Déploiement de configurations de jonction de domaine pour Windows

La jonction de domaine Windows permet à vos utilisateurs de se connecter à un domaine professionnel à distance grâce aux informations d'identification Active Directory ou à celles du terminal local. Utilisez Workspace ONE UEM afin de déployer vos configurations de jonction de domaine de groupe de travail, sur site et hybrides, sur vos terminaux Windows (Windows Desktop).

Intégration à Microsoft Autopilot (jonction de domaine hybride)

Si vous gérez des utilisateurs dans le Cloud et sur site, vous pouvez utiliser Workspace ONE UEM pour attribuer vos configurations de jonction de domaine hybride aux terminaux Windows en exploitant les fonctionnalités de Windows Autopilot et OOBE (Out of Box Experience).

Utiliser un profil Windows Autopilot pour les enrôlements OOBE

Windows Autopilot vous permet de configurer un profil qui spécifie le type de jonction de domaine pour les terminaux passant par OOBE. Vous devez configurer et attribuer un profil Autopilot avec le paramètre de jonction de domaine hybride dans Azure. Les terminaux auxquels ce profil est attribué passeront par le processus OOBE et seront joints Azure AD hybride.

Important : si vous n'attribuez pas de profil Autopilot avec la spécification Jonction hybride dans Azure, vos terminaux Windows passeront par OOBE et seront joints Azure AD. Une fois les terminaux joints Azure AD, vous ne pouvez pas initier une jonction de domaine hybride sans réinitialiser complètement les terminaux.

Pour plus de détails sur Autopilot, consultez les rubriques Microsoft | Docs Configurer des profils Autopilot.

• Si vos utilisateurs utilisent un client VPN tiers pour accéder aux ressources (par exemple, les utilisateurs travaillant à domicile), définissez l'élément de menu du profil Autopilot Ignorer la vérification de connectivité AD (aperçu) sur Oui.
• Si vos utilisateurs n'utilisent pas de client VPN tiers pour accéder aux ressources (par exemple, les utilisateurs se trouvant sur le réseau d'entreprise), définissez l'élément de menu du profil Autopilot Ignorer la vérification de connectivité AD (aperçu) sur Non.

Conditions requises pour le déploiement de la configuration de jonction de domaine

Avant de déployer la configuration de jonction de domaine, vérifiez que vous avez rempli les conditions requises suivantes :

• Enrôlement automatique de Windows : Configurez l'enrôlement automatique dans Azure avec Workspace ONE UEM en tant que système de gestion des terminaux mobiles (MDM). Pour plus de détails, consultez la rubrique Configurer Workspace ONE UEM pour utiliser Azure AD comme service d'identité.
• Workspace ONE UEM : Désactivez la page de suivi d'état pour OOBE.
  1. Dans Workspace ONE UEM, rendez-vous dans Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Général > Enrôlement.
  2. Sélectionnez l'onglet Invite facultative.
  3. Rendez-vous dans la section Windows et désactivez Activer la page de suivi d'état pour OOBE.
• Abonnement Microsoft : Utilisez l'un des abonnements Microsoft qui prennent en charge l'attribution de licences Windows Autopilot. Consultez l'article dans Microsoft | Docs intitulé Conditions de licence Windows AutoPilot.
• Profil Windows Autopilot : Configurez ce profil dans Azure pour que le paramètre de jonction de domaine hybride soit attribué à vos terminaux Windows. Pour plus de détails, consultez les rubriques Microsoft | Docs Configurer des profils Autopilot.
• Inscrire des terminaux avec le profil Autopilot : Pour plus de détails sur la configuration des terminaux Autopilot, consultez l'article dans Microsoft | Docs intitulé Inscrire manuellement des appareils avec Windows Autopilot.
• AirWatch Cloud Connector (ACC) : Utilisez ACC pour activer la jonction de domaine Active Directory sur site dans Workspace ONE UEM.
• Active Directory Users and Computers (ADUC) : Vous avez besoin du composant logiciel enfichable de la console de gestion Microsoft appelé ADUC pour configurer la jonction de domaine sur site par l'intermédiaire de Workspace ONE UEM.
• Confirmez que l'enrôlement automatique de Windows avec Azure dans Workspace ONE UEM est configuré.
• Confirmez que le profil Autopilot dans Azure qui permet aux terminaux de rejoindre Azure AD comme Jonction hybride Azure AD est configuré et attribué.
• Confirmez que vous avez enregistré vos terminaux Windows dans Azure et attribué le profil Autopilot Jonction hybride approprié.
• Confirmez que vous disposez de domaines et d’unités d’organisation dans Active Directory.
• Confirmez que vous avez configuré des services d'annuaire dans la Workspace ONE UEM Console si vous utilisez Active Directory.
• Confirmez que vous avez configuré et attribué une configuration de jonction de domaine dans la Workspace ONE UEM Console.

