Procédure : Planifier l’implémentation de la jonction Azure AD HybrideHow To: Plan your hybrid Azure Active Directory join implementation

À l’instar d’un utilisateur, un appareil est une autre identité essentielle que vous souhaitez protéger et utiliser pour protéger vos ressources à tout moment et en tout lieu.In a similar way to a user, a device is another core identity you want to protect and use it to protect your resources at any time and from any location. Vous pouvez atteindre cet objectif en intégrant et en gérant les identités des appareils dans Azure AD à l’aide d’une des méthodes ci-dessous :You can accomplish this goal by bringing and managing device identities in Azure AD using one of the following methods:

  • jointure Azure AD ;Azure AD join
  • jointure Azure AD hybride ;Hybrid Azure AD join
  • inscription Azure AD.Azure AD registration

En mettant vos appareils sur Azure AD, vous optimisez la productivité de vos utilisateurs par le biais de l’authentification unique (SSO) sur vos ressources cloud et locales.By bringing your devices to Azure AD, you maximize your users' productivity through single sign-on (SSO) across your cloud and on-premises resources. Dans le même temps, vous pouvez sécuriser l’accès à ces ressources avec l’accès conditionnel.At the same time, you can secure access to your cloud and on-premises resources with Conditional Access.

Si vous disposez d’un environnement Active Directory (AD) local et que vous souhaitez lier vos ordinateurs joints au domaine AD à Azure AD, vous pouvez y parvenir en effectuant une jonction Azure AD Hybride.If you have an on-premises Active Directory (AD) environment and you want to join your AD domain-joined computers to Azure AD, you can accomplish this by doing hybrid Azure AD join. Cet article présente les étapes à suivre pour implémenter une jointure Azure AD hybride dans un environnement.This article provides you with the related steps to implement a hybrid Azure AD join in your environment.

PrérequisPrerequisites

Cet article suppose que vous avez lu la Présentation de la gestion des identités des appareils dans Azure Active Directory.This article assumes that you are familiar with the Introduction to device identity management in Azure Active Directory.

Notes

La version de contrôleur de domaine minimale requise pour une jonction Azure AD Hybride Windows 10 est Windows Server 2008 R2.The minimum required domain controller version for Windows 10 hybrid Azure AD join is Windows Server 2008 R2.

Planifier l’implémentationPlan your implementation

Pour planifier votre implémentation Azure AD hybride, prenez connaissance de ces étapes :To plan your hybrid Azure AD implementation, you should familiarize yourself with:

Vérification Vérifier les appareils pris en chargeReview supported devices
Vérification Connaître les points à savoirReview things you should know
Vérification Vérifier la validation contrôlée de la jonction Azure AD HybrideReview controlled validation of hybrid Azure AD join
Vérification Sélectionner votre scénario en fonction de votre infrastructure d’identitéSelect your scenario based on your identity infrastructure
Vérification Vérifier la prise en charge d’un UPN AD local pour la jonction Azure AD HybrideReview on-premises AD UPN support for hybrid Azure AD join

Vérifier les appareils pris en chargeReview supported devices

La jointure Azure AD hybride prend en charge un large éventail d’appareils Windows.Hybrid Azure AD join supports a broad range of Windows devices. Dans la mesure où la configuration des appareils fonctionnant sous des versions antérieures de Windows implique des étapes supplémentaires ou différentes, les appareils pris en charge sont divisés en deux catégories :Because the configuration for devices running older versions of Windows requires additional or different steps, the supported devices are grouped into two categories:

Appareils Windows actuelsWindows current devices

  • Windows 10Windows 10
  • Windows Server 2016Windows Server 2016
  • Windows Server 2019Windows Server 2019

Pour les appareils exécutant le système d’exploitation Windows, les versions prises en charge sont répertoriées dans l'article Informations de publication relatives à Windows 10.For devices running the Windows desktop operating system, supported version are listed in this article Windows 10 release information. En guise de meilleure pratique, Microsoft recommande d'effectuer une mise à niveau vers la dernière version de Windows 10.As a best practice, Microsoft recommends you upgrade to the latest version of Windows 10.

Appareils Windows de bas niveauWindows down-level devices

La première étape de la planification consiste à examiner l’environnement et à déterminer s’il est nécessaire de prendre en charge les appareils Windows de bas niveau.As a first planning step, you should review your environment and determine whether you need to support Windows down-level devices.

