Déployer des appareils joints à un domaine Azure AD Hybride à l’aide d’Intune et de Windows Autopilot

S’applique à

  • Windows 10

Vous pouvez utiliser Intune et Windows Autopilot pour configurer des appareils joints à un domaine Azure Active Directory (Azure AD) hybride. Pour cela, effectuez les étapes de cet article. Pour plus d’informations sur la jonction de Azure AD hybride, consultez Présentation de la jonction et de la cogestion des Azure ad hybrides.

Prérequis

Configurez correctement vos appareils joints à Azure AD Hybride. Veillez à vérifier l’inscription de votre appareil avec l’applet de commande Get-MsolDevice.

L’appareil à inscrire doit respecter les conditions suivantes :

  • utilisez Windows 10 v1809 ou une version ultérieure.
  • avoir accès à internet en suivant Windows configuration réseau requise pour autopilot.
  • Avoir accès à un contrôleur de domaine Active Directory. L’appareil doit être connecté au réseau de l’organisation afin de pouvoir effectuer les opérations suivantes :
    • Résolvez les enregistrements DNS pour le domaine Active Directory et le contrôleur de domaine Active Directory.
    • Communiquez avec le contrôleur de domaine pour authentifier l’utilisateur.
  • Test ping réussi sur le contrôleur de domaine du domaine que vous essayez de joindre.
  • Si vous utilisez un Proxy, l’option des paramètres Proxy de WPAD doit être activée et configurée.
  • Fournir l’expérience utilisateur OOBE (Out-of-Box Experience).
  • Utilisez un type d’autorisation pris en charge par Azure Active Directory dans OOBE.

Configurer l’inscription automatique Windows 10

  1. connectez-vous à Azure. dans le volet gauche, sélectionnez Azure Active Directory > Mobility (MDM et gam) > Microsoft Intune.

  2. assurez-vous que les utilisateurs qui déploient des appareils joints à Azure AD à l’aide d’Intune et Windows sont membres d’un groupe inclus dans l’étendue de l' utilisateur MDM.

    Le volet Configurer la mobilité (MDM et MAM)

  3. Utilisez les valeurs par défaut des zones URL des conditions d’utilisation de GDR, URL de détection MDM et URL de conformité GDR, puis sélectionnez Enregistrer.

Augmenter la limite du nombre de comptes d’ordinateur dans l’unité d’organisation

Le connecteur Intune pour votre annuaire Active Directory crée des ordinateurs inscrits par Autopilot dans le domaine Active Directory local. L’ordinateur qui héberge le connecteur Intune doit avoir les droits nécessaires pour créer des objets ordinateur dans le domaine.

Dans certains domaines, les ordinateurs ne disposent pas des droits nécessaires pour créer des ordinateurs. De plus, les domaines ont une limite intégrée (10 par défaut) qui s’applique à tous les utilisateurs et ordinateurs auxquels des droits pour créer des objets ordinateur n’ont pas été délégués. Les droits doivent être délégués aux ordinateurs qui hébergent le connecteur Intune sur l’unité d’organisation où des appareils hybrides joints Azure AD sont créés.

L’unité d’organisation qui a les droits de créer des ordinateurs doit correspondre :

  • À l’unité d’organisation entrée dans le profil de jonction de domaine.
  • Si aucun profil n’est sélectionné, au nom de domaine de l’ordinateur pour votre domaine.
  1. Ouvrez Utilisateurs et ordinateurs Active Directory (DSA.msc) .

  2. Cliquez avec le bouton droit sur l’unité d’organisation à utiliser pour créer des ordinateurs hybrides joints à la Azure AD > déléguer le contrôle.

    La commande Déléguer le contrôle

  3. Dans l’Assistant Délégation de contrôle, sélectionnez Suivant > Ajouter > Types d’objets.

  4. Dans le volet types d’objets , sélectionnez les ordinateurs > OK.

    Le volet Types d’objets

  5. Dans le volet Sélectionner des utilisateurs, des ordinateurs ou des groupes, dans la zone Entrez les noms des objets à sélectionner, entrez le nom de l’ordinateur où le connecteur est installé.