Ordre des tâches

1. Dans Azure, configurez vos terminaux Autopilot selon les instructions fournies par Microsoft | Docs. Actuellement, ce processus comprend les étapes suivantes.

   1. Enregistrer vos terminaux Autopilot.
   2. Créer un groupe de terminaux.
   3. Créer et attribuer un profil de déploiement Autopilot.
2. Configurez la jonction de domaine sur site dans ADUC, ACC et Workspace ONE UEM.
   1. Dans ADUC, configurez un compte utilisateur disposant d'autorisations de délégué Windows Server, créez une tâche de délégué personnalisée et configurez les autorisations.
   2. Dans ACC, mettez à jour le service AirWatch Cloud Connector pour vous connecter avec le compte utilisateur créé dans ADUC et ajoutez des autorisations d'écriture au dossier ACC.
   3. Dans Workspace ONE UEM, créez une configuration de jonction de domaine pour Active Directory sur site.
   4. Dans Workspace ONE UEM, spécifiez les informations sur l'unité d'organisation en créant et en déployant une ou plusieurs attributions pour la configuration de jonction de domaine.

Configurer les terminaux Autopilot

Dans Azure, configurez vos terminaux Autopilot selon la documentation Microsoft. Actuellement, ce processus comprend les étapes suivantes.

1. Créer un groupe de terminaux.
2. Enregistrer vos terminaux Autopilot.
3. Créer et attribuer un profil de déploiement Autopilot.

Configurer la jonction de domaine sur site

Les étapes ci-dessous expliquent comment configurer et attribuer une configuration de jonction de domaine dans Workspace ONE UEM. Ces étapes permettent à un terminal de rejoindre un domaine sur site lors de l'enrôlement à Workspace ONE. Lorsqu'ils sont configurés avec un profil Autopilot Jonction hybride, les terminaux passent par OOBE pour joindre Azure AD comme étant joints Azure AD hybride. Si vous répondez à toutes les conditions requises pour la jonction de domaine hybride, vous y répondez pour la jonction de domaine sur site, et vous pouvez passer à la configuration, en commençant par la première étape : Configurer ADUC dans la section Jonction de domaine sur site.

Conditions requises supplémentaires pour la jonction de domaine sur site

Si vous utilisez Active Directory pour gérer les utilisateurs, vous pouvez utiliser Workspace ONE UEM pour attribuer vos configurations de jonction de domaine sur site. Vérifiez que les conditions requises suivantes ont été remplies avant de commencer :

• AirWatch Cloud Connector (ACC) : utilisez ACC pour configurer la jonction de domaine pour Active Directory sur site.
• Active Directory Users and Computers (ADUC) : Vous avez besoin du composant logiciel enfichable de la console de gestion Microsoft appelé ADUC pour configurer la jonction de domaine sur site. Ce composant logiciel enfichable fait partie des outils d'administration de serveur distant (RSAT). Consultez Microsoft | Docs pour obtenir la dernière documentation sur Windows Server.
• Vous avez des domaines et des unités d'organisation définis dans votre domaine dans Azure.
• Vous avez configuré des services d'annuaire dans Workspace ONE UEM Console si vous utilisez Active Directory. Pour en savoir plus sur la configuration des services d'annuaire, consultez la rubrique Intégration de Workspace ONE UEM à vos services d'annuaire.