Connaître les points à savoirReview things you should know

La jonction Azure AD Hybride n'est pas prise en charge si votre environnement se compose d’une seule forêt AD synchronisant les données d’identité sur plusieurs locataires Azure AD.Hybrid Azure AD join is currently not supported if your environment consists of a single AD forest synchronizing identity data to more than one Azure AD tenant.

La jonction Azure AD Hybride n'est pas prise en charge avec l'infrastructure VDI (Virtual Desktop Infrastructure).Hybrid Azure AD join is currently not supported when using virtual desktop infrastructure (VDI).

La jonction Azure AD Hybride n’est pas prise en charge pour les modules TPM compatibles FIPS.Hybrid Azure AD join is not supported for FIPS-compliant TPMs. Si vos appareils sont dotés de modules TPM compatibles FIPS, vous devez les désactiver avant de procéder à la jonction Azure AD Hybride.If your devices have FIPS-compliant TPMs, you must disable them before proceeding with Hybrid Azure AD join. Microsoft ne propose aucun outil permettant de désactiver le mode FIPS pour les modules TPM car il dépend du fabricant de ces modules.Microsoft does not provide any tools for disabling FIPS mode for TPMs as it is dependent on the TPM manufacturer. Pour obtenir de l'aide, contactez votre fabricant OEM.Please contact your hardware OEM for support.

La jonction Azure AD Hybride n'est pas prise en charge pour Windows Server avec le rôle de contrôleur de domaine.Hybrid Azure AD join is not supported for Windows Server running the Domain Controller (DC) role.

La jonction Azure AD Hybride n’est pas prise en charge sur les appareils Windows de bas niveau lors de l’utilisation de l’itinérance des informations d’identification ou du profil utilisateur.Hybrid Azure AD join is not supported on Windows down-level devices when using credential roaming or user profile roaming.

Si vous comptez sur l’outil de préparation système (Sysprep) et utilisez une image pré-Windows 10 1809 pour l’installation, vérifiez que cette image ne provient pas d'un appareil déjà inscrit auprès d’Azure AD en tant que jonction Azure AD Hybride.If you are relying on the System Preparation Tool (Sysprep) and if you are using a pre-Windows 10 1809 image for installation, make sure that image is not from a device that is already registered with Azure AD as Hybrid Azure AD join.

Si vous utilisez une capture instantanée de machine virtuelle pour créer des machines virtuelles supplémentaires, vérifiez qu’elle ne provient pas d'une machine virtuelle déjà inscrite auprès d'Azure AD en tant que jonction Azure AD Hybride.If you are relying on a Virtual Machine (VM) snapshot to create additional VMs, make sure that snapshot is not from a VM that is already registered with Azure AD as Hybrid Azure AD join.

Si vos appareils Windows 10 joints à un domaine sont inscrits sur Azure AD auprès de votre locataire, cela peut entraîner un double état : appareil joint à Azure AD Hybride et appareil inscrit sur Azure AD.If your Windows 10 domain joined devices are Azure AD registered to your tenant, it could lead to a dual state of Hybrid Azure AD joined and Azure AD registered device. Nous vous recommandons de procéder à une mise à niveau vers Windows 10 1803 (avec KB4489894 appliqué) ou version ultérieure pour répondre automatiquement à ce scénario.We recommend upgrading to Windows 10 1803 (with KB4489894 applied) or above to automatically address this scenario. Dans les versions antérieures à 1803, vous devrez supprimer manuellement l’état « appareil inscrit sur Azure AD » avant d’activer une jonction Azure AD Hybride.In pre-1803 releases, you will need to remove the Azure AD registered state manually before enabling Hybrid Azure AD join. Dans les versions 1803 et ultérieures, les modifications suivantes ont été apportées pour éviter ce double état :In 1803 and above releases, the following changes have been made to avoid this dual state:

  • Tout état existant inscrit sur Azure AD est automatiquement supprimé dès lors que l’appareil est joint à Azure AD Hybride.Any existing Azure AD registered state would be automatically removed after the device is Hybrid Azure AD joined.
  • Vous pouvez éviter que votre appareil joint au domaine soit inscrit à Azure AD en ajoutant cette clé de Registre - HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001.You can prevent your domain joined device from being Azure AD registered by adding this registry key - HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001.
  • Dans Windows 10 1803, si vous avez configuré Windows Hello Entreprise, l’utilisateur doit reconfigurer Windows Hello Entreprise après le nettoyage de double état. Ce problème a été résolu avec KB4512509In Windows 10 1803, if you have Windows Hello for Business configured, the user needs to re-setup Windows Hello for Business after the dual state clean up.This issue has been addressed with KB4512509

