Microsoft Entra jointes et Microsoft Entra hybrides jointes dans des points de terminaison natifs cloud

Conseil

Lorsque vous lisez des informations sur les points de terminaison natifs cloud, les termes suivants s’affichent :

• Point de terminaison : un point de terminaison est un appareil, tel qu’un téléphone mobile, une tablette, un ordinateur portable ou un ordinateur de bureau. Les « points de terminaison » et les « appareils » sont utilisés indifféremment.
• Points de terminaison managés : points de terminaison qui reçoivent des stratégies de l’organisation à l’aide d’une solution GPM ou d’objets stratégie de groupe. Ces appareils appartiennent généralement à l’organisation, mais peuvent également être des appareils BYOD ou personnels.
• Points de terminaison natifs cloud : points de terminaison joints à Azure AD. Ils ne sont pas joints à AD local.
• Charge de travail : tout programme, service ou processus.

De nombreux services critiques et précieux, notamment l’accès conditionnel et l’authentification unique Microsoft Entra, nécessitent que les points de terminaison aient une identité cloud. Pour les points de terminaison Windows appartenant organization, une identité cloud est créée lorsque l’appareil est Microsoft Entra joint ou Microsoft Entra hybride.

Lorsque vous passez à des points de terminaison natifs cloud, vous devez comprendre les différences entre les appareils joints Microsoft Entra et les appareils joints Microsoft Entra hybrides :

• Microsoft Entra jointes : les appareils sont joints à Microsoft Entra. Ils ne sont pas joints à AD local.

  Pour plus d’informations, accédez à Microsoft Entra appareils joints (ouvre un autre site web Microsoft).

• Joint Microsoft Entra hybride : les appareils sont inscrits dans Microsoft Entra et joints à un domaine AD local.

  Pour plus d’informations, accédez à Appareils joints hybrides Microsoft Entra (ouvre un autre site web Microsoft).

Cette fonctionnalité s’applique à :

• Points de terminaison natifs cloud Windows

Cet article décrit certaines des différences entre les appareils joints Microsoft Entra et les appareils Microsoft Entra joints hybrides. Pour une vue d’ensemble des points de terminaison natifs cloud et de leurs avantages, accédez à Présentation des points de terminaison natifs cloud.

Microsoft Entra joint

Lorsqu’un point de terminaison, comme un appareil Windows 10/11, est Microsoft Entra joint, il établit une approbation avec Microsoft Entra et a une identité (device-id) dans Microsoft Entra. Le point de terminaison est géré et contrôlé par l’organisation.

Le point de terminaison est joint à Microsoft Entra. Il n’est pas joint à un domaine AD local.

Pour joindre des points de terminaison Windows à Microsoft Entra, vous avez quelques options :

• Utilisez Windows Autopilot. Windows Autopilot guide les utilisateurs dans l’expérience OOBE (Out of Box Experience) Windows. Lorsque les utilisateurs entrent leur compte professionnel ou scolaire, le point de terminaison rejoint Microsoft Entra.

  Tous les appareils inscrits auprès de Windows Autopilot sont automatiquement considérés comme des appareils appartenant à l’organisation. Windows Autopilot est l’une des approches les plus adoptées pour obtenir des appareils organization joints à Microsoft Entra et gérés par le service informatique.

• Utilisez Windows OOBE (Out of Box Experience). Lorsque les utilisateurs entrent leur compte professionnel ou scolaire sur l’appareil, le point de terminaison rejoint automatiquement Microsoft Entra.

• Utilisez l’application Paramètres. Sur l’appareil, les utilisateurs finaux ouvrent l’application Paramètres (Comptes>Accès professionnel ou scolaire>Connecter) et utilisent leur compte professionnel ou scolaire.

• Utilisez un package d’approvisionnement de fenêtres. Pour plus d’informations, voir :

  • Packages d’approvisionnement pour Windows
  • Joindre en bloc un appareil Windows à Microsoft Entra et Microsoft Intune à l’aide d’un package d’approvisionnement - Microsoft Tech Community billet de blog

Avantages informatiques de l’organisation

• À l’aide de l’accès conditionnel, vous pouvez autoriser ou restreindre l’accès aux ressources de l’organisation qui répondent ou ne répondent pas à vos besoins.
• Paramètres et les données de travail transitent par des clouds conformes à l’entreprise. Aucun compte Microsoft personnel, comme Hotmail, n’est utilisé et peut être bloqué.
• À l’aide de Windows Hello Entreprise, vous pouvez réduire le risque de vol d’informations d’identification.

