Documentation produit

Joint à Azure Active Directory hybride

May 31, 2026
Contributeur: 
C

Remarque :

Depuis juillet 2023, Microsoft a renommé Azure Active Directory (Azure AD) en Microsoft Entra ID. Dans ce document, toute référence à Azure Active Directory, Azure AD ou AAD fait désormais référence à Microsoft Entra ID.

Cet article décrit les exigences pour créer un pool d’identités de catalogues joints à Azure Active Directory hybride (HAAD) et de catalogues joints à Azure AD hybride inscrits dans Microsoft Intune, en plus des exigences décrites dans la section des exigences système.

Les machines jointes à Azure AD hybride utilisent l’AD sur site comme fournisseur d’authentification. Vous pouvez les attribuer à des utilisateurs ou des groupes de domaine dans l’AD sur site. Pour activer l’expérience SSO transparente d’Azure AD, vous devez synchroniser les utilisateurs de domaine avec Azure AD.

Remarque :

Les machines virtuelles jointes à Azure AD hybride sont prises en charge dans les infrastructures d’identité fédérées et gérées.

Exigences pour les machines jointes à Azure Active Directory hybride

  • Type de VDA : Session unique (postes de travail uniquement) ou multi-session (applications et postes de travail)
  • Version du VDA : 2212 ou ultérieure
  • Type de provisionnement : Machine Creation Services™ (MCS), persistant et non persistant
  • Type d’affectation : Dédié et en pool
  • Plateforme d’hébergement : Tout hyperviseur ou service cloud

Limitations pour les machines jointes à Azure Active Directory hybride

  • Si le service d’authentification fédérée Citrix (FAS) est utilisé, l’authentification unique est dirigée vers l’AD sur site plutôt que vers Azure AD. Dans ce cas, il est recommandé de configurer l’authentification basée sur certificat Azure AD afin que le jeton d’actualisation principal (PRT) soit généré lors de la connexion de l’utilisateur, ce qui facilite l’authentification unique aux ressources Azure AD au sein de la session. Sinon, le PRT ne sera pas présent et l’authentification unique aux ressources Azure AD ne fonctionnera pas. Pour plus d’informations sur la réalisation de l’authentification unique (SSO) Azure AD pour les VDA joints en mode hybride à l’aide du service d’authentification fédérée Citrix (FAS), consultez VDA joints en mode hybride.
  • Ne sautez pas la préparation de l’image lors de la création ou de la mise à jour de catalogues de machines. Si vous souhaitez ignorer la préparation de l’image, assurez-vous que les machines virtuelles principales ne sont pas jointes à Azure AD ou à Azure AD hybride.

Considérations relatives aux machines jointes à Azure Active Directory hybride

  • La création de machines jointes à Azure Active Directory hybride nécessite la permission Write userCertificate dans le domaine cible. Assurez-vous de saisir les informations d’identification d’un administrateur disposant de cette permission lors de la création du catalogue.

  • Le processus de jonction à Azure AD hybride est géré par Citrix. Vous devez désactiver autoWorkplaceJoin contrôlé par Windows dans les machines virtuelles principales comme suit. La tâche de désactivation manuelle de autoWorkplaceJoin n’est requise que pour la version 2212 ou antérieure du VDA.

    1. Exécutez gpedit.msc.
    2. Accédez à Configuration ordinateur > Modèles d’administration > Composants Windows > Inscription des appareils.
    3. Définissez Enregistrer les ordinateurs joints au domaine en tant qu’appareils sur Désactivé.

  • Sélectionnez l’unité d’organisation (OU) configurée pour être synchronisée avec Azure AD lors de la création des identités de machine.

  • Pour une machine virtuelle principale basée sur Windows 11 22H2, créez une tâche planifiée dans la machine virtuelle principale qui exécute les commandes suivantes au démarrage du système à l’aide du compte SYSTEM. Cette tâche de planification d’une tâche dans la machine virtuelle principale n’est requise que pour la version 2212 ou antérieure du VDA.

     $VirtualDesktopKeyPath = 'HKLM:\Software\AzureAD\VirtualDesktop'
 $WorkplaceJoinKeyPath = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin'
 $MaxCount = 60

 for ($count = 1; $count -le $MaxCount; $count++)
 {
   if ((Test-Path -Path $VirtualDesktopKeyPath) -eq $true)
   {
     $provider = (Get-Item -Path $VirtualDesktopKeyPath).GetValue("Provider", $null)
     if ($provider -eq 'Citrix')
     {
         break;
     }

     if ($provider -eq 1)
     {
         Set-ItemProperty -Path $VirtualDesktopKeyPath -Name "Provider" -Value "Citrix" -Force
         Set-ItemProperty -Path $WorkplaceJoinKeyPath -Name "autoWorkplaceJoin" -Value 1 -Force
         Start-Sleep 5
         dsregcmd /join
         break
     }
   }

   Start-Sleep 1
 }
 <!--NeedCopy-->
  • Par défaut, Azure AD Connect se synchronise toutes les 30 minutes. Les machines provisionnées peuvent prendre jusqu’à 30 minutes pour être jointes à Azure AD hybride lors du premier démarrage.

