Comment inscrire des machines dans Microsoft Entra ID : Registered, Joined, Hybrid Joined ?
jeudi 11 janvier 2024 à 17:35I. Présentation
Dans ce tutoriel, nous allons évoquer les différentes manières d'inscrire des machines dans Microsoft Entra ID (ex-Azure Active Directory). Nous aborderons plusieurs notions telles que l'inscription des appareils, la jonction des appareils et la jonction des appareils hybrides puisqu'il s'agit de trois possibilités offertes par Microsoft pour qu'un appareil remonte dans Entra.
Pour rappel, Microsoft Entra ID est le service de gestion des identités de chez Microsoft. Il s'agit du nouveau nom d'Azure Active Directory (Azure AD).
II. Microsoft Entra Registered ou Azure AD Registered
A. L'inscription d'un appareil dans Entra ID
Lorsqu'un appareil est inscrit, enregistré, "registered" ou encore "Workplace joined" dans Microsoft Entra ID, ceci permet de répondre à un scénario spécifique : celui des appareils BYOD (Bring Your Own Device), c'est-à-dire les appareils personnels des collaborateurs (ordinateurs, smartphones).
Dans ce scénario, l'utilisateur pourra accéder aux ressources de l'entreprise à partir de son appareil personnel inscrit dans Microsoft Entra ID. L'accès aux ressources sera contrôlé à l'aide des permissions attribuées à l'utilisateur et des stratégies d'accès conditionnels. Par ailleurs, vous pouvez vérifier que l'appareil est bien en conformité vis-à-vis des stratégies de votre entreprise avant de lui permettre l'accès.
Ce mode est pris en charge sur plusieurs systèmes d'exploitation : Windows 10, Windows 11, iOS, Android, macOS et Linux (via l'agent Intune).
B. Enregistrer un PC Windows 11 dans Entra ID
Nous allons voir comment enregistrer un appareil Windows 11 dans Microsoft Entra ID. La méthode est similaire sur Windows 10, sauf que les menus sont différents...
Connectez-vous à votre session. Il peut s'agir d'un compte local, rattaché ou non à un compte Microsoft personnel.
Ouvrez les "Paramètres" de Windows 11, cliquez sur "Comptes" (1) à gauche puis sur "Accès professionnel ou scolaire" au centre (2).
Cliquez ensuite sur le bouton "Se connecter" comme sur l'image ci-dessous.
Vous serez invité à saisir votre adresse e-mail pour vous connecter. Ici, indiquez l'adresse e-mail de votre compte Microsoft 365. Il peut s'agir d'un compte professionnel ou lié à un établissement scolaire (pour les tenants Microsoft 365 avec des licences Education).
Quand c'est fait, cliquez sur "Suivant" et effectuez la connexion à votre compte.
Au final, vous arrivez sur une fenêtre avec le message "Vous voila prêt !". Cliquez sur "Terminé".
Le compte Microsoft est bien ajouté sur la machine Windows 11 appartenant à mon utilisateur. Autrement dit, il s'agit d'un ordinateur personnel.
Du côté de Microsoft Entra ID, l'ordinateur "PC-GUYMAUVE" est bien visible dans la liste des appareils. Nous pouvons voir qu'il est intégré de la manière suivante : "Microsoft Entra Registered". Il est inscrit dans Entra ID et il pourra être géré avec Intune.
Nous pouvons cliquer sur cet appareil afin d'obtenir des informations à son sujet. Nous avons un ID d'objet, le nom du système d'exploitation ainsi que la version, le nom du propriétaire, la solution MDM associée (GPM), la date et l'heure de l'enregistrement dans Entra ID, etc.
Pour en savoir plus sur les appareils "Microsoft Entra Registered", référez-vous à cette documentation :
III. Microsoft Entra Joined ou Azure AD Joined
A. La jonction d'un appareil dans Entra ID
Les appareils de l'entreprise, notamment les ordinateurs, peuvent être joints à Microsoft Entra ID, au même titre que les ordinateurs peuvent être intégrés à un domaine Active Directory. Ici, il s'agit d'un enrollment de l'appareil, c'est-à-dire une intégration complète : l'entreprise aura totalement le contrôle de la configuration de l'appareil (via Intune, par exemple).
Ce scénario s'applique aux entreprises avec une infrastructure full-Cloud (tout dans Microsoft 365 et Azure, par exemple) et il s'applique aux ordinateurs dont l'entreprise est propriétaire. En effet, nous n'utilisons aucun serveur en local.
Ce mode est pris en charge sur Windows 10 et Windows 11, sauf pour l'édition "Famille" (Home) - Sans surprise. C'est également supporté sur Windows Server 2019 et plus récent pour les machines virtuelles Azure.
B. Joindre un PC Windows 11 à Microsoft Entra ID
Nous allons voir comment joindre un appareil Windows 11 dans Microsoft Entra ID. Ceci signifie que la machine va joindre le tenant Microsoft Entra ID, au même titre qu'une machine est intégrée à domaine Active Directory. La méthode est similaire sur Windows 10, sauf que les menus sont différents...
