Déployer Microsoft Entra appareils joints hybrides à l’aide de Intune et de Windows Autopilot

Importante

Microsoft recommande de déployer de nouveaux appareils en tant que cloud natif à l’aide de Microsoft Entra jonction. Le déploiement de nouveaux appareils en tant que Microsoft Entra appareils de jointure hybride n’est pas recommandé, y compris via Autopilot. Pour plus d’informations, consultez Microsoft Entra joint ou Microsoft Entra joint hybride dans des points de terminaison natifs cloud : quelle option convient à votre organization.

Intune et Windows Autopilot peuvent être utilisés pour configurer Microsoft Entra appareils joints hybrides. Pour cela, effectuez les étapes de cet article. Pour plus d’informations sur Microsoft Entra jointure hybride, consultez Présentation Microsoft Entra jointure et cogestion hybrides.

Configuration requise

Conditions requises pour l’inscription des appareils

L’appareil à inscrire doit respecter les exigences ci-après :

  • Utilisez une version de Windows actuellement prise en charge.
  • Accédez à internet en suivant les exigences de réseau Windows Autopilot.
  • Avoir accès à un contrôleur de domaine Active Directory.
  • Effectuez un test ping avec succès sur le contrôleur de domaine du domaine en cours de jointure.
  • Si vous utilisez proxy, l’option des paramètres de proxy WPAD (Web Proxy Auto-Discovery Protocol) doit être activée et configurée.
  • Fournir l’expérience utilisateur OOBE (Out-of-Box Experience).
  • Utilisez un type d’autorisation que Microsoft Entra ID prend en charge dans OOBE.

Bien que cela ne soit pas obligatoire, la configuration de Microsoft Entra jointure hybride pour les services fédérés Active Directory (ADFS) permet d’accélérer le processus d’inscription de Windows Autopilot Microsoft Entra pendant les déploiements. Les clients fédérés qui ne prennent pas en charge l’utilisation de mots de passe et l’utilisation d’AD FS doivent suivre les étapes décrites dans l’article Services ADFS prise en charge des paramètres prompt=login pour configurer correctement l’expérience d’authentification.

Configuration requise pour le serveur du connecteur Intune

  • Le connecteur Intune pour Active Directory doit être installé sur un ordinateur exécutant Windows Server 2016 ou une version ultérieure avec .NET Framework version 4.7.2 ou ultérieure.

  • Le serveur hébergeant le connecteur Intune doit avoir accès à Internet et à Active Directory.

    Remarque

    Le serveur Intune Connector nécessite un accès client de domaine standard aux contrôleurs de domaine, ce qui inclut les exigences de port RPC dont il a besoin pour communiquer avec Active Directory. Si vous souhaitez en savoir plus, consultez les articles suivants :

  • Pour augmenter la mise à l’échelle et la disponibilité, plusieurs connecteurs peuvent être installés dans l’environnement. Nous vous recommandons d’installer le connecteur sur un serveur qui n’exécute aucun autre connecteur Intune. Chaque connecteur doit être en mesure de créer des objets ordinateur dans n’importe quel domaine qui doit être pris en charge.

Configurer l’inscription GPM automatique Windows

  1. Connectez-vous au Portail Azure et sélectionnez Microsoft Entra ID.

  2. Dans le volet gauche, sélectionnez Gérer la | mobilité (MDM et WIP)>Microsoft Intune.

  3. Assurez-vous que les utilisateurs qui déploient Microsoft Entra appareils joints à l’aide de Intune et Windows sont membres d’un groupe inclus dans l’étendue utilisateur MDM.

  4. Utilisez les valeurs par défaut des zones URL des conditions d’utilisation de GDR, URL de détection MDM et URL de conformité GDR, puis sélectionnez Enregistrer.

