil.
- ** L'outil USMT (User State Migration Tool) ne fonctionne pas avec l'enregistrement des appareils.
Considérations relatives à l’imagerie du système d’exploitation
Si vous vous appuyez sur l’outil de préparation du système (Sysprep) et que vous utilisez une image antérieure à Windows 10 1809 pour l’installation, vérifiez que cette image ne provient pas d’un appareil déjà inscrit auprès de Microsoft Entra ID en tant que joint hybride Microsoft Entra.
Si vous utilisez une capture instantanée de machine virtuelle pour créer d'autres machines virtuelles, vérifiez qu'elle ne provient pas d'une machine virtuelle déjà inscrite à Microsoft Entra ID en tant que jonction Microsoft Entra hybride.
Si vous utilisez un filtre d’écriture unifié et des technologies similaires qui effacent les modifications apportées au disque au redémarrage, elles doivent être appliquées une fois que l’appareil est joint à Microsoft Entra hybride. L'activation de ces technologies avant la jonction Microsoft Entra hybride entraîne la disjonction de l'appareil à chaque redémarrage.
Gestion des appareils avec l’état inscrit auprès de Microsoft Entra
Si vos appareils Windows 10 (ou version ultérieure ) joints à un domaine sont inscrits auprès de Microsoft Entra sur votre locataire, cela peut entraîner un double état : appareil joint hybride à Microsoft Entra et appareil inscrit sur Microsoft Entra. Nous vous recommandons de procéder à la mise à niveau vers Windows 10 1803 (avec KB4489894 appliqué) ou une version ultérieure pour résoudre automatiquement ce scénario. Dans les versions antérieures à 1803, vous devez supprimer manuellement l’état enregistré Microsoft Entra avant d’activer la jointure hybride Microsoft Entra. En 1803 et versions ultérieures, les modifications suivantes ont été apportées pour éviter ce double état :
- Tout état existant inscrit sur Microsoft Entra pour un utilisateur est automatiquement supprimé dès lors que l'appareil est joint à Microsoft Entra Hybride et que le même utilisateur se connecte. Par exemple, si l’utilisateur A a un état Microsoft Entra inscrit sur l’appareil, le double état de l’utilisateur A est nettoyé uniquement lorsque l’utilisateur A se connecte à l’appareil. S'il y a plusieurs utilisateurs sur le même appareil, l'état en double est nettoyé individuellement lorsque ces utilisateurs se connectent chacun. Une fois qu’un administrateur a supprimé l’état d'inscription Microsoft Entra, Windows 10 dérinscrit l’appareil d’Intune ou d’autres gestion des périphériques mobiles (GPM), si l'inscription s’est produite dans le cadre de l'enregistrement Microsoft Entra par le biais de l'inscription automatique.
- L’état inscrit auprès de Microsoft Entra sur tous les comptes locaux sur l’appareil n’est pas affecté par cette modification. Applicable uniquement aux comptes de domaine. L’état inscrit de Microsoft Entra sur les comptes locaux n’est pas supprimé automatiquement même après l’ouverture de session de l’utilisateur, car l’utilisateur n’est pas un utilisateur de domaine.
- Vous pouvez empêcher l'enregistrement de votre appareil joint à votre domaine par Microsoft Entra en ajoutant la valeur de Registre suivante à HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin : « BlockAADWorkplaceJoin"=dword:00000001.
- Dans Windows 10 1803, si Windows Hello Entreprise est configuré, l’utilisateur doit reconfigurer Windows Hello Entreprise après le nettoyage à deux états. Ce problème est résolu avec KB4512509.
Remarque
Même si Windows 10 et Windows 11 suppriment automatiquement l’état d'inscription de Microsoft Entra localement, l’objet de l’appareil dans Microsoft Entra ID n’est pas immédiatement supprimé s’il est géré par Intune. Vous pouvez valider la suppression de l'état d'inscription Microsoft Entra en exécutant dsregcmd /status.