    Le volet Sélectionner des utilisateurs, des ordinateurs ou des groupes

  6. Sélectionnez Vérifier les noms pour valider votre entrée > OK > Suivant.

  7. Sélectionnez Créer une tâche personnalisée à déléguer > Suivant.

  8. Sélectionnez uniquement les objets suivants dans le dossier > objets ordinateur.

  9. Sélectionnez créer les objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans ce dossier.

    Le volet Type d’objet Active Directory

  10. Sélectionnez Suivant.

  11. Sous Autorisations, cochez la case Contrôle total. Cette action sélectionne toutes les autres options.

    Le volet Autorisations

  12. Sélectionnez Suivant > Terminer.

Installer le connecteur Intune

Le connecteur Intune pour Active Directory doit être installé sur un ordinateur qui exécute Windows Server 2016 ou ultérieur. L’ordinateur doit également avoir accès à Internet et à votre annuaire Active Directory. Pour augmenter la mise à l’échelle et la disponibilité, vous pouvez installer plusieurs connecteurs dans votre environnement. Nous vous recommandons d’installer le connecteur sur un serveur qui n’exécute aucun autre connecteur Intune. Chaque connecteur doit être en mesure de créer des objets ordinateur dans un domaine que vous souhaitez prendre en charge.

Notes

Si votre organisation possède plusieurs domaines et que vous installez plusieurs connecteurs Intune, vous devez utiliser un compte de service capable de créer des objets ordinateur dans tous les domaines, même si vous envisagez d’implémenter une jointure Azure AD hybride uniquement pour un domaine spécifique. s’il s’agit de domaines non approuvés, vous devez désinstaller les connecteurs des domaines dans lesquels vous ne souhaitez pas utiliser Windows autopilot. Dans le cas contraire, avec plusieurs connecteurs sur plusieurs domaines, tous les connecteurs doivent être en mesure de créer des objets ordinateur dans tous les domaines.

Le connecteur Intune requiert les mêmes points de terminaison qu’lntune.

  1. Désactivez la configuration de sécurité renforcée d’Internet Explorer. Par défaut, sous Windows Server la configuration de sécurité renforcée d’Internet Explorer est activée. Si vous ne parvenez pas à vous connecter au connecteur Intune pour Active Directory, désactivez la configuration de sécurité renforcée d’Internet Explorer pour l’administrateur. Guide pratique pour désactiver la configuration de sécurité renforcée d’Internet Explorer.
  2. Dans le Centre d’administration Microsoft Endpoint Manager, sélectionnez Appareils > Windows > Inscription Windows > Connecteur Intune pour Active Directory > Ajouter.
  3. Suivez les instructions pour télécharger le connecteur.
  4. Ouvrez le fichier d’installation du connecteur téléchargé ODJConnectorBootstrapper.exe pour installer le connecteur.
  5. À la fin de l’installation, sélectionnez Configurer.
  6. Sélectionnez Se connecter.
  7. Entrez les informations d’identification du rôle utilisateur Administrateur général ou Administrateur Intune. Le compte d’utilisateur doit avoir une licence Intune.
  8. Accédez à Appareils > Windows > Inscription Windows > Connecteur Intune pour Active Directory, puis vérifiez que l’état de la connexion indique Actif.

Notes

Après établissement de la connexion, le connecteur peut mettre quelques minutes à apparaître dans le Centre d’administration Microsoft Endpoint Manager. Il apparaît seulement s’il peut communiquer avec le service Intune.

Notes

Les connecteurs Intune inactifs apparaîtront toujours dans le panneau connecteurs Intune et seront automatiquement nettoyés au bout de 30 jours.

Configuration des paramètres de proxy web

Si vous avez un proxy web dans votre environnement réseau, vérifiez que le connecteur Intune pour Active Directory fonctionne correctement en vous référant à Utiliser des serveurs proxy locaux existants.

Créer un groupe d'appareils

  1. Dans le Centre d’administration Microsoft Endpoint Manager, sélectionnez Groupes > Nouveau groupe.

  2. Dans le volet groupe , choisissez les options suivantes :

    1. Pour Type de groupe, sélectionnez Sécurité.
    2. Renseignez les champs Nom du groupe et Description du groupe.
    3. Sélectionnez un Type d’adhésion.
  3. Si vous avez sélectionné périphériques dynamiques pour le type d’appartenance, dans le volet groupe , sélectionnez membres de l' appareil dynamique.

