Joindre Windows 10 Mobile à Azure Active Directory

Un appareil exécutant Windows 10 Mobile peut être joint à Azure Active Directory (AD Azure) lorsque l’appareil est configuré pendant la phase OOBE (Out-of-Box Experience). Cet article décrit les considérations et les options pour l’utilisation de Windows 10 Mobile avec Azure AD dans votre organisation.

Pourquoi joindre un appareil Windows 10 Mobile à Azure AD ?

Lorsqu’un appareil exécutant Windows 10 Mobile est joint à Azure AD, l’appareil ne peut utiliser que des informations d’identification appartenant à votre organisation et vous pouvez vous assurer que les utilisateurs se connectent suivant les exigences de connexion de votre organisation. Joindre un appareil Windows 10 Mobile à Azure AD fournit de nombreux avantages semblables à ceux acquis lorsque vous connectez des ordinateurs de bureau, notamment :

• L’authentification unique dans les applications telles que Courrier, Word et OneDrive qui utilisent des ressources reposant sur Azure AD

• L’authentification unique dans le navigateur Microsoft Edge pour les applications web connectées à Azure AD comme le portail Office 365, Visual Studio et plus de 2 500  applications non Microsoft

• L’authentification unique pour les ressources locales

• L’inscription automatique au service de GPM.

• Activation de l’itinérance d’entreprise des paramètres (Pas de prise en charge actuellement, mais fait partie de la feuille de route)

• Utilisation du Windows Store pour Entreprises pour cibler les applications selon les utilisateurs

Mettez-vous à niveau vos appareils actuels vers Windows 10 Mobile ?

Windows Phone 8.1 ne prenait en charge que la connexion d’un appareil à des services de cloud personnels à l’aide d’un compte Microsoft pour l’authentification. Il fallait donc créer des comptes Microsoft pour le travail. Dans Windows 10 Mobile, vous avez la capacité de joindre les appareils directement à Azure AD sans avoir besoin d’un compte Microsoft personnel.

Si vous avez des appareils Windows Phone 8.1 existants, la première chose que vous devez savoir est s’ils peuvent être mis à jour vers Windows 10 Mobile. Microsoft publiera plus d’informations sur la disponibilité de la mise à niveau prochainement. A mesure que de nouvelles informations seront disponibles, elles seront publiées sur Comment obtenir Windows 10 Mobile. Les clients Premier Entreprise qui ont besoin de différer la mise à niveau vers Windows 10 Mobile pour des raisons professionnelles doivent contacter leur responsable technique de compte pour demander quelles sont les options disponibles.

Avant de mettre à niveau et de joindre des appareils à Azure AD, vous devez prendre en compte la consommation existante des données. La manière dont les utilisateurs se servent les appareils existants et le type des données stockées localement varient pour chaque client. Les SMS sont-ils utilisés à des fins professionnelles et doivent-ils être sauvegardés et disponibles après la mise à niveau ? Existe-t-il des photos stockées localement ou stockées en association avec un compte Microsoft ? Existe-t-il des paramètres d’appareil et d’applications qui doivent être conservés ? Existe-t-il des contacts stockés sur la carte SIM ou associés à un compte Microsoft ? Vous devez examiner les méthodes de capture et de stockage des données qui doivent être conservées avant de joindre les appareils à Azure AD. Les photos, fichiers de musique et documents stockés localement sur l’appareil peuvent être copiés de l’appareil vers un ordinateur à l’aide d’une connexion USB.

Pour joindre des appareils mobiles mis à niveau à Azure Active Directory, les appareils doivent être réinitialisés pour entrer en phase OOBE (Out-of-Box Experience) pour l’installation. Joindre un périphérique à Azure AD n’est pas une modification qui peut être effectuée en conservant les données utilisateur existantes. Cette opération est similaire à celle du passage d’un appareil du statut personnel à professionnel. Lorsqu’un utilisateur rejoint le domaine d’une organisation, il doit ouvrir une session en tant qu’utilisateur de domaine et démarrer avec un tout nouveau profil utilisateur. Un nouveau profil utilisateur signifie que les paramètres, applications et données du profil personnel précédent n’ont pas été conservés.