Ordre des tâches

1. Dans ADUC, configurez un compte utilisateur disposant d'autorisations de délégué Windows Server, créez une tâche de délégué personnalisée et configurez les autorisations.
2. Dans ACC, mettez à jour la connexion avec le compte utilisateur créé dans ADUC et ajoutez des autorisations d'écriture. Assurez-vous que l'utilisateur dispose également des privilèges administrateur locaux sur le serveur ACC afin qu'il puisse lancer le service.
3. Dans Workspace ONE UEM, créez une configuration de jonction de domaine pour Active Directory sur site.
4. Dans Workspace ONE UEM, spécifiez les informations sur l'unité d'organisation en créant et en déployant une ou plusieurs attributions pour la configuration de jonction de domaine.

Configurer le Active Directory Utilisateurs and Computers (ADUC)

Dans ADUC, sélectionnez l'utilisateur disposant d'autorisations de délégué Windows Server, créez une tâche de délégué personnalisée et configurez les autorisations.

1. Cliquez avec le bouton droit sur le conteneur ou le dossier dans lequel vous souhaitez ajouter les terminaux et sélectionnez Déléguer le contrôle. Cette sélection affiche l'Assistant de délégation de contrôle.
2. Sélectionnez Suivant dans l'Assistant de délégation de contrôle.
3. Dans la fenêtre Utilisateurs ou groupes, sélectionnez l'utilisateur disposant d'autorisations de délégué Windows Server dans la liste, sélectionnez Ajouter, puis sélectionnez Suivant. Si ce compte utilisateur n'est pas membre du groupe Administrateurs de domaine, augmentez la limite de création de compte d'ordinateur (ms-ds-machine-account-quota) de la valeur par défaut de 10 pour éviter les échecs après avoir joint 10 terminaux au domaine.

4. Dans la fenêtre Tâches à déléguer, sélectionnez Créer une tâche personnalisée à déléguer, puis sélectionnez Suivant.

   

5. Dans la fenêtre Type d'objet Active Directory, sélectionnez Uniquement les objets suivants dans le dossier :, Objets ordinateur et Créer les objets sélectionnés dans ce dossier, puis cliquez sur Suivant.

   

6. Dans la fenêtre Autorisations, sélectionnez Général, Création/suppression d'objets enfants spécifiques, Écriture et Créer tous les objets enfants, puis cliquez sur Suivant.

   

Configurer AirWatch Cloud Connector (ACC)

Mettez à jour la connexion et ajoutez les autorisations d'écriture pour ACC à l'utilisateur modifié dans ADUC afin de déléguer une tâche personnalisée.

1. Modifiez le paramètre Connexion en tant que pour ACC à l'utilisateur configuré avec des autorisations de délégué Windows Server.
   Remarque : Assurez-vous que l'utilisateur dispose également des privilèges administrateur locaux sur le serveur ACC afin qu'il puisse lancer le service.
2. Dans la zone Paramètres de sécurité avancés d'ACC, accordez à l'utilisateur des autorisations d'ÉCRITURE pour le dossier ACC à l'adresse <Drive>:\VMware\AirWatch\CloudConnector.

Créer une jonction de domaine sur site

Déployez une configuration de jonction de domaine dans Workspace ONE UEM sur les terminaux Windows enrôlés qui utilisent les informations d'identification Active Directory pour accéder aux ressources.

