Résoudre les problèmes liés aux connexions réseau Azure

La connexion réseau Azure (ANC) vérifie régulièrement votre environnement pour vous assurer que toutes les exigences sont remplies et qu’elle est dans un état sain. Si une vérification échoue, vous pouvez voir les messages d’erreur dans le Centre d’administration Microsoft Intune. Ce guide contient des instructions supplémentaires pour résoudre les problèmes susceptibles d’entraîner l’échec des vérifications.

Jonction de domaine Active Directory

Lorsqu’un PC cloud est approvisionné, il est automatiquement joint au domaine fourni. Pour tester le processus de jointure de domaine, un objet d’ordinateur de domaine est créé dans l’unité d’organisation définie (UO) avec un nom similaire à « CPP-Hth » chaque fois que les vérifications d’intégrité de Windows 365 sont exécutées. Ces objets d’ordinateur sont désactivés lorsque la vérification d’intégrité est terminée. L’échec de jointure de domaine Active Directory peut se produire pour de nombreuses raisons. Si la jointure de domaine échoue, assurez-vous que :

• L’utilisateur de jointure de domaine dispose des autorisations suffisantes pour joindre le domaine fourni.
• L’utilisateur de jointure de domaine peut écrire dans l’unité d’organisation fournie.
• L’utilisateur de jointure de domaine n’est pas limité dans le nombre d’ordinateurs qu’il peut joindre. Par exemple, le nombre maximal par défaut de jointures par utilisateur est de 10, et ce maximum peut affecter l’approvisionnement de PC cloud.
• Le sous-réseau utilisé peut atteindre un contrôleur de domaine.
• Vous testez Add-Computer l’utilisation des informations d’identification de jointure de domaine sur une machine virtuelle connectée au réseau virtuel/sous-réseau du PC cloud.
• Vous résolvez les échecs de jointure de domaine comme n’importe quel ordinateur physique de votre organisation.
• Si vous avez un nom de domaine qui peut être résolu sur Internet (par contoso.comexemple), assurez-vous que vos serveurs DNS (Domain Name System) sont configurés en tant que serveurs internes. Vérifiez également qu’ils peuvent résoudre les enregistrements DNS de domaine Active Directory, et non votre nom de domaine public.

Synchronisation de l’appareil Microsoft Entra

Avant que l’inscription de la gestion des appareils mobiles (GPM) puisse avoir lieu lors de l’approvisionnement, un objet Microsoft Entra ID doit être présent pour le PC cloud. Cette vérification est destinée à vous assurer que vos comptes d’ordinateurs d’organisation sont synchronisés avec Microsoft Entra ID en temps voulu.

Assurez-vous que vos objets d’ordinateur Microsoft Entra apparaissent rapidement dans l’ID Microsoft Entra. Nous vous recommandons d’apparaître dans les 30 minutes et de ne pas dépasser 60 minutes. Si l’objet ordinateur n’arrive pas dans l’ID Microsoft Entra dans les 90 minutes, l’approvisionnement échoue.

En cas d’échec de l’approvisionnement, assurez-vous que :

• La configuration de la période de synchronisation sur l’ID Microsoft Entra est définie de manière appropriée. Contactez votre équipe d’identité pour vous assurer que votre annuaire est synchronisé suffisamment rapidement.
• Votre ID Microsoft Entra est actif et sain.
• Microsoft Entra Connect s’exécute correctement et il n’y a aucun problème avec le serveur de synchronisation.
• Vous effectuez manuellement une opération dans l’unité d’organisation Add-Computer fournie pour les PC cloud. Durée pendant laquelle cet objet ordinateur doit apparaître dans l’ID Microsoft Entra.

Utilisation de la plage d’adresses IP du sous-réseau Azure

Dans le cadre de la configuration ANC, vous devez fournir un sous-réseau auquel le PC cloud se connecte. Pour chaque PC cloud, l’approvisionnement crée une carte réseau virtuelle et consomme une adresse IP à partir de ce sous-réseau.

Assurez-vous que l’allocation d’adresses IP suffisante est disponible pour le nombre de PC cloud que vous prévoyez de provisionner. En outre, planifiez suffisamment d’espace d’adressage pour l’approvisionnement des défaillances et la récupération d’urgence potentielle.

Si cette vérification échoue, vérifiez que vous procédez comme suit :

• Vérifiez le sous-réseau dans le réseau virtuel Azure. Il doit disposer d’un espace d’adressage suffisant.
• Assurez-vous qu’il existe suffisamment d’adresses pour gérer trois nouvelles tentatives d’approvisionnement, chacune pouvant contenir les adresses réseau utilisées pendant quelques heures.
• Supprimez les cartes d’interface réseau virtuel inutilisées (cartes réseau virtuelles). Il est préférable d’utiliser un sous-réseau dédié pour les PC cloud pour s’assurer qu’aucun autre service ne consomme l’allocation d’adresses IP.
• Développez le sous-réseau pour rendre plus d’adresses disponibles. Cela ne peut pas être terminé s’il existe des appareils connectés.

Pendant les tentatives d’approvisionnement, il est important de prendre en compte les verrous CanNotDelete qui peuvent être appliqués au niveau du groupe de ressources ou supérieur. Si ces verrous sont présents, les interfaces réseau créées dans le processus ne sont pas supprimées automatiquement. S’ils ne sont pas supprimés automatiquement, vous devez supprimer manuellement les cartes réseau virtuelles avant de pouvoir réessayer.

Pendant les tentatives d’approvisionnement, il est important de prendre en compte les verrous existants au niveau du groupe de ressources ou supérieur. Si ces verrous sont présents, les interfaces réseau créées dans le processus ne seront pas supprimées automatiquement. Si l’événement se produit, vous devez supprimer manuellement les cartes réseau virtuelles avant de pouvoir réessayer.

