Azure AD Connect : Activation de la réécriture d’appareil

Notes

L’écriture différée sur appareil nécessite un abonnement Azure AD Premium.

La documentation suivante fournit des informations sur l’activation de la fonctionnalité d’écriture différée des appareils dans Azure AD Connect. L’écriture différée des appareils est utilisée dans les scénarios suivants :

Cela fournit une sécurité supplémentaire et l’assurance que l’accès aux applications est accordé uniquement aux appareils de confiance. Pour plus d’informations sur l’accès conditionnel, consultez Gestion des risques avec accès conditionnel et Configuration d’un accès conditionnel en local à l’aide d’Azure Active Directory Device Registration.

Important

  • Les appareils doivent se trouver dans la même forêt que les utilisateurs. Étant donné que les appareils doivent être réécrits dans une seule forêt, cette fonctionnalité ne prend pas en charge un déploiement à plusieurs forêts d’utilisateurs pour l’instant.
  • Vous ne pouvez ajouter qu’un seul objet de configuration d’enregistrement d’appareil à la forêt Active Directory locale. Cette fonctionnalité n’est pas compatible avec une topologie dans laquelle le domaine Active Directory local est synchronisé à plusieurs annuaires Azure AD.
  • Première partie : Installer Azure AD Connect

    Installez Azure AD Connect à l’aide de paramètres personnalisés ou Express. Microsoft recommande de commencer par synchroniser correctement tous les utilisateurs et groupes avant d’activer l’écriture différée des appareils.

    Deuxième partie : Activer la réécriture d’appareil dans Azure AD Connect

    1. Réexécutez l’Assistant d’installation. Sur la page Tâches supplémentaires, sélectionnez Configurer les options de l’appareil, puis cliquez sur Suivant.

      Tâche Configurer les options de l’appareil

      Notes

      La nouvelle tâche Configurer les options de l’appareil est uniquement disponible dans la version 1.1.819.0 et dans les versions ultérieures.

    2. Sur la page Options de l’appareil, sélectionnez Configurer la réécriture d’appareil. L’option Désactiver la réécriture d’appareil n’est accessible que si la réécriture d’appareil a été activée. Cliquez sur Suivant pour passer à la page suivante de l’Assistant. Choix de l’opération d’appareil

    3. Dans la page de l’écriture différée, vous verrez le domaine fourni en tant que forêt d’écriture différée d’appareil par défaut. Installation personnalisée - Forêt cible de l’écriture différée des appareils

    4. La page Conteneur d’appareil offre la possibilité de préparer Active Directory à l’aide de l’une des deux options disponibles :

      a. Fournir des informations d’identification d’administrateur d’entreprise : Si les informations d’identification d’administrateur d’entreprise sont fournies pour la forêt dans laquelle les appareils doivent être réécrits, Azure AD Connect prépare automatiquement la forêt lors de la configuration de la réécriture d’appareil.

      b. Télécharger un script PowerShell : Azure AD Connect génère automatiquement un script PowerShell qui peut préparer Active Directory à la réécriture d’appareil. Si les informations d’identification de l’administrateur d’entreprise ne peuvent pas être fournies dans Azure AD Connect, il est recommandé de télécharger le script PowerShell. Fournissez le script PowerShell téléchargé CreateDeviceContainer.ps1 à l’administrateur d’entreprise de la forêt dans laquelle les appareils seront réécrits. Préparer la forêt Active Directory

      Les opérations effectuées dans le cadre de la préparation de la forêt Active Directory sont les suivantes :

      • Si elles n’existent pas, des conteneurs et des objets sont créés et configurés sous CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
      • Si elles existent, des conteneurs et des objets sont créés et configurés sous CN=RegisteredDevices,[domain-dn]. Les objets d’appareil seront créés dans ce conteneur.
      • Définit les autorisations nécessaires sur le compte Azure AD Connector pour gérer des appareils sur votre Active Directory.
      • Ne doit s’exécuter que sur une seule forêt, même si Azure AD Connect est installé sur plusieurs forêts.