1. Dans Workspace ONE UEM Console, accédez à Groupes et paramètres > Configurations et sélectionnez Jonction de domaine dans la liste.
2. Sélectionnez Ajouter.
3. Entrez une valeur dans le champ Nom qui vous permette de reconnaître la jonction de domaine. Par exemple, si vos utilisateurs et ordinateurs dans Active Directory suivent un modèle géographique, vous pouvez entrer Acme - South America. Cette entrée ne doit pas nécessairement correspondre à des paramètres dans Active Directory, mais l'utilisation de modèles similaires dans les deux systèmes peut aider à organiser vos terminaux dans vos jonctions de domaine.
4. Sélectionnez Active Directory sur site pour le Type de jonction de domaine.
5. Affichez le Nom de domaine. La page de configuration de jonction de domaine entre le nom du Serveur configuré sur la page Services d'annuaire. La configuration des services d'annuaire Workspace ONE UEM autorise un serveur pour les services d'annuaire, c'est pourquoi ce champ est complété automatiquement. Accédez aux paramètres des services d'annuaire dans Groupes et paramètres > Tous les paramètres > Système > Intégration d'entreprise > Services d'annuaire.
   Remarque : Si vous souhaitez modifier l'entrée du Serveur sur la page Services d'annuaire, vous devez Désactiver l'élément DNS SRV dans le menu.
6. Sélectionnez Nom convivial du domaine. La page de configuration de jonction de domaine vous propose une liste de noms conviviaux disponibles ajoutés à la liste de domaines pour votre serveur de services d'annuaire sur la page Services d'annuaire. Accédez aux services d'annuaire dans Groupes et paramètres > Tous les paramètres > Système > Intégration d'entreprise > Services d'annuaire.
7. Entrez votre format préféré pour le nom de la machine dans le champ Format du nom de la machine. Utilisez un format pris en charge pour le nom de votre machine. L'infobulle spécifie les formats acceptés. Workspace ONE UEM utilise un maximum de 15 caractères aux formats %SERIAL% ou %RAND:[#]%.
8. Enregistrez la configuration de jonction de domaine pour l'attribuer ultérieurement ou sélectionnez Enregistrer et attribuer maintenant.

Attribuer une configuration de jonction de domaine

Vous trouverez ci-dessous les étapes d'attribution de votre configuration de jonction de domaine :

1. Dans Workspace ONE UEM console, accédez à une page d'attribution en sélectionnant Attribuer dans l'affichage en liste de la jonction de domaine dans Groupes et paramètres > Configurations et sélectionnez Jonction de domaine. Cette fenêtre de configuration s'affiche si vous sélectionnez Enregistrer et attribuer pour votre configuration de jonction de domaine.
2. Sélectionnez le nom de la configuration de jonction de domaine, sauf si l'entrée est préremplie.

3. Ajoutez un Nom de l'attribution qui vous aidera à identifier l'attribution. L'entrée ne doit pas nécessairement correspondre à un paramètre dans Active Directory.

4. Recherchez les unités d'organisation configurées dans vos paramètres ADUC et sélectionnez-en une.

5. Recherchez et sélectionnez des Smart Groups configurés dans Workspace ONE UEM. Vous pouvez attribuer un Smart Group à une seule unité d'organisation et pas plus. Si vous essayez de sélectionner un Smart Group auquel une unité d'organisation est déjà attribuée, la console affiche un message d'erreur contenant des informations de dépannage, vous permettant de décider quels Smart Groups utiliser pour répondre à votre scénario de déploiement actuel.

6. Créez et enregistrez votre attribution.

Remarque : La configuration de jonction de domaine pour un terminal est évaluée et appliquée pendant le processus d'enrôlement. Une fois qu'un terminal a reçu une configuration de jonction de domaine, vous ne pouvez pas le mettre à jour en modifiant les Smart Groups attribués dans Workspace ONE UEM. Workspace ONE UEM ne fournit qu'une configuration de jonction de domaine au terminal à la fois lors de l'enrôlement.

Conteneur d'ordinateurs dans les conflits OU/Smart Groups et Active Directory (AD)

Vous pouvez ajouter plusieurs attributions aux configurations de jonction de domaine, mais vous devez prendre en compte la flexibilité des Smart Groups. Étant donné que les Smart Groups sont flexibles, il est possible que vous ayez un terminal dans plusieurs attributions pour une configuration de jonction de domaine. Ce scénario signifie que le terminal est également attribué à plusieurs unités d'organisation, ce qui n'est pas autorisé. Lorsque la console identifie un terminal comme étant dans plusieurs attributions pour une configuration de jonction de domaine, il le place dans le conteneur d'Ordinateurs dans Active Directory. Vous pouvez accéder à ADUC et placer le terminal dans l'unité d'organisation souhaitée. Le terminal reçoit la configuration de jonction de domaine qui correspond à l'attribution pour l'unité d'organisation.

