Qu’est-ce qu’une identité d’appareil ?What is a device identity?

Tout d’abord, dans un appareil où mobilité et cloud occupent le premier plan, Azure Active Directory (Azure AD) autorise une authentification unique sur les appareils, applications et services depuis n’importe où.In a mobile-first, cloud-first world, Azure Active Directory (Azure AD) enables single sign-on to devices, apps, and services from anywhere. Avec la prolifération des appareils, y compris des appareils Bring Your Own Device (BYOD), les professionnels de l’informatique sont confrontés à deux objectifs contradictoires :With the proliferation of devices - including Bring Your Own Device (BYOD), IT professionals are faced with two opposing goals:

  • Permettre aux utilisateurs d’être productifs où et quand ils le veulentEmpower the end users to be productive wherever and whenever
  • Protéger les ressources de l’entreprise à tout momentProtect the corporate assets at any time

Quand les appareils sont dans Azure AD, les utilisateurs peuvent accéder aux ressources d’entreprise.Through devices in Azure AD, your users are getting access to your corporate assets. Pour protéger vos ressources d’entreprise, en tant qu’administrateur informatique, vous voulez gérer ces identités d’appareils.To protect your corporate assets, as an IT administrator, you want to manage these devices identities. Cela vous permet de vous assurer que vos utilisateurs ont accès à vos ressources à partir d’appareils qui répondent à vos normes de conformité et de sécurité.This enables you to make sure that your users are accessing your resources from devices that meet your standards for security and compliance.

La gestion des identités d’appareil est également à la base de l’accès conditionnel à partir de l’appareil.Device identity management is also the foundation for device-based conditional access. Avec l’accès conditionnel en fonction des appareils, vous pouvez faire en sorte que l’accès aux ressources de votre environnement ne soit possible qu’avec des appareils gérés.With device-based conditional access, you can ensure that access to resources in your environment is only possible with managed devices.

Obtenir des appareils dans Azure ADGetting devices in Azure AD

Pour obtenir un appareil à Azure AD, vous avez deux options :To get a device in Azure AD, you have two options:

  • InscriptionRegistering
  • JonctionJoining

L’inscription d’un appareil sur Azure AD vous permet de gérer son identité.Registering a device to Azure AD enables you to manage a device’s identity. Lors de l’inscription d’un appareil, Azure AD Device Registration fournit une identité à l’appareil qui sera utilisée pour authentifier l’appareil lors de la connexion de l’utilisateur à Azure AD.When a device is registered, Azure AD device registration provides the device with an identity that is used to authenticate the device when a user signs-in to Azure AD. Vous pouvez utiliser cette identité pour activer ou désactiver un appareil.You can use the identity to enable or disable a device.

Quand ils sont associés à une solution de gestion des périphériques mobiles (GPM) comme Microsoft Intune, les attributs de l’appareil dans Azure AD sont mis à jour avec des informations supplémentaires sur l’appareil.When combined with a mobile device management(MDM) solution such as Microsoft Intune, the device attributes in Azure AD are updated with additional information about the device. Cela vous permet de créer des règles d’accès conditionnel qui imposent que l’accès à partir des appareils réponde à vos critères de sécurité et de conformité.This allows you to create conditional access rules that enforce access from devices to meet your standards for security and compliance. Pour plus d’informations sur l’inscription d’appareils dans Microsoft Intune, consultez Qu’est-ce que l’inscription d’appareils ?For more information on enrolling devices in Microsoft Intune, see What is device enrollment?

La jonction d’un appareil est une extension de l’inscription d’un appareil.Joining a device is an extension to registering a device. En d’autres termes, cela vous offre tous les avantages de l’inscription d’un appareil et modifie également l’état local de celui-ci.This means, it provides you with all the benefits of registering a device and in addition to this, it also changes the local state of a device. Modifier l’état local permet à vos utilisateurs de se connecter à un appareil à l’aide d’un compte professionnel ou scolaire d’une organisation au lieu d’un compte personnel.Changing the local state enables your users to sign-in to a device using an organizational work or school account instead of a personal account.