Jonction hybride Microsoft Entra pour une forêt unique et plusieurs locataires Microsoft Entra
Pour inscrire des appareils en tant que jonction hybride Microsoft Entra aux locataires respectifs, les organisations doivent s’assurer que la configuration du point de connexion de service (SCP) est effectuée sur les appareils et non dans Microsoft Windows Server Active Directory. Vous trouverez plus d’informations sur la façon d’accomplir cette tâche dans l’article Déploiement ciblé de jointure hybride Microsoft Entra. Il est important pour les organisations de comprendre que certaines fonctionnalités de Microsoft Entra ne fonctionnent pas dans une configuration avec une forêt unique et plusieurs locataires Microsoft Entra.
- Le writeback du dispositif ne fonctionne pas. Cette configuration affecte l’accès conditionnel basé sur l’appareil pour les applications locales fédérées à l’aide d’AD FS. Cette configuration affecte également le déploiement de Windows Hello Entreprise lors de l’utilisation du modèle Hybrid Cert Trust.
- La synchronisation des groupes ne fonctionne pas. Cette configuration impacte la réécriture des groupes Office 365 dans une forêt avec Exchange installé.
- L’authentification unique transparente ne fonctionne pas. Cette configuration affecte les scénarios d’authentification unique dans les organisations utilisant des plateformes de navigateur telles que iOS ou Linux avec Firefox, Safari ou Chrome sans l’extension Windows 10.
- La protection par mot de passe Microsoft Entra locale ne fonctionne pas. Cette configuration affecte la possibilité d’effectuer des modifications de mot de passe et des événements de réinitialisation de mot de passe par rapport aux contrôleurs de domaine Active Directory Domain Services (AD DS) locaux à l’aide des mêmes listes de mots de passe globales et personnalisées interdites stockées dans l’ID Microsoft Entra.
Autres considérations
Si votre environnement utilise l’infrastructure de bureau virtuel (VDI), consultez identité d’appareil et virtualisation de bureau.
La jointure hybride de Microsoft Entra est prise en charge pour le module TPM 2.0 conforme à la norme FIPS (Federal Information Processing Standard) et n'est pas prise en charge pour le TPM 1.2. Si vos appareils ont des modules TPM 1.2 compatible FIPS, vous devez les désactiver avant de continuer avec la jonction hybride Microsoft Entra. Microsoft ne propose aucun outil permettant de désactiver le mode FIPS pour les modules TPM car il dépend du fabricant de ces modules. Pour obtenir de l’aide, contactez votre fabricant OEM.
À partir de la version de Windows 10 1903, le module de plateforme sécurisée version 1.2 n’est pas utilisé avec la jonction hybride Microsoft Entra et les appareils avec ces modules TPM sont traités comme s’ils n’ont pas de module de plateforme sécurisée.
Les modifications d’UPN ne sont prises en charge qu’à partir de la mise à jour Windows 10 2004. Pour les appareils avant la mise à jour de Windows 10 2004, les utilisateurs peuvent rencontrer des problèmes d’authentification unique et d’accès conditionnel sur leurs appareils. Pour résoudre ce problème, vous devez dissocier l’appareil de l’ID Microsoft Entra (exécutez « dsregcmd /leave » avec des privilèges élevés) et le rejoignez (ce qui se produit automatiquement). Toutefois, les utilisateurs qui se connectent avec Windows Hello Entreprise ne rencontrent pas ce problème.
Évaluer la jonction hybride ciblée de Microsoft Entra
Les organisations peuvent souhaiter procéder à un déploiement ciblé de l'adhésion hybride Microsoft Entra avant de l’activer pour l’ensemble de l’organisation. Lisez l’article Déploiement ciblé de la jointure hybride Microsoft Entra pour comprendre comment l’accomplir.
Avertissement
Les organisations doivent inclure un échantillon d’utilisateurs de rôles et de profils différents dans leur groupe pilote. Un déploiement ciblé vous permet d’identifier les problèmes que votre plan n’a peut-être pas résolus avant d’étendre le déploiement à l’ensemble de l’organisation.
Sélectionnez votre scénario en fonction de votre infrastructure d’identité
La jointure Microsoft Entra hybride fonctionne avec les environnements managés et fédérés, selon que l'UPN est routable ou non routable. Consultez la page en bas de la page pour obtenir le tableau des scénarios pris en charge.
