Partager via


Préprovisionner Microsoft Entra jointure hybride : installer le connecteur Intune

Windows Autopilot pour le déploiement préprovisionné Microsoft Entra les étapes de jointure hybride :

  • Étape 2 : Installer le connecteur Intune

Pour obtenir une vue d’ensemble de Windows Autopilot pour le déploiement préprovisionné Microsoft Entra workflow de jointure hybride, consultez Vue d’ensemble de Windows Autopilot pour le déploiement préprovisionné Microsoft Entra la jointure hybride.

Remarque

Si le connecteur Intune est déjà installé et configuré, ignorez cette étape et passez à l’étape 3 : Augmenter la limite de compte d’ordinateur dans l’unité d’organisation (UO).

Installer le connecteur Intune pour Active Directory

L’objectif du connecteur Intune pour Active Directory, également appelé connecteur ODJ (Offline Domain Join), est de joindre des ordinateurs à un domaine local pendant le processus Windows Autopilot. Le connecteur Intune pour Active Directory crée des objets ordinateur dans une unité d’organisation (UO) spécifiée dans Active Directory pendant le processus de jointure de domaine.

Importante

À compter de Intune 2501, Intune utilise un connecteur Intune mis à jour pour Active Directory qui renforce la sécurité et suit les principes des privilèges minimum à l’aide d’un compte de service administré (MSA). Lorsque le connecteur Intune pour Active Directory est téléchargé à partir de Intune, le connecteur Intune mis à jour pour Active Directory est téléchargé. Le connecteur Intune hérité précédent pour Active Directory est toujours disponible en téléchargement sur Intune Connector pour Active Directory, mais Microsoft recommande d’utiliser le programme d’installation Intune Connector pour Active Directory mis à jour à l’avenir. L’ancien connecteur Intune pour Active Directory continuera de fonctionner en mai 2025. Toutefois, il doit être mis à jour vers le connecteur Intune pour Active Directory mis à jour avant cette date afin d’éviter toute perte de fonctionnalités. Pour plus d’informations, consultez connecteur Intune pour Active Directory avec un compte à faibles privilèges pour les déploiements de jointure autopilot hybride Microsoft Entra.

La mise à jour du connecteur Intune pour Active Directory vers la version mise à jour n’est pas effectuée automatiquement. Le connecteur Intune hérité pour Active Directory doit être désinstallé manuellement, suivi du connecteur mis à jour téléchargé et installé manuellement. Les sections suivantes fournissent des instructions pour la désinstallation et l’installation manuelles du connecteur Intune pour Active Directory.

Sélectionnez l’onglet qui correspond à la version du connecteur Intune pour Active Directory en cours d’installation :

Avant de commencer l’installation, assurez-vous que toutes les exigences du serveur du connecteur Intune sont remplies.

Conseil

Il est préférable, mais pas obligatoire, que l’administrateur qui installe et configure le connecteur Intune pour Active Directory dispose des droits de domaine appropriés, comme indiqué dans Intune Connector pour les exigences d’Active Directory. Cette exigence permet au programme d’installation et au processus de configuration Intune Connector pour Active Directory de définir correctement les autorisations pour le msa sur le conteneur d’ordinateur ou les unités d’organisation où les objets ordinateur sont créés. Si l’administrateur ne dispose pas de ces autorisations, un administrateur disposant des autorisations appropriées doit suivre la section Augmenter la limite de compte d’ordinateur dans l’unité d’organisation.

Désactiver internet Explorer configuration de sécurité renforcée

Par défaut, sous Windows Server la configuration de sécurité renforcée d’Internet Explorer est activée. La configuration de sécurité renforcée d’Internet Explorer peut entraîner des problèmes de connexion au connecteur Intune pour Active Directory. Étant donné que Explorer Internet est déconseillé et, dans la plupart des cas, même pas installé sur Windows Server, Microsoft recommande de désactiver Internet Explorer Configuration de sécurité renforcée. Pour désactiver internet Explorer configuration de sécurité renforcée :

  1. Connectez-vous au serveur sur lequel le connecteur Intune pour Active Directory est installé avec un compte disposant de droits d’administrateur local.