Augmenter la limite du nombre de comptes d’ordinateur dans l’unité d’organisation

Le connecteur Intune pour Active Directory crée des ordinateurs inscrits automatiquement dans le domaine Active Directory local. L’ordinateur qui héberge le connecteur Intune doit avoir les droits nécessaires pour créer des objets ordinateur dans le domaine.

Dans certains domaines, les ordinateurs n’ont pas les droits pour créer des ordinateurs. De plus, les domaines ont une limite intégrée (10 par défaut) qui s’applique à tous les utilisateurs et ordinateurs auxquels des droits pour créer des objets ordinateur n’ont pas été délégués. Les droits doivent être délégués aux ordinateurs qui hébergent le connecteur Intune sur l’unité d’organisation où Microsoft Entra appareils joints hybrides sont créés.

L’unité d’organisation qui dispose des droits de création d’ordinateurs doit correspondre à :

  • Unité d’organisation entrée dans le profil de jonction de domaine.
  • Si aucun profil n’est sélectionné, le nom de domaine de l’ordinateur pour le domaine de l’organization.
  1. Ouvrez Utilisateurs et ordinateurs Active Directory (DSA.msc).

  2. Cliquez avec le bouton droit sur l’unité d’organisation à utiliser pour créer Microsoft Entra contrôle délégué d’ordinateurs joints hybrides>.

    Capture d’écran de la commande Delegate Control.

  3. Dans l’Assistant Délégation de contrôle, sélectionnez Suivant>Ajouter>Types d’objets.

  4. Dans le volet Types d’objets, sélectionnez lesOrdinateurs>OK.

    Capture d’écran du volet Types d’objets.

  5. Dans le volet Sélectionner des utilisateurs, des ordinateurs ou des groupes, dans la zone Entrez les noms des objets à sélectionner, entrez le nom de l’ordinateur où le connecteur est installé.

    Capture d’écran du volet Sélectionner des utilisateurs, des ordinateurs ou des Groupes.

  6. Sélectionnez Vérifier les noms pour valider l’entrée >OK>Suivant.

  7. Sélectionnez Créer une tâche personnalisée à déléguer>Suivant.

  8. Sélectionnez uniquement les objets suivants dans le dossier>Objets d'ordinateur.

  9. Sélectionnez Créer des objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans ce dossier.

    Capture d’écran du volet Type d’objet Active Directory.

  10. Sélectionnez Suivant.

  11. Sous Autorisations, cochez la case Contrôle total. Cette action sélectionne toutes les autres options.

    Capture d’écran du volet Autorisations.

  12. Sélectionnez Suivant>Terminer.

Installer le connecteur Intune

Avant de commencer l’installation, assurez-vous que toutes les exigences du serveur du connecteur Intune sont remplies.

Étapes d’installation

  1. Par défaut, sous Windows Server la configuration de sécurité renforcée d’Internet Explorer est activée. La configuration de sécurité renforcée d’Internet Explorer peut entraîner des problèmes de connexion au connecteur Intune pour Active Directory. Étant donné que Explorer Internet est déconseillé et, dans la plupart des cas, même pas installé sur Windows Server, Microsoft recommande de désactiver Internet Explorer configuration de sécurité renforcée. Pour désactiver internet Explorer configuration de sécurité renforcée :

    1. Sur le serveur sur lequel le connecteur Intune est installé, ouvrez Gestionnaire de serveur.

    2. Dans le volet gauche de Gestionnaire de serveur, sélectionnez Serveur local.

    3. Dans le volet PROPRIÉTÉS droit de Gestionnaire de serveur, sélectionnez le lien Activé ou Désactivé en regard de Configuration de la sécurité renforcée d’Internet Explorer.

    4. Dans la fenêtre Configuration de la sécurité renforcée d’Internet Explorer, sélectionnez Désactivé sous Administrateurs, puis ok.

