Configurer et gérer l’inscription des appareils

Effectué

Avec la prolifération des appareils de toutes formes et toutes tailles et du concept BYOD (Apportez votre propre appareil), les professionnels de l’informatique sont confrontés à deux objectifs somme toute contradictoires :

  • Permettre aux utilisateurs finaux d’être productifs où et quand ils le veulent

  • Protéger les ressources de l’entreprise

Pour protéger ces ressources, le personnel informatique doit tout d’abord gérer les identités des appareils. Le personnel informatique peut s’appuyer sur l’identité de l’appareil avec des outils tels que Microsoft Intune pour garantir le respect des normes de sécurité et de conformité. Azure Active Directory (Azure AD) active l’authentification unique aux appareils, applications et des services depuis n’importe quel endroit par le biais de ces appareils.

  • Vos utilisateurs ont accès aux ressources de votre organisation dont ils ont besoin.

  • Votre personnel informatique obtient les contrôles nécessaires pour sécuriser votre organisation.

Appareils inscrits sur Azure AD

L’objectif d’appareils inscrits sur Azure AD est de fournir à vos utilisateurs un support pour les scénarios de BYOD ou d’appareils mobiles. Dans ces scénarios, un utilisateur peut accéder aux ressources contrôlées Azure Active Directory de votre organisation à l’aide d’un appareil personnel.

Appareils inscrits sur Azure AD Description
Définition Inscrit à Azure AD sans devoir utiliser un compte professionnel pour se connecter à l’appareil
Public principal
  • S’applique à tous les utilisateurs présentant les critères suivants :
  • -- BYOD (Apportez votre propre appareil)
  • -- Appareils mobiles
Propriété des appareils Utilisateur ou organisation
Systèmes d’exploitation Windows 10, iOS, Android et macOS
Approvisionnement
  • Windows 10 : paramètres
  • iOS/Android : application Microsoft Authenticator ou de portail d’entreprise
  • macOS : portail d’entreprise
Options de connexion de l’appareil
  • Informations d’identification locales de l’utilisateur final
  • Mot de passe
  • Windows Hello
  • PIN
  • Biométrie ou modèle des autres appareils
Gestion des appareils
  • Gestion des périphériques mobiles (exemple : Microsoft Intune)
  • Gestion des applications mobiles
Fonctionnalités clés
  • Ressources de l’authentification unique au cloud
  • Accès conditionnel pour les utilisateurs inscrits sur Intune
  • Accès conditionnel via la stratégie de protection d’application
  • Permet la connexion par téléphone à l’application Microsoft Authenticator

Appareils inscrits sur Azure AD.

Les appareils inscrits sur Azure AD sont connectés à l’aide d’un compte local comme un compte Microsoft sur un appareil Windows 10. Toutefois, ils disposent également d’un compte Azure AD associé afin d’accéder à des ressources d’organisation. L’accès aux ressources de l’organisation peut être limité par ce compte Azure AD et les stratégies d’accès conditionnel appliquées à l’identité de l’appareil.

Les administrateurs peuvent sécuriser et mieux contrôler ces appareils inscrits sur Azure AD à l’aide d’outils de gestion des périphériques mobiles (MDM) tels que Microsoft Intune. Ces outils permettent d’appliquer les configurations requises par l’organisation, comme l’exigence du chiffrement du stockage, la complexité des mots de passe et la mise à jour des logiciels de sécurité.

L’inscription sur Azure AD peut être effectuée en accédant à une application professionnelle pour la première fois ou vous pouvez vous inscrire manuellement à l’aide du menu Paramètres de Windows 10.

Scénarios

Un utilisateur de votre organisation souhaite accéder aux outils pour la messagerie électronique et signaler des congés tout en bénéficiant de l’inscription depuis chez lui. Votre organisation dispose de ces outils derrière une stratégie d’accès conditionnel qui nécessite un accès depuis un appareil compatible avec Intune. L’utilisateur ajoute son compte professionnel et inscrit son ordinateur personnel sur Azure AD. Les stratégies Intune requises sont ensuite appliquées en accordant l’accès à leurs ressources à l’utilisateur.