Si vous souhaitez éviter le processus de réinitialisation de l’appareil, envisagez d’ajouter des comptes professionnels plutôt que de joindre des appareils à Azure AD.

Différences entre « Ajouter un compte professionnel » et « Azure AD Join »

Bien qu’« Azure AD Join » sur Windows 10 Mobile fournisse la meilleure expérience globale, il existe deux autres manières que vous pouvez utiliser pour ajouter un compte professionnel au lieu de joindre un appareil à Azure AD si votre organisation l’exige.

• Vous pouvez terminer la phase OOBE avec l’option Se connecter plus tard. Cela vous permet de commencer à utiliser Windows 10 Mobile avec n’importe quel compte Azure AD connecté ou un compte Microsoft.

• Vous pouvez ajouter un accès aux ressources basées sur Azure AD sur un appareil sans réinitialiser l’appareil.

Toutefois, aucune de ces méthodes ne fournit une authentification unique dans Windows Store ou pour les ressources locales, ni n’offre la possibilité d’assurer l’itinérance des paramètres en fonction du compte Azure AD à l’aide de l’itinérance de l’entreprise. Apprenez-en plus sur l’itinérance d’entreprise dans Azure AD.

En accédant à Paramètres > Comptes > Adresse de messagerie et comptes > Ajouter un compte professionnel ou scolaire, les utilisateurs peuvent ajouter leur compte Azure AD à l’appareil. Un compte professionnel peut aussi être ajouté lorsque l’utilisateur se connecte à une application telle que Courrier, Word, etc. Si vous activez l’inscription automatique dans vos paramètres de GPM, l’appareil est automatiquement inscrit dans la GPM.

Un compte professionnel ajouté fournit la même expérience d’authentification unique que les applications de navigateur comme Office 365 (portail Office, Outlook Web Access, Calendrier, Contacts, OneDrive), le profil et l’application de modification du mot de passe d’Azure AD et Visual Studio. Vous profitez de l’authentification unique pour les applications intégrées telles que Courrier, Calendrier, Contacts, OneDrive et les fichiers hébergés sur OneDrive, sans entrer de mot de passe. Dans les applications Office comme Microsoft Word, Microsoft Excel, et ainsi de suite, vous sélectionnez simplement le compte Azure AD et vous pouvez ouvrir des fichiers sans entrer de mot de passe.

Préparation à Windows 10 Mobile

• Configuration d’Azure AD

  Actuellement, « Azure AD Join » prend uniquement en charge l’approvisionnement automatique, ce qui signifie que les informations d’identification de l’utilisateur de l’appareil doivent être utilisées pendant l’installation initiale de l’appareil. Si votre opérateur mobile prépare les appareils à votre place, cela aura un impact sur votre capacité à joindre l’appareil à Azure AD. De nombreux administrateurs informatiques peuvent avoir envie de configurer les appareils pour leurs employés, mais l’expérience d’« Azure AD Join » est optimisée pour les utilisateurs finaux, notamment grâce à l’option d’inscription automatique dans la GPM.

  Par défaut, Azure AD est configuré pour autoriser des appareils à se connecter et pour permettre aux utilisateurs d’utiliser leurs informations d’identification d’entreprise sur des appareils personnels ou des appareils appartenant à l’organisation. Le billet de blog Azure AD Join sur les appareils Windows 10 donne plus d’informations sur les endroits où vous pouvez passer en revue vos paramètres Azure AD. Vous pouvez configurer Azure AD pour n’autoriser personne à se connecter, pour autoriser tous les membres de votre organisation, ou vous pouvez sélectionner des groupes Azure AD spécifiques autorisés à se connecter.

• Installation d’appareil

  Un appareil exécutant Windows 10 Mobile ne peut se joindre à Azure AD que durant la phase OOBE. Les nouveaux appareils des opérateurs mobiles sont dans cet état lorsque vous les recevez. Les appareils Windows Phone 8.1 qui sont mis à niveau vers Windows 10 Mobile doivent être réinitialisés pour accéder de nouveau à la phase OOBE pour l’installation.