  2. Connectez-vous au Centre d’administration Microsoft Intune.

  3. Dans l’écran d’accueil , sélectionnez Appareils dans le volet gauche.

  4. Dans les appareils | Écran Vue d’ensemble , sous Par plateforme, sélectionnez Windows.

  5. Dans windows | Écran Appareils Windows , sous Intégration de l’appareil, sélectionnez Inscription.

  6. Dans windows | Écran d’inscription Windows, sous Windows Autopilot, sélectionnez connecteur Intune pour Active Directory.

  7. Dans l’écran connecteur Intune pour Active Directory, sélectionnez Ajouter.

  8. Suivez les instructions pour télécharger le connecteur.

  9. Ouvrez le fichier d’installation du connecteur téléchargé ODJConnectorBootstrapper.exe pour installer le connecteur.

  10. À la fin de l’installation, sélectionnez Configurer maintenant.

  11. Sélectionnez Se connecter.

  12. Entrez les informations d’identification d’un rôle d’administrateur Intune. Le compte d’utilisateur doit avoir une licence Intune.

Remarque

Le rôle administrateur Intune est une exigence temporaire au moment de l’installation.

Après l’authentification, l’installation du connecteur Intune pour Active Directory est terminée. Une fois l’installation terminée, vérifiez qu’elle est active dans Intune en procédant comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Dans l’écran d’accueil , sélectionnez Appareils dans le volet gauche.

  3. Dans les appareils | Écran Vue d’ensemble , sous Par plateforme, sélectionnez Windows.

  4. Dans windows | Écran Appareils Windows , sous Intégration de l’appareil, sélectionnez Inscription.

  5. Dans windows | Écran d’inscription Windows, sous Windows Autopilot, sélectionnez connecteur Intune pour Active Directory.

  6. Vérifiez que la connexion status dans la colonne État est Active.

Remarque

  • Une fois connecté au connecteur, l’affichage peut prendre plusieurs minutes dans le centre d’administration Microsoft Intune. Il apparaît seulement s’il peut communiquer avec le service Intune.

  • Les connecteurs Intune inactifs apparaissent toujours dans la page Connecteurs Intune et sont automatiquement nettoyés après 30 jours.

Une fois le connecteur Intune pour Active Directory installé, il démarre la journalisation dans le observateur d'événements sous le chemin d’accès Journaux >des applications et des servicesMicrosoft> Intune >ODJConnectorService. Sous ce chemin d’accès, vous trouverez les journaux d’activité Administration et opérationnels.

Remarque

Le connecteur Intune initialement connecté au observateur d'événements directement sous Journaux des applications et des services dans un journal appelé Service de connecteur ODJ. Toutefois, la journalisation du connecteur Intune a depuis été déplacée vers le chemin Journaux >des applications et des servicesMicrosoft> Intune >ODJConnectorService. Si le journal du service du connecteur ODJ à l’emplacement d’origine est vide ou n’est pas mis à jour, case activée le nouvel emplacement de chemin d’accès à la place.

Configuration des paramètres de proxy web

S’il existe un proxy web dans l’environnement de mise en réseau, assurez-vous que le connecteur Intune pour Active Directory fonctionne correctement en faisant référence à Utiliser des serveurs proxy locaux existants.

Créer un groupe d'appareils

  1. Dans le Centre d’administration Microsoft Intune, sélectionnez Groupes>Nouveau groupe.

  2. Dans le volet Groupe , sélectionnez les options suivantes :

    1. Pour Type de groupe, sélectionnez Sécurité.

    2. Renseignez les champs Nom du groupe et Description du groupe.

    3. Sélectionnez un Type d’adhésion.

  3. Si Appareils dynamiques est sélectionné pour le type d’appartenance, dans le volet Groupe , sélectionnez Membres de l’appareil dynamique.

