MSNLoop
MVP Yannick Plavonil

Catégories


Étiquettes


MSNLoop


Documentation technique destinée aux professionnels de l'informatique qui ont recours aux produits, outils et technologies Microsoft pour gérer et déployer Windows.

Processus du mode Windows Autopilot user-driven Hybrid Azure AD join

Yannick PlavonilYannick Plavonil

Poursuivant sur notre thème Windows Autopilot, la série est écrite par Michael Niehaus, employé Microsoft basé à Seattle. Vous pouvez trouver cela et plus encore sur son propre blog – Out of Office Hours.


J’ai déjà parlé du mode user-driven Azure AD join – c’est le scénario le plus simple. Parlons maintenant du mode user-driven Hybrid Azure AD join. Pour expliquer Hybrid Azure AD Join, commençons par une explication simple: les appareils Hybrid Azure AD Join sont jointes à Active Directory, puis s’enregistrent auprès d’Azure AD afin que les utilisateurs qui s’y connectent à l’aide de leurs comptes Active Directory puissent bénéficiez des avantages supplémentaires Azure AD tels que l’authentification unique (SSO) et l’accès conditionne.

Incompréhensions les plus fréquentes

Voyons aussi les idées fausses pendant que nous y sommes:

Points clés pour du Hybrid Azure AD Join

Voir les limitations dans la documentation de Hybrid Azure AD Join, principalement pour vous assurer que votre environnement supporte le mode Hybrid Azure AD Join. Voici quelques points clés:

Tous ces points mentionnés n’ont aucun lien avec Windows Autopilot, mais s’ils ne sont pas bien configurés alors Windows Autopilot ne peut pas effectuer un bon déploiement en mode Hybrid Azure AD join.

Prérequis pour Windows Autopilot

Maintenant, voyons les prérequis pour Windows Autopilot depuis la documentation Windows et Intune;

Premières étapes pour Windows Autopilot user-driven Hybrid Azure AD join

J’ai créé une nouvelle machine virtuelle et l’aie enregistré avec Windows Autopilot. Vous pouvez voir l’enregistrement dans Intune et l’association de l’appareil Azure AD (GUID en bleu sur l’image), tout comme un profil Windows Autopilot assigné à l’appareil (via l’adhésion au groupe des machines Azure AD – J’ai attendu que l’attribution soit complétée, peut prendre quelques minutes)

Register Windows Autopilot

L’objet de l’appareil Azure AD (créé automatiquement lorsque l’appareil a été ajouté au service de déploiement de Windows Autopilot, consultez ce blog pour plus de détails) est nommé avec le numéro de série de l’ordinateur. Si je clique sur ce nom de machine Azure AD, cela m’amènera à l’objet lui-même:

Windows Autopilot devices

Où l’on peut voir que l’appareil est désactivé. Tout semble bon, il est donc temps d’effectuer le déploiement.

Windows Autopilot user-driven Hybrid Azure AD join

Tout comme le mode user-driven AAD Join, l’appareil démarre en demandant l’adresse mail (UPN) et le mot de passe de l’utilisateur pour l’authentifier à Azure AD.
Winows Autopilot AD User sign in

Si vous avez configuré la double authentification (MFA) pour joindre Azure AD, l’utilisateur devra compléter cette étape
Windows Autopilot AD User MFA

Si vous avez activé les conditions d’utilisation (terms of use), l’utilisateur devra les accepter.
Terms of use

l’appareil sera enrôlé dans Intune. Elle attendra ensuite impatiemment de recevoir le blob ODJ venant d’Intune. (Elle essaye de trouver et pinger AD DC, avant même de savoir quel domaine AD elle doit joindre. Et elle fait cela fréquemment, plusieurs fois par seconde – sur une VM ca peut la rendre figée alors ajouter 2 vcpu)

Pendant que l’appareil attend le blob ODJ, Intune travaille pour créer le blob ODJ:

Une fois que l’appareil reçoit son ODJ blob depuis Intune, il est appliqué. Le processus d’interrogation devrait alors être en mesure de déterminer le contrôleur de domaine pour le domaine et de le ping – dès qu’il peut le faire avec succès, l’appareil redémarre.
Windows Autopilot ODJ Reboot