Un autre utilisateur souhaite accéder à sa messagerie professionnelle sur son téléphone Android personnel qui a été rooté. Votre entreprise exige un appareil conforme et a créé une stratégie de conformité à Intune pour bloquer les appareils rootés. L’employé ne peut pas accéder aux ressources de l’organisation sur cet appareil.

Appareils joints Azure AD

La jonction Azure AD est destinée aux organisations axées en priorité ou uniquement sur le cloud. Toute organisation peut déployer des appareils joints Azure AD, quels que soient leur taille et leur secteur d’activité. La jonction Azure AD fonctionne même dans un environnement et permet l’accès aux applications et ressources locales et cloud.

Appareil joints à Azure AD Description
Définition Joint uniquement à Azure AD et nécessitant un compte professionnel pour se connecter à l’appareil
Public principal
  • Approprié pour les organisations utilisant uniquement le cloud et pour les organisations hybrides
  • S’applique à tous les utilisateurs d’une organisation
Propriété des appareils Organisation
Systèmes d’exploitation
  • Tous les appareils Windows 10 à l’exception de Windows 10 Famille
  • Machines virtuelles Windows Server 2019 s’exécutant dans Azure (Server Core n’est pas pris en charge)
Approvisionnement
  • Libre-service : Windows OOBE ou Paramètres
  • Inscription en bloc
  • Windows Autopilot
Options de connexion de l’appareil
  • Comptes professionnels utilisant :
  • -- Mot de passe
  • -- Windows Hello Entreprise
  • -- Clés de sécurité FIDO2.0 (préversion)
Gestion des appareils
  • Gestion des périphériques mobiles (exemple : Microsoft Intune)
  • Cogestion avec Microsoft Intune et Microsoft Endpoint Configuration Manager
Fonctionnalités clés
  • Authentification unique vers les ressources de cloud et locales
  • Accès conditionnel par le biais de l’inscription GPM et de l’évaluation de la conformité GPM
  • Réinitialisation de mot de passe en libre-service et réinitialisation du code confidentiel Windows Hello sur l’écran de verrouillage
  • Enterprise State Roaming entre appareils

Les appareils joints Azure AD sont connectés au moyen d’un compte professionnel Azure AD. L’accès aux ressources de l’organisation peut être limité par ce compte Azure AD et les stratégies d’accès conditionnel appliquées à l’identité de l’appareil.

Les administrateurs peuvent sécuriser et mieux contrôler les appareils joints Azure AD à l’aide d’outils de gestion des périphériques mobiles (GPM), tels que Microsoft Intune ou dans des scénarios de cogestion à l’aide de Microsoft Endpoint Configuration Manager. Ces outils permettent d’appliquer les configurations requises par l’organisation, comme l’exigence du chiffrement du stockage, la complexité des mots de passe, les installations de logiciels et les mises à jour logicielles. Les administrateurs peuvent mettre des applications d’organisation à la disposition des appareils joints Azure AD à l’aide de Configuration Manager.

La jonction Azure AD peut se faire à l’aide d’options libre-service telles que le mode OOBE (Out of Box Experience), l’inscription en bloc ou Windows Autopilot.

Les appareils joints AD Azure peuvent conserver un accès avec authentification unique vers les ressources locales lorsqu’ils se trouvent sur le réseau de l’organisation. Les appareils joints Azure AD peuvent toujours s’authentifier sur des serveurs locaux (fichiers, impression et autres applications).

Scénarios

Bien que la jonction Azure AD soit principalement conçue pour les organisations qui ne disposent pas d’une infrastructure Windows Server Active Directory locale, vous pouvez tout à fait l’utiliser dans les scénarios où :

  • Vous souhaitez passer à une infrastructure cloud avec Azure AD et un système de gestion des appareils mobiles comme Intune.

  • Vous ne pouvez pas utiliser de jonction de domaine locale, par exemple, si vous avez besoin de contrôler des appareils mobiles, tels que des tablettes et des téléphones.

