Configurer la jonction hybride dans Microsoft Entra ID

Lorsqu'Okta est fédéré avec votre domaine Microsoft Entra ID Office 365 et que l'AD locale est connectée à Okta à travers l'agent AD, vous pouvez commencer à configurer la jonction hybride.

Pour y parvenir, plusieurs méthodes sont possibles. Cette rubrique est consacrée aux méthodes suivantes :

  1. Objets de connexion et de politique de groupe Microsoft Entra ID

  2. Windows Autopilot et Microsoft Intune

  3. Windows Autopilot et MDM

À propos de ces méthodes et des types de jointures qui en résultent

Grâce à la combinaison de Windows Autopilot et d'un MDM, la machine est enregistrée dans Microsoft Entra ID en tant que Microsoft Entra ID jointe, et non en tant que Microsoft Entra ID jointe hybride. Ceci est dû au fait que la machine a été initialement jointe via le cloud et Microsoft Entra ID.

Si vous souhaitez que la machine soit enregistrée dans Microsoft Entra ID en tant que Microsoft Entra ID jointe hybride, vous devez alors configurer la méthode Connect et GPO Microsoft Entra ID. Lorsque les deux méthodes sont configurées, les GPO en local sont appliquées au compte de la machine. Avec la synchronisation Microsoft Entra ID Connect suivante, une nouvelle entrée apparaîtra dans Microsoft Entra ID. Vous verrez alors deux enregistrements pour le nouvel appareil dans Microsoft Entra ID: jonction et jonction hybride Microsoft Entra ID. Les deux enregistrements sont valides.

Pour connaître la différence entre les deux types de jonction, consultez Qu'est-ce qu'un appareil joint à Microsoft Entra ID etqu'est-ce qu'un appareil joint à Microsoft Entra ID hybride? (documentation Microsoft)

Lancer la procédure

Microsoft Entra ID Connect et objets de politique de groupe

Cette combinaison vous permet de synchroniser les machines de votre domaine local avec votre instance Microsoft Entra ID. Les machines synchronisées à partir d'AD en local apparaissent dans Microsoft Entra ID en tant que Microsoft Entra ID joint hybride.

Cette procédure implique la réalisation des tâches suivantes :

  1. Installez Microsoft Entra ID Connect :Téléchargez et installez Microsoft Entra ID Connect sur le serveur approprié, de préférence un contrôleur de domaine. Consultez la Feuille de route pour l'installation de Microsoft Entra ID et Azure AD Connect Health (documentation Microsoft).

    Créez ou utilisez un compte de service existant dans AD avec les permissions administrateur d'entreprise pour ce service.

  2. Configurez Microsoft Entra ID en vue de la jointure hybride : Configurer une jointure Azure AD hybride (documentation Microsoft).

    Lors de la configuration du SCP, définissez le service d'authentification pour l'org Okta que vous avez fédérée avec votre domaine Microsoft 365 enregistré.

  3. Configurez l'inscription automatique pour un groupe d'appareils : configurez la politique de groupe pour permettre à vos appareils appartenant à un domaine local de s'inscrire automatiquement via Microsoft Entra ID Connect en tant que machines jointes hybrides.

    Consultez la page Inscrire un appareil Windows 10 automatiquement à l'aide de la politique de groupe (documentation Microsoft).

Comment les appareils locaux se joignent-ils à Microsoft Entra ID

Après avoir configuré Microsoft Entra ID et les GPO appropriés, vous pourrez procéder à la connexion des appareils locaux en suivant la procédure suivante :

  1. Un nouvel appareil local tente immédiatement de se joindre en utilisant le point de connexion de service (SCP) que vous avez défini lors de la configuration de Microsoft Entra ID Connect afin de trouver vos informations de fédération de locataire Microsoft Entra ID. L'appareil se connectera ensuite à un serveur de services d'émission de jeton de sécurité (STS). La tentative d'authentification échouera et rétablira automatiquement une jointure synchronisée.

