Résolution des problèmes Microsoft Entra appareils hybrides joints de niveau inférieur
Cet article s’applique uniquement aux appareils suivants :
- Windows 7
- Windows 8.1
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
Pour Windows 10 ou version ultérieure et Windows Server 2016, consultez la page Résolution des problèmes des appareils hybrides Windows 10 et Windows Server 2016 joints à Microsoft Entra Directory.
Cet article suppose que vous avez configuré des appareils hybrides joints Microsoft Entra pour prendre en charge les scénarios suivants :
- Accès conditionnel basé sur les appareils
Cet article vous fournit des conseils sur la façon de résoudre les problèmes potentiels.
Bon à savoir :
- Le fonctionnement de la jonction Microsoft Entra Hybride pour appareils Windows de niveau inférieur est différent dans Windows 10 ou versions ultérieure. De nombreux clients ne se rendent pas compte qu’ils ont besoin d’AD FS (pour les domaines fédérés) ou de l’authentification unique transparente configurée (pour les domaines managés).
- L’authentification unique transparente ne fonctionne pas en mode de navigation privée sur Firefox et Microsoft Edge. Par ailleurs, il ne fonctionne pas sur Internet Explorer si le navigateur en cours d’utilisation est en mode Protection améliorée ou si la Configuration de sécurité améliorée est activée.
- Pour les clients disposant de domaines fédérés, si le point de connexion de service (SCP) a été configuré de sorte qu’il pointe vers le nom de domaine managé (par exemple contoso.onmicrosoft.com au lieu de contoso.com), la jonction Microsoft Entra Hybride des appareils Windows de bas niveau ne fonctionne pas.
- Le même appareil physique apparaît plusieurs fois dans Microsoft Entra ID si plusieurs utilisateurs de domaine se connectent aux appareils de bas niveau joints par Microsoft Entra Hybride. Par exemple, si jdoe et jharnett se connectent à un appareil, une inscription (DeviceID) distincte est créée pour chacun d’eux dans l’onglet d’informations UTILISATEUR.
- Vous pouvez également obtenir plusieurs entrées pour un appareil dans l’onglet Informations utilisateur en raison d’une réinstallation du système d’exploitation ou d’une réinscription manuelle.
- L’inscription / jointure d’appareils initiale est configurée pour effectuer une tentative à la connexion ou au verrouillage / déverrouillage. Un délai de cinq minutes peut être déclenché par une tâche du Planificateur de tâches.
- Vérifiez que KB4284842 est installé sur Windows 7 SP1 ou Windows Server 2008 R2 SP1. Cette mise à jour empêche les échecs d’authentification qui se produisent lorsque le client perd l’accès aux clés protégées après avoir modifié le mot de passe.
- La jonction Microsoft Entra Hybride peut échouer après qu’un utilisateur a changé son nom d’utilisateur principal, rompant ainsi le processus d’authentification unique transparente. Pendant le processus de jonction, vous pouvez voir que l’ancien nom d’utilisateur principal est toujours envoyé à Microsoft Entra ID, sauf si les cookies de session du navigateur sont effacés ou si l’utilisateur se déconnecte explicitement et supprime l’ancien nom d’utilisateur principal.
Étape 1 : Récupérer l’état de l’inscription
Pour vérifier l’état de l’inscription :
- Connectez-vous avec le compte d’utilisateur qui a effectué la jointure à Microsoft Entra hybride.
- Ouvrez l’invite de commandes.
- Saisissez
"%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i
Cette commande affiche une boîte de dialogue qui vous donne des détails sur l’état de la jonction.
Étape 2 : Évaluer l'état de la jointure hybride Microsoft Entra
Si l’appareil n’a pas été Microsoft Entra joint hybride, vous pouvez tenter d’effectuer Microsoft Entra jointure hybride en cliquant sur le bouton « Rejoindre ». Si la tentative de jonction Microsoft Entra hybride échoue, les détails de cet échec s’affichent.
Les tâches les plus courantes sont :
Une mauvaise configuration d’AD FS ou de Microsoft Entra ID, ou des problèmes de réseau
- Autoworkplace.exe ne peut pas s’authentifier sans assistance auprès de Microsoft Entra ID ou d’AD FS. Ce problème peut être dû à l’absence ou à une mauvaise configuration d’AD FS (pour les domaines fédérés) ou de l’authentification unique transparente de Microsoft Entra (pour les domaines managés), ou encore à des problèmes de réseau.
- Le problème peut être lié au fait que l’authentification multifacteur (MFA) est activée/configurée pour l’utilisateur, alors que le paramètre WIAORMUTLIAUTHN n’est pas configuré sur le serveur AD FS.
- Ce problème peut également découler du fait que la page de découverte du domaine d’accueil (HRD) attend une intervention de la part de l’utilisateur, ce qui empêche autoworkplace.exe de demander un jeton sans assistance.
- Ce problème peut être lié au fait que les URL d’AD FS et de Microsoft Entra sont manquantes dans la zone intranet d’Internet Explorer sur le client.
- Des problèmes de connectivité réseau empêchent peut-être autoworkplace.exe d’atteindre les URL d’AD FS ou de Microsoft Entra .
- L’exécutable autoworkplace.exe nécessite que le client ait une visibilité directe sur le contrôleur de domaine Active Directory local de l’organisation, ce qui signifie que la jonction Microsoft Entra Hybride aboutit uniquement si le client est connecté à l’intranet de l’organisation.
- Si votre organisation utilise l’authentification unique transparente Microsoft Entra,
https://autologon.microsoftazuread-sso.com
ne figure pas dans les paramètres intranet Internet Explorer de l’appareil. - Le paramètre Internet
Do not save encrypted pages to disk
est vérifié.
Vous n’êtes pas connecté en tant qu’utilisateur du domaine
Ce problème peut se produire pour différentes raisons :
- L’utilisateur connecté n’est pas un utilisateur de domaine (par exemple, un utilisateur local). La jointure Microsoft Entra hybride sur les appareils de bas niveau est uniquement prise en charge pour les utilisateurs de domaine.
- Le client ne peut pas se connecter à un contrôleur de domaine.
Un quota est atteint
Le service ne répond pas.
Vous pouvez aussi trouver ces informations dans le journal des événements, sous : Applications and Services Log\Microsoft-Workplace Join
Voici les causes les plus courantes d’échec d’une jointure Microsoft Entra hybride :
- Votre ordinateur n’est pas connecté au réseau interne de votre organisation, ni à un VPN avec une connexion à votre contrôleur de domaine AD local.
- Vous êtes connecté à votre ordinateur avec un compte d’ordinateur local.
- Problèmes de configuration du service :
- Le serveur AD FS n’est pas configuré pour prendre en charge WIAORMULTIAUTHN.
- La forêt de votre ordinateur n’a aucun objet de point de connexion de service qui pointe vers votre nom de domaine vérifié dans Microsoft Entra ID
- Si votre domaine est managé, l’authentification unique transparente n’a pas été configurée ou ne fonctionne pas.
- Un utilisateur a atteint la limite d’appareils.