Déployer Microsoft Entra appareils joints hybrides à l’aide de Intune et de Windows Autopilot

Article
03/01/2025
S’applique à:

✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Importante

Microsoft recommande de déployer de nouveaux appareils en tant que cloud natif à l’aide de Microsoft Entra jonction. Le déploiement de nouveaux appareils en tant que Microsoft Entra appareils de jointure hybride n’est pas recommandé, notamment via Windows Autopilot. Pour plus d’informations, consultez Microsoft Entra joint ou Microsoft Entra joint hybride dans des points de terminaison natifs cloud : quelle option convient à votre organization.

Intune et Windows Autopilot peuvent être utilisés pour configurer Microsoft Entra appareils joints hybrides. Pour cela, effectuez les étapes de cet article. Pour plus d’informations sur Microsoft Entra jointure hybride, consultez Présentation Microsoft Entra jointure et cogestion hybrides.

Configuration requise

La liste des conditions requises pour effectuer Microsoft Entra jointure hybride pendant Windows Autopilot est organisée en trois catégories différentes :

Général : conditions générales.
Inscription de l’appareil : conditions requises pour l’inscription des appareils.
connecteur Intune : connecteur Intune pour les exigences d’Active Directory.

Sélectionnez l’onglet approprié pour afficher les exigences pertinentes :

Les appareils joints hybrides Microsoft Entra ont été correctement configurés. Veillez à vérifier l’inscription de l’appareil à l’aide de l’applet de commande Get-MgDevice .
Si le filtrage basé sur le domaine et l’unité d’organisation est configuré dans le cadre de Microsoft Entra Connect, vérifiez que l’unité d’organisation (UO) ou le conteneur par défaut destiné aux appareils Autopilot est inclus dans l’étendue de synchronisation.

Le connecteur Intune pour Active Directory, également appelé connecteur ODJ (Offline Domain Join), doit être installé sur un ordinateur exécutant Windows Server 2016 ou une version ultérieure avec .NET Framework version 4.7.2 ou ultérieure.
Le serveur hébergeant le connecteur Intune pour Active Directory doit avoir accès à Internet et à Active Directory.
Remarque

Le connecteur Intune pour le serveur Active Directory nécessite un accès client de domaine standard aux contrôleurs de domaine, ce qui inclut les exigences de port RPC dont il a besoin pour communiquer avec Active Directory. Si vous souhaitez en savoir plus, consultez les articles suivants :
Pour augmenter la mise à l’échelle et la disponibilité, plusieurs connecteurs peuvent être installés dans un domaine. Chaque connecteur doit être en mesure de créer des objets ordinateur dans le domaine qu’il prend en charge.
L’administrateur qui installe le connecteur Intune pour Active Directory doit être un administrateur local sur le serveur sur lequel le connecteur Intune pour Active Directory est installé.
Pour le connecteur Intune mis à jour pour Active Directory, l’installation doit être effectuée avec un compte disposant des droits de domaine suivants :
- Obligatoire - Créer des objets msDs-ManagedServiceAccount dans le conteneur Comptes de service administrés
- Facultatif - Modifier les autorisations dans les unités d’organisation dans Active Directory : si l’administrateur qui installe le connecteur Intune mis à jour pour Active Directory n’a pas ce droit, des étapes de configuration supplémentaires sont requises par un administrateur disposant de ces droits. Pour plus d’informations, consultez la section Augmenter la limite du compte d’ordinateur dans l’unité d’organisation de cet article.
  
  Ces droits permettent à l’installation du connecteur Intune pour Active Directory de créer correctement des comptes de service administrés (MSA) et de définir correctement les autorisations pour les unités d’organisation auxquelles le MSA ajoute des ordinateurs.

Le connecteur Intune pour Active Directory nécessite les mêmes points de terminaison que Intune.

Configurer l’inscription GPM automatique Windows

Connectez-vous au Portail Azure et sélectionnez Microsoft Entra ID.
Dans le volet gauche, sélectionnez Gérer la | mobilité (MDM et WIP)>Microsoft Intune.
Assurez-vous que les utilisateurs qui déploient Microsoft Entra appareils joints à l’aide de Intune et Windows sont membres d’un groupe inclus dans l’étendue utilisateur MDM.
Utilisez les valeurs par défaut des zones URL des conditions d’utilisation de GDR, URL de détection MDM et URL de conformité GDR, puis sélectionnez Enregistrer.

Installer le connecteur Intune pour Active Directory

L’objectif du connecteur Intune pour Active Directory, également appelé connecteur ODJ (Offline Domain Join), est de joindre des ordinateurs à un domaine local pendant le processus Windows Autopilot. Le connecteur Intune pour Active Directory crée des objets ordinateur dans une unité d’organisation (UO) spécifiée dans Active Directory pendant le processus de jointure de domaine.

Importante

À compter de Intune 2501, Intune utilise un connecteur Intune mis à jour pour Active Directory qui renforce la sécurité et suit les principes des privilèges minimum à l’aide d’un compte de service administré (MSA). Lorsque le connecteur Intune pour Active Directory est téléchargé à partir de Intune, le connecteur Intune mis à jour pour Active Directory est téléchargé. Le connecteur Intune hérité précédent pour Active Directory est toujours disponible en téléchargement sur Intune Connector pour Active Directory, mais Microsoft recommande d’utiliser le programme d’installation Intune Connector pour Active Directory mis à jour à l’avenir. L’ancien connecteur Intune pour Active Directory continuera de fonctionner en mai 2025. Toutefois, il doit être mis à jour vers le connecteur Intune pour Active Directory mis à jour avant cette date afin d’éviter toute perte de fonctionnalités. Pour plus d’informations, consultez connecteur Intune pour Active Directory avec un compte à faibles privilèges pour les déploiements de jointure autopilot hybride Microsoft Entra.

La mise à jour du connecteur Intune pour Active Directory vers la version mise à jour n’est pas effectuée automatiquement. Le connecteur Intune hérité pour Active Directory doit être désinstallé manuellement, suivi du connecteur mis à jour téléchargé et installé manuellement. Les sections suivantes fournissent des instructions pour la désinstallation et l’installation manuelles du connecteur Intune pour Active Directory.