  2. Ouvrez Gestionnaire de serveur.

  3. Dans le volet gauche de Gestionnaire de serveur, sélectionnez Serveur local.

  4. Dans le volet PROPRIÉTÉS droit de Gestionnaire de serveur, sélectionnez le lien Activé ou Désactivé en regard de Configuration de la sécurité renforcée d’Internet Explorer.

  5. Dans la fenêtre Configuration de la sécurité renforcée d’Internet Explorer, sélectionnez Désactivé sous Administrateurs, puis ok.

Télécharger le connecteur Intune pour Active Directory

  1. Sur le serveur sur lequel Intune Connector pour Active Directory est installé, connectez-vous au centre d’administration Microsoft Intune.

  2. Dans l’écran d’accueil , sélectionnez Appareils dans le volet gauche.

  3. Dans les appareils | Écran Vue d’ensemble , sous Par plateforme, sélectionnez Windows.

  4. Dans windows | Écran Appareils Windows , sous Intégration de l’appareil, sélectionnez Inscription.

  5. Dans windows | Écran d’inscription Windows, sous Windows Autopilot, sélectionnez connecteur Intune pour Active Directory.

  6. Dans l’écran connecteur Intune pour Active Directory, sélectionnez Ajouter.

  7. Dans la fenêtre Ajouter un connecteur qui s’ouvre, sous Configuration du connecteur Intune pour Active Directory, sélectionnez Télécharger le connecteur Intune local pour Active Directory. Le lien télécharge un fichier appelé ODJConnectorBootstrapper.exe.

Installer le connecteur Intune pour Active Directory sur le serveur

Importante

L’installation du connecteur Intune pour Active Directory doit être effectuée avec un compte disposant des droits de domaine suivants :

  • Obligatoire : créez des objets msDs-ManagedServiceAccount dans le conteneur Comptes de service gérés.
  • Facultatif - Modifier les autorisations dans les unités d’organisation dans Active Directory : si l’administrateur qui installe le connecteur Intune mis à jour pour Active Directory n’a pas ce droit, des étapes de configuration supplémentaires sont requises par un administrateur disposant de ces droits. Pour plus d’informations, consultez l’étape/la section Augmenter la limite du compte d’ordinateur dans l’unité d’organisation.
  1. Connectez-vous au serveur sur lequel le connecteur Intune pour Active Directory est installé avec un compte disposant de droits d’administrateur local.

  2. Si le connecteur Intune hérité précédent pour Active Directory est installé, désinstallez-le avant d’installer le connecteur Intune mis à jour pour Active Directory. Pour plus d’informations, consultez Désinstaller le connecteur Intune pour Active Directory.

    Importante

    Lors de la désinstallation du connecteur Intune hérité précédent pour Active Directory, veillez à exécuter le programme d’installation hérité Intune Connector pour Active Directory dans le cadre du processus de désinstallation. Si le programme d’installation hérité du connecteur Intune pour Active Directory vous invite à le désinstaller lorsqu’il est exécuté, choisissez de le désinstaller. Cette étape garantit que le connecteur Intune hérité précédent pour Active Directory est entièrement désinstallé. Le programme d’installation du connecteur Intune hérité pour Active Directory peut être téléchargé à partir de Intune Connector pour Active Directory.

    Conseil

    Dans les domaines avec un seul connecteur Intune pour Active Directory, Microsoft recommande d’installer d’abord le connecteur Intune mis à jour pour Active Directory sur un autre serveur. L’installation du connecteur Intune mis à jour pour Active Directory sur un autre serveur doit être effectuée avant de désinstaller le connecteur Intune hérité pour Active Directory sur le serveur actuel. L’installation du connecteur Intune pour Active Directory sur un autre permet d’éviter tout temps d’arrêt pendant la mise à jour du connecteur Intune pour Active Directory sur le serveur actuel.