Avantages de l’utilisateur final

• Pour authentifier les utilisateurs finaux avec Microsoft Entra et le point de terminaison Windows, les utilisateurs ont besoin d’un compte professionnel ou scolaire. Aucun compte personnel n’est utilisé.

• Obtenez l’authentification unique (SSO) pour Microsoft 365 et les applications SaaS avec une connexion Internet.

• Utilisez la commodité et la sécurité de Windows Hello Entreprise pour vous connecter à leur point de terminaison Windows.

  Lorsqu’ils se connectent avec Windows Hello Entreprise, les utilisateurs utilisent automatiquement l’authentification unique pour la plupart de leurs applications et ressources en ligne et locales.

• Les paramètres du système d’exploitation sont itinérants sur tous les appareils Microsoft Entra joints.

  Importante

  Les utilisateurs finaux travaillant à distance sur Microsoft Entra appareils joints n’ont pas besoin d’un VPN pour se connecter lorsque les informations d’identification mises en cache expirent sur l’appareil. Sur les appareils hybrides Microsoft Entra joints, ils ont besoin d’un VPN pour se connecter lorsque les informations d’identification mises en cache expirent.

Microsoft Entra ressources jointes

• Qu’est-ce que l’identité de l’appareil dans Microsoft Entra ?
• Qu’est-ce qu’un appareil joint Microsoft Entra ?
• Fonctionnement de l Microsoft Entra inscription des appareils
• Comment planifier l’implémentation de votre jointure Microsoft Entra
• Documentation Windows Hello Entreprise – sécurité Windows

Jointure Microsoft Entra hybride

Les appareils joints Microsoft Entra hybrides sont joints à votre domaine AD local et sont inscrits auprès de Microsoft Entra. Ces appareils nécessitent une connexion réseau à vos contrôleurs de domaine locaux pour la connexion initiale et la gestion des appareils.

Si les appareils ne peuvent pas se connecter au contrôleur de domaine, les utilisateurs peuvent être empêchés de se connecter et ne pas recevoir de mises à jour de stratégie.

De nombreuses organisations disposant d’appareils joints à un domaine souhaitent bénéficier des avantages et des fonctionnalités de la gestion des Microsoft Entra et des points de terminaison. Si vos appareils ne peuvent pas encore être entièrement natifs cloud, vous pouvez inscrire ces appareils existants auprès de Microsoft Entra. Lorsque vous inscrivez des appareils existants dans Microsoft Entra, une identité d’appareil est créée et vos appareils sont joints Microsoft Entra hybrides. Ils ne sont pas considérés comme des points de terminaison natifs cloud.

Si votre organization est prêt et souhaite être natif cloud, Microsoft Entra joint (dans cet article) est le bon choix. Les appareils existants doivent être réinitialisés. Pour obtenir des informations et des conseils plus spécifiques, consultez le guide de planification de haut niveau.

Ressources hybrides Microsoft Entra jointes

Pour plus d’informations sur l’inscription de vos appareils joints à un domaine existants auprès de Microsoft Entra, consultez Configurer la jonction Microsoft Entra hybride. Configurer la jonction Microsoft Entra hybride inclut des informations pour les domaines managés et les domaines fédérés.

Quelle option convient à votre organisation

La bonne option dépend de votre environnement, de vos points de terminaison et des objectifs de votre organisation. Lorsque vous prenez cette décision, tenez compte de l’impact futur et à long terme.

Plusieurs scénarios sont envisageables :