Sélectionnez l’onglet qui correspond à la version du connecteur Intune pour Active Directory en cours d’installation :

Connecteur mis à jour
Connecteur hérité

Avant de commencer l’installation, assurez-vous que toutes les exigences du serveur du connecteur Intune sont remplies.

Conseil

Il est préférable, mais pas obligatoire, que l’administrateur qui installe et configure le connecteur Intune pour Active Directory dispose des droits de domaine appropriés, comme indiqué dans Intune Connector pour les exigences d’Active Directory. Cette exigence permet au programme d’installation et au processus de configuration Intune Connector pour Active Directory de définir correctement les autorisations pour le msa sur le conteneur d’ordinateur ou les unités d’organisation où les objets ordinateur sont créés. Si l’administrateur ne dispose pas de ces autorisations, un administrateur disposant des autorisations appropriées doit suivre la section Augmenter la limite de compte d’ordinateur dans l’unité d’organisation.

Désactiver internet Explorer configuration de sécurité renforcée

Par défaut, sous Windows Server la configuration de sécurité renforcée d’Internet Explorer est activée. La configuration de sécurité renforcée d’Internet Explorer peut entraîner des problèmes de connexion au connecteur Intune pour Active Directory. Étant donné que Explorer Internet est déconseillé et, dans la plupart des cas, même pas installé sur Windows Server, Microsoft recommande de désactiver Internet Explorer Configuration de sécurité renforcée. Pour désactiver internet Explorer configuration de sécurité renforcée :

Connectez-vous au serveur sur lequel le connecteur Intune pour Active Directory est installé avec un compte disposant de droits d’administrateur local.
Ouvrez Gestionnaire de serveur.
Dans le volet gauche de Gestionnaire de serveur, sélectionnez Serveur local.
Dans le volet PROPRIÉTÉS droit de Gestionnaire de serveur, sélectionnez le lien Activé ou Désactivé en regard de Configuration de la sécurité renforcée d’Internet Explorer.
Dans la fenêtre Configuration de la sécurité renforcée d’Internet Explorer, sélectionnez Désactivé sous Administrateurs, puis ok.

Télécharger le connecteur Intune pour Active Directory

Sur le serveur sur lequel Intune Connector pour Active Directory est installé, connectez-vous au centre d’administration Microsoft Intune.
Dans l’écran d’accueil , sélectionnez Appareils dans le volet gauche.
Dans les appareils | Écran Vue d’ensemble , sous Par plateforme, sélectionnez Windows.
Dans windows | Écran Appareils Windows , sous Intégration de l’appareil, sélectionnez Inscription.
Dans windows | Écran d’inscription Windows, sous Windows Autopilot, sélectionnez connecteur Intune pour Active Directory.
Dans l’écran connecteur Intune pour Active Directory, sélectionnez Ajouter.
Dans la fenêtre Ajouter un connecteur qui s’ouvre, sous Configuration du connecteur Intune pour Active Directory, sélectionnez Télécharger le connecteur Intune local pour Active Directory. Le lien télécharge un fichier appelé ODJConnectorBootstrapper.exe.

Installer le connecteur Intune pour Active Directory sur le serveur

Importante

L’installation du connecteur Intune pour Active Directory doit être effectuée avec un compte disposant des droits de domaine suivants :

Obligatoire : créez des objets msDs-ManagedServiceAccount dans le conteneur Comptes de service gérés.
Facultatif - Modifier les autorisations dans les unités d’organisation dans Active Directory : si l’administrateur qui installe le connecteur Intune mis à jour pour Active Directory n’a pas ce droit, des étapes de configuration supplémentaires sont requises par un administrateur disposant de ces droits. Pour plus d’informations, consultez l’étape/la section Augmenter la limite du compte d’ordinateur dans l’unité d’organisation.

Connectez-vous au serveur sur lequel le connecteur Intune pour Active Directory est installé avec un compte disposant de droits d’administrateur local.
Si le connecteur Intune hérité précédent pour Active Directory est installé, désinstallez-le avant d’installer le connecteur Intune mis à jour pour Active Directory. Pour plus d’informations, consultez Désinstaller le connecteur Intune pour Active Directory.

Importante

Lors de la désinstallation du connecteur Intune hérité précédent pour Active Directory, veillez à exécuter le programme d’installation hérité Intune Connector pour Active Directory dans le cadre du processus de désinstallation. Si le programme d’installation hérité du connecteur Intune pour Active Directory vous invite à le désinstaller lorsqu’il est exécuté, choisissez de le désinstaller. Cette étape garantit que le connecteur Intune hérité précédent pour Active Directory est entièrement désinstallé. Le programme d’installation du connecteur Intune hérité pour Active Directory peut être téléchargé à partir de Intune Connector pour Active Directory.

Conseil

Dans les domaines avec un seul connecteur Intune pour Active Directory, Microsoft recommande d’installer d’abord le connecteur Intune mis à jour pour Active Directory sur un autre serveur. L’installation du connecteur Intune mis à jour pour Active Directory sur un autre serveur doit être effectuée avant de désinstaller le connecteur Intune hérité pour Active Directory sur le serveur actuel. L’installation du connecteur Intune pour Active Directory sur un autre permet d’éviter tout temps d’arrêt pendant la mise à jour du connecteur Intune pour Active Directory sur le serveur actuel.
Ouvrez le ODJConnectorBootstrapper.exe fichier téléchargé pour lancer l’installation du connecteur Intune pour le programme d’installation d’Active Directory.
Parcourez pas à pas l’installation du connecteur Intune pour le programme d’installation d’Active Directory.
À la fin de l’installation, cochez la case Lancer Intune Connector pour Active Directory.

Remarque

Si Intune installation du programme d’installation du connecteur pour Active Directory est fermée accidentellement sans avoir coché la case Lancer Intune Connecteur pour Active Directory, la configuration du connecteur Intune pour Active Directory peut être rouverte en sélectionnant Intune Connecteur pour Active Directory>Intune Connecteur pour Active Directory à partir du menu Démarrer.

Dans la fenêtre connecteur Intune pour Active Directory, sous l’onglet Inscription, sélectionnez Se connecter.
Sous l’onglet Se connecter, connectez-vous avec les informations d’identification Microsoft Entra ID d’un rôle d’administrateur Intune. Le compte d’utilisateur doit avoir une licence Intune. Le processus de connexion peut prendre quelques minutes.