Appareils inscrits sur Azure ADAzure AD registered devices

L’objectif des appareils inscrits sur Azure AD est de permettre la prise en charge du scénario Bring Your Own Device (BYOD) .The goal of Azure AD registered devices is to provide you with support for the Bring Your Own Device (BYOD) scenario. Dans ce scénario, un utilisateur peut accéder aux ressources contrôlées Azure Active Directory de votre organisation à l’aide d’un appareil personnel.In this scenario, a user can access your organization’s Azure Active Directory controlled resources using a personal device.

Appareils inscrits sur Azure AD

L’accès repose sur un compte professionnel ou scolaire saisi sur l’appareil.The access is based on a work or school account that has been entered on the device.
Par exemple, Windows 10 permet aux utilisateurs d’ajouter un compte professionnel ou scolaire à un ordinateur personnel, une tablette ou un téléphone.For example, Windows 10 enables users to add a work or school account to a personal computer, tablet, or phone.
Lorsqu’un utilisateur ajoute un compte professionnel ou scolaire, l’appareil est automatiquement inscrit auprès d’Azure AD, voire éventuellement dans le système de gestion de périphériques mobiles (GPM) que votre organisation a configuré.When a user has added a work or school account, the device is registered with Azure AD and optionally enrolled in the mobile device management (MDM) system that your organization has configured. Les utilisateurs de votre organisation peuvent facilement ajouter un compte professionnel ou scolaire à un appareil personnel :Your organization’s users can add a work or school account to a personal device conveniently:

  • Pour votre premier accès à une application professionnelleWhen accessing a work application for the first time
  • Manuellement via le menu Paramètres dans le cas de Windows 10Manually via the Settings menu in the case of Windows 10

Vous pouvez configurer un état d’appareil inscrit à Azure AD pour les appareils Windows 10 Personnel, iOS, Android et macOS.You can configure an Azure AD registered device state for Windows 10 personal, iOS, Android and macOS devices.

Appareils joints Azure ADAzure AD joined devices

Les appareils joints Azure AD ont pour objectif de simplifier :The goal of Azure AD joined devices is to simplify:

  • Les déploiements Windows des appareils professionnelsWindows deployments of work-owned devices
  • L’accès aux applications et aux ressources d’organisation à partir de n’importe quel appareil WindowsAccess to organizational apps and resources from any Windows device
  • Gestion cloud des appareils professionnelsCloud-based management of work-owned devices

Appareils inscrits sur Azure AD

Il existe différentes manières de déployer Azure AD Join :Azure AD Join can be deployed by using any of the following methods:

Azure AD Join est destiné aux organisations qui souhaitent donner la priorité au cloud (autrement dit, qui utilisent principalement des services cloud, dans l’objectif de réduire l’usage d’une infrastructure locale) ou utiliser exclusivement le cloud (aucune infrastructure locale).Azure AD Join is intended for organizations that want to be cloud-first (that is, primarily use cloud services, with a goal to reduce use of an on-premises infrastructure) or cloud-only (no on-premises infrastructure). Il n’existe aucune restriction quant à la taille ou au type des organisations qui peuvent déployer Azure AD Join.There are no restrictions on the size or type of organizations that can deploy Azure AD Join. Azure AD Join fonctionne parfaitement même dans un environnement hybride et permet l’accès aux applications et ressources locales et cloud.Azure AD Join works well even in a hybrid environment, enabling access to both cloud and on-premises apps and resources.