    Vérifier la synchronisation des appareils avec Active Directory

    L’écriture différée des appareils doit désormais fonctionner correctement. Sachez que la réécriture des objets d’appareil dans AD peut prendre jusqu’à 3 heures. Pour vérifier que vos appareils sont correctement synchronisés, procédez comme suit après la fin des règles de synchronisation :

    1. Lancez le Centre d’administration Active Directory.

    2. Développez RegisteredDevices au sein du domaine en cours de fédération.

      Active Directory - Appareils inscrits au Centre d’administration

    3. Les appareils enregistrés actuels sont répertoriés à cet emplacement.

      Active Directory - Liste des appareils inscrits au Centre d’administration

    Activer l’accès conditionnel

    Des instructions détaillées pour activer ce scénario sont disponibles dans Configuration d’un accès conditionnel en local à l’aide du service d’inscription d’appareils Azure Active Directory

    Dépannage

    La case à cocher de l'écriture différée est toujours désactivée.

    Si la case à cocher pour l'écriture différée des appareils n'est pas activée alors que vous avez suivi les étapes ci-dessus, la procédure suivante vous guidera dans ce que l'Assistant d'installation vérifie avant l'activation de la case.

    Commençons par le début :

    • Le schéma de forêt de la forêt où figurent les appareils doit être mis à jour au niveau Windows 2012 R2 pour que l’objet d’appareil et les attributs associés soient présents.
    • Si l'Assistant d'installation est déjà en cours d'exécution, les modifications ne seront pas détectées. Dans ce cas, terminez l'Assistant installation et exécutez-le à nouveau.
    • Assurez-vous que le compte que vous fournissez dans le script d'initialisation est bien l'utilisateur utilisé par le connecteur Active Directory. Pour ce faire, procédez comme suit :
      • Dans le menu Démarrer, ouvrez Service de synchronisation.
      • Ouvrez l’onglet Connecteurs .
      • Trouvez le connecteur de type services de domaine Active Directory et sélectionnez-le.
      • Sous Actions, sélectionnez Propriétés.
      • Accédez à Se connecter à la forêt Active Directory. Vérifiez que le nom de domaine et le nom d’utilisateur spécifiés sur cet écran correspondent au compte fourni pour le script. Compte de connecteur dans Sync Service Manager

    Vérifiez la configuration dans Active Directory :

    • Vérifiez que le Service d’inscription de l’appareil se trouve à l’emplacement ci-dessous (CN = DeviceRegistrationService, CN = Services d’inscription de périphérique, CN = Inscription de l’appareil, CN = Services, CN = Configuration) dans le contexte d’appellation de configuration.

    Résoudre les problèmes, DeviceRegistrationService dans l’espace de noms de configuration

    • Vérifiez qu'il n'y a qu'un seul objet de configuration en recherchant l'espace de noms de configuration. S'il en existe plusieurs, supprimez le doublon.

    Résoudre les problèmes, rechercher les objets en double

    • Sur l'objet Service d'inscription de l'appareil, assurez-vous que l'attribut msDS-DeviceLocation est présent et a une valeur. Recherchez cet emplacement et assurez-vous qu'il est présent avec l'attribut objectType msDS-DeviceContainer.

    Résoudre les problèmes, msDS-DeviceLocation

    Résoudre les problèmes, classe d’objet RegisteredDevices

    • Vérifiez que le compte utilisé par le connecteur Active Directory dispose des autorisations requise sur le conteneur d’appareils inscrits trouvé à l’étape précédente. Voici les autorisations attendues sur ce conteneur :

    Résoudre les problèmes, vérifier les autorisations du conteneur

    • Vérifiez que le compte Active Directory dispose des autorisations sur CN = Inscription de l’appareil, CN = Services, CN = Objet de Configuration.

    Résoudre les problèmes, vérifier les autorisations de la configuration de l’inscription des appareils

    Informations supplémentaires

    Étapes suivantes

    En savoir plus sur l’ intégration de vos identités locales avec Azure Active Directory.