  3. Ouvrez le ODJConnectorBootstrapper.exe fichier téléchargé pour lancer l’installation du connecteur Intune pour le programme d’installation d’Active Directory.

  4. Parcourez pas à pas l’installation du connecteur Intune pour le programme d’installation d’Active Directory.

  5. À la fin de l’installation, cochez la case Lancer Intune Connector pour Active Directory.

    Remarque

    Si Intune installation du programme d’installation du connecteur pour Active Directory est fermée accidentellement sans avoir coché la case Lancer Intune Connecteur pour Active Directory, la configuration du connecteur Intune pour Active Directory peut être rouverte en sélectionnant Intune Connecteur pour Active Directory>Intune Connecteur pour Active Directory à partir du menu Démarrer.

Connectez-vous au connecteur Intune pour Active Directory

  1. Dans la fenêtre connecteur Intune pour Active Directory, sous l’onglet Inscription, sélectionnez Se connecter.

  2. Sous l’onglet Se connecter, connectez-vous avec les informations d’identification Microsoft Entra ID d’un rôle d’administrateur Intune. Le compte d’utilisateur doit avoir une licence Intune. Le processus de connexion peut prendre quelques minutes.

    Remarque

    Le compte utilisé pour inscrire le connecteur Intune pour Active Directory n’est qu’une exigence temporaire au moment de l’installation. Le compte n’est pas utilisé une fois le serveur inscrit.

  3. Une fois le processus de connexion terminé :

    1. Une fenêtre de confirmation de l’inscription réussie du connecteur Intune pour Active Directory s’affiche. Sélectionnez OK pour fermer la fenêtre.
    2. Un compte de service géré nommé «< MSA_name> » a été correctement configuré s’affiche. Le nom du msa est au format msaODJ########## sont cinq caractères aléatoires. Notez le nom du MSA qui a été créé, puis sélectionnez OK pour fermer la fenêtre. Le nom du MSA peut être nécessaire ultérieurement pour configurer le MSA afin d’autoriser la création d’objets ordinateur dans des unités d’organisation.
  4. L’onglet Inscription indique Intune Connecteur pour Active Directory est inscrit. Le bouton Se connecter est grisé et Configurer le compte de service géré est activé.

  5. Fermez la fenêtre connecteur Intune pour Active Directory.

Vérifier que le connecteur Intune pour Active Directory est actif

Après l’authentification, l’installation du connecteur Intune pour Active Directory est terminée. Une fois l’installation terminée, vérifiez qu’elle est active dans Intune en procédant comme suit :

  1. Accédez au Centre d’administration Microsoft Intune s’il est toujours ouvert. Si la fenêtre Ajouter un connecteur s’affiche toujours, fermez-la.

    Si le centre d’administration Microsoft Intune n’est toujours pas ouvert :

    1. Connectez-vous au Centre d’administration Microsoft Intune.

    2. Dans l’écran d’accueil , sélectionnez Appareils dans le volet gauche.

    3. Dans les appareils | Écran Vue d’ensemble , sous Par plateforme, sélectionnez Windows.

    4. Dans windows | Écran Appareils Windows , sous Intégration de l’appareil, sélectionnez Inscription.

    5. Dans windows | Écran d’inscription Windows, sous Windows Autopilot, sélectionnez connecteur Intune pour Active Directory.

  2. Dans la page connecteur Intune pour Active Directory :

    • Vérifiez que le serveur s’affiche sous Nom du connecteur et qu’il est actif sous État
    • Pour le connecteur Intune mis à jour pour Active Directory, vérifiez que la version est supérieure à 6.2501.2000.5.

    Si le serveur n’est pas affiché, sélectionnez Actualiser ou quittez la page, puis revenez à la page Intune Connector pour Active Directory.

