Préprovisionner Microsoft Entra jointure hybride : augmenter la limite de compte d’ordinateur dans l’unité d’organisation (UO)

• S’applique à:

  ✅ Windows 11, ✅ Windows 10

Windows Autopilot pour le déploiement préprovisionné Microsoft Entra les étapes de jointure hybride :

• Étape 1 : Configurer l’inscription automatique Intune Windows
• Étape 2 : Installer le connecteur Intune

• Étape 3 : Augmenter la limite de compte d’ordinateur dans l’unité d’organisation (UO)

• Étape 4 : Inscrire des appareils en tant qu’appareils Windows Autopilot
• Étape 5 : Créer un groupe d’appareils
• Étape 6 : Configurer et attribuer la page d’état d’inscription Windows Autopilot (ESP)
• Étape 7 : Créer et attribuer Microsoft Entra profil De jointure hybride Windows Autopilot
• Étape 8 : Configurer et attribuer un profil de jointure de domaine
• Étape 9 : Attribuer un appareil Windows Autopilot à un utilisateur (facultatif)
• Étape 10 : Flux de technicien
• Étape 11 : Flux utilisateur

Pour obtenir une vue d’ensemble de Windows Autopilot pour le déploiement préprovisionné Microsoft Entra workflow de jointure hybride, consultez Vue d’ensemble de Windows Autopilot pour le déploiement préprovisionné Microsoft Entra la jointure hybride.

Remarque

Si la limite de compte d’ordinateur pour l’unité d’organisation appropriée est déjà augmentée, ignorez cette étape et passez à l’Étape 4 : Inscrire les appareils en tant qu’appareils Windows Autopilot.

Augmenter la limite de compte d’ordinateur dans l’unité d’organisation (UO)

Connecteur mis à jour

Importante

Cette étape n’est nécessaire que dans l’une des conditions suivantes :

• L’administrateur qui a installé et configuré le connecteur Intune pour Active Directory ne disposait pas des droits appropriés, comme indiqué dans Intune Connector for Active Directory Requirements.
• Le ODJConnectorEnrollmentWizard.exe.config fichier XML n’a pas été modifié pour ajouter des unités d’organisation pour lesquelles le MSA doit disposer d’autorisations.

L’objectif de Intune Connector pour Active Directory est de joindre des ordinateurs à un domaine et de les ajouter à une unité d’organisation. Pour cette raison, le compte de service géré (MSA) utilisé pour le connecteur Intune pour Active Directory doit disposer des autorisations nécessaires pour créer des comptes d’ordinateur dans l’unité d’organisation où les ordinateurs sont joints au domaine local.

Avec les autorisations par défaut dans Active Directory, les jointures de domaine par le connecteur Intune pour Active Directory peuvent initialement fonctionner sans aucune modification d’autorisation de l’unité d’organisation dans Active Directory. Toutefois, après que MSA tente de joindre plus de 10 ordinateurs au domaine local, il cesse de fonctionner, car par défaut, Active Directory n’autorise qu’un seul compte à joindre jusqu’à 10 ordinateurs au domaine local.

Les utilisateurs suivants ne sont pas limités par la limitation de jointure de domaine d’ordinateur 10 :

• Utilisateurs dans les groupes Administrateurs ou Administrateurs de domaine : Pour se conformer au modèle des principes de privilège minimum, Microsoft ne recommande pas de faire de MSA un administrateur ou un administrateur de domaine.
• Utilisateurs disposant d’autorisations déléguées sur les unités d’organisation (UO) et les conteneurs dans Active Directory pour créer des comptes d’ordinateur : cette méthode est recommandée, car elle suit le modèle des principes de privilège minimum.

Pour résoudre cette limitation, msa a besoin de l’autorisation Créer des comptes d’ordinateur dans l’unité d’organisation (UO) à laquelle les ordinateurs sont joints dans le domaine local. Le connecteur Intune pour Active Directory définit les autorisations pour les contrats MSA sur les unités d’organisation tant que l’une des conditions suivantes est remplie :

• L’administrateur qui installe le connecteur Intune pour Active Directory dispose des autorisations nécessaires pour définir des autorisations sur les unités d’organisation.
• L’administrateur qui configure le connecteur Intune pour Active Directory dispose des autorisations nécessaires pour définir des autorisations sur les unités d’organisation.

Si l’administrateur qui installe ou configure le connecteur Intune pour Active Directory ne dispose pas des autorisations nécessaires pour définir les autorisations sur les unités d’organisation, les étapes suivantes doivent être suivies :

1. Connectez-vous à un ordinateur qui a accès à la console Utilisateurs et ordinateurs Active Directory avec un compte qui est les autorisations nécessaires pour définir les autorisations sur les unités d’organisation.

