Comment inscrire des machines dans Microsoft Entra ID : Registered, Joined, Hybrid Joined ?
Sommaire
I. Présentation
Dans ce tutoriel, nous allons évoquer les différentes manières d'inscrire des machines dans Microsoft Entra ID (ex-Azure Active Directory). Nous aborderons plusieurs notions telles que l'inscription des appareils, la jonction des appareils et la jonction des appareils hybrides puisqu'il s'agit de trois possibilités offertes par Microsoft pour qu'un appareil remonte dans Entra.
Pour rappel, Microsoft Entra ID est le service de gestion des identités de chez Microsoft. Il s'agit du nouveau nom d'Azure Active Directory (Azure AD).
II. Microsoft Entra Registered ou Azure AD Registered
A. L'inscription d'un appareil dans Entra ID
Lorsqu'un appareil est inscrit, enregistré, "registered" ou encore "Workplace joined" dans Microsoft Entra ID, ceci permet de répondre à un scénario spécifique : celui des appareils BYOD (Bring Your Own Device), c'est-à-dire les appareils personnels des collaborateurs (ordinateurs, smartphones).
Dans ce scénario, l'utilisateur pourra accéder aux ressources de l'entreprise à partir de son appareil personnel inscrit dans Microsoft Entra ID. L'accès aux ressources sera contrôlé à l'aide des permissions attribuées à l'utilisateur et des stratégies d'accès conditionnels. Par ailleurs, vous pouvez vérifier que l'appareil est bien en conformité vis-à-vis des stratégies de votre entreprise avant de lui permettre l'accès.
Ce mode est pris en charge sur plusieurs systèmes d'exploitation : Windows 10, Windows 11, iOS, Android, macOS et Linux (via l'agent Intune).
B. Enregistrer un PC Windows 11 dans Entra ID
Nous allons voir comment enregistrer un appareil Windows 11 dans Microsoft Entra ID. La méthode est similaire sur Windows 10, sauf que les menus sont différents...
Connectez-vous à votre session. Il peut s'agir d'un compte local, rattaché ou non à un compte Microsoft personnel.
Ouvrez les "Paramètres" de Windows 11, cliquez sur "Comptes" (1) à gauche puis sur "Accès professionnel ou scolaire" au centre (2).
Cliquez ensuite sur le bouton "Se connecter" comme sur l'image ci-dessous.
Vous serez invité à saisir votre adresse e-mail pour vous connecter. Ici, indiquez l'adresse e-mail de votre compte Microsoft 365. Il peut s'agir d'un compte professionnel ou lié à un établissement scolaire (pour les tenants Microsoft 365 avec des licences Education).
Quand c'est fait, cliquez sur "Suivant" et effectuez la connexion à votre compte.
Au final, vous arrivez sur une fenêtre avec le message "Vous voila prêt !". Cliquez sur "Terminé".
Le compte Microsoft est bien ajouté sur la machine Windows 11 appartenant à mon utilisateur. Autrement dit, il s'agit d'un ordinateur personnel.
Du côté de Microsoft Entra ID, l'ordinateur "PC-GUYMAUVE" est bien visible dans la liste des appareils. Nous pouvons voir qu'il est intégré de la manière suivante : "Microsoft Entra Registered". Il est inscrit dans Entra ID et il pourra être géré avec Intune.
Nous pouvons cliquer sur cet appareil afin d'obtenir des informations à son sujet. Nous avons un ID d'objet, le nom du système d'exploitation ainsi que la version, le nom du propriétaire, la solution MDM associée (GPM), la date et l'heure de l'enregistrement dans Entra ID, etc.
Pour en savoir plus sur les appareils "Microsoft Entra Registered", référez-vous à cette documentation :
III. Microsoft Entra Joined ou Azure AD Joined
A. La jonction d'un appareil dans Entra ID
Les appareils de l'entreprise, notamment les ordinateurs, peuvent être joints à Microsoft Entra ID, au même titre que les ordinateurs peuvent être intégrés à un domaine Active Directory. Ici, il s'agit d'un enrollment de l'appareil, c'est-à-dire une intégration complète : l'entreprise aura totalement le contrôle de la configuration de l'appareil (via Intune, par exemple).
