Logo Synapsys D’On-Premise à Intune, par où commencer ? La jonction à Azure
9 mins de lecture

D’On-Premise à Intune, par où commencer ? La jonction à Azure

Introduction

Ça y est, la volonté d’aller vers la solution cloud Intune pour gérer l’ensemble des appareils est définie clairement. Se pose alors la question d’où commencer.Pour y voir plus clair,se pencher surles méthodes de jonction à Azure est une première étape. Puis, il seraensuite pertinentde s’interrogersur la stratégie long terme de gestion des appareils.

Dans cet article,sont détaillés les enjeux stratégiques et techniques dela jonction Azure AD. Puisce serala jonctionHybridAzure ADqui sera analyséepermettant d’êtreà mi-chemin entre Active Directory et Azure.

La jonction à Azure, qu’elle soitAzure pureou Hybride, est la manière par laquelle les appareils(et utilisateurs)vontarriverdans le tenant et par conséquent dans Intune. Cela est déterminant dans la future gestion des machines.

L’Azure AD Connect

Avant de réaliser une jonction d’appareils à Azure, c’est bien les équipes Identité qui vont se charger de configurer le connecteur Azure ADConnect.

Le connecteur va permettre de basculer les objets machines et/ouutilisateurs de l’AD vers Azure.Voici unzoom sur le fonctionnement du connecteur.

Fonctionnement du connecteur Azure

Quelquesoit la stratégie adoptée de jointure à Azure,le prérequis est bien d’avoir l’ensemble de ses objets Active Directory sur Azure. Ceci afin qu’utilisateurs, groupes, ou machines, puissent interagir les uns avec les autres.

Concrètement, une fois Intune mis en place, il ne sera possible de déployer une application ou des configurations à l’utilisateur seulement si ce dernier et son appareil sont tous deux dans Azure.

Les options deconfiguration du connecteursont nombreuses. Aussi,il estbon d’avoir une idée claire de quelle jonction d’appareils choisir.

La jonction Azure AD de l’appareil

Dans un contexted’un domaine on-premise, la jonction au domaine est réalisée généralement lors de lamasterisationdu poste. Que cela se réalise dans une séquence de tâches ou autre, il faut nécessairement être en contact avec le contrôleur de domaine (DC) et dans le réseau d’entreprise. Une fois son poste reçu, l’utilisateur finalse connecte pour la première fois avec son compte AD, recevant ainsi sesGPO, souvent nombreuses.

L’Azure AD (AADJoin) peut lui se réaliser avec une simple connexion internet. En effet,il n’est pas nécessaire d’être dans le réseau d’entreprise permettant plus de souplesse pourl’utilisateur final et l’IT locale.

L’AADjoinpeut se réaliser de plusieurs manières :

  • Àtraversl’OOBE Windows 10(Out of the boxexpérience)
  • « Addaworkorschoolaccount » dans les paramètres
  • Enrôlement de masse par PPKG
  • Autopilot

L’OOBEreste la meilleure méthode de jonction pour les nouveaux postes puisque permet de partir d’une base vierge.

C’est lors de l’étape ci-dessus que l’utilisateur finale va renseigner son compted’entreprise.Cela nécessite que son compte ADaitété préalablement synchronisésur Azure grâce à l’Azure ADConnect.Son poste quant à lui n’est à cemoment-làpas connu ni par l’AD, ni par Azure.

Et oui, c’est bien l’utilisateur final qui réalise la jonction. C’est parce que le poste a été joint par ce dernier qu’il va lui être associé et pourra récupérer plus tard ses applications ou profils de configurations Intune.

« Et si je n’ai pas d’Active Directory On Premise? »

Ehbien c’est encore plus simple, il suffit quel’utilisateur ait une identité dans Azure (c’est à dire un compte office 365 généralement) et cela lui permettrade joindreson appareilen fonction de la méthode retenue.

Cela présente aussi l’avantage de ne pas avoir àse préoccuper de la transition entre mode onPrem/hybrideet full cloud.

Ce scenario peut sembler rare mais c’est le cas de beaucoup d’entreprisesde petite taille outaille moyennequi n’avaient jusque-là pas d’environnementcentralisé.On pense aussi auxcas defilialesdegrandesentreprisesqui vivaient dans unécosystèmeà part en modeWorkgroups.