  4. Sélectionnez Modifier dans la case Syntaxe de la règle, puis entrez l’une des lignes de code suivantes :

    • Pour créer un groupe qui inclut tous les appareils Autopilot, entrez :

      (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")

    • Le champ Étiquette de groupe de Intune est mappé à l’attribut OrderID sur Microsoft Entra appareils. Pour créer un groupe qui inclut tous les appareils Autopilot avec une balise de groupe spécifique (OrderID), entrez :

      (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")

    • Pour créer un groupe qui inclut tous les appareils Autopilot avec un ID de bon de commande spécifique, entrez :

      (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")

  5. Sélectionnez Enregistrer>Créer.

Inscrire des appareils Autopilot

Sélectionnez l’une des méthodes suivantes pour inscrire des appareils Autopilot.

Inscrire les appareils Autopilot déjà inscrits

  1. Créez un profil de déploiement Autopilot avec le paramètre Convertir tous les appareils ciblés en Autopilot défini sur Oui.

  2. Affectez le profil à un groupe qui contient les membres qui doivent être inscrits automatiquement auprès d’Autopilot.

Pour plus d’informations, consultez Créer un profil de déploiement Autopilot.

Inscrire les appareils Autopilot qui ne sont pas inscrits

Les appareils qui ne sont pas encore inscrits dans Windows Autopilot peuvent être inscrits manuellement. Pour plus d’informations, consultez Inscription manuelle.

Inscrire les appareils d’un OEM

Si vous achetez de nouveaux appareils, certains fabricants OEM peuvent inscrire les appareils au nom du organization. Pour plus d’informations, consultez Inscription manuelle.

Afficher l’appareil Autopilot inscrit

Avant que les appareils ne s’inscrivent dans Intune, les appareils Windows Autopilot inscrits sont affichés à trois emplacements (avec des noms définis sur leurs numéros de série) :

Une fois les appareils Windows Autopilot inscrits, les appareils sont affichés à quatre endroits :

Remarque

Une fois les appareils inscrits, les appareils sont toujours affichés dans le volet Appareils Windows Autopilot du centre d’administration Microsoft Intune et dans le volet Autopilot dans Centre d’administration Microsoft 365, mais ces objets sont les objets inscrits windows Autopilot.

Un objet d’appareil est précréé dans Microsoft Entra ID une fois qu’un appareil est inscrit dans Autopilot. Lorsqu’un appareil passe par un déploiement Microsoft Entra hybride, par conception, un autre objet d’appareil est créé, ce qui entraîne des entrées en double.

VPNs

Les clients VPN suivants sont testés et validés :

  • Client VPN Windows in-box
  • Cisco AnyConnect (client Win32)
  • Pulse Secure (client Win32)
  • GlobalProtect (client Win32)
  • Point de contrôle (client Win32)
  • Citrix NetScaler (client Win32)
  • SonicWall (client Win32)
  • VPN FortiClient (client Win32)

Lorsque vous utilisez des VPN, sélectionnez Oui pour l’option Ignorer la connectivité AD case activée dans le profil de déploiement Windows Autopilot. Always-On VPN ne doivent pas nécessiter cette option, car ils se connectent automatiquement.

Remarque

Cette liste de clients VPN n’est pas une liste complète de tous les clients VPN qui fonctionnent avec Windows Autopilot. Contactez le fournisseur VPN correspondant pour la compatibilité et la prise en charge avec Windows Autopilot ou pour tout problème lié à l’utilisation d’une solution VPN avec Windows Autopilot.

Clients VPN non pris en charge

Les solutions VPN suivantes ne fonctionnent pas avec Windows Autopilot et ne sont donc pas prises en charge pour une utilisation avec Windows Autopilot :

  • Plug-ins VPN basés sur UWP
  • Tout ce qui nécessite un certificat utilisateur
  • DirectAccess

Remarque

L’omission d’un client VPN spécifique dans cette liste ne signifie pas automatiquement qu’il est pris en charge ou qu’il fonctionne avec Windows Autopilot. Cette liste répertorie uniquement les clients VPN qui ne fonctionnent pas avec Windows Autopilot.

Créer et affecter un profil de déploiement Autopilot

Les profils de déploiement Autopilot sont utilisés pour configurer les appareils Autopilot.