Ce scénario s'applique aux entreprises avec une infrastructure full-Cloud (tout dans Microsoft 365 et Azure, par exemple) et il s'applique aux ordinateurs dont l'entreprise est propriétaire. En effet, nous n'utilisons aucun serveur en local.
Ce mode est pris en charge sur Windows 10 et Windows 11, sauf pour l'édition "Famille" (Home) - Sans surprise. C'est également supporté sur Windows Server 2019 et plus récent pour les machines virtuelles Azure.
B. Joindre un PC Windows 11 à Microsoft Entra ID
Nous allons voir comment joindre un appareil Windows 11 dans Microsoft Entra ID. Ceci signifie que la machine va joindre le tenant Microsoft Entra ID, au même titre qu'une machine est intégrée à domaine Active Directory. La méthode est similaire sur Windows 10, sauf que les menus sont différents...
Pour information, il y a plusieurs manières de joindre une machine Windows à Entra ID, notamment :
- Avec les paramètres de Windows, c'est ce que nous allons voir aujourd'hui
- Lors de la mise en route de la machine (processus OOBE)
- Avec Windows Autopilot
- Avec de l'intégration en masse (notamment avec un système de jetons)
Dans cet exemple, nous pouvons imaginer qu'il s'agit d'une machine fraichement installée que nous allons intégrer au réseau de l'entreprise. Vous devez vous connecter à la machine avec un compte administrateur local afin de pouvoir effectuer la jonction avec Entra ID.
Ouvrez les "Paramètres" de Windows 11, cliquez sur "Comptes" à gauche puis sur "Accès professionnel ou scolaire" au centre. Ensuite, cliquez sur le bouton "Se connecter".
Ne saisissez pas votre adresse e-mail ici ! A la place, cliquez sur le lien "Joindre cet appareil à Microsoft Entra ID".
Indiquez votre compte Microsoft 365 afin de vous authentifier : il faut utiliser un compte qui a des droits suffisant pour intégrer des appareils. Par défaut, tous les comptes ont cette permission (comme dans l'Active Directory !).
Une fois l'authentification réussie, l'assistant vous demande de vérifier qu'il s'agisse bien de votre organisation. Cliquez sur "Joindre" pour valider.
Voilà, c'est fait ! Cliquez sur "Terminé".
Il n'est pas nécessaire de redémarrer la machine. Nous pouvons voir la précision suivante : "Connecté au domaine Azure AD de Lab IT-Connect". Nous savons également quel utilisateur a permis de joindre la machine à Entra ID.
D'ailleurs, du côté du centre d'administration Entra, la machine Windows 11 "PC-ITC-01" est bien visible. Contrairement à l'exemple précédent, ici la jonction est complète : "Microsoft Entra Joined". La machine peut être gérée avec Intune.
Sur cette même machine, nous pouvons ouvrir une connexion de notre tenant Microsoft 365. Par exemple, la session de Guy Mauve à l'aide de son e-mail et son mot de passe. Grâce à l'intégration de sa machine dans Entra ID, il y a du SSO natif : si nous accédons au portail Microsoft Office, nous sommes directement authentifiés.
Pour en savoir plus sur les appareils "Microsoft Entra Joined", référez-vous à cette documentation :
IV. Microsoft Entra Hybrid Joined ou Azure AD Hybrid Joined
A. La jonction d'un appareil hybride
L'hybridation s'adresse aux entreprises avec une infrastructure en local qui souhaitent malgré tout bénéficier de certaines fonctionnalités offertes par les services Cloud, en l'occurrence ici Microsoft Entra ID. Autant vous dire que c'est un cas fréquent. Ce scénario permet l'accès aux ressources Cloud et aux ressources locales de l'entreprise.