Préparation du locataire Azure

Lorsque des vérifications sont effectuées, nous vérifions que l’abonnement Azure fourni est valide et sain. S’il n’est pas valide et sain, nous ne pouvons pas connecter les PC cloud à votre réseau virtuel pendant l’approvisionnement. Des problèmes tels que les problèmes de facturation peuvent entraîner la désactivation des abonnements.

De nombreuses organisations utilisent des stratégies Azure pour s’assurer que les ressources sont approvisionnées uniquement dans certaines régions et services. Vous devez vous assurer que toutes les stratégies Azure prennent en compte le service PC cloud et les régions prises en charge.

Connectez-vous au Portail Azure et vérifiez que l’abonnement Azure est activé, valide et sain.

Visitez également le Portail Azure et affichez les stratégies. Assurez-vous qu’aucune stratégie ne bloque la création de ressources.

Préparation du réseau virtuel Azure

Lors de la création d’un ANC, nous bloquons l’utilisation d’un réseau virtuel situé dans une région non prise en charge. Pour obtenir la liste des régions prises en charge, consultez Configuration requise.

Si cette vérification échoue, vérifiez que le réseau virtuel fourni se trouve dans une région de la liste des régions prises en charge.

DNS peut résoudre le domaine Active Directory

Pour que Windows 365 effectue correctement une jointure de domaine, les PC cloud attachés au réseau virtuel fourni doivent être en mesure de résoudre les noms DNS internes.

Ce test tente de résoudre le nom de domaine fourni. Par exemple, contoso.com ou contoso.local. Si ce test échoue, vérifiez que :

• Les serveurs DNS du réseau virtuel Azure sont correctement configurés sur un serveur DNS interne qui peut résoudre correctement le nom de domaine.
• Le sous-réseau/réseau virtuel est routé correctement afin que le PC cloud puisse atteindre le serveur DNS fourni.
• Les PC/machines virtuelles cloud dans le sous-réseau déclaré peuvent NSLOOKUP se trouver sur le serveur DNS et répondent avec des noms internes.

En plus de la recherche DNS standard sur le nom de domaine fourni, nous vérifions également l’existence des _ldap._tcp.yourDomain.com enregistrements. Cet enregistrement indique que le serveur DNS fourni est un contrôleur de domaine Active Directory. L’enregistrement est un moyen fiable de confirmer que le DNS de domaine AD est accessible. Assurez-vous que ces enregistrements sont accessibles via le réseau virtuel fourni dans votre ANC.

Connectivité de point de terminaison

Lors de l’approvisionnement, les PC cloud doivent se connecter à plusieurs services Microsoft disponibles publiquement. Ces services incluent Microsoft Intune, Microsoft Entra ID et Azure Virtual Desktop.

Vous devez vous assurer que tous les points de terminaison publics requis peuvent être accessibles à partir du sous-réseau utilisé par les PC cloud.

Si ce test échoue, vérifiez que :

• Vous utilisez les outils de résolution des problèmes de réseau virtuel Azure pour vous assurer que le réseau virtuel/sous-réseau fourni peut atteindre les points de terminaison de service répertoriés dans la documentation.
• Le serveur DNS fourni peut résoudre correctement les services externes.
• Il n’existe aucun proxy entre le sous-réseau du PC cloud et Internet.
• Il n’existe pas de règles de pare-feu (physiques, virtuelles ou windows) susceptibles de bloquer le trafic requis.
• Vous envisagez de tester les points de terminaison à partir d’une machine virtuelle sur le même sous-réseau déclaré pour les PC cloud.

Si vous n’utilisez pas Azure CloudShell, vérifiez que votre stratégie d’exécution PowerShell est configurée pour autoriser les scripts illimités . Si vous utilisez la stratégie de groupe pour définir la stratégie d’exécution, assurez-vous que l’objet de stratégie de groupe (GPO) ciblé sur l’unité d’organisation définie dans l’ANC est configuré pour autoriser les scripts illimités . Pour plus d’informations, consultez Set-ExecutionPolicy.

L’environnement et la configuration sont prêts

Cette vérification est utilisée pour de nombreux problèmes liés à l’infrastructure susceptibles d’être liés à l’infrastructure dont les clients sont responsables. Il peut inclure des erreurs telles que des expirations de service internes ou des erreurs causées par la suppression/modification des ressources Azure par les clients lors de l’exécution des vérifications.

Nous vous recommandons de réessayer les vérifications si vous rencontrez cette erreur. S’il persiste, contactez le support technique pour obtenir de l’aide.

Autorisations d’application tierces

Lorsque vous créez un ANC, l’Assistant accorde un certain niveau d’autorisations sur le groupe de ressources et l’abonnement. Ces autorisations permettent au service d’approvisionner en douceur des PC cloud.

Les administrateurs Azure qui détiennent ces autorisations peuvent les afficher et les modifier.

Si l’une de ces autorisations est révoquée, cette vérification échoue. Vérifiez que les autorisations suivantes sont accordées au principal du service application Windows 365 lication :

• Rôle lecteur sur l’abonnement Azure.
• Rôle Contributeur d’interface réseau Windows365 sur le groupe de ressources spécifié.
• Rôle d’utilisateur réseau Windows365 sur le réseau virtuel.

L’attribution de rôle sur l’abonnement est accordée au principal du service PC cloud.

Vérifiez également que les autorisations ne sont pas accordées en tant que rôles d’administrateur d’abonnement classique ou « Rôles (classique). » Ce rôle n’est pas suffisant. Il doit s’agir de l’un des rôles intégrés de contrôle d’accès en fonction du rôle Azure, comme indiqué précédemment.

Prochaines étapes

Découvrez les contrôles d’intégrité ANC.