Intune - Windows 10 en mode Hybrid Join avec Autopilot

-

 

Dans cet article, je vais vous détailler l'ensemble des étapes à effectuer pour réaliser la jonction Hybride AD et Azure AD avec le connecteur Intune le tout en mode Windows Autopilot.

1. Mise en place du connecteur Intune

Délégation de droits pour le serveur qui supporte le connecteur

Souce : https://docs.microsoft.com/fr-fr/mem/autopilot/windows-autopilot-hybrid


Ouvrez Utilisateurs et ordinateurs Active Directory (DSA.msc).


Faire un clic droit sur l'OU prévues aux PC en jonction hybride > Déléguer le contrôle.

Le volet Types d'objets.

Dans l'Assistant Délégation de contrôle, sélectionnez Suivant > Ajouter > Types d'objets.


Dans le volet Types d'objets, sélectionner  Ordinateurs > OK.

Le volet Sélectionner des utilisateurs, des ordinateurs ou des groupes.

A l'étape suivante : 


Entrez les noms des objets à sélectionner, entrez le nom de l'ordinateur où le connecteur est installé.


Sélectionnez Vérifier les noms pour valider votre entrée > OK > Suivant.


Sélectionnez Créer une tâche personnalisée à déléguer > Suivant.


Sélectionnez uniquement les objets suivants dans le dossier > Objets d'ordinateur.

Le volet Type d'objet Active Directory.

Sélectionner Only the following objects in the folder


Puis Computers


Cocher les deux cases : 

  • Create selected objects

  • Delete selected objects


Cliquer Suivant.



Le volet Autorisations.

Sous Autorisations, cochez la case Contrôle total. Cette action sélectionne toutes les autres options.


Sélectionnez Suivant  puis Terminer.


Installation du connecteur

Prérequis pour cette étape :

  • Utiliser un compte ayant une licence M365 attribuée et les droits nécessaires pour procéder à la validation de la mise en place de ce plugin

  • Positionner les droits nécessaires pour le compte machine servant de connecteur sur l'OU dédié aux à l'intégration des postes en mode Hybride Join


  • Pour améliorer les possibilités d'intégration, il est préférable de configurer le connecteur sur plusieurs serveurs locaux.


Aller dans la console Endpoint.microsoft.com

 

Puis dans la section Appareils

Sélectionner Inscrire des appareils

Sélectionner Connecteur Intune pour Azure Directory

Cliquer sur Ajouter

Cliquer sur Télécharger le connecteur Intune local pour Active Directory et exécuter le fichier Exe

Cocher la case et cliquer sur Install

Installation terminée, cliquer sur Configure Now

Cliquer ensuite sur Sign In,

Une fenêtre apparaît ensuite, entrer les identifiants et mot de passe du compte autorisé à valider la mise en place du connecteur

Attendez quelques minutes, puis le message Installation terminée apparaît.

Côté console, le connecteur est maintenant visible avec le statut Actif

2. Création de la GPO autorisant les utilisateurs à joindre leur poste au domaine local

Pour que l'utilisateur puisse intégrer son poste dans l'Active Directory local lors de la phase autopilot, il est nécessaire de mettre en place une GPO qui va lui octroyer les droits nécessaires.

Pour ce faire, il faut ouvrir une MMC puis créer une nouvelle GPO contenant les paramètres suivants :

  • Configuration ordinateur \ Stratégies \ Modèles d'administration \ Composant Windows \ GPM 

Et passer la valeur suivante sur Activé

  • Activer l'inscription MDM automatique en utilisant des informations d'identification Azure par défaut

3. Création du profil join domain 

Pour mettre en œuvre la jonction au domaine local, il faut créer un profil de configuration. Pour ce faire, suivez les étapes ci-dessous :


Aller dans la console Endpoint.microsoft.com

 

Puis dans la section Appareils

Cliquer sur Profils de configuration

Cliquer sur Créer un profil

Choisir ensuite :

  • Le type de plateforme : Windows 10

  • Type de profil : Modéles

  • Nom du modèle : Jonction au Domaine


Puis cliquer sur Créer

Renseigner le nom du profil puis cliquer sur Suivant

Renseigner les éléments suivants : 

  • Préfixe

  • Nom du domaine

  • Unité d'organisation


Puis cliquer sur Suivant

Ajouter le groupe concerné par ce profil puis cliquer sur Suivant

Cliquer sur Suivant

Vérifier la configuration puis valider en appuyant sur Créer

4. Création du profil d'intégration Autopilot

Pour créer votre profil d'intégration Autopilot, il suffit de suivre les étapes ci-dessous :