« Mais alors, est-ce que tous nos utilisateurs peuvent réaliser un AADJoin ?Sur n’importe quelle machine ? « 

Oui ou non.

C’est l’entreprise qui décidera quels sont les utilisateursou groupespouvant réaliser un Azure ADJoindans les paramètres du tenant Azure :

paramètres d'Azure

On peut aussi ajouter au processus de jonction AzureduMFA (Multi-FactorAuthentication). Que ce soit celui de Microsoft ou celui d’un autre éditeur, celaajouteunecouche de sécurité supplémentaire obligeant l’utilisateur à avoir son téléphone auprès de lui pour valider l’opération.

Une limite d’appareils par utilisateur peut elle aussi être mise en place pour éviter un flood potentiel de jonction de machines.

Une image contenant texte  Description générée automatiquement

Quantà l’autorisation de l’appareil en lui-même, il est possible mais pas obligatoire, de combiner l’AADJoin, l’enrôlementdans Intuneet l’Autopilot. Ceci afin d’ajouter un « trust » sur l’appareil en l’autorisant spécifiquement à se joindre à Azure (grâce à son hardware hash). Un procédé impliquant davantage de changement,puisqu’ilnécessite de revoir toute la chaine d’approvisionnement des appareils avec le constructeur quiautorisera lui-même au préalable les appareils.

Le poste est maintenant joint à Azure. L’enrôlement dans Intunearriveluidans un second tempsetestdétaillédansle prochain articlequi suivra.

Cet état d’Azurejoinedpur va permettre aux utilisateurs de bénéficier du SSO« seulement »sur les applications fédérées sur Azureainsi qued’être gérés pleinement et exclusivement sur Intune. Et cela, sans avoir contacté une fois le DC ou même avoir été sur le réseau d’entreprise.

Une stratégie apportant du changement il est vrai, mais aussiune souplesse non négligeable au management par les équipes IT mais aussi à l’utilisateur, surtout dans la période de télétravail actuelle.

Hybrid Azure AD

L’HybridAzure AD(HAAD)est une autre méthode de jonctionà Azure. Cela permetau poste d’être à la fois présent dans l’AD, de bénéficier des GPO et autres mécanismes ADtout en étant sur Azure. Une stratégie séduisantepermettant d’avoir le meilleur des deux mondes mais aussi le pire.

Cet état d’entre-deux permet de bénéficier des bonscôtés du domaine tels que lesimprimantes, lespartagesréseaux, le SSO sur certaines applicationslegacy,les points de distribution, etc.

Toutefoisil y a aussidesaspects dont l’entreprise pourraitaimerse passer. On pense auxlourdesGPO obscures, la nécessité du VPN,les applicationsvieillissantes, les serveurs WSUS,le coûteuxMPLS,les partages réseaux pas encore surSharepoint, et d’autres encore.

Il est aussi important de noter que pour que la jonctionHybridpuisse se finaliser,l’utilisateur finale doit se loguersur sa session Windowsavec son compte AD en étant en contact avec le DC, sans quoi l’appareil ne pourra être associé à l’utilisateur. Oublions donc la migration des postesexistant s’ils ne sont pas sur site en contact avec le DC.

En Somme

La jonction HAAD permet de migrer les postes existants de manière transparente pour l’utilisateur final puisqu’une simple connexion à sa sessionsuffira à terminer l’opération.

Toutefois le HAAD n’est pas nécessairement obligatoire si la majorité de l’environnement est déjà ouvert sur le cloud (O365suite,Windows Updates, OneDrive,imprimantes cloud,applications pouvant être fédérées,télétravail important,etc).L’AAD peut répondre pleinement aux besoins des entreprises.

La jonction AAD implique plus de changementil est vrai. Elle offre une approche plus moderne mais aussi plus franche.

Certains y verront en cette transition une opportunitéde serenouvelerpleinement en joignant par exemple exclusivement les nouveaux postes en AADJoinet c’est au fil du renouvellement du parc que toutes les machines passeront sur Azure.

Ou bien il est aussi envisageable de réserver l’AADJoinpour les postes enworkgroup, de mettre en œuvre le HAAD pour les postes existants du domaine si la transition doit se faire plus en douceur.

La jonction de l’appareil dans Azure étant présentée, l’enrôlementdans Intune sera détaillé dans le prochain article.

Date de publication : 16 mars 2021

Vous avez aimé lire cet article ?
Partagez le !