Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous pouvez joindre des appareils directement à Microsoft Entra ID sans qu’il soit nécessaire de les joindre à une instance Active Directory locale, sans impacter la sécurité et la productivité de vos utilisateurs. La jonction Microsoft Entra est prête à l’emploi par les entreprises pour les déploiements à grande échelle et les déploiements limités. L’accès par authentification unique (SSO) aux ressources locales est également disponible pour les appareils joints à Microsoft Entra. Pour plus d’informations, consultez Fonctionnement de l’authentification unique (SSO) auprès de ressources locales sur des appareils joints à Microsoft Entra.
Cet article vous fournit les informations nécessaires pour planifier votre implémentation de la jonction Microsoft Entra.
Prerequisites
Cet article suppose que vous connaissez bien la gestion des appareils dans Microsoft Entra ID.
Planifier l’implémentation
Pour planifier votre implémentation de jointure à Microsoft Entra, familiarisez-vous avec les éléments suivants :
- Passer en revue vos scénarios
- Passer en revue votre infrastructure d’identité
- Évaluer votre gestion des appareils
- Comprendre les considérations relatives aux applications et aux ressources
- Comprendre vos options de provisionnement
- Configurer l’itinérance des états d’entreprise
- Configurer un accès conditionnel
Passer en revue vos scénarios
La jonction Microsoft Entra vous permet d’effectuer la transition vers un modèle privilégiant le cloud avec Windows. Si vous envisagez de moderniser votre gestion des appareils et de réduire les coûts informatiques liés aux appareils, Microsoft Entra join fournit une excellente base pour atteindre ces objectifs.
Envisagez la jonction Microsoft Entra si vos objectifs répondent aux critères suivants :
- Vous adoptez Microsoft 365 comme suite de productivité pour vos utilisateurs.
- Vous voulez gérer les appareils avec une solution cloud de gestion des appareils.
- Vous voulez simplifier le provisionnement des appareils pour les utilisateurs géographiquement dispersés.
- Vous envisagez de moderniser votre infrastructure d’application.
Passer en revue votre infrastructure d’identité
La jointure Microsoft Entra fonctionne à la fois dans les environnements managés et fédérés. La plupart des organisations déploient des domaines managés. Les scénarios de domaine managé ne nécessitent pas de configuration et de gestion d’un serveur de fédération comme AD FS (Services de fédération Active Directory).
Environnement géré
Un environnement managé peut être déployé via la synchronisation de hachage de mot de passe ou l’authentification par passage avec une connexion unique transparente.
Environnement fédéré
Un environnement fédéré doit avoir un fournisseur d’identité qui prend en charge les protocoles WS-Trust et WS-Fed :
- WS-Fed : Ce protocole est requis pour joindre un appareil à l’ID Microsoft Entra.
- WS-Trust : Ce protocole est requis pour se connecter à un appareil joint à Microsoft Entra.
Lorsque vous utilisez AD FS, vous devez activer les points de terminaison WS-Trust suivants : /adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed
Si votre fournisseur d’identité ne prend pas en charge ces protocoles, la jonction Microsoft Entra ne fonctionne pas en mode natif.
Note
Actuellement, la jonction Microsoft Entra ne fonctionne pas avec AD FS 2019 configurée avec des fournisseurs d’authentification externes comme méthode d’authentification principale. La jointure Microsoft Entra est par défaut l’authentification par mot de passe comme méthode principale, ce qui entraîne des échecs d’authentification dans ce scénario
Configuration des utilisateurs
Si vous créez des utilisateurs dans :
- Active Directory local, vous devez les synchroniser avec l’ID Microsoft Entra à l’aide de Microsoft Entra Connect.
- ID Microsoft Entra, aucune configuration supplémentaire n’est requise.