  2. À la suite de cet échec, l'appareil met à jour son attribut userCertificate en le remplaçant par un certificat provenant de Microsoft Entra ID.

  3. Lors de son prochain intervalle de synchronisation, Microsoft Entra ID enverra l'objet ordinateur à Azure AD avec la valeur de l'attribut userCertificate. L'appareil apparaît dans Microsoft Entra ID comme ayant rejoint, mais pas encore enregistré. L'intervalle de synchronisation peut varier en fonction de votre configuration. Par défaut, elle correspond à 30 minutes.

  4. Grâce à une tâche planifiée dans Windows à partir du GPO, une jointure de Microsoft Entra ID est retentée.

  5. Comme l'objet se trouve maintenant dans Microsoft Entra ID en tant qu'appareil joint, la nouvelle tentative permet à l'appareil de s'enregistrer correctement.

Windows Autopilot et Microsoft Intune

Cette méthode crée des objets de domaine local pour vos appareils Microsoft Entra ID lors de l'enregistrement avec Microsoft Entra ID. Avec cette combinaison, les machines synchronisées à partir de Microsoft Entra ID apparaissent dans Microsoft Entra ID comme Microsoft Entra ID jointe, en plus d'être créées dans le domaine AD local sur site.

Cette procédure implique la réalisation des tâches suivantes :

  1. Configurer Windows Autopilot et Microsoft Intune dans Microsoft Entra ID : voir Déployer des appareils hybrides joints à Microsoft Entra ID à l'aide d'Intune et de Windows Autopilot (Microsoft Docs).

    Le programme d'installation d'Intune Connector doit être téléchargé à l'aide du navigateur Microsoft Edge. Comme Microsoft Server 2016 ne prend pas en charge le navigateur Edge, vous pouvez utiliser un client Windows 10 avec Edge pour télécharger le programme d'installation et le copier sur le serveur approprié.

  2. Assignez des licences aux utilisateurs nécessaires via le portail Azure : consultez la page Assigner ou supprimer des licences dans le portail Azure Active Directory (documentation Microsoft). L'affectation des licences doit au moins inclure les licences Enterprise et Mobility + Security (Intune) et Office 365.

  3. Testez la configuration : une fois que la configuration de Windows Autopilot et de Microsoft Intune aura été effectuée, nous vous invitons à la tester en suivant les étapes ci-dessous :

    1. Assurez-vous que l'appareil peut résoudre le domaine local (DNS), mais qu'il n'y est pas joint en tant que membre. Le nouvel appareil est connecté à Microsoft Entra ID à partir de l'expérience de configuration initiale (OOBE) de Windows Autopilot.

    2. Dans la fenêtre Se connecter avec Microsoft, entrez votre nom d'utilisateur fédéré avec votre compte Azure. Vous êtes redirigé vers Okta pour connexion.

    3. Une fois le processus d'authentification terminé, l'ordinateur commencera à configurer l'appareil par le biais de Windows Autopilot OOBE. L'opération peut prendre quelques minutes.

    4. Pendant ce temps, le client sera enregistré sur le domaine local par le biais du profil de configuration de jointure de domaine créé lors de la configuration de Microsoft Intune et de Windows Autopilot. Un compte machine sera créé dans l'unité organisationnelle (OU) spécifiée. La machine cliente est également ajoutée en tant que périphérique à Microsoft Entra ID et enregistrée auprès d'Intune MDM.

Windows Autopilot et GPM

Si vous utilisez VMware Workspace ONE ou Airwatch avec Windows Autopilot, consultez la page Inscrire des périphériques Windows 10 à l'aide de Microsoft Entra ID : tutoriel opérationnel Workspace ONE UEM (documentation VMware).

Si vous utilisez d'autres MDM, conformez-vous à leurs instructions.

Étapes suivantes

FAQ sur l'intégration de Microsoft Entra ID jointe hybride

Rubriques liées

Solutions Okta Device Trust