Remarque

Le compte utilisé pour inscrire le connecteur Intune pour Active Directory n’est qu’une exigence temporaire au moment de l’installation. Le compte n’est pas utilisé une fois le serveur inscrit.
Une fois le processus de connexion terminé :
1. Une fenêtre de confirmation de l’inscription réussie du connecteur Intune pour Active Directory s’affiche. Sélectionnez OK pour fermer la fenêtre.
2. Un compte de service géré nommé «< MSA_name> » a été correctement configuré s’affiche. Le nom du msa est au format msaODJ##### où ##### sont cinq caractères aléatoires. Notez le nom du MSA qui a été créé, puis sélectionnez OK pour fermer la fenêtre. Le nom du MSA peut être nécessaire ultérieurement pour configurer le MSA afin d’autoriser la création d’objets ordinateur dans des unités d’organisation.
L’onglet Inscription indique Intune Connecteur pour Active Directory est inscrit. Le bouton Se connecter est grisé et Configurer le compte de service géré est activé.
Fermez la fenêtre connecteur Intune pour Active Directory.

Vérifier que le connecteur Intune pour Active Directory est actif

Après l’authentification, l’installation du connecteur Intune pour Active Directory est terminée. Une fois l’installation terminée, vérifiez qu’elle est active dans Intune en procédant comme suit :

Accédez au Centre d’administration Microsoft Intune s’il est toujours ouvert. Si la fenêtre Ajouter un connecteur s’affiche toujours, fermez-la.

Si le centre d’administration Microsoft Intune n’est toujours pas ouvert :
1. Connectez-vous au Centre d’administration Microsoft Intune.
2. Dans l’écran d’accueil , sélectionnez Appareils dans le volet gauche.
3. Dans les appareils | Écran Vue d’ensemble , sous Par plateforme, sélectionnez Windows.
4. Dans windows | Écran Appareils Windows , sous Intégration de l’appareil, sélectionnez Inscription.
5. Dans windows | Écran d’inscription Windows, sous Windows Autopilot, sélectionnez connecteur Intune pour Active Directory.
Dans la page connecteur Intune pour Active Directory :
- Vérifiez que le serveur s’affiche sous Nom du connecteur et qu’il est actif sous État
- Pour le connecteur Intune mis à jour pour Active Directory, vérifiez que la version est supérieure à 6.2501.2000.5.
Si le serveur n’est pas affiché, sélectionnez Actualiser ou quittez la page, puis revenez à la page Intune Connector pour Active Directory.

Remarque

L’affichage du serveur nouvellement inscrit dans la page connecteur Intune pour Active Directory du centre d’administration Microsoft Intune peut prendre plusieurs minutes. Le serveur inscrit s’affiche uniquement s’il peut communiquer avec le service Intune.
Les connecteurs Intune inactifs pour Active Directory apparaissent toujours dans la page connecteur Intune pour Active Directory et sont automatiquement nettoyés après 30 jours.

Une fois le connecteur Intune pour Active Directory installé, il démarre la journalisation dans le observateur d'événements sous le chemin d’accès Journaux >des applications et des servicesMicrosoft> Intune >ODJConnectorService. Sous ce chemin d’accès, vous trouverez les journaux d’activité Administration et opérationnels.

Configurer msa pour autoriser la création d’objets dans des unités d’organisation (facultatif)

Par défaut, les administrateurs de service ont uniquement accès à la création d’objets ordinateur dans le conteneur Ordinateurs . Les administrateurs de service administrés n’ont pas accès à la création d’objets ordinateur dans des unités d’organisation (UO). Pour permettre à MSA de créer des objets dans des unités d’organisation, les unités d’organisation doivent être ajoutées au ODJConnectorEnrollmentWizard.exe.config fichier XML qui se trouve dans ODJConnectorEnrollmentWizard le répertoire où le connecteur Intune pour Active Directory a été installé, normalement C:\Program Files\Microsoft Intune\ODJConnector\.

Pour configurer msa afin d’autoriser la création d’objets dans des unités d’organisation, procédez comme suit :

Sur le serveur sur lequel le connecteur Intune pour Active Directory est installé, accédez au ODJConnectorEnrollmentWizard répertoire où le connecteur Intune pour Active Directory a été installé, normalement C:\Program Files\Microsoft Intune\ODJConnector\.
Dans le ODJConnectorEnrollmentWizard répertoire, ouvrez le ODJConnectorEnrollmentWizard.exe.config fichier XML dans un éditeur de texte, par exemple, bloc-notes.

Dans le ODJConnectorEnrollmentWizard.exe.config fichier XML, ajoutez les unités d’organisation souhaitées auxquelles le MSA doit avoir accès pour créer des objets ordinateur. Le nom de l’unité d’organisation doit être le nom unique et, le cas échéant, doit être placé dans une séquence d’échappement. L’exemple suivant est un exemple d’entrée XML avec le nom unique de l’unité d’organisation :

  <appSettings>

    <!-- Semicolon separated list of OUs that will be used for Hybrid Autopilot, using LDAP distinguished name format.
        The ODJ Connector will only have permission to create computer objects in these OUs.
        The value here should be the same as the value in the Hybrid Autopilot configuration profile in the Azure portal - https://learn.microsoft.com/en-us/mem/intune/configuration/domain-join-configure

        Usage example (NOTE: PLEASE ENSURE THAT THE DISTINGUISHED NAME IS ESCAPED PROPERLY):
        Domain contains the following OUs:
          - OU=HybridDevices,DC=contoso,DC=com
          - OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com

        Value: "OU=HybridDevices,DC=contoso,DC=com;OU=HybridDevices2,OU=IntermediateOU,OU=TopLevelOU,DC=contoso,DC=com" -->

    <add key="OrganizationalUnitsUsedForOfflineDomainJoin" value="OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com;OU=Mine,DC=contoso,DC=com" />
  </appSettings>

Une fois que toutes les unités d’organisation souhaitées sont ajoutées, enregistrez le ODJConnectorEnrollmentWizard.exe.config fichier XML.
En tant qu’administrateur disposant des autorisations appropriées pour modifier les autorisations d’unité d’organisation, ouvrez le connecteur Intune pour Active Directory en accédant à Intune Connecteur pour Active Directory>Intune Connecteur pour Active Directory à partir du menu Démarrer.