Les noms d’utilisateur principal (UPN) locaux qui sont différents des UPN Microsoft Entra ne sont pas pris en charge sur les appareils joints à Microsoft Entra. Si vos utilisateurs utilisent un nom d’utilisateur principal local, vous devez prévoir d’utiliser leur nom d’utilisateur principal dans Microsoft Entra ID.
Les modifications d’UPN ne sont prises en charge qu’à partir de la mise à jour Windows 10 2004. Les utilisateurs d’appareils comportant cette mise à jour n’auront pas de problèmes après avoir modifié leurs UPN. Pour les appareils antérieurs à la mise à jour Windows 10 2004, les utilisateurs rencontrent des problèmes liés à l’authentification unique et à l’accès conditionnel sur leurs appareils. Ils doivent se connecter à Windows via la vignette « Autre utilisateur » à l’aide de leur nouvel UPN pour résoudre ce problème.
Évaluer votre gestion des appareils
Appareils pris en charge
Jonction Microsoft Entra :
- Prend en charge les appareils Windows 10 et Windows 11.
- N’est pas pris en charge sur les versions antérieures de Windows ou à d’autres systèmes d’exploitation. Si vous avez des appareils Windows 7/8.1, vous devez les mettre à niveau vers Windows 10 pour déployer la jonction à Microsoft Entra.
- Pris en charge pour le module de plateforme sécurisée (TPM) 2.0 conforme aux normes FIPS (Federal Information Processing Standard), mais pas pour TPM 1.2 Si vos appareils ont des modules TPM 1.2 compatible FIPS, vous devez les désactiver avant de continuer avec la jonction Microsoft Entra. Microsoft ne propose aucun outil permettant de désactiver le mode FIPS pour les modules TPM car il dépend du fabricant de ces modules. Pour obtenir de l’aide, contactez votre fabricant OEM.
Recommandation: Utilisez toujours la dernière version de Windows pour tirer parti des fonctionnalités mises à jour.
Plateforme de gestion
La gestion des appareils joints à Microsoft Entra est basée sur une plateforme de gestion des périphériques mobiles (GPM) comme Intune, ainsi que sur les fournisseurs de solutions Cloud GPM. À compter de Windows 10, un agent GPM qui fonctionne avec toutes les solutions GPM compatibles est intégré.
Note
Les stratégies de groupe ne sont pas prises en charge sur les appareils joints à Microsoft Entra, car ils ne sont pas connectés à Active Directory local. La gestion des appareils connectés à Microsoft Entra n’est possible que par le biais de MDM.
Il existe deux approches pour la gestion des appareils joints à Microsoft Entra :
- MDM uniquement : un appareil est géré exclusivement par un fournisseur MDM comme Intune. Toutes les stratégies sont délivrées dans le cadre du processus d’inscription MDM. Pour les clients Microsoft Entra ID P1 ou P2, ou pour les clients EMS, l’inscription de MDM est une étape automatisée qui fait partie d’une jointure Microsoft Entra.
- Cogestion : un appareil est géré par un fournisseur MDM et Microsoft Configuration Manager. Dans cette approche, l’agent Microsoft Configuration Manager est installé sur un appareil géré par MDM pour administrer certains aspects.
Si vous utilisez des stratégies de groupe, évaluez votre objet de stratégie de groupe (GPO) et la parité de stratégie GPM à l’aide de l’analytique des stratégies de groupe dans Microsoft Intune.
Passez en revue les stratégies prises en charge ou non pour déterminer si vous pouvez utiliser une solution MDM au lieu de stratégies de groupe. Pour les stratégies non prises en charge, considérez les questions suivantes :
- Les stratégies non prises en charge sont-elles nécessaires pour les appareils ou les utilisateurs joints à Microsoft Entra ?
- Les stratégies non prises en charge sont-elles applicables dans un déploiement cloud ?
Si votre solution MDM n’est pas disponible via la galerie d’applications Microsoft Entra, vous pouvez l’ajouter en suivant le processus décrit dans l’intégration de Microsoft Entra à MDM.