Configuration d'une jonction de groupe de travail dans Workspace ONE UEM.

Si vous avez des utilisateurs qui se servent d'un compte local pour accéder à leurs terminaux et ressources Windows, vous devez configurez une jonction vers un groupe de travail dans Workspace ONE UEM. Tout d'abord, dans Workspace ONE UEM, créez une configuration de jonction de domaine pour Joindre un groupe de travail. Ensuite, toujours dans Workspace ONE UEM, spécifiez le nom du groupe de travail, le format du nom de la machine et les paramètres d'utilisateur local, puis attribuez la configuration à un Smart Group.

Création d'une jonction de domaine pour les groupes de travail dans Workspace ONE UEM

Déployez une configuration de jonction de domaine dans Workspace ONE UEM pour les terminaux Windows Desktop enrôlés qui utilisent des comptes locaux pour accéder aux ressources en effectuant les étapes suivantes :

1. Depuis la Workspace ONE UEM Console, accédez à Groupes et paramètres > Configurations et sélectionnez Jonction de domaine dans la liste.
2. Sélectionnez Ajouter.
3. Entrez une valeur dans le champ Nom qui vous permette de reconnaître la jonction de domaine. Par exemple, si vos utilisateurs et ordinateurs dans Active Directory suivent un modèle géographique, vous pouvez entrer Acme - South America. Cette entrée ne doit pas nécessairement correspondre à des paramètres dans Active Directory, mais l'utilisation de modèles similaires dans les deux systèmes peut aider à organiser vos terminaux dans vos jonctions de domaine.
4. Sélectionnez Groupe de travail dans Type de jonction de domaine.
5. Entrez le nom pour le Groupe de travail. Le nom vous permet d'organiser et d'identifier le groupe de travail dans la console Workspace ONE UEM.
6. Entrez le format du nom pour la machine dans le champ Format du nom de la machine. Utilisez un format pris en charge pour le nom de votre machine. L'infobulle spécifie les formats pris en charge dans l'interface utilisateur. Utilisez exactement 15 caractères au format %SERIAL% ou %RAND:[#]%.
7. Si vous voulez créer directement l'utilisateur local pour la jonction de domaine, activez Créer un utilisateur local.
8. Si vous souhaitez accorder à l'utilisateur local des autorisations d'admin, activez Définir en tant qu'administrateur. Les administrateurs ont des autorisations qui incluent la possibilité de désenrôler les terminaux ou de désinstaller les applications système.
9. Entrez un Nom d'utilisateur local et un Mot de passe d'utilisateur local que l'utilisateur du terminal pourra entrer pour accéder au terminal avec cette configuration de jonction de domaine. Renseignez une entrée pour le nom d'utilisateur et le mot de passe de vos utilisateurs.
10. Enregistrez la configuration de jonction de domaine pour l'attribuer ultérieurement ou sélectionnez Enregistrer et attribuer maintenant.

Attribuer une configuration de jonction de domaine

1. Dans la Workspace ONE UEM console, accédez à une page d'attribution en sélectionnant Attribuer dans l'affichage en liste de la jonction de domaine dans Groupes et paramètres > Configurations et sélectionnez Jonction de domaine. Cette fenêtre de configuration s'affiche si vous sélectionnez Enregistrer et attribuer pour votre configuration de jonction de domaine.
2. Sélectionnez le nom de la configuration de jonction de domaine, sauf si l'entrée est préremplie.
3. Ajoutez un Nom de l'attribution qui vous aidera à identifier l'attribution. L'entrée ne doit pas nécessairement correspondre à un paramètre dans Active Directory.
4. Recherchez et sélectionnez des Smart Groups configurés dans Workspace ONE UEM. Vous ne pouvez attribuer qu'une seule configuration de groupe de travail par Smart Group. Si vous essayez de sélectionner un Smart Group qui est déjà attribué à une configuration de groupe de travail, la console affiche un message d'erreur contenant des informations de dépannage, vous permettant ainsi de choisir quels Smart Groups utiliser pour répondre à votre scénario de déploiement actuel.
5. Créez et enregistrez votre attribution.