Si vous utilisez les fonctionnalités Active Directory (AD) sur site et souhaitez également utiliser des fonctionnalités Azure AD telles que l’accès conditionnel, la connexion unique (SSO) et plus encore, cet article est fait pour vous. Dans cet article, vous allez apprendre comment configurer un mode que Microsoft appelle Hybrid Azure AD Join.
Qu’est-ce que Hybrid Azure AD Join ?
En résumé, Hybrid Azure AD Join est un mode qui vous permet de gérer des appareils à la fois via des outils traditionnels AD sur site et de les enregistrer également avec Azure AD. Pour plus d’informations, consultez la documentation Microsoft sur les appareils Hybrid Azure AD Join.
Prérequis
Il existe de nombreuses exigences et prérequis que vous devez remplir avant de pouvoir commencer à configurer des appareils Hybrid Azure AD Join. Avant de commencer avec les étapes décrites dans cet article, assurez-vous de remplir ou d’avoir les éléments suivants :
- Les appareils doivent être des appareils Windows actuels pris en charge (Windows 10 version 1809 ou supérieure ou Windows Server 2016 et supérieur)
- Un appareil Windows 10 joint à un AD sur site
- Une connectivité Internet sur l’appareil Windows (enterpriseregistration.windows.net:443, login.microsoftonline.com:443 et device.login.microsoftonline.com:443)
- L’AD sur site doit être synchronisé avec Azure AD vers un seul locataire Azure AD. Les noms de domaine pour tous les exemples dans cet article sont appelés adamtheautomator.com. Si vous souhaitez synchroniser plusieurs locataires Azure AD, utilisez des GPO au lieu de SCP.
- Vous devez connaître le compte administrateur global pour Azure AD. L’exemple dans cet article utilisera le nom de compte adam.
- Vous devez connaître un compte administrateur d’entreprise pour l’AD sur site. L’exemple dans cet article utilisera le nom de compte [email protected].
- Vous avez Azure AD Connect 1.1.819.0 installé sur le serveur membre et synchronisé avec Azure AD
Tous les exemples dans cet article utiliseront un domaine AD sur site appelé adamtheautomator.com avec un Azure AD synchronisé du même nom.
Pour une liste complète des prérequis, consultez la documentation Microsoft sur la Planification de la mise en œuvre de la jonction hybride Azure Active Directory.
Configuration d’Azure AD Connect
La première étape pour configurer des appareils joints à Azure AD hybride consiste à configurer Azure AD Connect. Ici, vous configurerez le processus de synchronisation Azure AD pour prendre en compte le mode hybride que vous avez l’intention d’utiliser.
Pour commencer, ouvrez Azure AD Connect et cliquez sur Configurer.
Sur l’écran suivant, cliquez sur Configurer les options de l’appareil et cliquez sur Suivant.
Entrez les informations d’identification de l’administrateur global de votre locataire Azure AD, puis cliquez sur Suivant.
Cliquez sur Configurer l’adhésion hybride à Azure AD et Suivant.
Sur la page Systèmes d’exploitation des appareils, vous sélectionnerez les types d’appareils que vous souhaitez intégrer. Pour cet article, nous allons uniquement intégrer des appareils actuels (Windows 10). Choisissez Windows 10 ou versions ultérieures, appareils joints à un domaine et cliquez sur Suivant.
Pour obtenir des informations sur la configuration des appareils Windows de niveau inférieur (Windows 8.1+ et Windows Server 2008 R2+), consultez la documentation Microsoft Configurer l’adhésion hybride à Azure Active Directory pour les domaines gérés.
Vous allez maintenant créer le point de connexion de service (SCP) dans Azure pour permettre à vos appareils de lire les informations du locataire Azure AD. Vérifiez le nom de votre forêt sous Forest, choisissez Azure Active Directory comme service d’authentification et cliquez sur Ajouter pour fournir les informations d’identification de votre compte administrateur d’entreprise local. Une fois terminé, cliquez sur Suivant.
Sur l’écran suivant, cliquez sur Configurer pour commencer le processus. Tout cela ne devrait prendre que quelques secondes.
Une fois terminé, on vous demandera de configurer quelques étapes supplémentaires. Cliquez sur Quitter une fois terminé.
Vérification de l’état de l’adhésion à Azure AD
Une fois Azure AD Connect configuré, vous devez maintenant vérifier que vos efforts ont porté leurs fruits ! Heureusement, tous les appareils Windows 10 devraient finir par être automatiquement joints à l’AD hybride, mais pour le premier appareil, vous devriez confirmer cela.
Vérification côté client
Pour confirmer l’enregistrement de l’appareil Windows 10, redémarrez l’un d’entre eux. Une fois qu’il est de nouveau opérationnel, connectez-vous à distance ou sur la console et accédez à une invite de commandes. Dans l’invite de commandes, tapez dsregcmd /status. Si vous voyez AzureADJoined: YES sous État de l’appareil, tout va bien.
Si l’appareil n’est pas encore joint à Azure AD, cela peut être dû au fait que l’objet d’ordinateur n’a pas encore été synchronisé avec Azure AD. Vous pouvez essayer de forcer l’enregistrement en exécutant dsregcmd /join et en vérifiant à nouveau l’état.
Si vous ne voyez toujours pas que l’appareil a été joint à Azure AD, vous voudrez peut-être consulter ce guide de dépannage. Vous pouvez également télécharger ce script PowerShell à exécuter sur l’appareil pour effectuer de nombreux tests courants.
Vérification du côté Azure
Une fois que vous avez confirmé que le client Windows 10 indique qu’il est joint, assurez-vous également de vérifier du côté Azure. Pour cela, accédez à la section Appareils dans votre locataire Azure AD. Vous devriez voir ici que le TYPE DE JOIN est Joint Hybrid Azure AD et que ENREGISTRÉ a un horodatage récent pour l’appareil Windows 10.
Si vous constatez que des appareils apparaissent comme étant « Enregistrés » et « Joint Hybrid Azure AD », vous pouvez constater que les règles d’accès conditionnel (CA) d’AAD ne fonctionnent pas correctement avec les entrées « Enregistrées ». Pour résoudre ce problème, mettez à niveau tous les appareils vers Windows 10 1903. Vous devrez peut-être également supprimer toutes les entrées « Enregistrées » à l’aide d’un script.
Une fois que vous avez confirmé que votre machine de test Windows 10 a été enregistrée et jointe en tant que jointure hybride Azure AD, tous les autres appareils actuels dans AD devraient commencer à s’enregistrer automatiquement.
Si un utilisateur est connecté au client joint, il devra se déconnecter puis se reconnecter pour obtenir un jeton de rafraîchissement principal.
Résumé
Une fois configurés, les appareils rejoignant un modèle de jointure Azure AD hybride se registrent automatiquement. Une fois que vous avez effectué toutes les étapes nécessaires dans cet article, la plupart du travail difficile est fait pour vous. À ce stade, vous pouvez commencer à utiliser les différents services offerts par Azure AD pour gérer tous vos appareils joints à un domaine.