Catalogues joints à Azure AD hybride inscrits dans Microsoft Intune

Les catalogues joints à Azure AD hybride, les machines virtuelles persistantes à session unique et multi-session, inscrits dans Microsoft Intune utilisent les informations d’identification de l’appareil avec la capacité de cogestion.

La cogestion vous permet de gérer simultanément les appareils Windows 10 ou version ultérieure à l’aide de Configuration Manager et de Microsoft Intune. Pour plus d’informations, consultez Cogestion.

Conditions préalables pour les catalogues joints à Azure AD hybride inscrits dans Microsoft Intune

Avant d’activer cette fonctionnalité, vérifiez que :

  • Votre environnement Azure répond aux exigences de licence pour utiliser Microsoft Intune. Pour plus d’informations, consultez la documentation Microsoft.
  • Vous disposez d’un déploiement Configuration Manager valide avec la cogestion activée. Pour plus d’informations, consultez la documentation Microsoft.

Exigences pour les catalogues joints à Azure AD hybride inscrits dans Microsoft Intune

  • Type de VDA : Session unique ou multisession
  • Version du VDA : 2407 ou ultérieure
  • Type de provisionnement : Machine Creation Service (MCS), Persistant. Les catalogues joints à Azure AD hybride inscrits dans Microsoft Intune pour les machines virtuelles non persistantes à session unique et multisession sont actuellement en préversion. Voir Inscription de machines virtuelles non persistantes jointes à Hybrid Entra ID dans Microsoft Intune.
  • Type d’affectation : Dédié et en pool
  • Plateforme d’hébergement : Tout hyperviseur ou service cloud

Limitations pour les catalogues joints à Azure AD hybride inscrits dans Microsoft Intune

  • Ne sautez pas la préparation de l’image lors de la création ou de la mise à jour des catalogues de machines.
  • La gestion des clients basée sur Internet (IBCM) de Configuration Manager n’est pas prise en charge.

Considérations pour les catalogues joints à Azure AD hybride inscrits dans Microsoft Intune

  • L’inscription Intune peut être retardée si trop de machines du catalogue sont mises sous tension simultanément.

    Microsoft impose une restriction d’inscription Intune par locataire qui limite le nombre d’appareils pouvant être inscrits dans un laps de temps spécifique. Le nombre d’appareils autorisés varie en fonction du nombre de licences Microsoft Intune associées au locataire. Consultez votre équipe de compte Microsoft pour connaître la limite autorisée pour votre locataire. Cette approche permet à l’inscription Microsoft Intune de mieux s’adapter aux grands environnements.

    Pour les machines persistantes, un temps d’attente initial peut être nécessaire pour que tous les appareils terminent l’inscription Intune.

    Pour les machines non persistantes, envisagez de limiter les actions d’alimentation simultanées dans Autoscale™ ou les actions d’alimentation manuelles.

  • Configurez l’attachement au cloud de Configuration Manager. Pour plus d’informations, consultez la documentation Microsoft.
  • Installez manuellement le client Configuration Manager sur la VM maître sans attribuer le code de site avec .\CCMSetup.exe /mp:SCCMServer /logon FSP=SCCMServer. SCCMServer est le nom du serveur SCCM dans votre environnement. Pour plus d’informations, consultez la documentation Microsoft.

  • Les machines créées par MCS utilisent le mécanisme d’attribution automatique de site pour trouver les groupes de limites de site publiés dans les services de domaine Active Directory. Assurez-vous que les limites et groupes de limites de Configuration Manager sont configurés dans votre environnement. Si l’attribution automatique de site n’est pas disponible, un code de site Configuration Manager statique peut être configuré dans la VM maître via le paramètre de registre suivant :

    Clé :

     HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\MachineIdentityServiceAgent\DeviceManagement
 <!--NeedCopy-->

    Nom de la valeur : MdmSccmSiteCode

    Type de valeur : Chaîne

    Données de la valeur : the site code to be assigned

Étapes suivantes

Pour plus d’informations sur la création d’un pool d’identités de catalogues joints à Hybrid Azure Active Directory, consultez Pool d’identités de machines jointes à Hybrid Azure Active Directory.

Joint à Azure Active Directory hybride
May 31, 2026
Contributeur: 
C
May 31, 2026
Contributeur: 
C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.