Dans ce cas précis, nous parlons d'un appareil hybride, car il y a une jonction avec le domaine Active Directory de l'entreprise et l'appareil est ensuite inscrit dans Microsoft Entra ID. Autrement dit, l'appareil est enregistré dans Entra ID et Active Directory. Ceci implique que l'environnement Entra ID puisse communiquer régulièrement avec vos contrôleurs de domaine Active Directory, et inversement.
Plusieurs solutions sont envisageables pour que les ordinateurs de l'Active Directory soient enregistrés dans Entra ID. Par exemple, nous pouvons utiliser Microsoft Entra Connect (Azure AD Connect) ou Microsoft Entra Cloud Sync.
B. Jonction hybride d'un appareil Windows 11 dans Entra ID
Ce scénario implique une configuration plus complète, notamment parce qu'il y a un Active Directory et une infrastructure existante à prendre en considération. Ceci implique la mise en place d'un outil de synchronisation pour que les objets de l'Active Directory soit inscrit dans Entra ID.
Ce scénario sera détaillé au travers d'autres tutoriels. Dans tous les cas, le point de départ sera le suivant : l'ordinateur est intégré au domaine Active Directory.
Dans Entra ID, l'appareil sera visible avec un statut spécifique qui indique clairement qu'il s'agit d'un appareil hybride.
Lorsqu'une machine est enregistrée dans Entra ID en tant qu'appareil hybride, elle peut être gérée à l'aide des stratégies de groupe (GPO), d'Intune mais également de Configuration Manager (ex-SCCM) avec ou sans co-gestion (mode également hybride impliquant Intune et Configuration Manager).
Pour en savoir plus sur les appareils "Microsoft Entra Hybrid Joined", référez-vous à cette documentation :
V. Conclusion
Suite à la lecture de cet article, vous connaissez les différents modes d'inscriptions des appareils dans Microsoft Entra ID ! Maintenant, nous allons pouvoir aborder d'autres notions !
Bonjour.
D’abord merci pour tous ces articles/tutos qui sont un incontournable dans le monde de l’IT 🙂
Il y a peu, avec un compte MS Developer gratuit (qui donne accès à un tenant Entra ID) et des VM locales, j’avais mis en place une infra hybride avec une synchro via AzureAD Connect sur un serveur dédié.
Tout fonctionnait bien en ce qui concerne les utilisateurs, mais les quelques pc que j’ai justement réussi à joindre au tenant Entra ID n’étaient pas visibles côté Intune (pour mettre en place des règles avec les Ring windows update par exemple).
Je voulais donc savoir si la partie Intune que vous évoquez rapidement est soumis à une licence spécifique qui fait que je ne voyais pas mes machines à ce niveau mais seulement dans Entra Id.
Merci.
Bonjour Sébastien
Au minimum, une licence business premium est requise pour disposer d’Intune.
Merci pour la réponse.
Du coup, avec cette licence, il est possible de gérer les machines dans Intune même avec un environnement hybride ?
Bonjour Florian, merci pour cet article.
Justement, j’avais entendu dire qu’il était fortement déconseiller d’activer le mode « Hybrid Joined » et qu’il y avait une forte charge de travail derrière, qu’en est’il réellement ? C’est ce que m’ont rapporté mes collègue sur les dire d’un prestataire Azure, il y a quelques années … le sujet n’est pas ferme mais je dois récolter des retours d’expériences.
Je sais que j’ai mis en place les GPO du SSO pour les différents outils mais ces GPO sont justement insuffisant pour une prise en charge complète notamment avec le télétravail (avant VPN), pour finir je n’ai juste qu’a activer la clé pour synchroniser les ordinateurs.
Bonjour Yohann,
Le mode « Hybrid Joined » implique une adhérence auprès d’Active Directory et Entra ID. Cela nécesite donc d’adapter la méthode de gestion des appareils, et impactera la charge de travail qui en découle.