  4. Dans la zone règle avancée , entrez l’une des lignes de code suivantes :

    • Pour créer un groupe qui inclut tous vos appareils Autopilot, entrez (device.devicePhysicalIDs -any _ -contains "[ZTDId]").
    • Le champ Balise de groupe d’Intune est mappé à l’attribut OrderID sur les appareils Azure AD. Si vous souhaitez créer un groupe qui comprend tous vos appareils AutoPilot avec une balise de groupe spécifique (OrderID), tapez : (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")
    • Pour créer un groupe qui inclut tous vos appareils Autopilot avec un ID de bon de commande spécifique, entrez (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342").
  5. Sélectionnez Enregistrer > créer.

Inscrire vos appareils Autopilot

Sélectionnez une des méthodes suivantes pour inscrire vos appareils Autopilot.

Inscrire les appareils Autopilot déjà inscrits

  1. Créez un profil de déploiement Autopilot en affectant à Convertir tous les appareils ciblés en Autopilot la valeur Oui.
  2. Affectez le profil à un groupe contenant les membres que vous voulez inscrire automatiquement avec Autopilot.

Pour plus d’informations, consultez Créer un profil de déploiement Autopilot.

Inscrire les appareils Autopilot qui ne sont pas inscrits

Si vos appareils ne sont pas encore inscrits, vous pouvez les inscrire vous-même. Pour plus d’informations, consultez inscription manuelle.

Inscrire les appareils d’un OEM

Si vous achetez de nouveaux appareils, certains OEM peuvent les inscrire à votre place. Pour plus d’informations, consultez inscription OEM.

Avant qu’ils ne soient inscrits dans Intune, les appareils AutoPilot inscrits sont affichés à trois emplacements (avec des noms définis sur leurs numéros de série) :

  • Le volet Appareils Autopilot dans Intune, dans le portail Azure. Sélectionnez Inscription d’appareils > Inscription Windows > Appareils.
  • Le volet Appareils Azure AD dans Intune, dans le portail Azure. Sélectionnez Appareils > Appareils Azure AD.
  • Le volet Tous les appareils Azure AD dans Azure Active Directory, dans le portail Azure en sélectionnant Appareils > Tous les appareils.

Une fois vos appareils Autopilot inscrits, ceux-ci apparaissent à quatre endroits :

  • Le volet Appareils Autopilot dans Intune, dans le portail Azure. Sélectionnez Inscription d’appareils > Inscription Windows > Appareils.
  • Le volet Appareils Azure AD dans Intune, dans le portail Azure. Sélectionnez Appareils > Appareils Azure AD.
  • Le volet Tous les appareils Azure AD dans Azure Active Directory, dans le portail Azure. Sélectionnez Appareils > Tous les appareils.
  • Le volet Tous les appareils dans Intune, dans le portail Azure. Sélectionnez Appareils > Tous les appareils.

Une fois vos appareils Autopilot inscrits, leur nom devient le nom d’hôte de l’appareil. Par défaut, le nom d’hôte commence par DESKTOP- .

VPN BYOD pris en charge

Voici une liste des clients VPN qui sont connus pour être testés et validés :

Clients pris en charge :

  • client VPN Windows
  • Cisco AnyConnect (client Win32)
  • Pulse Secure (client Win32)
  • GlobalProtect (client Win32)
  • Point de contrôle (client Win32)
  • Citrix NetScaler (client Win32)
  • SonicWall (client Win32)

Clients non pris en charge :

  • Plug-ins VPN basés sur UWP
  • Tout ce qui nécessite un certificat utilisateur
  • DirectAccess

Créer et affecter un profil de déploiement Autopilot

Les profils de déploiement Autopilot sont utilisés pour configurer les appareils Autopilot.