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Dans l’écran d’accueil , sélectionnez Appareils dans le volet gauche.

  3. Dans les appareils | Écran Vue d’ensemble , sous Par plateforme, sélectionnez Windows.

  4. Dans windows | Écran Appareils Windows , sous Intégration de l’appareil, sélectionnez Inscription.

  5. Dans windows | Écran d’inscription Windows , sous Windows Autopilot, sélectionnez Profils de déploiement.

  6. Dans l’écran Profils de déploiement Windows Autopilot , sélectionnez le menu déroulant Créer un profil , puis PC Windows.

  7. Dans l’écran Créer un profil , dans la page Informations de base , entrez un nom et une description facultative.

  8. Si tous les appareils des groupes attribués doivent s’inscrire automatiquement auprès de Windows Autopilot, définissez Convertir tous les appareils ciblés en Autopilot sur Oui. Tous les appareils non Autopilot appartenant à l’entreprise dans les groupes attribués s’inscrivent auprès du service de déploiement Autopilot. Les appareils personnels ne sont pas inscrits auprès d’Autopilot. Le traitement de l’enregistrement prend 48 heures. Lorsque l’appareil est désinscrit et réinitialisé, Autopilot l’inscrit à nouveau. Une fois qu’un appareil est inscrit de cette façon, la désactivation de ce paramètre ou la suppression de l’attribution de profil ne supprime pas l’appareil du service de déploiement Autopilot. Au lieu de cela, les appareils doivent être supprimés directement. Pour plus d’informations, consultez Supprimer des appareils Autopilot.

  9. Sélectionnez Suivant.

  10. Sur la page Mode out-of-box experience (OOBE), pour Mode de déploiement, sélectionnez Géré par l’utilisateur.

  11. Dans la zone Joindre à Microsoft Entra ID en tant que, sélectionnez Microsoft Entra jointure hybride.

  12. Si vous déployez des appareils hors du réseau de l’organization à l’aide de la prise en charge vpn, définissez l’option Ignorer la vérification de la connectivité du domaine sur Oui. Pour plus d’informations, consultez Mode piloté par l’utilisateur pour Microsoft Entra jonction hybride avec prise en charge vpn.

  13. Configurez les options restantes sur la page Out-of-box experience (OOBE) en fonction de vos besoins.

  14. Sélectionnez Suivant.

  15. Sur la page Balises d’étendue, sélectionnez les balises d’étendue pour ce profil.

  16. Sélectionnez Suivant.

  17. Dans la page Affectations, sélectionnez Sélectionner les groupes à inclure> dans la recherche, puis sélectionnez le groupe > d’appareils Sélectionner.

  18. Sélectionnez Suivant>Créer.

Remarque

Intune recherche régulièrement de nouveaux appareils dans les groupes attribués, puis commencez le processus d’attribution de profils à ces appareils. En raison de plusieurs facteurs différents impliqués dans le processus d’attribution de profil Autopilot, une durée estimée pour l’affectation peut varier d’un scénario à l’autre. Ces facteurs peuvent inclure les groupes Microsoft Entra, les règles d’appartenance, le hachage d’un appareil, le Intune et le service Autopilot et la connexion Internet. Le temps d’affectation varie en fonction de tous les facteurs et variables impliqués dans un scénario spécifique.

(Facultatif) Activer la page d’état d’inscription

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Dans l’écran d’accueil , sélectionnez Appareils dans le volet gauche.

  3. Dans les appareils | Écran Vue d’ensemble , sous Par plateforme, sélectionnez Windows.

  4. Dans windows | Écran Appareils Windows , sous Intégration de l’appareil, sélectionnez Inscription.

  5. Dans windows | Écran d’inscription Windows , sous Windows Autopilot, sélectionnez Page d’état de l’inscription.

  6. Dans le volet Page d’état d’inscription, sélectionnez Par défaut>Paramètres.

  7. Pour Afficher la progression de l’installation des applications et des profils, sélectionnez Oui.

  8. Configurez les autres options selon les besoins.

  9. Sélectionnez Enregistrer.

Créer et affecter un profil de jonction de domaine

  1. Dans le centre d’administration Microsoft Intune, sélectionnez Appareils>Gérer les appareils | Stratégiesde> configuration >Créez une>stratégie.