2. Ouvrez la console Utilisateurs et ordinateurs Active Directory en exécutant DSA.msc.

3. Développez le domaine souhaité et accédez à l’unité d’organisation (UO) à laquelle les ordinateurs sont joints pendant Windows Autopilot.

   Remarque

   L’unité d’organisation que les ordinateurs rejoignent pendant le déploiement De Windows Autopilot est spécifiée ultérieurement lors de l’étape Configurer et attribuer un profil de jointure de domaine .

4. Cliquez avec le bouton droit sur l’unité d’organisation, puis sélectionnez Propriétés.

   Remarque

   Si les ordinateurs rejoignent le conteneur Ordinateurs par défaut au lieu d’une unité d’organisation, cliquez avec le bouton droit sur le conteneur Ordinateurs et sélectionnez Déléguer le contrôle.

5. Dans les fenêtres Propriétés de l’unité d’organisation qui s’ouvrent, sélectionnez l’onglet Sécurité .

6. Sous l’onglet Sécurité , sélectionnez Avancé.

7. Dans la fenêtre Paramètres de sécurité avancés , sélectionnez Ajouter.

8. Dans les fenêtres Entrée d’autorisation , en regard de Principal, sélectionnez le lien Sélectionner un principal .

9. Dans la fenêtre Sélectionner un utilisateur, un ordinateur, un compte de service ou un groupe, sélectionnez le bouton Types d’objets...

10. Dans la fenêtre Types d’objets, sélectionnez la zone Comptes de service case activée, puis sélectionnez OK.

11. Dans la fenêtre Sélectionner un utilisateur, un ordinateur, un compte de service ou un groupe, sous Entrez le nom de l’objet à sélectionner, entrez le nom du MSA utilisé pour le connecteur Intune pour Active Directory.

    Conseil

    La msa a été créée lors de l’étape/section Installer le connecteur Intune pour Active Directory et a le format de msaODJ##### nom où ##### sont cinq caractères aléatoires. Si le nom MSA n’est pas connu, procédez comme suit pour rechercher le nom MSA :

    1. Sur le serveur exécutant le connecteur Intune pour Active Directory, cliquez avec le bouton droit sur le menu Démarrer, puis sélectionnez Gestion de l’ordinateur.
    2. Dans la fenêtre Gestion de l’ordinateur , développez Services et applications , puis sélectionnez Services.
    3. Dans le volet de résultats, recherchez le service nommé Intune ODJConnector pour Active Service. Le nom de msa est répertorié dans la colonne Ouvrir une session en tant que .

12. Sélectionnez Vérifier les noms pour valider l’entrée de nom MSA. Une fois l’entrée validée, sélectionnez OK.

13. Dans les fenêtres Entrée d’autorisation , sélectionnez le menu déroulant S’applique à : , puis sélectionnez Cet objet uniquement.

14. Sous Autorisations, désélectionnez tous les éléments, puis sélectionnez uniquement la zone Créer des objets ordinateur case activée.

15. Sélectionnez OK pour fermer la fenêtre Entrée d’autorisation .

16. Dans la fenêtre Paramètres de sécurité avancés , sélectionnez Appliquer ou OK pour appliquer les modifications.

Connecteur hérité

L’objectif de Intune Connector pour Active Directory est de joindre des ordinateurs à un domaine et de les ajouter à une unité d’organisation. Pour cette raison, le serveur exécutant le connecteur Intune pour Active Directory doit disposer des autorisations nécessaires pour créer des comptes d’ordinateur dans l’unité d’organisation où les ordinateurs sont joints au domaine local.

Avec les autorisations par défaut dans Active Directory, les jointures de domaine par le connecteur Intune pour Active Directory peuvent initialement fonctionner sans aucune modification d’autorisation de l’unité d’organisation dans Active Directory. Toutefois, une fois que le serveur exécutant le connecteur Intune pour Active Directory tente de joindre plus de 10 ordinateurs au domaine local, il cesse de fonctionner, car par défaut, Active Directory n’autorise qu’un seul compte à joindre jusqu’à 10 ordinateurs au domaine local.

Les utilisateurs suivants ne sont pas limités par la limitation de jointure de domaine d’ordinateur 10 :

• Utilisateurs des groupes Administrateurs ou Administrateurs de domaine : pour se conformer au modèle des principes de privilège minimum, Microsoft ne recommande pas de faire du compte d’ordinateur exécutant le connecteur Intune pour Active Directory en administrateur ou administrateur de domaine.
• Utilisateurs disposant d’autorisations déléguées sur les unités d’organisation (UO) et les conteneurs dans Active Directory pour créer des comptes d’ordinateur : cette méthode est recommandée, car elle suit le modèle des principes de privilège minimum.