• Gestion des périphériques mobiles

  Un service de GPM est requis pour la gestion des appareils joints à Azure AD. Vous pouvez utiliser le service de GPM pour transférer des paramètres, des applications et des certificats utilisés par un VPN, Wi-Fi, etc. sur des appareils. Les licences Azure AD Premium ou Enterprise Mobility Suite (EMS) sont requises pour configurer vos appareils joints à Azure AD afin qu’ils soient automatiquement inscrits au service de GPM. Apprenez-en plus sur la configuration de votre client Azure AD pour l’inscription automatique au service de GPM.

• Microsoft Passport

  La création d’un Microsoft Passport (PIN) est requise par défaut sur Windows 10 Mobile et ne peut pas être désactivée. Vous pouvez contrôler les stratégies de Microsoft Passport à l’aide de contrôles dans la GPM, par exemple Intune. Étant donné que l’appareil est connecté à l’aide des informations d’identification de l’organisation, il doit être déverrouillé par un code PIN. Windows Hello (données biométriques comme l’empreinte digitale ou l’iris) peut être utilisé pour l’authentification Passport. La création d’un Microsoft Passport nécessite que l’utilisateur effectue une authentification multifacteur, car le code PIN représente des informations d’identification d’authentification forte. Apprenez-en plus sur Microsoft Passport pour Azure AD.

• Accès conditionnel

  Les stratégies d’accès conditionnel sont également applicables à Windows 10 Mobile. Les stratégies de conformité de l’appareil et l’authentification multifacteur peuvent être appliquées à des utilisateurs ou des ressources et nécessitent que l’utilisateur ou l’appareil satisfasse à ces exigences avant que l’accès aux ressources ne soit autorisé. Les stratégies comme la jonction de domaine qui prennent en charge la jonction de domaine traditionnelle s’appliquent uniquement aux PC de bureau. Les stratégies qui dépendent de la plage d’adresses IP sont difficiles à appliquer sur un téléphone, car l’adresse IP de l’opérateur est utilisée à moins que l’utilisateur ne se connecte au Wi-Fi d’entreprise ou à un VPN.

• Problèmes connus

  • Les applications pour la sauvegarde et la restauration des appareils et pour la synchronisation des photos sur OneDrive fonctionnent uniquement avec le compte Microsoft comme compte principal. Ces applications ne fonctionneront pas sur les appareils joints à Azure AD.

  • Localiser mon téléphone. fonctionne selon la façon dont vous ajoutez un compte Microsoft à l’appareil. Par exemple, l’application Cortana se connectera à votre compte Microsoft de façon à ce que la fonction Localiser mon téléphone fonctionne. Cortana et OneNote fonctionnent tous les deux avec des comptes Azure AD, mais ils doivent d’abord être installés avec un compte Microsoft.

  • OneNote nécessite que l’utilisateur se connecte avec un compte Microsoft, mais il offre aussi la possibilité d’accéder aux blocs-notes à l’aide d’un compte Azure AD.

  • Si votre organisation est configurée pour se fédérer à Azure AD, vous devez utiliser les services de fédération Active Directory (AD FS) comme serveur proxy de fédération ou un proxy tiers qui prend en charge les points de terminaison WS-Trust comme AD FS.

Comment joindre Windows 10 Mobile à Azure AD ?

1. Lors de la phase OOBE, sur l’écran Restez synchronisé, choisissez l’option Se connecter avec un compte professionnel, puis appuyez sur Suivant.

   

2. Entrez votre compte Azure AD Si votre compte Azure AD est fédéré, vous êtes redirigé vers la page de connexion de votre organisation. Si ce n’est pas le cas, vous devez entrer votre mot de passe.

   

   Si vous êtes redirigé vers la page de connexion de votre organisation, vous pouvez être amené à fournir un second facteur d’authentification.

   

3. Une fois l’authentification terminée, l’inscription de l’appareil est terminée. Si votre service de GPM comporte une page de conditions d’utilisation, elle s’affiche aussi ici. Les utilisateurs fédérés doivent fournir un mot de passe à nouveau pour terminer l’authentification Windows. Les utilisateurs ayant un mot de passe géré dans le cloud ne verront pas cette invite d’authentification supplémentaire. Cette connexion fédérée nécessite que votre serveur de fédération prenne en charge le point de terminaison WS-Trust actif.