Grâce à la cogestion, vous pouvez utiliser Microsoft Configuration Manager pour gérer certains aspects de vos appareils, les stratégies étant délivrées par le biais de votre plateforme MDM. Microsoft Intune permet la cogestion avec Microsoft Configuration Manager. Pour plus d’informations sur la cogestion pour les appareils Windows 10 ou ultérieurs, consultez Qu’est-ce que la cogestion ?. Si vous utilisez un produit MDM autre qu’Intune, vérifiez auprès de votre fournisseur MDM les scénarios de cogestion applicables.
Recommandation: Envisagez la gestion mdm uniquement pour les appareils joints à Microsoft Entra.
Comprendre les considérations relatives aux applications et aux ressources
Nous recommandons de migrer les applications d’un système local vers le cloud pour une meilleure expérience utilisateur et un meilleur contrôle d’accès. Les appareils joints à Microsoft Entra peuvent fournir un accès transparent aux applications locales et cloud. Pour plus d’informations, consultez Fonctionnement de l’authentification unique (SSO) auprès de ressources locales sur des appareils joints à Microsoft Entra.
Les sections suivantes listent les considérations à prendre en compte pour différents types d’applications et de ressources.
Applications cloud
Si une application est ajoutée à la galerie d’applications Microsoft Entra, les utilisateurs obtiennent l’authentification unique via les appareils joints à Microsoft Entra. Aucune configuration supplémentaire n’est nécessaire. Les utilisateurs bénéficient du SSO sur les navigateurs Microsoft Edge et Chrome. Pour Chrome, vous devez déployer l’extension Comptes Windows 10.
Toutes les applications Win32 qui :
- S’appuient sur le gestionnaire de comptes web (WAM) pour les demandes de jeton et bénéficient également de l’authentification unique sur les appareils joints à Microsoft Entra.
- Ne s’appuient pas sur le WAM peuvent inviter les utilisateurs à s’authentifier.
Applications web locales
Si vos applications sont créées de façon personnalisée ou hébergées localement, vous devez les ajouter aux sites de confiance de votre navigateur pour :
- Activer le fonctionnement de l’authentification Windows intégrée
- Offrir une expérience d’authentification unique sans invites aux utilisateurs.
Si vous utilisez AD FS, consultez Vérifier et gérer l’authentification unique avec AD FS.
Recommandation: Envisagez d’héberger dans le cloud (par exemple, Azure) et d’intégrer l’ID Microsoft Entra pour une meilleure expérience.
Applications locales s’appuyant sur des protocoles hérités
Les utilisateurs bénéficient de l’authentification unique sur les appareils joints à Microsoft Entra si l’appareil a accès à un contrôleur de domaine.
Note
Les appareils joints à Microsoft Entra peuvent fournir un accès transparent aux applications locales et cloud. Pour plus d’informations, consultez Fonctionnement de l’authentification unique (SSO) auprès de ressources locales sur des appareils joints à Microsoft Entra.
Recommandation: Déployez le proxy d’application Microsoft Entra pour activer l’accès sécurisé pour ces applications.
Partages de réseau local
Vos utilisateurs bénéficient de l’authentification unique à partir d’appareils joints à Microsoft Entra quand un appareil a accès à un contrôleur de domaine local. Découvrez comment cela fonctionne
Imprimantes
Nous vous recommandons de déployer l’impression universelle pour disposer d’une solution de gestion d’impression basée sur le cloud sans dépendances locales.
Applications locales s’appuyant sur l’authentification de la machine
Les appareils joints à Microsoft Entra ne prennent pas en charge les applications locales qui s’appuient sur l’authentification de la machine.
Recommandation: Envisagez de mettre hors service ces applications et de passer à leurs alternatives modernes.