Remarque

  • L’affichage du serveur nouvellement inscrit dans la page connecteur Intune pour Active Directory du centre d’administration Microsoft Intune peut prendre plusieurs minutes. Le serveur inscrit s’affiche uniquement s’il peut communiquer avec le service Intune.

  • Les connecteurs Intune inactifs pour Active Directory apparaissent toujours dans la page connecteur Intune pour Active Directory et sont automatiquement nettoyés après 30 jours.

Une fois le connecteur Intune pour Active Directory installé, il démarre la journalisation dans le observateur d'événements sous le chemin d’accès Journaux >des applications et des servicesMicrosoft> Intune >ODJConnectorService. Sous ce chemin d’accès, vous trouverez les journaux d’activité Administration et opérationnels.

Configurer msa pour autoriser la création d’objets dans des unités d’organisation (facultatif)

Par défaut, les administrateurs de service ont uniquement accès à la création d’objets ordinateur dans le conteneur Ordinateurs . Les administrateurs de service administrés n’ont pas accès à la création d’objets ordinateur dans des unités d’organisation (UO). Pour permettre à MSA de créer des objets dans des unités d’organisation, les unités d’organisation doivent être ajoutées au ODJConnectorEnrollmentWizard.exe.config fichier XML qui se trouve dans ODJConnectorEnrollmentWizard le répertoire où le connecteur Intune pour Active Directory a été installé, normalement C:\Program Files\Microsoft Intune\ODJConnector\.

Pour configurer msa afin d’autoriser la création d’objets dans des unités d’organisation, procédez comme suit :

  1. Sur le serveur sur lequel le connecteur Intune pour Active Directory est installé, accédez au ODJConnectorEnrollmentWizard répertoire où le connecteur Intune pour Active Directory a été installé, normalement C:\Program Files\Microsoft Intune\ODJConnector\.

  2. Dans le ODJConnectorEnrollmentWizard répertoire, ouvrez le ODJConnectorEnrollmentWizard.exe.config fichier XML dans un éditeur de texte, par exemple, bloc-notes.

  3. Dans le ODJConnectorEnrollmentWizard.exe.config fichier XML, ajoutez les unités d’organisation souhaitées auxquelles le MSA doit avoir accès pour créer des objets ordinateur. Le nom de l’unité d’organisation doit être le nom unique et, le cas échéant, doit être placé dans une séquence d’échappement. L’exemple suivant est un exemple d’entrée XML avec le nom unique de l’unité d’organisation :

      <appSettings>
    
        <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format.
            The ODJ Connector will only have permission to create computer objects in these OUs.
            The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure
    
            Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY):
            Domain contains the following OUs:
              - OU=HybridDevices,DC=contoso,DC=com
              - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com
    
            Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" -->
    
        <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" />
      </appSettings>
    
  4. Une fois que toutes les unités d’organisation souhaitées sont ajoutées, enregistrez le ODJConnectorEnrollmentWizard.exe.config fichier XML.

  5. En tant qu’administrateur disposant des autorisations appropriées pour modifier les autorisations d’unité d’organisation, ouvrez le connecteur Intune pour Active Directory en accédant à Intune Connecteur pour Active Directory>Intune Connecteur pour Active Directory à partir du menu Démarrer.

    Importante

    Si l’administrateur qui installe et configure le connecteur Intune pour Active Directory ne dispose pas des autorisations nécessaires pour modifier les autorisations de l’unité d’organisation, la section/étapes Augmenter la limite de compte d’ordinateur dans l’unité d’organisation doit être suivie à la place par un administrateur qui dispose des autorisations nécessaires pour modifier les autorisations de l’unité d’organisation.

  6. Sous l’onglet Inscription dans la fenêtre connecteur Intune pour Active Directory, sélectionnez Configurer le compte de service géré.

  7. Un compte de service géré nommé «< MSA_name> » a été correctement configuré s’affiche. Sélectionnez OK pour fermer la fenêtre.

Étape suivante : Augmenter la limite de compte d’ordinateur dans l’unité d’organisation (UO)