Microsoft Connected Cache & Delivery Optimization : optimiser sa bande passante réseau sous Windows
Les mises à jour Windows, Microsoft 365 ou les applications déployées par Intune peuvent contenir des fichiers volumineux et la...
Ça y est, la volonté d’aller vers la solution cloud Intune pour gérer l’ensemble des appareils est définie clairement. Se pose alors la question d’où commencer. Pour y voir plus clair, se pencher sur les méthodes de jonction à Azure est une première étape. Puis, il sera ensuite pertinent de s’interroger sur la stratégie long terme de gestion des appareils.
Dans cet article, sont détaillés les enjeux stratégiques et techniques de la jonction Azure AD. Puis ce sera la jonction Hybrid Azure AD qui sera analysée permettant d’être à mi-chemin entre Active Directory et Azure.
La jonction à Azure, qu’elle soit Azure pure ou Hybride, est la manière par laquelle les appareils (et utilisateurs) vont arriver dans le tenant et par conséquent dans Intune. Cela est déterminant dans la future gestion des machines.
Avant de réaliser une jonction d’appareils à Azure, c’est bien les équipes Identité qui vont se charger de configurer le connecteur Azure AD Connect.
Le connecteur va permettre de basculer les objets machines et/ou utilisateurs de l’AD vers Azure. Voici un zoom sur le fonctionnement du connecteur.
Quelque soit la stratégie adoptée de jointure à Azure, le prérequis est bien d’avoir l’ensemble de ses objets Active Directory sur Azure. Ceci afin qu’utilisateurs, groupes, ou machines, puissent interagir les uns avec les autres.
Concrètement, une fois Intune mis en place, il ne sera possible de déployer une application ou des configurations à l’utilisateur seulement si ce dernier et son appareil sont tous deux dans Azure.
Les options de configuration du connecteur sont nombreuses. Aussi, il est bon d’avoir une idée claire de quelle jonction d’appareils choisir.
Dans un contexte d’un domaine on-premise, la jonction au domaine est réalisée généralement lors de la masterisation du poste. Que cela se réalise dans une séquence de tâches ou autre, il faut nécessairement être en contact avec le contrôleur de domaine (DC) et dans le réseau d’entreprise. Une fois son poste reçu, l’utilisateur final se connecte pour la première fois avec son compte AD, recevant ainsi ses GPO, souvent nombreuses.
L’Azure AD (AAD Join) peut lui se réaliser avec une simple connexion internet. En effet, il n’est pas nécessaire d’être dans le réseau d’entreprise permettant plus de souplesse pour l’utilisateur final et l’IT locale.
L’AAD join peut se réaliser de plusieurs manières :
L’OOBE reste la meilleure méthode de jonction pour les nouveaux postes puisque permet de partir d’une base vierge.
C’est lors de l’étape ci-dessus que l’utilisateur finale va renseigner son compte d’entreprise. Cela nécessite que son compte AD ait été préalablement synchronisé sur Azure grâce à l’Azure AD Connect. Son poste quant à lui n’est à ce moment-là pas connu ni par l’AD, ni par Azure.
Et oui, c’est bien l’utilisateur final qui réalise la jonction. C’est parce que le poste a été joint par ce dernier qu’il va lui être associé et pourra récupérer plus tard ses applications ou profils de configurations Intune.
Eh bien c’est encore plus simple, il suffit que l’utilisateur ait une identité dans Azure (c’est à dire un compte office 365 généralement) et cela lui permettra de joindre son appareil en fonction de la méthode retenue.
Cela présente aussi l’avantage de ne pas avoir à se préoccuper de la transition entre mode on Prem/hybride et full cloud.
Ce scenario peut sembler rare mais c’est le cas de beaucoup d’entreprises de petite taille ou taille moyenne qui n’avaient jusque-là pas d’environnement centralisé. On pense aussi aux cas de filiales de grandes entreprises qui vivaient dans un écosystème à part en mode Workgroups.
Oui ou non.