  • Vos utilisateurs ont principalement besoin d’accéder à Microsoft 365 ou d’autres applications SaaS intégrées à Azure AD.

  • Vous souhaitez gérer un groupe d’utilisateurs dans Azure AD et non dans un répertoire Active Directory. Par exemple, ce scénario peut concerner les travailleurs saisonniers, les prestataires ou les étudiants.

  • Vous souhaitez fournir des fonctionnalités de jonction aux travailleurs dans des succursales distantes avec une infrastructure locale limitée.

Vous pouvez configurer des appareils Azure AD joints pour tous les appareils Windows 10, à l’exception de Windows 10 Famille.

Les appareils joints Azure AD ont pour objectif de simplifier :

  • Les déploiements Windows des appareils professionnels

  • L’accès aux applications et aux ressources d’organisation à partir de n’importe quel appareil Windows

  • Gestion cloud des appareils professionnels

  • Aux utilisateurs de se connecter à leurs appareils à partir de leurs comptes Azure AD ou Active Directory synchronisés professionnels ou scolaires.

    Appareils joints Azure AD.

La jonction Azure AD peut être déployée à l’aide de différentes méthodes. La sous-section suivante porte sur la méthode d’expérience en libre-service.

Expérience en libre-service

Avec Windows 10, il est possible pour les utilisateurs de joindre un nouvel appareil à Azure AD lors de l’expérience de première exécution (FRX), parfois appelée expérience en libre-service. Cette possibilité vous permet de distribuer des appareils neufs à vos employés ou étudiants.

Si Windows 10 Professionnel ou Windows 10 Entreprise est installé sur un appareil, l'expérience par défaut est le processus d'installation des appareils d'entreprise.

Dans l’expérience OOBE (out-of-box experience) de Windows, la jonction à un domaine Active Directory (AD) local n’est pas prise en charge. Si vous envisagez d’autoriser les utilisateurs à joindre un ordinateur à un domaine AD, ils doivent sélectionner le lien Configurer Windows à l’aide d’un compte local pendant la configuration. Ils peuvent ensuite rejoindre le domaine à partir des paramètres sur leur ordinateur.

Prérequis

Pour joindre un appareil Windows 10, le service d’inscription des appareils doit être configuré pour vous permettre d’inscrire des appareils. En plus d’avoir l’autorisation de joindre des appareils dans votre locataire Azure AD, vous devez avoir moins d’appareils inscrits que le nombre maximal configuré.

De plus, si votre locataire est fédéré, votre fournisseur d’identité DOIT prendre en charge le point de terminaison nom d’utilisateur/mot de passe WS-Fed et WS-Trust. Il peut s’agir de la version 1.3 ou de la version 2005. La prise en charge de ce protocole est nécessaire tant pour joindre l’appareil à Azure AD que pour se connecter à l’appareil avec un mot de passe.

Joindre un appareil Windows 10 à Azure AD

  1. Lorsque vous mettez sous tension votre nouvel appareil et démarrez le processus d'installation, le message Préparation s’affiche. Suivez les invites pour configurer votre appareil.

  2. Commencez par personnaliser votre région et votre langue. Passez en revue et acceptez les termes du Contrat de licence logiciel Microsoft.

    Personnalisation pour votre région.

  3. Sélectionnez le réseau que vous souhaitez utiliser pour la connexion à Internet.

  4. Cliquez sur Cet appareil appartient à mon organisation.

    Écran À qui appartient cet ordinateur ?.

  5. Entrez les informations d’identification que vous a fournies votre organisation, puis cliquez sur Se connecter.

    Écran de connexion.

  6. Votre appareil localise un locataire correspondant dans Azure AD. Si vous faites partie d’un domaine fédéré, vous êtes redirigé vers votre serveur STS (Secure Token Service) local, par exemple les services de fédération Azure Directory (AD FS).

  7. Si vous êtes un utilisateur dans des domaines non fédérés, entrez vos informations d'identification directement sur la page hébergée sur Azure AD.