Pour résoudre cette limitation, le serveur exécutant le connecteur Intune pour Active Directory a besoin de l’autorisation Créer des comptes d’ordinateur dans l’unité d’organisation (UO) à laquelle les ordinateurs sont joints dans le domaine local :

Pour augmenter la limite de compte d’ordinateur dans l’unité d’organisation (UO) à laquelle les ordinateurs sont joints pendant Windows Autopilot, procédez comme suit sur un ordinateur qui a accès à la console Utilisateurs et ordinateurs Active Directory :

1. Ouvrez la console Utilisateurs et ordinateurs Active Directory en exécutant DSA.msc.

2. Développez le domaine souhaité et accédez à l’unité d’organisation (UO) à laquelle les ordinateurs sont joints pendant Windows Autopilot.

   Remarque

   L’unité d’organisation que les ordinateurs rejoignent pendant le déploiement De Windows Autopilot est spécifiée ultérieurement lors de l’étape Configurer et attribuer un profil de jointure de domaine .

3. Cliquez avec le bouton droit sur l’unité d’organisation et sélectionnez Déléguer le contrôle.

   Remarque

   Si les ordinateurs rejoignent le conteneur Ordinateurs par défaut au lieu d’une unité d’organisation, cliquez avec le bouton droit sur le conteneur Ordinateurs et sélectionnez Déléguer le contrôle.

4. Dans la fenêtre Bienvenue dans l’Assistant Délégation de contrôle de l’Assistant Délégation de contrôle, sélectionnez Suivant.

5. Dans la fenêtre Utilisateurs ou Groupes , sous Utilisateurs et groupes sélectionnés, sélectionnez Ajouter.

6. En regard de Sélectionner ce type d’objet : dans la fenêtre Sélectionner des utilisateurs, des ordinateurs ou des groupes , sélectionnez Types d’objets.

7. Dans la fenêtre Types d’objets, sélectionnez la zone Ordinateurs case activée, puis sélectionnez OK. Les autres éléments de cette fenêtre peuvent être conservés à leur valeur par défaut.

8. Dans la fenêtre Sélectionner des utilisateurs, des ordinateurs ou des groupes, sous la zone Entrez les noms d’objets à sélectionner, entrez le nom de l’ordinateur sur lequel le connecteur Intune pour Active Directory a été installé à l’étape Installer le connecteur Intune.

9. Sélectionnez Vérifier les noms pour valider l’entrée. Une fois l’entrée validée, sélectionnez OK.

10. Dans la fenêtre Utilisateurs ou Groupes , vérifiez que l’ordinateur approprié s’affiche sous Utilisateurs et groupes sélectionnés, puis sélectionnez Suivant.

11. Dans la fenêtre Tâches à déléguer , sélectionnez Créer une tâche personnalisée à déléguer, puis sélectionnez Suivant.

12. Dans la fenêtre Type d’objet Active Directory :

    1. Sélectionnez Uniquement les objets suivants dans le dossier.

    2. Sous Uniquement les objets suivants dans le dossier, sélectionnez Objets ordinateur.

    3. Cochez la case Créer des objets sélectionnés dans ce dossier .

    4. Sélectionnez Suivant.

13. Dans la fenêtre Autorisations, sous Autorisations : , sélectionnez la zone Contrôle total case activée, puis sélectionnez Suivant.

    Remarque

    Après avoir sélectionné la zone Contrôle total case activée, toutes les autres options sous Autorisations : sont automatiquement sélectionnées. La sélection automatique des cases à cocher est normale et attendue. Ne désélectionnez pas les zones case activée une fois qu’elles sont automatiquement sélectionnées.

14. Dans la fenêtre Fin de l’Assistant Délégation de contrôle , sélectionnez Terminer.

Étape suivante : Inscrire des appareils en tant qu’appareils Windows Autopilot

Étape 4 : Inscrire des appareils en tant qu’appareils Windows Autopilot

Contenu connexe

Pour plus d’informations sur l’augmentation de la limite de compte d’ordinateur dans une unité d’organisation, consultez les articles suivants :

• Augmentez la limite de compte d’ordinateur dans l’unité d’organisation.
• Limite par défaut au nombre de stations de travail qu’un utilisateur peut joindre au domaine.
• Ajouter des stations de travail au domaine.