Vérifier la validation contrôlée de la jonction Azure AD HybrideReview controlled validation of hybrid Azure AD join

Lorsque toutes les conditions préalables sont en place, les appareils Windows sont inscrits automatiquement en tant qu’appareils dans votre locataire Azure AD.When all of the pre-requisites are in place, Windows devices will automatically register as devices in your Azure AD tenant. L’état de ces identités d’appareils dans Azure AD est appelé jonction Azure AD Hybride.The state of these device identities in Azure AD is referred as hybrid Azure AD join. Des informations supplémentaires sur les concepts abordés dans cet article sont disponibles dans les articles Présentation de la gestion des identités des appareils dans Azure Active Directory et Planifier votre implémentation de jonction Azure Active Directory Hybride.More information about the concepts covered in this article can be found in the articles Introduction to device identity management in Azure Active Directory and Plan your hybrid Azure Active Directory join implementation.

Les organisations peuvent vouloir effectuer une validation contrôlée de la jonction Azure AD Hybride avant de l’activer dans leur organisation entière en une fois.Organizations may want to do a controlled validation of hybrid Azure AD join before enabling it across their entire organization all at once. Consultez l'article Validation contrôlée de la jonction Azure AD Hybride pour savoir comment procéder.Review the article controlled validation of hybrid Azure AD join to understand how to accomplish it.

Sélectionner votre scénario en fonction de votre infrastructure d’identitéSelect your scenario based on your identity infrastructure

La jointure Azure AD Hybride fonctionne avec les environnements managés et fédérés, selon que l’UPN est routable ou non routable.Hybrid Azure AD join works with both, managed and federated environments depending on whether the UPN is routable or non-routable. Consultez le bas de la page pour voir un tableau des scénarios pris en charge.See bottom of the page for table on supported scenarios.

Environnement géréManaged environment

Un environnement managé peut être déployé par le biais de la synchronisation de hachage de mot de passe (PHS) ou de l’authentification directe (PTA) avec l’authentification unique fluide.A managed environment can be deployed either through Password Hash Sync (PHS) or Pass Through Authentication (PTA) with Seamless Single Sign On.

Ces scénarios ne nécessitent pas la configuration d’un serveur de fédération pour l’authentification.These scenarios don't require you to configure a federation server for authentication.

Environnement fédéréFederated environment

Un environnement fédéré doit disposer d’un fournisseur d’identité qui prend en charge les exigences suivantes :A federated environment should have an identity provider that supports the following requirements. Si vous disposez d’un environnement fédéré utilisant les services de fédération Active Directory (AD FS), les exigences ci-dessous sont déjà prises en charge.If you have a federated environment using Active Directory Federation Services (AD FS), then the below requirements are already supported.

  • Revendication WIAORMULTIAUTHN : Cette revendication est nécessaire à des fins de jonction Azure AD Hybride pour les appareils Windows de bas niveau.WIAORMULTIAUTHN claim: This claim is required to do hybrid Azure AD join for Windows down-level devices.
  • Protocole WS-Trust : Ce protocole est nécessaire pour authentifier auprès d’Azure AD les appareils Windows actuels ayant fait l’objet d’une jonction Azure AD Hybride.WS-Trust protocol: This protocol is required to authenticate Windows current hybrid Azure AD joined devices with Azure AD. Lorsque vous utilisez AD FS, vous devez activer les points de terminaison WS-Trust suivants : /adfs/services/trust/2005/windowstransportWhen you're using AD FS, you need to enable the following WS-Trust endpoints: /adfs/services/trust/2005/windowstransport
    /adfs/services/trust/13/windowstransport
    /adfs/services/trust/2005/usernamemixed /adfs/services/trust/13/usernamemixed /adfs/services/trust/2005/certificatemixed /adfs/services/trust/13/certificatemixed