L’implémentation d’appareils joints Azure AD vous offre les avantages suivants :Implementing Azure AD joined devices provides you with the following benefits:

  • L’authentification unique à vos applications et services SaaS gérés par Azure.Single-Sign-On (SSO) to your Azure managed SaaS apps and services. Vos utilisateurs ne voient pas les invites d’authentification supplémentaires lorsqu’ils accèdent aux ressources de travail.Your users don’t see additional authentication prompts when accessing work resources. La fonctionnalité d’authentification unique est disponible, même lorsque vos utilisateurs ne sont pas connectés au réseau avec domaine.The SSO functionality is available, even when your users are not connected to the domain network.
  • L’itinérance compatible avec l’entreprise des paramètres utilisateur sur les appareils joints.Enterprise compliant roaming of user settings across joined devices. Les utilisateurs n’ont pas besoin de se connecter à un compte Microsoft (par exemple, Hotmail) pour afficher les paramètres sur les appareils.Users don’t need to connect a Microsoft account (for example, Hotmail) to see settings across devices.
  • Accéder au Windows Store pour Entreprises à l’aide d’un compte Azure AD.Access to Windows Store for Business using an Azure AD account. Les utilisateurs peuvent choisir parmi un inventaire d’applications présélectionnées par l’organisation.Your users can choose from an inventory of applications pre-selected by the organization.
  • L’assistant Windows Hello fournit un accès sécurisé et pratique aux ressources de travail.Windows Hello support for secure and convenient access to work resources.
  • La restriction d’accès aux applications ne s’applique qu’aux appareils qui répondent à la stratégie de conformité.Restriction of access to apps from only devices that meet compliance policy.
  • Un accès fluide aux ressources locales lorsque l’appareil dispose d’une ligne de vue sur le contrôleur de domaine local.Seamless access to on-premises resources when the device has line of sight to the on-premises domain controller.

Bien qu’Azure AD Join soit principalement conçu pour les organisations qui ne disposent pas d’une infrastructure Windows Server Active Directory locale, vous pouvez tout à fait l’utiliser dans les scénarios où :While Azure AD join is primarily intended for organizations that do not have an on-premises Windows Server Active Directory infrastructure, you can certainly use it in scenarios where:

  • Vous souhaitez passer à une infrastructure cloud avec Azure AD et un système de gestion des appareils mobiles comme Intune.You want to transition to cloud-based infrastructure using Azure AD and MDM like Intune.
  • Vous ne pouvez pas utiliser de jonction de domaine locale, par exemple, si vous avez besoin de contrôler des appareils mobiles, tels que des tablettes et des téléphones.You can’t use an on-premises domain join, for example, if you need to get mobile devices such as tablets and phones under control.
  • Vos utilisateurs ont principalement besoin d’accéder à Office 365 ou d’autres applications SaaS intégrées à Azure AD.Your users primarily need to access Office 365 or other SaaS apps integrated with Azure AD.
  • Vous souhaitez gérer un groupe d’utilisateurs dans Azure AD et non dans un répertoire Active Directory.You want to manage a group of users in Azure AD instead of in Active Directory. Par exemple, cela peut concerner les travailleurs saisonniers, les prestataires ou les étudiants.This can apply, for example, to seasonal workers, contractors, or students.
  • Vous souhaitez fournir des fonctionnalités de jonction aux travailleurs dans des succursales distantes avec une infrastructure locale limitée.You want to provide joining capabilities to workers in remote branch offices with limited on-premises infrastructure.

Vous pouvez configurer des appareils joints Azure AD pour les appareils Windows 10.You can configure Azure AD joined devices for Windows 10 devices.

Appareils joints Azure AD hybridesHybrid Azure AD joined devices

Pendant plus de dix ans, de nombreuses organisations ont utilisé la jonction de domaine dans leur répertoire Active Directory local pour permettre :For more than a decade, many organizations have used the domain join to their on-premises Active Directory to enable:

  • Aux services informatiques de gérer les appareils professionnels à partir d’un emplacement central.IT departments to manage work-owned devices from a central location.
  • Aux utilisateurs de se connecter à leurs appareils à partir de leurs comptes Active Directory professionnels ou scolaires.Users to sign in to their devices with their Active Directory work or school accounts.