  2. Dans la fenêtre Créer un profil qui s’ouvre, entrez les propriétés suivantes :

    • Nom : attribuez un nom descriptif au nouveau profil.
    • Description : entrez une description pour le profil.
    • Plateforme : sélectionnez Windows 10 et ultérieur.
    • Type de profil : sélectionnez Modèles, sélectionnez le nom de modèle Jonction de domaine, puis Créer.
  3. Entrez un Nom et une Description pour la nouvelle stratégie, puis sélectionnez Suivant.

  4. Sélectionnez Préfixe de nom d’ordinateur et Nom de domaine.

  5. (Facultatif) Indiquez une unité d’organisation (UO) au format de DN. Les options sont les suivantes :

    • Fournissez une unité d’organisation dans laquelle le contrôle est délégué à l’appareil Windows qui exécute le connecteur Intune.
    • Fournissez une unité d’organisation dans laquelle le contrôle est délégué aux ordinateurs racines dans le Active Directory local de organization.
    • Si ce champ est vide, l’objet ordinateur est créé dans le conteneur Active Directory par défaut. Le conteneur par défaut est normalement le CN=Computers conteneur. Pour plus d’informations, consultez Rediriger les conteneurs d’utilisateurs et d’ordinateurs dans les domaines Active Directory.

    Exemples valides :

    • OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
    • OU=Mine,DC=contoso,DC=com

    Exemples non valides :

    • CN=Computers,DC=contoso,DC=com - un conteneur ne peut pas être spécifié. Au lieu de cela, laissez la valeur vide pour utiliser la valeur par défaut pour le domaine.
    • OU=Mine - le domaine doit être spécifié via les DC= attributs .

    Veillez à ne pas utiliser de guillemets autour de la valeur dans Unité d’organisation.

  6. Sélectionnez OK>Créer. Le profil est créé et apparaît dans la liste.

  7. Affectez un profil d’appareil au même groupe utilisé à l’étape Créer un groupe d’appareils. Vous pouvez utiliser différents groupes si vous devez joindre des appareils à différents domaines ou unités d’organisation.

Remarque

La fonctionnalité de nommage de Windows Autopilot pour Microsoft Entra jointure hybride ne prend pas en charge les variables telles que %SERIAL%. Il prend uniquement en charge les préfixes pour le nom de l’ordinateur.

Désinstaller le connecteur ODJ

Le connecteur ODJ est installé localement sur un ordinateur via un fichier exécutable. Si le connecteur ODJ doit être désinstallé d’un ordinateur, il doit également être effectué localement sur l’ordinateur. Le connecteur ODJ ne peut pas être supprimé via le portail Intune ou via un appel d’API de graphe.

Pour désinstaller le connecteur ODJ de l’ordinateur, procédez comme suit :

  1. Connectez-vous à l’ordinateur hébergeant le connecteur ODJ.
  2. Cliquez avec le bouton droit sur le menu Démarrer et sélectionnez Paramètres.
  3. Dans la fenêtre Paramètres Windows , sélectionnez Applications.
  4. Sous Applications & fonctionnalités, recherchez et sélectionnez connecteur Intune pour Active Directory.
  5. Sous Intune Connecteur pour Active Directory, sélectionnez le bouton Désinstaller, puis sélectionnez à nouveau le bouton Désinstaller.
  6. Le connecteur ODJ procède à la désinstallation.

Étapes suivantes

Une fois Windows Autopilot configuré, découvrez comment gérer ces appareils. Pour plus d’informations, consultez Qu’est-ce que la gestion des appareils Microsoft Intune ?.