Services Bureau à distance
La connexion par bureau à distance à un appareil joint à Microsoft Entra nécessite que l’ordinateur hôte soit joint à Microsoft Entra ou joint de façon hybride à Microsoft Entra. Le Bureau à distance depuis un appareil non joint ou non-Windows n’est pas pris en charge. Pour plus d’informations, consultez Se connecter à un PC joint à Microsoft Entra distant
À partir de la mise à jour Windows 10 2004, les utilisateurs peuvent utiliser le bureau à distance à partir d’un appareil Windows 10 ou plus récent inscrit auprès de Microsoft Entra pour se connecter à un autre appareil joint à Microsoft Entra.
Authentification RADIUS et Wi-Fi
Actuellement, les appareils joints à Microsoft Entra ne prennent pas en charge l'authentification RADIUS à l'aide d'un objet informatique local et d'un certificat pour la connexion à des points d'accès Wi-Fi, car RADIUS dépend de la présence d'un objet informatique local dans ce scénario. Comme alternative, vous pouvez utiliser des certificats envoyés (push) par le biais d’Intune ou des informations d’identification d’utilisateur pour vous authentifier auprès du Wi-Fi.
Comprendre vos options de provisionnement
Note
Les appareils joints à Microsoft Entra ne peuvent pas être déployés à l’aide de l’outil de préparation du système (Sysprep) ou d’outils d’imagerie similaires.
Vous pouvez provisionner les appareils joints à Microsoft Entra en utilisant les approches suivantes :
- Libre-service dans OOBE/Settings : en mode libre-service , les utilisateurs passent par le processus de jointure Microsoft Entra pendant Windows Out of Box Experience (OOBE) ou à partir des paramètres Windows. Pour plus d’informations, consultez Joindre votre appareil professionnel au réseau de votre organisation.
- Windows Autopilot - Windows Autopilot permet la préconfiguration des appareils pour une expérience de jointure Microsoft Entra plus fluide dans OOBE. Pour plus d’informations, consultez la vue d’ensemble de Windows Autopilot.
- Inscription en bloc - L'inscription en bloc permet à un administrateur d'effectuer une jonction à Microsoft Entra en utilisant un outil de provisionnement en masse pour configurer des appareils. Pour plus d’informations, consultez Inscription en bloc pour les appareils Windows.
Voici une comparaison de ces trois approches.
| Élément | Configuration en libre-service | Windows Autopilot | Inscription en bloc |
|---|---|---|---|
| Nécessite une interaction utilisateur pour la configuration | Oui | Oui | Non |
| Nécessite du travail de la part du département informatique | Non | Oui | Oui |
| Flux applicables | Paramètres & OOBE | OOBE seul | OOBE seul |
| Droits d’administration locaux pour l’utilisateur principal | Oui, par défaut | Configurable | Non |
| Nécessite une prise en charge OEM | Non | Oui | Non |
| Versions prises en charge | 1511+ | 1709+ | 1703+ |
Choisissez votre ou vos approches de déploiement en consultant le tableau précédent, et en examinant les points suivants pour l’adoption de l’une ou l’autre approche :
- Vos utilisateurs sont-ils suffisamment expérimentés pour effectuer la configuration eux-mêmes ?
- Le libre-service peut être plus approprié pour ces utilisateurs. Envisagez Windows Autopilot pour améliorer l’expérience utilisateur.
- Vos utilisateurs se trouvent-ils à distance ou dans les locaux de l’entreprise ?
- Le libre-service ou Autopilot sont plus appropriés pour les utilisateurs à distance, car ils permettent une configuration facile.
- Préférez-vous une configuration pilotée par l’utilisateur ou gérée par un administrateur ?
- L’inscription en bloc est plus appropriée pour les déploiements pilotés par un administrateur afin de configurer des appareils avant de les confier aux utilisateurs.
- Achetez-vous des appareils auprès de seulement un ou deux fabricants OEM, ou bien vos appareils OEM proviennent-ils de fournisseurs en plus grand nombre ?