  8. Vous devrez ensuite fournir les informations nécessaires à l’authentification multifacteur.

  9. Azure AD vérifie si une inscription est exigée dans la gestion des appareils mobiles.

  10. Windows inscrit l’appareil dans l’annuaire de l’organisation dans Azure AD, puis l’inscrit à la gestion des appareils mobiles, si nécessaire.

  11. Si vous êtes :

    • Un utilisateur géré, Windows vous redirige vers le Bureau par le biais du processus de connexion automatique.
    • Un utilisateur fédéré, vous accédez à l’écran de connexion de Windows pour entrer vos informations d’identification.

Vérification

Pour vérifier si un appareil est joint à Azure AD, consultez la boîte de dialogue Accès Professionnel ou Scolaire sur votre appareil Windows. La boîte de dialogue doit indiquer que vous êtes connecté à votre annuaire Azure AD.

Écran Accès Professionnel ou Scolaire.

Appareils joints Azure AD hybrides

Pendant plus de dix ans, de nombreuses organisations ont utilisé la jonction de domaine dans leur répertoire Active Directory local pour permettre :

  • Aux services informatiques de gérer les appareils professionnels à partir d’un emplacement central.

  • Aux utilisateurs de se connecter à leurs appareils à partir de leurs comptes Active Directory professionnels ou scolaires.

En règle générale, les organisations disposant d’empreintes locales s’appuient sur des méthodes de création d’images pour approvisionner les appareils. Ils utilisent souvent Configuration Manager ou les stratégies de groupe pour les gérer.

Si votre environnement comporte une empreinte locale AD et vous souhaitez également profiter des fonctionnalités proposées par Azure Active Directory, vous pouvez implémenter les appareils joints Azure AD hybrides. Il s’agit d’appareils joints à votre service Active Directory local et inscrits auprès d’Azure Active Directory.

joints à Azure AD hybrides Description
Définition Joint aux systèmes AD local et Azure AD nécessitant un compte professionnel pour se connecter à l’appareil
Public principal
  • Convient aux organisations hybrides avec une infrastructure AD locale existante
  • S’applique à tous les utilisateurs d’une organisation
Propriété des appareils Organisation
Systèmes d’exploitation
  • Windows 10, 8.1 et 7
  • Windows Server 2008/R2, 2012/R2, 2016 et 2019
Approvisionnement
  • Windows 10, Windows Server 2016/2019
  • Jonction de domaine par informatique et jointure automatique via une configuration Azure AD Connect ou ADFS
  • Jonction de domaine par Windows Autopilot et jointure automatique via une configuration Azure AD Connect ou ADFS
  • Windows 8.1, Windows 7, Windows Server 2012 R2, Windows Server 2012 et Windows Server 2008 R2 : requièrent une identité MSI
Options de connexion de l’appareil
  • Comptes professionnels utilisant :
  • -- Mot de passe
  • -- Windows Hello Entreprise pour Win10
Gestion des appareils
  • Stratégie de groupe
  • Configuration Manager autonome ou cogestion avec Microsoft Intune
Fonctionnalités clés
  • Authentification unique vers les ressources de cloud et locales
  • Accès conditionnel via la jonction de domaine ou via Intune si cogéré
  • Réinitialisation de mot de passe en libre-service et réinitialisation du code confidentiel Windows Hello sur l’écran de verrouillage
  • Enterprise State Roaming entre appareils

Appareils joints Azure AD hybrides.

Scénarios

Utilisez des appareils joints Azure AD hybrides si :

  • Des applications Win32 sont déployées sur ces appareils qui s’appuient sur l’authentification d’ordinateur Active Directory.

  • Vous souhaitez continuer à utiliser la stratégie de groupe pour gérer la configuration de l’appareil.

  • Vous souhaitez continuer à utiliser des solutions de création d’images existantes pour déployer et configurer des appareils.

  • Vous devez prendre en charge les appareils Windows 7 et 8.1 de bas niveau, en plus des appareils Windows 10.