Si vous avez activé la page d’état d’enregistrement (ESP), elle apparaîtra pour traiter les étapes de préparation de l’appareil. La plus importante de ces étapes est la dernière, «Préparation de votre appareil pour la gestion mobile». Pour cette étape, l’appareil client attend une réponse du service MDM pour lui indiquer ce qui doit être fait.
Windows Autopilot Devices ESP

Une fois les étapes de préparation de l’appareil terminées, la phase «Configuration de l’appareil» démarre. Cela affichera initialement «Identifier» jusqu’à ce que le service MDM (Intune) lui indique quelles stratégies doivent être appliquées et suivies. Ceux-ci sont ensuite traités par l’appareil jusqu’à ce que tous aient été traités. Si l’un d’eux échoue, l’ESP signalera l’échec (avec des options pour réinitialiser ou continuer de toute façon, si vous les avez activés dans les paramètres ESP).

En supposant que toutes les applications et stratégies ciblées ont été appliquées avec succès, l’appareil s’assurera une fois de plus qu’il peut identifier et pinger le contrôleur de domaine AD. Tant qu’il le peut, l’écran de connexion / verrouillage s’affiche. L’utilisateur doit ensuite se connecter avec ses informations d’identification AD. (S’ils ont le même UPN dans AD, par exemple leur adresse e-mail, ils peuvent également se connecter en utilisant cela.)

La première animation de connexion (FSIA) s’affiche.
La section de l’utilisateur sur l’ESP sera alors affichée.

Windows Autopilot User ESP

Deux choses pourraient se produire ici:

Une fois l’appareil synchronisé avec Intune, la section de l’utilisateur sur l’ESP suivra les applications et les politiques ciblées pour l’utilisateur. Une fois cela fait, le bureau apparaîtra.

Quelques notes supplémentaires

Assurez-vous de cibler correctement le profil de configuration de l’appareil «Domain Join». Pour un appareil tout neuf (par exemple, une machine virtuelle nouvellement créée ou un appareil qui n’a jamais été synchronisé avec AAD), vous pouvez cibler l’objet d’appareil Azure AD précréé. Mais si vous deviez redéployer ou réinitialiser l’appareil, vous devez plutôt cibler l’appareil hybride Azure AD Join synchronisé. C’est probablement digne d’un blog en soi, mais permettez-moi de faire quelques suggestions spécifiques d’ici là:

L’utilisateur doit disposer de droits pour joindre un appareil à Azure AD, même si l’intention est de joindre l’appareil à Active Directory. S’ils n’ont pas le droit de rejoindre Azure AD, le processus échouera assez tôt. Vous verrez aussi deux appareils dans Azure AD une fois ce processus terminé: les objets d’appareil Azure AD Join précréés (qui finissent par être activés et renommés dans le cadre de ce processus) et les objets d’appareil Hybrid Azure AD Join synchronisé. Gardez ces deux objets à portée de main – ne supprimez jamais l’objet d’appareil Azure AD précréé d’origine.

Comme avec le processus user-driven Azure AD Join, le flux est différent lors du préprovisionnement Windows Autopilot gants blancs. Je couvrirai cela dans un post plus tard.

Yannick Plavonil est un consultant, spécialisé dans les solutions de gestion et déploiement Windows en entreprise. Activement impliqué dans les communautés, il a reçu le titre Microsoft Most Valuable Professional (MVP). Ses domaines d'expertise comprennent les outils de déploiements Windows, MDT, WinPE, USMT, WDS, ConfigMgr et Intune.

Commentaires 2
  • Guillaume
    Publié le

    Guillaume Guillaume

    Répondre Auteur

    Bonjour,
    Est-ce que il est possible d’utiliser cette solution est de se connecter avec ses identifiants AD sans être dans le réseau d’entreprise ?
    Merci d’avance pour votre réponse.
    Avec mes meilleures salutations Guillaume


    • Yannick Plavonil
      Publié le

      Yannick Plavonil Yannick Plavonil

      Répondre Auteur

      Pas pour l’instant. Mais cela devrait arriver dans les prochains mois avec les options permettant d’initier une connexion VPN au réseau d’entreprise