Importante

Si l’administrateur qui installe et configure le connecteur Intune pour Active Directory ne dispose pas des autorisations nécessaires pour modifier les autorisations de l’unité d’organisation, la section/étapes Augmenter la limite de compte d’ordinateur dans l’unité d’organisation doit être suivie à la place par un administrateur qui dispose des autorisations nécessaires pour modifier les autorisations de l’unité d’organisation.
Sous l’onglet Inscription dans la fenêtre connecteur Intune pour Active Directory, sélectionnez Configurer le compte de service géré.
Un compte de service géré nommé «< MSA_name> » a été correctement configuré s’affiche. Sélectionnez OK pour fermer la fenêtre.

Importante

Le connecteur Intune hérité pour Active Directory est déconseillé. Ces instructions partent du principe que le connecteur Intune hérité pour Active Directory est déjà installé ou qu’il est déjà téléchargé. Si le programme d’installation hérité du connecteur Intune pour Active Directory n’est pas déjà téléchargé, il peut être téléchargé à partir de Intune Connector pour Active Directory.

Toutefois, la meilleure pratique consiste à télécharger et installer le connecteur Intune mis à jour pour Active Directory. Pour plus d’informations, sélectionnez plutôt l’onglet Connecteur mis à jour .

Avant de commencer l’installation, assurez-vous que toutes les exigences du serveur du connecteur Intune sont remplies.

Désactiver les paramètres de configuration de sécurité renforcée d’Internet Explorer

Connectez-vous au serveur sur lequel le connecteur Intune pour Active Directory est installé avec un compte disposant de droits d’administrateur local et de droits d’administrateur de domaine. Des droits d’administrateur de domaine sont requis pour que le programme d’installation du connecteur Intune pour Active Directory puisse créer correctement un MSA.
Ouvrez Gestionnaire de serveur.
Dans le volet gauche de Gestionnaire de serveur, sélectionnez Serveur local.
Dans le volet PROPRIÉTÉS droit de Gestionnaire de serveur, sélectionnez le lien Activé ou Désactivé en regard de Configuration de la sécurité renforcée d’Internet Explorer.
Dans la fenêtre Configuration de la sécurité renforcée d’Internet Explorer, sélectionnez Désactivé sous Administrateurs, puis ok.

Installer le connecteur Intune hérité pour Active Directory sur le serveur

Ouvrez le fichier précédemment téléchargé ODJConnectorBootstrapper.exe pour lancer l’installation du connecteur Intune pour le programme d’installation d’Active Directory.

Remarque

Si le connecteur Intune hérité pour Active Directory est déjà installé, accédez au menu >DémarrerIntune Connecteur pour Active Directory>Intune Connecteur pour Active Directory, puis passez à Se connecter au connecteur Intune hérité pour Active Directory.
Dans la fenêtre programme d’installation Intune Connector pour le programme d’installation d’Active Directory, sélectionnez J’accepte les termes et conditions du contrat de licence, puis sélectionnez Installer.

Remarque

Si un emplacement d’installation autre que celui par défaut de C :\Program Files\Microsoft Intune\ODJConnector est souhaité, sélectionnez Options et spécifiez l’emplacement d’installation souhaité.
Une fois l’installation terminée, sélectionnez Configurer maintenant dans la fenêtre du programme d’installation de Intune Connector pour Active Directory.

Remarque

Si fermer est sélectionné accidentellement ou si la fenêtre du programme d’installation du connecteur Intune pour Active Directory est fermée accidentellement, la configuration du connecteur Intune pour Active Directory est accessible en sélectionnant Intune Connecteur pour Active Directory>Intune Connecteur pour Active Directory dans le menu Démarrer.

Dans la fenêtre connecteur Intune pour Active Directory, sous l’onglet Inscription, sélectionnez Se connecter.
Sous l’onglet Se connecter, connectez-vous avec les informations d’identification d’un rôle d’administrateur Intune. Le compte d’utilisateur doit avoir une licence Intune. Le processus de connexion peut prendre quelques minutes.

Remarque

Le compte utilisé pour inscrire le connecteur Intune pour Active Directory n’est qu’une exigence temporaire au moment de l’installation. Le compte n’est pas utilisé une fois le serveur inscrit.
Une fois le processus de connexion terminé, une fenêtre de confirmation de l’inscription réussie du connecteur Intune pour Active Directory s’affiche. Sélectionnez OK pour fermer la fenêtre.
L’onglet Inscription indique Intune Connecteur pour Active Directory est inscrit et le bouton Se connecter est grisé.
Fermez la fenêtre connecteur Intune pour Active Directory.

Vérifier que le connecteur Intune hérité pour Active Directory est actif

Accédez au Centre d’administration Microsoft Intune s’il est toujours ouvert. Si la fenêtre Ajouter un connecteur s’affiche toujours, fermez-la.

Si le centre d’administration Microsoft Intune n’est toujours pas ouvert :
1. Connectez-vous au Centre d’administration Microsoft Intune.
2. Dans l’écran d’accueil , sélectionnez Appareils dans le volet gauche.
3. Dans les appareils | Écran Vue d’ensemble , sous Par plateforme, sélectionnez Windows.
4. Dans windows | Écran Appareils Windows , sous Intégration de l’appareil, sélectionnez Inscription.
5. Dans windows | Écran d’inscription Windows, sous Windows Autopilot, sélectionnez connecteur Intune pour Active Directory.
Dans la page connecteur Intune pour Active Directory, vérifiez que le serveur s’affiche sous Nom du connecteur et qu’il est actif sous État. Si le serveur n’est pas affiché, sélectionnez Actualiser ou quittez la page, puis revenez à la page Intune Connector pour Active Directory.

Remarque

L’affichage du serveur nouvellement inscrit dans la page connecteur Intune pour Active Directory du centre d’administration Microsoft Intune peut prendre plusieurs minutes. Le serveur inscrit s’affiche uniquement s’il peut communiquer avec le service Intune.
Les connecteurs Intune inactifs pour Active Directory apparaissent toujours dans la page connecteur Intune pour Active Directory et sont automatiquement nettoyés après 30 jours.

Configuration des paramètres de proxy web

S’il existe un proxy web dans l’environnement de mise en réseau, vérifiez que le connecteur Intune pour Active Directory fonctionne correctement en faisant référence à Utiliser des serveurs proxy locaux existants.