- Si vous achetez auprès d’un nombre limité de fabricants OEM qui prennent également en charge Autopilot, vous pouvez également bénéficier d’une intégration plus étroite avec Autopilot.
Configurer les paramètres de vos appareils
Le Centre d’administration Microsoft Entra vous permet de contrôler le déploiement d’appareils joints à Microsoft Entra dans votre organisation. Pour configurer les paramètres associés, naviguez vers Entra ID>Appareils>Tous les appareils>Paramètres des appareils. Pour en savoir plus
Les utilisateurs peuvent joindre des appareils à Microsoft Entra ID
Définissez cette option sur All ou Selected en fonction de l’étendue de votre déploiement et de la personne à laquelle vous souhaitez configurer un appareil joint à Microsoft Entra.
Administrateurs locaux supplémentaires sur des appareils joints à Microsoft Entra
Sélectionnez Sélectionné et sélectionnez les utilisateurs que vous souhaitez ajouter au groupe d’administrateurs locaux sur tous les appareils joints à Microsoft Entra.
Exiger l’authentification multifacteur (MFA) pour joindre des appareils
Sélectionnez Oui si vous avez besoin que les utilisateurs effectuent l’authentification multifacteur lors de la jonction d’appareils à l’ID Microsoft Entra.
Recommandation: Utilisez l’action utilisateur Inscrire ou joindre des appareils dans l’accès conditionnel pour appliquer l’authentification multifacteur pour joindre des appareils.
Configurer vos paramètres de mobilité
Avant de pouvoir configurer vos paramètres de mobilité, il peut être nécessaire d’ajouter d’abord un fournisseur MDM.
Pour ajouter un fournisseur MDM :
Dans la page Microsoft Entra ID, dans la section Gérer , sélectionnez
Mobility (MDM and MAM).Sélectionnez Ajouter une application.
Sélectionnez votre fournisseur MDM dans la liste.
Sélectionnez votre fournisseur MDM pour configurer les paramètres concernés.
Portée de l’utilisateur GDR
Sélectionnez Certaines ou toutes en fonction de l’étendue de votre déploiement.
En fonction de votre étendue, une des actions suivantes se produit :
- L’utilisateur est dans l’étendue MDM : si vous disposez d’un abonnement Microsoft Entra ID P1 ou P2, l’adhésion MDM est automatisée avec l’association à Microsoft Entra. Tous les utilisateurs de l’étendue doivent avoir une licence appropriée pour votre MDM. Si l’inscription MDM échoue dans ce scénario, la jointure à Microsoft Entra est également restaurée.
- L’utilisateur n’est pas dans l’étendue MDM : Si les utilisateurs ne sont pas dans l’étendue MDM, le processus de jonction à Microsoft Entra se termine sans inscription MDM. Cette étendue aboutit à un appareil non géré.
URL MDM
Il existe trois URL liées à votre configuration MDM :
- URL des conditions d’utilisation de MDM
- URL de découverte MDM
- URL de conformité MDM
Chaque URL a une valeur par défaut prédéfinie. Si ces champs sont vides, contactez votre fournisseur MDM pour plus d’informations.
Paramètres MAM
La gestion des applications mobiles (MAM) ne s’applique pas à la jointure Microsoft Entra.
Configurer l’itinérance des états d’entreprise
Si vous souhaitez activer l’itinérance d’état vers l’ID Microsoft Entra afin que les utilisateurs puissent synchroniser leurs paramètres entre les appareils, consultez Activer Enterprise State Roaming dans Microsoft Entra ID.
Recommandation : activez ce paramètre même pour les appareils joints hybrides Microsoft Entra.
Configurer un accès conditionnel
Si vous avez un fournisseur MDM configuré pour vos appareils joints à Microsoft Entra, ce fournisseur signale l’appareil comme étant conforme dès que l’appareil est inscrit pour la gestion.
Vous pouvez utiliser cette implémentation pour exiger des appareils gérés pour l’accès aux applications cloud avec l’accès conditionnel.