En règle générale, les organisations disposant d’empreintes locales s’appuient sur des méthodes de création d’images pour approvisionner les appareils. Ils utilisent souvent System Center Configuration Manager (SCCM) ou les stratégies de groupe pour les gérer.Typically, organizations with an on-premises footprint rely on imaging methods to provision devices, and they often use System Center Configuration Manager (SCCM) or group policy (GP) to manage them.

Si votre environnement comporte une empreinte locale AD et vous souhaitez également profiter des fonctionnalités proposées par Azure Active Directory, vous pouvez implémenter les appareils joints Azure AD hybrides.If your environment has an on-premises AD footprint and you also want benefit from the capabilities provided by Azure Active Directory, you can implement hybrid Azure AD joined devices. Il s’agit d’appareils joints à votre service Active Directory local et inscrits auprès d’Azure Active Directory.These are devices that are joined to your on-premises Active Directory and registered with your Azure Active Directory.

Appareils inscrits sur Azure AD

Vous devez utiliser des appareils joints Azure AD hybrides si :You should use Azure AD hybrid joined devices if:

  • Des applications Win32 sont déployées sur ces appareils qui s’appuient sur l’authentification d’ordinateur Active Directory.You have Win32 apps deployed to these devices that rely on Active Directory machine authentication.
  • Vous avez besoin de stratégies de groupe pour gérer les appareils.You require GP to manage devices.
  • Vous souhaitez continuer à utiliser des solutions de création d’images pour configurer les appareils de vos employés.You want to continue to use imaging solutions to configure devices for your employees.

Vous pouvez configurer des appareils joints Azure AD hybrides pour Windows 10 et des appareils de bas niveau comme Windows 8 et Windows 7.You can configure Hybrid Azure AD joined devices for Windows 10 and down-level devices such as Windows 8 and Windows 7.

RésuméSummary

La gestion des identités d’appareils dans Azure AD vous permet de :With device identity management in Azure AD, you can:

  • Simplifier le processus consistant à apporter et gérer des appareils dans Azure ADSimplify the process of bringing and managing devices in Azure AD
  • Fournir à vos utilisateurs un accès facile aux ressources basées sur le cloud de votre organisationProvide your users with an easy to use access to your organization’s cloud-based resources

En règle générale, vous devez utiliser :As a rule of a thumb, you should use:

  • Des appareils inscrits sur Azure AD :Azure AD registered devices:
    • Pour les appareils personnelsFor personal devices
    • Pour inscrire manuellement des appareils auprès d’Azure ADTo manually register devices with Azure AD
  • Des appareils joints Azure AD :Azure AD joined devices:
    • Pour les appareils qui sont détenus par votre organisationFor devices that are owned by your organization
    • Pour les appareils qui ne sont pas joints à un AD localFor devices that are not joined to an on-premises AD
    • Pour inscrire manuellement des appareils auprès d’Azure ADTo manually register devices with Azure AD
    • Pour changer l’état local d’un appareilTo change the local state of a device
  • Les appareils joints Azure AD hybrides pour les appareils joints à un AD localHybrid Azure AD joined devices for devices that are joined to an on-premises AD
    • Pour les appareils qui sont détenus par votre organisationFor devices that are owned by your organization
    • Pour les appareils qui sont joints à un AD localFor devices that are joined to an on-premises AD
    • Pour inscrire automatiquement des appareils auprès d’Azure ADTo automatically register devices with Azure AD
    • Pour changer l’état local d’un appareilTo change the local state of a device

Conditions de licence :License requirements

L'utilisation de cette fonctionnalité nécessite une licence Azure AD Premium P1.Using this feature requires an Azure AD Premium P1 license. Pour trouver la licence adaptée à vos besoins, consultez  Comparaison des fonctionnalités généralement disponibles des éditions Gratuit, De base et Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Étapes suivantesNext steps