Augmenter la limite du nombre de comptes d’ordinateur dans l’unité d’organisation

Connecteur mis à jour
Connecteur hérité

Importante

Cette étape n’est nécessaire que dans l’une des conditions suivantes :

L’administrateur qui a installé et configuré le connecteur Intune pour Active Directory ne disposait pas des droits appropriés, comme indiqué dans Intune Connector for Active Directory Requirements.
Le ODJConnectorEnrollmentWizard.exe.config fichier XML n’a pas été modifié pour ajouter des unités d’organisation pour lesquelles le MSA doit disposer d’autorisations.

L’objectif de Intune Connector pour Active Directory est de joindre des ordinateurs à un domaine et de les ajouter à une unité d’organisation. Pour cette raison, le compte de service géré (MSA) utilisé pour le connecteur Intune pour Active Directory doit disposer des autorisations nécessaires pour créer des comptes d’ordinateur dans l’unité d’organisation où les ordinateurs sont joints au domaine local.

Avec les autorisations par défaut dans Active Directory, les jointures de domaine par le connecteur Intune pour Active Directory peuvent initialement fonctionner sans aucune modification d’autorisation de l’unité d’organisation dans Active Directory. Toutefois, après que MSA tente de joindre plus de 10 ordinateurs au domaine local, il cesse de fonctionner, car par défaut, Active Directory n’autorise qu’un seul compte à joindre jusqu’à 10 ordinateurs au domaine local.

Les utilisateurs suivants ne sont pas limités par la limitation de jointure de domaine d’ordinateur 10 :

Utilisateurs dans les groupes Administrateurs ou Administrateurs de domaine : Pour se conformer au modèle des principes de privilège minimum, Microsoft ne recommande pas de faire de MSA un administrateur ou un administrateur de domaine.
Utilisateurs disposant d’autorisations déléguées sur les unités d’organisation (UO) et les conteneurs dans Active Directory pour créer des comptes d’ordinateur : cette méthode est recommandée, car elle suit le modèle des principes de privilège minimum.

Pour résoudre cette limitation, msa a besoin de l’autorisation Créer des comptes d’ordinateur dans l’unité d’organisation (UO) à laquelle les ordinateurs sont joints dans le domaine local. Le connecteur Intune pour Active Directory définit les autorisations pour les contrats MSA sur les unités d’organisation tant que l’une des conditions suivantes est remplie :

L’administrateur qui installe le connecteur Intune pour Active Directory dispose des autorisations nécessaires pour définir des autorisations sur les unités d’organisation.
L’administrateur qui configure le connecteur Intune pour Active Directory dispose des autorisations nécessaires pour définir des autorisations sur les unités d’organisation.

Si l’administrateur qui installe ou configure le connecteur Intune pour Active Directory ne dispose pas des autorisations nécessaires pour définir les autorisations sur les unités d’organisation, les étapes suivantes doivent être suivies :

Connectez-vous à un ordinateur qui a accès à la console Utilisateurs et ordinateurs Active Directory avec un compte qui est les autorisations nécessaires pour définir les autorisations sur les unités d’organisation.
Ouvrez la console Utilisateurs et ordinateurs Active Directory en exécutant DSA.msc.
Développez le domaine souhaité et accédez à l’unité d’organisation (UO) à laquelle les ordinateurs sont joints pendant Windows Autopilot.

Remarque

L’unité d’organisation que les ordinateurs rejoignent pendant le déploiement De Windows Autopilot est spécifiée ultérieurement lors de l’étape Configurer et attribuer un profil de jointure de domaine .
Cliquez avec le bouton droit sur l’unité d’organisation, puis sélectionnez Propriétés.

Remarque

Si les ordinateurs rejoignent le conteneur Ordinateurs par défaut au lieu d’une unité d’organisation, cliquez avec le bouton droit sur le conteneur Ordinateurs et sélectionnez Déléguer le contrôle.
Dans les fenêtres Propriétés de l’unité d’organisation qui s’ouvrent, sélectionnez l’onglet Sécurité .
Sous l’onglet Sécurité , sélectionnez Avancé.
Dans la fenêtre Paramètres de sécurité avancés , sélectionnez Ajouter.
Dans les fenêtres Entrée d’autorisation , en regard de Principal, sélectionnez le lien Sélectionner un principal .
Dans la fenêtre Sélectionner un utilisateur, un ordinateur, un compte de service ou un groupe, sélectionnez le bouton Types d’objets...
Dans la fenêtre Types d’objets, sélectionnez la zone Comptes de service case activée, puis sélectionnez OK.
Dans la fenêtre Sélectionner un utilisateur, un ordinateur, un compte de service ou un groupe, sous Entrez le nom de l’objet à sélectionner, entrez le nom du MSA utilisé pour le connecteur Intune pour Active Directory.
Conseil

La msa a été créée lors de l’étape/section Installer le connecteur Intune pour Active Directory et a le format de msaODJ##### nom où ##### sont cinq caractères aléatoires. Si le nom MSA n’est pas connu, procédez comme suit pour rechercher le nom MSA :
1. Sur le serveur exécutant le connecteur Intune pour Active Directory, cliquez avec le bouton droit sur le menu Démarrer, puis sélectionnez Gestion de l’ordinateur.
2. Dans la fenêtre Gestion de l’ordinateur , développez Services et applications , puis sélectionnez Services.
3. Dans le volet de résultats, recherchez le service nommé Intune ODJConnector pour Active Service. Le nom de msa est répertorié dans la colonne Ouvrir une session en tant que .
Sélectionnez Vérifier les noms pour valider l’entrée de nom MSA. Une fois l’entrée validée, sélectionnez OK.
Dans les fenêtres Entrée d’autorisation , sélectionnez le menu déroulant S’applique à : , puis sélectionnez Cet objet uniquement.
Sous Autorisations, désélectionnez tous les éléments, puis sélectionnez uniquement la zone Créer des objets ordinateur case activée.
Sélectionnez OK pour fermer la fenêtre Entrée d’autorisation .
Dans la fenêtre Paramètres de sécurité avancés , sélectionnez Appliquer ou OK pour appliquer les modifications.