J’ai travaillé sur différents projets pour la mise en oeuvre d’Intune, la solution MDM de Microsoft.
L’avantage d’Intune est la possibilité d’absence d’adhérence à l’AD puisque nous sommes dépendant des services cloud Microsoft. L’objectif était d’y intégrer et gérer des postes clients existants dont ceux d’utilisateurs en mobilité/télétravail.
Dans ce cas, le poste était joint à un domaine AD, lui-même synchronisé à Entra ID pour les identités d’utilisateurs. Il était plus simple d’activer la synchronisation des postes AD afin qu’il soit intégré à Entra ID. Dans ce contexte, ce sont des postes à jointure hybride Entra ID (Hybrid Joined).
Les paramètres gérés par Intune n’était pas géré par GPO et vice-versa.
Cela permettait aux utilisateurs en mobilité de récupérer les derniers paramèters configuré par la DSI immédiatement sans avoir à recontacter l’AD (et donc sans se déplacer sur site).
Par la suite, ce projet à évoluer et nous avons migrer l’ensemble des GPO dans Intune, ainsi la gestion des postes était entièrement faite par le MDM.
N’hésitez pas à me contacter pour plus d’informations 🙂
Bonne journée,
Clément
Bonjour Clément, merci pour ce retour.
J’imagine les bienfaits de la gestion MDM intunes en comparaison des GPO 🙂
Je me suis déjà heurté a des stratégies qui existent sur intunes mais pas en GPO.
Ce que je voulais savoir sur la charge de travail, c’est la quantité humaine (tech/admin, etc…) sur le nombre de machines à gérer.
De plus quels sont les risques à exposer les ordinateurs dans EntraID ?
Actuellement les postes sont déjà synchronisé mais ne sont pas approuvé, il me reste juste la clé à créer pour le connecteur.
Bonjour et merci pour cet article une fois de plus pertinent.
Quel type de licence est il nécessaire d’avoir pour l’intégration des postes de travail dans Entra ID ?
Cordialement.
Ludovic.
Bonjour,
Je suis embêté par Entra qui force mes utilisateurs à utiliser Windows Hello.
Les utilisateurs n’ont pas forcement de mobile pro et donc je souhaite désactiver.
Je l’ai bien fait dans les paramètres de sécurité par défaut, mais cela ne fonctionne pas, cela ne doit pas être le bon paramètre.
Si vous avez des idées…
Merci
bonjour, quand je passe sur azure ad des postes existants et déjà utilisés, comment faire pour garder la configurations des sessions locales des utilisateurs. Car quand ils se connectent sur leur session 365, ils se retrouvent sur une session neuve. Merci
Bonjour,
Nous sommes en pleine mise en place de la cogestion dans notre organisation, le but principal pour nous étant de pouvoir permettre, sur un nombre de postes réduit de notre parc, de se connecter avec des login/mdp 365.
J’ai un doute sur la faisabilité du scénario que j’imaginais, à savoir cogestion SCCM/Intune, postes toujours liés à notre AD (pour pouvoir y appliquer l’entièreté des GPO nécessaires et existantes, qui gèrent tant la partie sécurité que la partie réseau pour ces postes spéciaux), login avec compte 365.
Pour du login 365 je vais forcément devoir être en full AAD joined et donc m’asseoir sur mes GPO ?
J’espère être à peu près clair 🙂
Bonjour,
Très bon article mais vous dites :
Plusieurs solutions sont envisageables pour que les ordinateurs de l’Active Directory soient enregistrés dans Entra ID. Par exemple, nous pouvons utiliser Microsoft Entra Connect (Azure AD Connect) ou Microsoft Entra Cloud Sync.
Il me semble que « Microsoft Entra Cloud Sync » ne le permet pas, voir https://learn.microsoft.com/fr-fr/entra/identity/hybrid/cloud-sync/what-is-cloud-sync#comparison-between-microsoft-entra-connect-and-cloud-sync
Y a t-il eu une mise à jour depuis ?
Merci