Environnement géré
Un environnement managé peut être déployé via la synchronisation de hachage de mot de passe (PHS) ou l’authentification directe (PTA) avec l’authentification unique transparente.
Ces scénarios ne vous obligent pas à configurer un serveur de fédération pour l’authentification (AuthN).
Remarque
L’authentification cloud à l’aide du déploiement intermédiaire est prise en charge uniquement à partir de la mise à jour de Windows 10 1903.
Environnement fédéré
Un environnement fédéré doit disposer d’un fournisseur d’identité qui prend en charge les exigences suivantes : Si vous disposez d’un environnement fédéré utilisant les services de fédération Active Directory (AD FS), les exigences ci-dessous sont déjà prises en charge.
protocoleWS-Trust : Ce protocole est requis pour authentifier les appareils Windows joints à Microsoft Entra hybrides avec l’ID Microsoft Entra. Lorsque vous utilisez AD FS, vous devez activer les points de terminaison WS-Trust suivants :
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Avertissement
Les deux fonctions adfs/services/trust/2005/windowstransport ou adfs/services/trust/13/windowstransport doivent être activés en tant que points de terminaison accessibles sur l’intranet uniquement et ne doivent pas être exposés en tant que points de terminaison extranet accessibles via le proxy d’application web. Pour en savoir plus sur la désactivation des points de terminaison Windows WS-Trust, consultez Désactiver les points de terminaison Windows WS-Trust sur le proxy. Vous pouvez visualiser les points de terminaison qui sont activés par le biais de la console de gestion AD FS sous Service>Points de terminaison.
Depuis la version 1.1.819.0, Microsoft Entra Connect comporte un assistant permettant de configurer la jonction hybride Microsoft Entra. Il simplifie considérablement le processus de configuration. Si l’installation de la version requise de Microsoft Entra Connect n’est pas une option pour vous, consultez Comment configurer manuellement l’inscription des appareils. Si contoso.com est inscrit en tant que domaine personnalisé confirmé, les utilisateurs peuvent obtenir un PRT même si leur suffixe UPN AD DS local synchronisé se trouve dans un sous-domaine comme test.contoso.com.
Examiner la prise en charge de l’UPN des utilisateurs de Microsoft Windows Server Active Directory pour la jonction hybride Microsoft Entra
- UPN des utilisateurs routables : un UPN routable a un domaine vérifié valide inscrit auprès d’un bureau d’enregistrement de domaines. Par exemple, si contoso.com est le domaine principal dans l’ID Microsoft Entra, contoso.org est le domaine principal dans l'AD local appartenant à Contoso et vérifié dans l’ID Microsoft Entra.
- UPN des utilisateurs non routables : un UPN non routable n’a pas de domaine vérifié et s’applique uniquement au sein du réseau privé de votre organisation. Par exemple, si contoso.com est le domaine principal de Microsoft Entra ID et contoso.local est le domaine principal dans AD local, mais n’est pas un domaine vérifiable dans Internet et utilisé uniquement dans le réseau de Contoso.
Remarque
Les informations de cette section s’appliquent uniquement à un UPN d’utilisateurs locaux. Il n’est pas applicable à un suffixe de domaine d’ordinateur local (exemple : computer1.contoso.local).
Le tableau suivant fournit des détails sur la prise en charge de ces UPN Microsoft Windows Server Active Directory sur site dans une jointure Windows 10 Microsoft Entra hybride :
| Type d’UPN Microsoft Windows Server Active Directory sur site | Type de domaine | Version de Windows 10 | Descriptif |
|---|---|---|---|
| Routable | Fédéré | À partir de la version 1703 | Généralement disponible |
| Non routable | Fédéré | À partir de la version 1803 | Généralement disponible |
| Routable | Adresses IP gérées | À partir de la version 1803 | Le plus souvent disponible, Microsoft Entra SSPR sur l'écran de verrouillage Windows n'est pas pris en charge dans les environnements où l'UPN local est différent de l'UPN Microsoft Entra. L’UPN local doit être synchronisé avec l’attribut onPremisesUserPrincipalName dans Microsoft Entra ID |
| Non routable | Adresses IP gérées | Non prise en charge |