Créer un groupe d'appareils

Dans le centre d’administration Microsoft Intune, sélectionnez Groupes>Nouveau groupe.
Dans le volet Groupe , sélectionnez les options suivantes :
1. Pour Type de groupe, sélectionnez Sécurité.
2. Renseignez les champs Nom du groupe et Description du groupe.
3. Sélectionnez un Type d’adhésion.
Si Appareils dynamiques est sélectionné pour le type d’appartenance, dans le volet Groupe , sélectionnez Membres de l’appareil dynamique.
Sélectionnez Modifier dans la case Syntaxe de la règle, puis entrez l’une des lignes de code suivantes :
- Pour créer un groupe qui inclut tous les appareils Windows Autopilot, entrez :
  
  (device.devicePhysicalIDs -any _ -startsWith "[ZTDId]")
- Le champ Étiquette de groupe de Intune est mappé à l’attribut OrderID sur Microsoft Entra appareils. Pour créer un groupe qui inclut tous les appareils Windows Autopilot avec une balise de groupe spécifique (OrderID), entrez :
  
  (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881")
- Pour créer un groupe qui inclut tous les appareils Windows Autopilot avec un ID de bon de commande spécifique, entrez :
  
  (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342")
Sélectionnez Enregistrer>Créer.

Inscrire des appareils Windows Autopilot

Sélectionnez l’une des méthodes suivantes pour inscrire des appareils Windows Autopilot.

Inscrire des appareils Windows Autopilot déjà inscrits

Créez un profil de déploiement Windows Autopilot avec le paramètre Convertir tous les appareils ciblés en Autopilot défini sur Oui.
Affectez le profil à un groupe qui contient les membres qui doivent être inscrits automatiquement auprès de Windows Autopilot.

Pour plus d’informations, consultez Créer un profil de déploiement Autopilot.

Inscrire des appareils Windows Autopilot qui ne sont pas inscrits

Les appareils qui ne sont pas encore inscrits dans Windows Autopilot peuvent être inscrits manuellement. Pour plus d’informations, consultez Inscription manuelle.

Inscrire les appareils d’un OEM

Si vous achetez de nouveaux appareils, certains fabricants OEM peuvent inscrire les appareils au nom du organization. Pour plus d’informations, consultez Inscription manuelle.

Afficher l’appareil Windows Autopilot inscrit

Avant que les appareils ne s’inscrivent dans Intune, les appareils Windows Autopilot inscrits sont affichés à trois emplacements (avec des noms définis sur leurs numéros de série) :

Volet Appareils Windows Autopilot dans le centre d’administration Microsoft Intune. Sélectionner appareils>par plateforme | Intégration d’appareils Windows >| Inscription. Sous Windows Autopilot, sélectionnez Appareils.
Les appareils | Volet Tous les appareils dans le Portail Azure. Sélectionnez Appareils>Tous les appareils.
Volet Autopilot dans Centre d’administration Microsoft 365. Sélectionnez Appareils>Autopilot.

Une fois les appareils Windows Autopilot inscrits, les appareils sont affichés à quatre endroits :

Les appareils | Volet Tous les appareils dans le centre d’administration Microsoft Intune. Sélectionnez Appareils>Tous les appareils.
Windows | Volet Appareils Windows dans le centre d’administration Microsoft Intune. Sélectionner appareils>par plateforme | Windows.
Les appareils | Volet Tous les appareils dans le Portail Azure. Sélectionnez Appareils>Tous les appareils.
Volet Appareils actifs dans Centre d’administration Microsoft 365. Sélectionnez Appareils>Appareils actifs.

Remarque

Une fois les appareils inscrits, les appareils sont toujours affichés dans le volet Appareils Windows Autopilot du centre d’administration Microsoft Intune et dans le volet Autopilot dans Centre d’administration Microsoft 365, mais ces objets sont les objets inscrits windows Autopilot.

Un objet d’appareil est précréé dans Microsoft Entra ID une fois qu’un appareil est inscrit dans Windows Autopilot. Lorsqu’un appareil passe par un déploiement Microsoft Entra hybride, par conception, un autre objet d’appareil est créé, ce qui entraîne des entrées en double.

VPNs

Les clients VPN suivants sont testés et validés :

Client VPN Windows in-box
Cisco AnyConnect (client Win32)
Pulse Secure (client Win32)
GlobalProtect (client Win32)
Point de contrôle (client Win32)
Citrix NetScaler (client Win32)
SonicWall (client Win32)
VPN FortiClient (client Win32)

Lorsque vous utilisez des VPN, sélectionnez Oui pour l’option Ignorer la connectivité AD case activée dans le profil de déploiement Windows Autopilot. Always-On VPN ne doivent pas nécessiter cette option, car ils se connectent automatiquement.

Remarque

Cette liste de clients VPN n’est pas une liste complète de tous les clients VPN qui fonctionnent avec Windows Autopilot. Contactez le fournisseur VPN correspondant pour la compatibilité et la prise en charge avec Windows Autopilot ou pour tout problème lié à l’utilisation d’une solution VPN avec Windows Autopilot.

Clients VPN non pris en charge

Les solutions VPN suivantes ne fonctionnent pas avec Windows Autopilot et ne sont donc pas prises en charge pour une utilisation avec Windows Autopilot :

Plug-ins VPN basés sur UWP
Tout ce qui nécessite un certificat utilisateur
DirectAccess

Remarque

L’omission d’un client VPN spécifique dans cette liste ne signifie pas automatiquement qu’il est pris en charge ou qu’il fonctionne avec Windows Autopilot. Cette liste répertorie uniquement les clients VPN qui ne fonctionnent pas avec Windows Autopilot.

Créer et attribuer un profil de déploiement Windows Autopilot

Les profils de déploiement Windows Autopilot sont utilisés pour configurer les appareils Windows Autopilot.