Avertissement

adfs/services/trust/2005/windowstransport ou adfs/services/trust/13/windowstransport doivent tous les deux être activés en tant que points de terminaison uniquement accessibles sur intranet ; ils NE doivent PAS être exposés comme points de terminaison extranet via le proxy d’application web.Both adfs/services/trust/2005/windowstransport or adfs/services/trust/13/windowstransport should be enabled as intranet facing endpoints only and must NOT be exposed as extranet facing endpoints through the Web Application Proxy. Pour en savoir plus sur la désactivation des points de terminaison Windows WS-Trust, consultez Désactiver les points de terminaison Windows WS-Trust sur le proxy.To learn more on how to disable WS-Trust Windows endpoints, see Disable WS-Trust Windows endpoints on the proxy. Vous pouvez visualiser les points de terminaison qui sont activés par le biais de la console de gestion AD FS sous Service > Points de terminaison.You can see what endpoints are enabled through the AD FS management console under Service > Endpoints.

Notes

Azure AD ne prend pas en charge les cartes à puce ou les certificats dans les domaines gérés.Azure AD does not support smartcards or certificates in managed domains.

Depuis la version 1.1.819.0, Azure AD Connect comporte un Assistant permettant de configurer la jointure Azure AD hybride.Beginning with version 1.1.819.0, Azure AD Connect provides you with a wizard to configure hybrid Azure AD join. Il simplifie considérablement le processus de configuration.The wizard enables you to significantly simplify the configuration process. Si vous n’avez pas la possibilité d’installer la version requise d’Azure AD Connect, consultez le Guide pratique pour configurer manuellement l’inscription des appareils.If installing the required version of Azure AD Connect is not an option for you, see how to manually configure device registration.

Selon le scénario correspondant à votre infrastructure d’identité, consultez :Based on the scenario that matches your identity infrastructure, see:

Vérifier la prise en charge d’un UPN AD local pour la jonction Azure AD HybrideReview on-premises AD UPN support for Hybrid Azure AD join

Parfois, vos UPN AD locaux peuvent différer de vos UPN AD Azure.Sometimes, your on-premises AD UPNs could be different from your Azure AD UPNs. Dans ce cas, une jonction Azure AD Hybride Windows 10 offre une prise en charge limitée des UPN AD locaux, variable selon la méthode d’authentification, le type de domaine et la version de Windows 10.In such cases, Windows 10 Hybrid Azure AD join provides limited support for on-premises AD UPNs based on the authentication method, domain type and Windows 10 version. Deux types d’UPN AD locaux peuvent exister dans votre environnement :There are two types of on-premises AD UPNs that can exist in your environment:

  • UPN routable : un UPN routable possède un domaine vérifié valide, qui est inscrit auprès d’un bureau d’enregistrement de domaines.Routable UPN: A routable UPN has a valid verified domain, that is registered with a domain registrar. Par exemple, si contoso.com est le domaine principal dans Azure AD, contoso.org est le domaine principal dans l’AD local appartenant à Contoso et vérifié dans Azure ADFor example, if contoso.com is the primary domain in Azure AD, contoso.org is the primary domain in on-premises AD owned by Contoso and verified in Azure AD
  • UPN non routable : un UPN non routable ne dispose pas d’un domaine vérifié.Non-routable UPN: A non-routable UPN does not have a verified domain. Il est applicable uniquement au sein du réseau privé de votre organisation.It is applicable only within your organization's private network. Par exemple, si contoso.com est le domaine principal dans Azure AD, contoso.local est le domaine principal dans l’AD local, mais n’est pas un domaine vérifiable sur Internet et n’est utilisé qu’à l’intérieur du réseau de Contoso.For example, if contoso.com is the primary domain in Azure AD, contoso.local is the primary domain in on-premises AD but is not a verifiable domain in the internet and only used within Contoso's network.

Le tableau ci-dessous fournit des détails sur la prise en charge de ces UPN AD locaux dans une jointure Azure AD Hybride Windows 10The table below provides details on support for these on-premises AD UPNs in Windows 10 Hybrid Azure AD join

Type d’UPN AD localType of on-premises AD UPN Type de domaineDomain type version Windows 10Windows 10 version DescriptionDescription
RoutableRoutable Adresses IP fédéréesFederated À partir de la version 1703From 1703 release Mise à la disposition généraleGenerally available
Non routableNon-routable Adresses IP fédéréesFederated À partir de la version 1803From 1803 release Mise à la disposition généraleGenerally available
RoutableRoutable Adresses IP géréesManaged Non pris en chargeNot supported
Non routableNon-routable Adresses IP géréesManaged Non pris en chargeNot supported

Étapes suivantesNext steps