  1. Dans le Centre d’administration Microsoft Endpoint Manager, sélectionnez Appareils > Windows > Inscription Windows > Profils de déploiement > Créer un profil.
  2. Sur la page Informations de base, tapez un Nom et une Description facultative.
  3. Si vous souhaitez que tous les appareils des groupes affectés soient automatiquement convertis en appareils Autopilot, affectez à Convertir tous les appareils ciblés en Autopilot la valeur Oui. Tous les appareils appartenant à l’entreprise et non Autopilot des groupes affectés vont s’inscrire auprès du service de déploiement Autopilot. Les appareils personnels ne seront pas convertis en AutoPilot. Le traitement de l’enregistrement prend 48 heures. Quand l’appareil est désinscrit et réinitialisé, Autopilot l’inscrit. Une fois qu’un appareil est inscrit de cette manière, la désactivation de cette option ou la suppression de l’affectation de profil n’entraîne pas la suppression de l’appareil du service de déploiement Autopilot. À la place, vous devez supprimer l’appareil directement.
  4. Sélectionnez Suivant.
  5. Sur la page Mode out-of-box experience (OOBE) , pour Mode de déploiement, sélectionnez Géré par l’utilisateur.
  6. Dans la zone Joindre à Azure AD comme, sélectionnez Joint à Azure AD Hybride.
  7. Si vous déployez des appareils hors du réseau de l’organisation à l’aide de la prise en charge VPN, affectez la valeur Oui à l’option ignorer la connectivité du domaine . pour plus d’informations, consultez mode piloté par l’utilisateur pour la jonction de Azure Active Directory hybride avec prise en charge VPN.
  8. Configurez les options restantes sur la page Out-of-box experience (OOBE) en fonction de vos besoins.
  9. Sélectionnez Suivant.
  10. Sur la page balises d’étendue , sélectionnez étiquettes d’étendue pour ce profil.
  11. Sélectionnez Suivant.
  12. Sur la page Attributions, sélectionnez Sélectionner les groupes à inclure > recherchez et sélectionnez le groupe d’appareils > Sélectionner.
  13. Sélectionnez Suivant > Créer.

Environ 15 minutes sont nécessaires pour que l’état du profil de l’appareil passe de Non affecté à Affectation, puis à Affecté.

(Facultatif) Activer la page d’état d’inscription

  1. Dans le Centre d’administration Microsoft Endpoint Manager, sélectionnez Appareils > Windows > Inscription Windows > Page de statut d’inscription.
  2. Dans le volet Page d’état d’inscription, sélectionnez Par défaut > Paramètres.
  3. Pour Afficher la progression de l’installation des applications et des profils, sélectionnez Oui.
  4. Configurez les autres options selon les besoins.
  5. Sélectionnez Enregistrer.

Créer et affecter un profil de jonction de domaine

  1. Dans le Centre d’administration Microsoft Endpoint Manager, sélectionnez Appareils > Profils de configuration > Créer un profil.

  2. Entrez les propriétés suivantes :

    • Nom : Entrez un nom descriptif pour le nouveau profil.
    • Description : Entrez la description du profil.
    • Plateforme : Sélectionnez Windows 10 et ultérieur.
    • Type de profil: sélectionnez jonction de domaine.
  3. Sélectionnez Paramètres, puis indiquez un préfixe de nom d’ordinateur, Nom de domaine.

  4. (Facultatif) Indiquez une unité d’organisation (UO) au format de DN. Les options disponibles sont les suivantes :

    • Indiquez une unité d’organisation dans laquelle vous avez délégué le contrôle à votre appareil Windows 2016 qui exécute le connecteur Intune.
    • Indiquez une unité d’organisation dans laquelle vous avez délégué le contrôle aux ordinateurs racine de votre Active Directory local.
    • Si vous laissez ce champ vide, l’objet ordinateur est créé dans le conteneur Active Directory par défaut (CN = ordinateurs si vous n’avez jamais effectué de modifications).

    Voici quelques exemples valides :

    • OU = sous-unité d’organisation, OU = UO de niveau supérieur, DC = contoso, DC = com
    • OU = le mien, DC = contoso, DC = com

    Voici quelques exemples qui ne sont pas valides :

    • CN = Computers, DC = contoso, DC = com (vous ne pouvez pas spécifier de conteneur ; à la place, laissez la valeur vide pour utiliser la valeur par défaut pour le domaine)
    • OU = mien (vous devez spécifier le domaine via les attributs DC =)

    Notes

    N’utilisez pas de guillemets autour de la valeur dans Unité d'organisation.

  5. Sélectionnez OK > Créer. Le profil est créé et apparaît dans la liste.

  6. Affectez un profil d’appareil au groupe utilisé à l’étape créer un groupe d’appareils. Vous pouvez utiliser différents groupes s’il est nécessaire de joindre des appareils à différents domaines ou unités d’organisation.

Notes

Les capacités de nommage pour Windows Autopilot pour la jonction Azure AD Hybride ne prennent pas en charge les variables telles que %SERIAL% et prennent uniquement en charge les préfixes pour le nom d’ordinateur.

Étapes suivantes

Une fois que vous avez configuré Windows Autopilot, découvrez comment gérer les appareils. Pour plus d’informations, consultez Qu’est-ce que la gestion des appareils Microsoft Intune ?.