Connectez-vous au Centre d’administration Microsoft Intune.
Dans l’écran d’accueil , sélectionnez Appareils dans le volet gauche.
Dans les appareils | Écran Vue d’ensemble , sous Par plateforme, sélectionnez Windows.
Dans windows | Écran Appareils Windows , sous Intégration de l’appareil, sélectionnez Inscription.
Dans windows | Écran d’inscription Windows , sous Windows Autopilot, sélectionnez Profils de déploiement.
Dans l’écran Profils de déploiement Windows Autopilot , sélectionnez le menu déroulant Créer un profil , puis PC Windows.
Dans l’écran Créer un profil , dans la page Informations de base , entrez un nom et une description facultative.
Si tous les appareils des groupes attribués doivent s’inscrire automatiquement auprès de Windows Autopilot, définissez Convertir tous les appareils ciblés en Autopilot sur Oui. Tous les appareils autopilot non Windows appartenant à l’entreprise dans des groupes attribués s’inscrivent auprès du service de déploiement Windows Autopilot. Les appareils personnels ne sont pas inscrits auprès de Windows Autopilot. Le traitement de l’enregistrement prend 48 heures. Lorsque l’appareil est désinscrit et réinitialisé, Windows Autopilot l’inscrit à nouveau. Une fois qu’un appareil est inscrit de cette façon, la désactivation de ce paramètre ou la suppression de l’attribution de profil ne supprime pas l’appareil du service de déploiement Windows Autopilot. Au lieu de cela, les appareils doivent être supprimés directement. Pour plus d’informations, consultez Supprimer des appareils Autopilot.
Sélectionnez Suivant.
Sur la page Mode out-of-box experience (OOBE), pour Mode de déploiement, sélectionnez Géré par l’utilisateur.
Dans la zone Joindre à Microsoft Entra ID en tant que, sélectionnez Microsoft Entra jointure hybride.
Si vous déployez des appareils hors du réseau de l’organization à l’aide de la prise en charge vpn, définissez l’option Ignorer la vérification de la connectivité du domaine sur Oui. Pour plus d’informations, consultez Mode piloté par l’utilisateur pour Microsoft Entra jonction hybride avec prise en charge vpn.
Configurez les options restantes sur la page Out-of-box experience (OOBE) en fonction de vos besoins.
Sélectionnez Suivant.
Sur la page Balises d’étendue, sélectionnez les balises d’étendue pour ce profil.
Sélectionnez Suivant.
Dans la page Affectations, sélectionnez Sélectionner les groupes à inclure> dans la recherche, puis sélectionnez le groupe > d’appareils Sélectionner.
Sélectionnez Suivant>Créer.

Remarque

Intune recherche régulièrement de nouveaux appareils dans les groupes attribués, puis commencez le processus d’attribution de profils à ces appareils. En raison de plusieurs facteurs différents impliqués dans le processus d’attribution de profil Windows Autopilot, une durée estimée pour l’affectation peut varier d’un scénario à l’autre. Ces facteurs peuvent inclure les groupes Microsoft Entra, les règles d’appartenance, le hachage d’un appareil, le Intune et le service Windows Autopilot et la connexion Internet. Le temps d’affectation varie en fonction de tous les facteurs et variables impliqués dans un scénario spécifique.

(Facultatif) Activer la page d’état d’inscription

Connectez-vous au Centre d’administration Microsoft Intune.
Dans l’écran d’accueil , sélectionnez Appareils dans le volet gauche.
Dans les appareils | Écran Vue d’ensemble , sous Par plateforme, sélectionnez Windows.
Dans windows | Écran Appareils Windows , sous Intégration de l’appareil, sélectionnez Inscription.
Dans windows | Écran d’inscription Windows , sous Windows Autopilot, sélectionnez Page d’état de l’inscription.
Dans le volet Page d’état d’inscription, sélectionnez Par défaut>Paramètres.
Pour Afficher la progression de l’installation des applications et des profils, sélectionnez Oui.
Configurez les autres options selon les besoins.
Sélectionnez Enregistrer.

Créer et affecter un profil de jonction de domaine

Dans le centre d’administration Microsoft Intune, sélectionnez Appareils>Gérer les appareils | Stratégiesde> configuration >Créez une>stratégie.
Dans la fenêtre Créer un profil qui s’ouvre, entrez les propriétés suivantes :
- Nom : attribuez un nom descriptif au nouveau profil.
- Description : entrez une description pour le profil.
- Plateforme : sélectionnez Windows 10 et ultérieur.
- Type de profil : sélectionnez Modèles, sélectionnez le nom de modèle Jonction de domaine, puis Créer.
Entrez un Nom et une Description pour la nouvelle stratégie, puis sélectionnez Suivant.
Sélectionnez Préfixe de nom d’ordinateur et Nom de domaine.
(Facultatif) Indiquez une unité d’organisation (UO) au format de DN. Les options sont les suivantes :
- Fournissez une unité d’organisation dans laquelle le contrôle est délégué à l’appareil Windows qui exécute le connecteur Intune pour Active Directory.
- Fournissez une unité d’organisation dans laquelle le contrôle est délégué aux ordinateurs racines dans le Active Directory local de organization.
- Si ce champ est vide, l’objet ordinateur est créé dans le conteneur Active Directory par défaut. Le conteneur par défaut est normalement le CN=Computers conteneur. Pour plus d’informations, consultez Rediriger les conteneurs d’utilisateurs et d’ordinateurs dans les domaines Active Directory.
Exemples valides :
- OU=SubOU,OU=TopLevelOU,DC=contoso,DC=com
- OU=Mine,DC=contoso,DC=com
Exemples non valides :
- CN=Computers,DC=contoso,DC=com - un conteneur ne peut pas être spécifié. Au lieu de cela, laissez la valeur vide pour utiliser la valeur par défaut pour le domaine.
- OU=Mine - le domaine doit être spécifié via les DC= attributs .
Veillez à ne pas utiliser de guillemets autour de la valeur dans Unité d’organisation.
Sélectionnez OK>Créer. Le profil est créé et apparaît dans la liste.
Affectez un profil d’appareil au même groupe utilisé à l’étape Créer un groupe d’appareils. Vous pouvez utiliser différents groupes si vous devez joindre des appareils à différents domaines ou unités d’organisation.

Remarque

La fonctionnalité de nommage de Windows Autopilot pour Microsoft Entra jointure hybride ne prend pas en charge les variables telles que %SERIAL%. Il prend uniquement en charge les préfixes pour le nom de l’ordinateur.

Désinstaller le connecteur Intune pour Active Directory

Le connecteur Intune pour Active Directory est installé localement sur un ordinateur via un fichier exécutable. Si le connecteur Intune pour Active Directory doit être désinstallé d’un ordinateur, il doit également être effectué localement sur l’ordinateur. Le connecteur Intune pour Active Directory ne peut pas être supprimé via le portail Intune ou via un appel d’API de graphe.