   

4. Ensuite, vous configurez un code PIN.

   Remarque  Pour en savoir plus sur les caractéristiques du code PIN, voir Avantages des codes PIN par rapport aux mots de passe.

    

Pour vérifier « Azure AD Join »

• Accédez à Paramètres > Comptes > Adresse de messagerie et comptes. Vous verrez votre compte Azure AD répertorié en haut et également dans la liste des comptes utilisés par d’autres applications. Si l’inscription automatique à la GPM a été configurée, vous verrez dans Paramètres > Comptes > Accès professionnel que l’appareil est correctement inscrit à la GPM. Si la GPM transmet un certificat à utiliser par VPN, alors Paramètres > Réseau et sans fil > VPN vous propose de vous connecter à votre VPN.

  

Configuration de la messagerie et du calendrier

Il est facile de configurer le courrier électronique sur votre appareil joint à Azure AD. Lorsque vous démarrez l’application Courrier, la page Comptes s’affiche. La plupart des utilisateurs ont leur compte de messagerie hébergé sur Office 365 et sont automatiquement synchronisés. Appuyez simplement sur Prêt.

Lorsque l’adresse électronique est hébergée dans Exchange en local, l’utilisateur doit fournir des informations d’identification pour établir une connexion par authentification de base au serveur Exchange. Appuyez sur Ajouter un compte pour voir les types de comptes de messagerie que vous pouvez ajouter, y compris votre compte Azure AD.

Après avoir sélectionné un type de compte, vous devez fournir les informations d’identification pour terminer l’installation de cette boîte aux lettres.

L’installation de l’application Calendrier se déroule de la même façon. Ouvrez l’application et vous verrez apparaître votre compte Azure AD dans la liste. Appuyez simplement sur Prêt.

Revenez à Paramètres > Comptes > Adresse de messagerie et comptes et vous verrez votre compte Azure AD répertorié dans la liste Messagerie, calendrier et contacts.

Utilisation des applications Office et OneDrive

Les applications Office telles que Microsoft Word et Microsoft PowerPoint se connectent automatiquement avec votre compte Azure AD. Lorsque vous ouvrez une application Office, vous voyez un écran qui vous permet de choisir entre un compte Microsoft et un compte Azure AD. Office affiche cet écran pendant qu’il se connecte automatiquement, alors patientez juste pendant quelques secondes et Office se connecte automatiquement à l’aide de votre compte Azure AD.

Microsoft Word affiche automatiquement les documents récemment ouverts sur d’autres appareils. Lorsque vous ouvrez un document, vous pouvez passer directement à la dernière section que vous modifiez sur un autre appareil.

Microsoft PowerPoint affiche vos diapositives récemment ouvertes.

L’application OneDrive utilise aussi l’authentification unique. Elle vous montre tous vos documents et vous permet de les ouvrir sans authentification.

En plus de l’authentification unique des applications, les appareils connectés à Azure AD bénéficient de l’authentification unique pour les applications de navigateur qui approuvent Azure AD, comme les applications web, Visual Studio, le portail Office 365 et OneDrive Entreprise.

OneNote nécessite un compte Microsoft, mais vous pouvez également l’utiliser avec votre compte Azure AD.

Une fois connecté à OneNote, accédez à Paramètres > Comptes et vous verrez que votre compte Azure AD est automatiquement ajouté.

Pour afficher les blocs-notes auxquels votre compte Azure AD a accès, appuyez sur Autres blocs-notes et sélectionnez le bloc-notes que vous voulez ouvrir.

Windows Store pour Entreprises

Windows Store pour Entreprises vous permet d’indiquer les applications à mettre à disposition de vos utilisateurs dans l’application Windows Store. Ces applications apparaissent sous un onglet au nom de votre entreprise. Les applications approuvées sur le portail Windows Store pour Entreprises peuvent être installées par les utilisateurs.