Scénario	jointure Microsoft Entra ou jointure Microsoft Entra hybride
Vous approvisionnez de nouveaux points de terminaison Windows	✔️ jointure Microsoft Entra Si vous avez des appareils Windows nouveaux, remis à neuf ou actualisés que vous approvisionnez et inscrivez, Microsoft Entra jonction est recommandée. Windows 10/11 a des fonctionnalités modernes intégrées au système d’exploitation, notamment la gestion moderne, l’authentification moderne, etc. Microsoft Entra Join doit être votre option par défaut pour les points de terminaison nouveaux et réinitialisés. ❌Jointure Microsoft Entra hybride Vous pouvez utiliser hybrid Microsoft Entra Join pour les nouveaux points de terminaison, mais ce n’est généralement pas recommandé. Quand vous êtes joint à l’aide d’hybrid Microsoft Entra Join, vous ne pourrez peut-être pas utiliser les fonctionnalités modernes intégrées à Windows 10/11.
Vous disposez de points de terminaison Windows précédemment provisionnés qui sont hybrides Microsoft Entra ou joints à AD	✔️ Jointure Microsoft Entra hybride Si vous avez des points de terminaison existants qui sont joints à un domaine AD local (y compris des Microsoft Entra hybrides joints), la jointure Microsoft Entra hybride est recommandée. Les appareils obtiennent une identité cloud et peuvent utiliser des services cloud qui nécessitent une identité cloud. Pour les utilisateurs finaux avec des points de terminaison existants, cette option a un impact minimal. ❌jointure Microsoft Entra Les appareils existants joints à un domaine AD local (y compris les Microsoft Entra hybrides joints) doivent être réinitialisés pour devenir Microsoft Entra joints. S’ils ne peuvent pas être réinitialisés, il n’existe aucun chemin d’accès Microsoft pris en charge pour Microsoft Entra les rejoindre.

Questions, réponses et scénarios courants

Cette section répond aux questions courantes sur les appareils joints Microsoft Entra et hybrides Microsoft Entra joints.

Les Microsoft Entra hybrides joints doivent-ils être un état à long terme ou un objectif final pour les appareils ?

Non, hybrid Microsoft Entra Join ne doit pas être à long terme ni l’objectif final d’une organization.

Lorsque vous n’êtes pas limité ou limité (pour des raisons techniques, politiques ou réglementaires), votre organization doit être déplacé ou planifier le passage à Microsoft Entra joint pour vos points de terminaison Windows.

Quelle stratégie un organization doit-il adopter pour déplacer les appareils hybrid Microsoft Entra Join existants vers Microsoft Entra Join ?

La stratégie dépend de nombreux facteurs, dont beaucoup sont spécifiques à votre organization.

En général, Microsoft recommande d’attendre un événement complémentaire. Par exemple, vous pouvez passer à Microsoft Entra jointure lors d’une actualisation matérielle, d’une mise à niveau du système d’exploitation ou d’un scénario de résolution des problèmes d’appareil lorsqu’il existe une nouvelle (ou réinitialisation) instance de Windows. À l’aide de cette approche, vous réduisez l’interruption de l’utilisateur et simplifiez le processus de conversion en Microsoft Entra Join. N’oubliez pas qu’il n’existe aucun processus ou chemin pris en charge par Microsoft pour convertir un appareil existant d’Hybrid Microsoft Entra Join en Microsoft Entra Join sans réinitialisation de Windows.

Sur Microsoft Entra appareils joints hybrides, vous devez effectuer une réinitialisation complète de l’appareil, car la réinitialisation de Windows Autopilot ne prend pas en charge Microsoft Entra appareils joints hybrides.

Pour passer à Microsoft Entra join, vous pouvez réinitialiser de manière proactive les appareils existants. Cette approche peut être plus perturbante pour les utilisateurs et nécessite davantage de planification & de tests. Toutefois, vous pouvez utiliser cette approche si vous avez quelques appareils ou si vous disposez d’une analyse de rentabilité solide pour passer à Microsoft Entra join.

Il existe un bloqueur qui empêche mon organization de passer à Microsoft Entra join

Il est possible qu’il existe des obstacles et des défis en dehors du contrôle de Microsoft qui peuvent empêcher votre organization de passer entièrement à Microsoft Entra Join. Il peut également y avoir des bloqueurs inconnus qui sont spécifiques à votre organisation et à sa configuration ou à ses attentes. Ces blocages peuvent être techniques ou se produire pour d’autres raisons non techniques.

N’oubliez pas que le passage à Microsoft Entra Join n’est pas une proposition tout ou rien. Le déplacement d’appareils vers Microsoft Entra Join prend du temps, même avec ou sans bloqueurs ou inhibiteurs.

Si vous identifiez un bloqueur potentiel qui vous empêche d’utiliser Microsoft Entra Join, déterminez l’étendue, l’impact et la solution. Le guide de planification de haut niveau pour passer à des points de terminaison natifs cloud peut vous aider.

Les points de terminaison de jointure Microsoft Entra et de jointure hybride Microsoft Entra peuvent-ils coexister dans le même environnement ?

Oui, les points de terminaison de jointure Microsoft Entra et de jointure hybride Microsoft Entra peuvent coexister dans le même environnement. Ils ne s’excluent pas mutuellement.