Aller dans la console Endpoint.microsoft.com


Puis dans la section Appareils

Cliquer Inscription et Profils de déploiement

Cliquer sur Créer un profil

Renseigner le nom du profil


La conversation est désactivée, je préfère utiliser l'intégration du fichier CSV pour la mise en œuvre d'Autopilot :


https://www.ccmtune.fr/2021/12/intune-obtenir-et-importer-un-fichier.html

Sélectionner :


  • Jointure hybride Azure AD

  • Ignorer la vérification de connectivité AD


Puis cliquer sur Suivant

Ajouter le groupe de PC à cibler avec ce profil de déploiement


Puis cliquer sur Suivant

Vérifier les éléments de la configuration puis cliquer sur Créer


5. CSP to Disable User Setting in ESP

Lors du processus d'enrôlement en mode Hybrid Join, vous pouvez rencontrer une erreur dans la page d'inscription ESP. Pour contourner ce bug, il suffit de créer une OMA-URI et de la déployer sur le groupe d'utilisateurs concerné par la jonction hybride.

Voici le détail de l'OMA-URI à créer :


  • Name:  SkipUserStatusPage

  • Description:  (whatever you want)

  • OMA-URI:  ./Vendor/MSFT/DMClient/Provider/MS DM Server/FirstSyncStatus/SkipUserStatusPage

  • Data type:  Boolean

  • Value:  True

Sources : Set up the Enrollment Status Page - Microsoft Intune | Microsoft Docs

6. Vérifier l'état de l'inscription sur le domaine local et sur Azure AD

Pour ce faire, il suffit d'exécuter la commande suivante dans une invite de commande en mode admin :

dsregcmd /status


Si tout est OK, vous obtiendrez le résultat suivant :












Popular posts from this blog

How to implement Applocker with Microsoft Intune

-
Image
Applocker is tool included in Windows 10 and 11. It permit to set up policies or rules for allow or deny apps from running on your device.  We can create Applocker rules for below file types:  EXE files : .exe and .com Windows Installer files : .msi, mst, and .msp Scripts : .ps1, .bat, .cmd, .vbs, and .js DLLs : .dll and .ocx Packaged apps and packaged app installers : .appx and .msix. Sources :  https://learn.microsoft.com/fr-fr/windows/security/threat-protection/windows-defender-application-control/applocker/understanding-applocker-rule-collections The Applocker solution purpose a multiple possibilities for secure your device. We have possibilities to block or allow apps. By default, it is recommended to allow all applications and add a custom rules for a scpecific application. Prérequisites for used Applocker Device with Windows 10 or 11 for prepare the Applocker rules Application Identity service enabled Enable Applocker For create an Applocker policy, you need to login as an admin
Read more »

How to reset computer in OOBE mode

-
Image
When you receive a new computer, it may contain various applications that are useless in a business context. To solve this problem and start with a clean PC, it may be interesting to reset it.  Here is two procedures that can be performed in OOBE mode Manual process Click CTRL + Shift + F3 , your computer restart. The Windows session is automatically opened Go to Start Menu \ Parameters \ Update & Security \ Recovery and click on Get Started Select Remove everything Select Local reinstall Click Next Click Reset Your computer restarts and proceeds to a complete reinstallation. With Command Line Click  Shift + F10 , your computer restart. Used this command line : systemreset -factoryreset Select Remove everything Select Remove files and clean the drive Click Reset Your computer restarts and proceeds to a complete reinstallation.
Read more »

Microsoft Intune, Uninstall Win32 app with the company portal

-
Image
With the arrival of build 2307 of Microsoft Intune , Microsoft provides a new option on the Application part. Source :  What's new in Microsoft Intune | Microsoft Learn This option allows us to offer users the possibility of uninstalling an Win32 application via the Company Portal. Below you will find the procedure to activate the option in the Microsoft Intune console. Prerequisites Intune tenant up to date Win32 app available in the company portal A valid Uninstall command line Enabling the Uninstall option Go to  Intune.microsoft.com Navigate to Apps / Windows Select an  Win32 App and click Properties On Program , click Edit Activate the option Allow available uninstall  by switching the option to Yes Click Review + Save for all sections and click Save User side Open the company portal then select an available Win32 application. After updating, you should see the mention Uninstall.  Click Uninstall for remove the application.
Read more »