C’est l’entreprise qui décidera quels sont les utilisateurs ou groupes pouvant réaliser un Azure AD Join dans les paramètres du tenant Azure :
On peut aussi ajouter au processus de jonction Azure du MFA (Multi-Factor Authentication). Que ce soit celui de Microsoft ou celui d’un autre éditeur, cela ajoute une couche de sécurité supplémentaire obligeant l’utilisateur à avoir son téléphone auprès de lui pour valider l’opération.
Une limite d’appareils par utilisateur peut elle aussi être mise en place pour éviter un flood potentiel de jonction de machines.
Quant à l’autorisation de l’appareil en lui-même, il est possible mais pas obligatoire, de combiner l’AAD Join, l’enrôlement dans Intune et l’Autopilot. Ceci afin d’ajouter un « trust » sur l’appareil en l’autorisant spécifiquement à se joindre à Azure (grâce à son hardware hash). Un procédé impliquant davantage de changement, puisqu’il nécessite de revoir toute la chaine d’approvisionnement des appareils avec le constructeur qui autorisera lui-même au préalable les appareils.
Le poste est maintenant joint à Azure. L’enrôlement dans Intune arrive lui dans un second temps et est détaillé dans le prochain article qui suivra.
Cet état d’Azure joined pur va permettre aux utilisateurs de bénéficier du SSO « seulement » sur les applications fédérées sur Azure ainsi que d’être gérés pleinement et exclusivement sur Intune. Et cela, sans avoir contacté une fois le DC ou même avoir été sur le réseau d’entreprise.
Une stratégie apportant du changement il est vrai, mais aussi une souplesse non négligeable au management par les équipes IT mais aussi à l’utilisateur, surtout dans la période de télétravail actuelle.
L’Hybrid Azure AD (HAAD) est une autre méthode de jonction à Azure. Cela permet au poste d’être à la fois présent dans l’AD, de bénéficier des GPO et autres mécanismes AD tout en étant sur Azure. Une stratégie séduisante permettant d’avoir le meilleur des deux mondes mais aussi le pire.
Cet état d’entre-deux permet de bénéficier des bons côtés du domaine tels que les imprimantes, les partages réseaux, le SSO sur certaines applications legacy, les points de distribution, etc.
Toutefois il y a aussi des aspects dont l’entreprise pourrait aimer se passer. On pense aux lourdes GPO obscures, la nécessité du VPN, les applications vieillissantes, les serveurs WSUS, le coûteux MPLS, les partages réseaux pas encore sur Sharepoint, et d’autres encore.
Il est aussi important de noter que pour que la jonction Hybrid puisse se finaliser, l’utilisateur finale doit se loguer sur sa session Windows avec son compte AD en étant en contact avec le DC, sans quoi l’appareil ne pourra être associé à l’utilisateur. Oublions donc la migration des postes existant s’ils ne sont pas sur site en contact avec le DC.
La jonction HAAD permet de migrer les postes existants de manière transparente pour l’utilisateur final puisqu’une simple connexion à sa session suffira à terminer l’opération.
Toutefois le HAAD n’est pas nécessairement obligatoire si la majorité de l’environnement est déjà ouvert sur le cloud (O365 suite, Windows Updates, OneDrive, imprimantes cloud, applications pouvant être fédérées, télétravail important, etc). L’AAD peut répondre pleinement aux besoins des entreprises.
La jonction AAD implique plus de changement il est vrai. Elle offre une approche plus moderne mais aussi plus franche.
Certains y verront en cette transition une opportunité de se renouveler pleinement en joignant par exemple exclusivement les nouveaux postes en AAD Join et c’est au fil du renouvellement du parc que toutes les machines passeront sur Azure.
Ou bien il est aussi envisageable de réserver l’AAD Join pour les postes en workgroup, de mettre en œuvre le HAAD pour les postes existants du domaine si la transition doit se faire plus en douceur.
La jonction de l’appareil dans Azure étant présentée, l’enrôlement dans Intune sera détaillé dans le prochain article.
Articles similaires
Les mises à jour Windows, Microsoft 365 ou les applications déployées par Intune peuvent contenir des fichiers volumineux et la...
Avec l’évolution constante des systèmes d’exploitation mobiles, il est important de rester à jour afin de garantir la performance et...
Avec la croissance des fusions, acquisitions et réorganisations internes, la migration de tenant à tenant dans Microsoft 365 est un...