Le fait d’avoir un environnement mixte augmente la complexité, la maintenance et les coûts de support. Toutefois, vous pouvez utiliser hybrid Microsoft Entra Join jusqu’à ce que ces points de terminaison soient remplacés ou réinitialisés. N’oubliez pas que la jonction Microsoft Entra hybride ne doit pas être l’objectif final de votre organization pour l’état du point de terminaison Windows.

Les utilisateurs des systèmes de jointure Microsoft Entra peuvent-ils accéder aux ressources locales ?

Oui, les utilisateurs sur les systèmes de jointure Microsoft Entra peuvent accéder aux ressources locales.

Microsoft Entra les points de terminaison de jointure peuvent accéder aux ressources locales et utiliser l’authentification unique (SSO). Pour plus d’informations, accédez aux points de terminaison natifs cloud et aux ressources locales.

Quels états de jointure d’appareil peuvent-Intune gérer ?

Microsoft Intune, qui est une solution 100 % cloud, peut gérer les appareils clients Windows qui sont Microsoft Entra Join ou Hybrid Microsoft Entra Join. Intune dispose de nombreuses fonctionnalités et paramètres intégrés qui peuvent gérer les paramètres, contrôler les fonctionnalités de l’appareil, sécuriser vos points de terminaison, etc.

Le Guide de planification de haut niveau pour passer aux points de terminaison natifs cloud : Intune fonctionnalités que vous devez connaître répertorie certaines de ces fonctionnalités. Ce qui est Intune est également une bonne ressource.

Sur les points de terminaison de jointure de Microsoft Entra hybride, vous pouvez utiliser des objets de stratégies de groupe (GPO) locaux ou des Intune pour contrôler les paramètres de stratégie. Il est également possible d’utiliser une combinaison d’objets de stratégie de groupe et de Intune, mais cette combinaison ajoute de la surcharge administrative et de la complexité. Si vous activez la cogestion (Intune (cloud) + Configuration Manager (local)), vous pouvez utiliser certaines fonctionnalités Microsoft Entra, telles que l’accès conditionnel.

Pour obtenir des conseils, consultez le Guide de déploiement : configurer ou passer à Microsoft Intune.

Quels sont les états de jointure d’appareil requis pour la conformité des appareils et/ou l’accès conditionnel ?

Les points de terminaison Hybrid Microsoft Entra Join et Microsoft Entra Join prennent en charge les stratégies de conformité et l’accès conditionnel lorsqu’ils sont gérés par Intune ou cogérés par Intune et Configuration Manager.

Existe-t-il des limitations pour hybrid Microsoft Entra Join ?

Oui, il existe des limitations pour hybrid Microsoft Entra Join.

Ces limitations sont généralement les mêmes pour les appareils locaux joints au domaine uniquement. Plus précisément, les points de terminaison de jointure Microsoft Entra hybride nécessitent une connexion directe au contrôleur de domaine AD local pour la connexion initiale et la modification des mots de passe. Si le domaine est arrêté ou n’est pas disponible, les utilisateurs peuvent être empêchés de se connecter à leurs points de terminaison. Si votre organization ne dispose plus d’un domaine local, vous devez également quitter hybrid Microsoft Entra join pour vos appareils.

Si vous utilisez l’authentification sans mot de passe, les utilisateurs ont besoin d’un accès à Internet et d’une ligne de vue sur les contrôleurs de domaine . Pour s’authentifier, les points de terminaison hybrid Microsoft Entra Join peuvent utiliser Kerberos et NTLM.

Hybrid Microsoft Entra Join est-il considéré comme natif cloud ?

Non, hybrid Microsoft Entra Join n’est pas considéré comme natif cloud.

La solution cloud consiste à Microsoft Entra Joindre vos points de terminaison. Les points de terminaison et leurs identités sont créés et stockés dans Microsoft Entra. Intune gère les points de terminaison avec des paramètres et des stratégies. Ces services fonctionnent avec d’autres services cloud, notamment Microsoft 365, Microsoft Defender XDR, etc.

Suivez les conseils sur les points de terminaison natifs cloud

1. Vue d’ensemble : que sont les points de terminaison natifs cloud ?
2. Didacticiel : Démarrage avec des points de terminaison Windows natifs cloud
3. 🡺 Concept : Microsoft Entra joint ou hybride Microsoft Entra joint (Vous êtes ici)
4. Concept : points de terminaison natifs cloud et ressources locales
5. Guide de planification de haut niveau
6. Problèmes connus et informations importantes