Pour désinstaller le connecteur Intune pour Active Directory du serveur, sélectionnez l’onglet approprié pour la version du système d’exploitation Windows Server, puis suivez les étapes :

Connectez-vous à l’ordinateur hébergeant le connecteur Intune pour Active Directory.
Cliquez avec le bouton droit sur le menu Démarrer , puis sélectionnez Paramètres>Applications>Installées.

Ou

Sélectionnez le raccourci Applications > installées ci-dessous :

Ouvrir applications > Applications installées
Dans la fenêtre Applications > installées,recherchez Intune Connecteur pour Active Directory.
En regard de Intune Connector pour Active Directory, sélectionnez ...>Désinstallez, puis sélectionnez le bouton Désinstaller.
Le connecteur Intune pour Active Directory procède à la désinstallation.
Dans certains cas, le connecteur Intune pour Active Directory peut ne pas être entièrement désinstallé tant que le programme d’installation ODJConnectorBootstrapper.exe Intune Connector pour Active Directory d’origine n’est pas réexécuté. Pour vérifier que le connecteur Intune pour Active Directory est entièrement désinstallé, réexécutez le programme d’installationODJConnectorBootstrapper.exe. S’il vous invite à Désinstaller, sélectionnez pour le désinstaller. Sinon, fermez le programme d’installation ODJConnectorBootstrapper.exe .

Remarque

Le programme d’installation du connecteur Intune hérité pour Active Directory peut être téléchargé à partir du connecteur Intune pour Active Directory et ne doit être utilisé que pour les désinstallations. Pour les nouvelles installations, utilisez le connecteur Intune mis à jour pour Active Directory.

Connectez-vous à l’ordinateur hébergeant le connecteur Intune pour Active Directory.
Cliquez avec le bouton droit sur le menu Démarrer , puis sélectionnez Paramètres>Applications.

Ou

Sélectionnez le raccourci Applications suivant :

Ouvrir des applications
Sous Applications & fonctionnalités, recherchez et sélectionnez connecteur Intune pour Active Directory.
Sous Intune Connecteur pour Active Directory, sélectionnez le bouton Désinstaller, puis sélectionnez à nouveau le bouton Désinstaller.
Le connecteur Intune pour Active Directory procède à la désinstallation.
Dans certains cas, le connecteur Intune pour Active Directory peut ne pas être entièrement désinstallé tant que le programme d’installation ODJConnectorBootstrapper.exe Intune Connector pour Active Directory d’origine n’est pas réexécuté. Pour vérifier que le connecteur Intune pour Active Directory est entièrement désinstallé, réexécutez le programme d’installationODJConnectorBootstrapper.exe. S’il vous invite à Désinstaller, sélectionnez pour le désinstaller. Sinon, fermez le programme d’installation ODJConnectorBootstrapper.exe .

Remarque

Le programme d’installation du connecteur Intune hérité pour Active Directory peut être téléchargé à partir du connecteur Intune pour Active Directory et ne doit être utilisé que pour les désinstallations. Pour les nouvelles installations, utilisez le connecteur Intune mis à jour pour Active Directory.

Connectez-vous à l’ordinateur hébergeant le connecteur Intune pour Active Directory.
Cliquez avec le bouton droit sur le menu Démarrer, puis sélectionnez Paramètres> Applicationssystème>& fonctionnalités.

Ou

Sélectionnez le raccourci Applications suivant :

Ouvrir des applications
Sous Applications & fonctionnalités, recherchez et sélectionnez connecteur Intune pour Active Directory.
Sous Intune Connecteur pour Active Directory, sélectionnez le bouton Désinstaller, puis sélectionnez à nouveau le bouton Désinstaller.
Le connecteur Intune pour Active Directory procède à la désinstallation.
Dans certains cas, le connecteur Intune pour Active Directory peut ne pas être entièrement désinstallé tant que le programme d’installation ODJConnectorBootstrapper.exe Intune Connector pour Active Directory d’origine n’est pas réexécuté. Pour vérifier que le connecteur Intune pour Active Directory est entièrement désinstallé, réexécutez le programme d’installationODJConnectorBootstrapper.exe. S’il vous invite à Désinstaller, sélectionnez pour le désinstaller. Sinon, fermez le programme d’installation ODJConnectorBootstrapper.exe .

Remarque

Le programme d’installation du connecteur Intune hérité pour Active Directory peut être téléchargé à partir du connecteur Intune pour Active Directory et ne doit être utilisé que pour les désinstallations. Pour les nouvelles installations, utilisez le connecteur Intune mis à jour pour Active Directory.

Étapes suivantes

Une fois Windows Autopilot configuré, découvrez comment gérer ces appareils. Pour plus d’informations, consultez Qu’est-ce que la gestion des appareils Microsoft Intune ?.

Partager via

Déployer Microsoft Entra appareils joints hybrides à l’aide de Intune et de Windows Autopilot

Configuration requise

Configurer l’inscription GPM automatique Windows

Installer le connecteur Intune pour Active Directory

Désactiver internet Explorer configuration de sécurité renforcée

Télécharger le connecteur Intune pour Active Directory

Installer le connecteur Intune pour Active Directory sur le serveur

Vérifier que le connecteur Intune pour Active Directory est actif

Configurer msa pour autoriser la création d’objets dans des unités d’organisation (facultatif)

Désactiver les paramètres de configuration de sécurité renforcée d’Internet Explorer

Installer le connecteur Intune hérité pour Active Directory sur le serveur

Vérifier que le connecteur Intune hérité pour Active Directory est actif

Configuration des paramètres de proxy web

Augmenter la limite du nombre de comptes d’ordinateur dans l’unité d’organisation

Créer un groupe d'appareils

Inscrire des appareils Windows Autopilot

Inscrire des appareils Windows Autopilot déjà inscrits

Inscrire des appareils Windows Autopilot qui ne sont pas inscrits

Inscrire les appareils d’un OEM

Afficher l’appareil Windows Autopilot inscrit

VPNs

Clients VPN non pris en charge

Créer et attribuer un profil de déploiement Windows Autopilot

(Facultatif) Activer la page d’état d’inscription

Créer et affecter un profil de jonction de domaine

Désinstaller le connecteur Intune pour Active Directory

Étapes suivantes

Commentaires

Ressources supplémentaires