Pour information, il y a plusieurs manières de joindre une machine Windows à Entra ID, notamment :
- Avec les paramètres de Windows, c'est ce que nous allons voir aujourd'hui
- Lors de la mise en route de la machine (processus OOBE)
- Avec Windows Autopilot
- Avec de l'intégration en masse (notamment avec un système de jetons)
Dans cet exemple, nous pouvons imaginer qu'il s'agit d'une machine fraichement installée que nous allons intégrer au réseau de l'entreprise. Vous devez vous connecter à la machine avec un compte administrateur local afin de pouvoir effectuer la jonction avec Entra ID.
Ouvrez les "Paramètres" de Windows 11, cliquez sur "Comptes" à gauche puis sur "Accès professionnel ou scolaire" au centre. Ensuite, cliquez sur le bouton "Se connecter".
Ne saisissez pas votre adresse e-mail ici ! A la place, cliquez sur le lien "Joindre cet appareil à Microsoft Entra ID".
Indiquez votre compte Microsoft 365 afin de vous authentifier : il faut utiliser un compte qui a des droits suffisant pour intégrer des appareils. Par défaut, tous les comptes ont cette permission (comme dans l'Active Directory !).
Une fois l'authentification réussie, l'assistant vous demande de vérifier qu'il s'agisse bien de votre organisation. Cliquez sur "Joindre" pour valider.
Voilà, c'est fait ! Cliquez sur "Terminé".
Il n'est pas nécessaire de redémarrer la machine. Nous pouvons voir la précision suivante : "Connecté au domaine Azure AD de Lab IT-Connect". Nous savons également quel utilisateur a permis de joindre la machine à Entra ID.
D'ailleurs, du côté du centre d'administration Entra, la machine Windows 11 "PC-ITC-01" est bien visible. Contrairement à l'exemple précédent, ici la jonction est complète : "Microsoft Entra Joined". La machine peut être gérée avec Intune.
Sur cette même machine, nous pouvons ouvrir une connexion de notre tenant Microsoft 365. Par exemple, la session de Guy Mauve à l'aide de son e-mail et son mot de passe. Grâce à l'intégration de sa machine dans Entra ID, il y a du SSO natif : si nous accédons au portail Microsoft Office, nous sommes directement authentifiés.
Pour en savoir plus sur les appareils "Microsoft Entra Joined", référez-vous à cette documentation :
IV. Microsoft Entra Hybrid Joined ou Azure AD Hybrid Joined
A. La jonction d'un appareil hybride
L'hybridation s'adresse aux entreprises avec une infrastructure en local qui souhaitent malgré tout bénéficier de certaines fonctionnalités offertes par les services Cloud, en l'occurrence ici Microsoft Entra ID. Autant vous dire que c'est un cas fréquent. Ce scénario permet l'accès aux ressources Cloud et aux ressources locales de l'entreprise.
Dans ce cas précis, nous parlons d'un appareil hybride, car il y a une jonction avec le domaine Active Directory de l'entreprise et l'appareil est ensuite inscrit dans Microsoft Entra ID. Autrement dit, l'appareil est enregistré dans Entra ID et Active Directory. Ceci implique que l'environnement Entra ID puisse communiquer régulièrement avec vos contrôleurs de domaine Active Directory, et inversement.
Plusieurs solutions sont envisageables pour que les ordinateurs de l'Active Directory soient enregistrés dans Entra ID. Par exemple, nous pouvons utiliser Microsoft Entra Connect (Azure AD Connect) ou Microsoft Entra Cloud Sync.
B. Jonction hybride d'un appareil Windows 11 dans Entra ID
Ce scénario implique une configuration plus complète, notamment parce qu'il y a un Active Directory et une infrastructure existante à prendre en considération. Ceci implique la mise en place d'un outil de synchronisation pour que les objets de l'Active Directory soit inscrit dans Entra ID.
Ce scénario sera détaillé au travers d'autres tutoriels. Dans tous les cas, le point de départ sera le suivant : l'ordinateur est intégré au domaine Active Directory.
Dans Entra ID, l'appareil sera visible avec un statut spécifique qui indique clairement qu'il s'agit d'un appareil hybride.
Lorsqu'une machine est enregistrée dans Entra ID en tant qu'appareil hybride, elle peut être gérée à l'aide des stratégies de groupe (GPO), d'Intune mais également de Configuration Manager (ex-SCCM) avec ou sans co-gestion (mode également hybride impliquant Intune et Configuration Manager).
Pour en savoir plus sur les appareils "Microsoft Entra Hybrid Joined", référez-vous à cette documentation :
V. Conclusion
Suite à la lecture de cet article, vous connaissez les différents modes d'inscriptions des appareils dans Microsoft Entra ID ! Maintenant, nous allons pouvoir aborder d'autres notions !
The post Comment inscrire des machines dans Microsoft Entra ID : Registered, Joined, Hybrid Joined ? first appeared on IT-Connect.