TLDR

En récap :

• si accès à un portail admin -> demande MFA (obligatoire à compter d’octobre 2025)
• si accès à la page de gestion des moyens MFA -> demande MFA
• si MFA est “enforced” pour l’utilisateur -> demande MFA quelle que soit le portail (mais bypass possible en fonction de l’IP)
• si self-service password reset activé -> MFA obligatoire même pour Office

Software TOTP

Les jetons utilisés par MS Authenticator ne sont pas standards ; ils ne peuvent être utilisés que dans l’applis MS Authenticator (qui doit avoir accès aux notifications push pour fonctionner).
Pour utiliser un TOTP standard, il faut utiliser l’option “Je souhaite utiliser une autre application d’authentification”.

Les 2 méthodes génèrent des QRCode, mais ceux de MS encodent une URL de type “phonefactor://” alors que ceux standard encodent une URL de type “otpauth://” .
Il est pertinent de sauvegarder les QRcode standards, car ils contiennent juste un secret (une graine) qui peut être réutilisée à tout moment.
Ceux de MS permettent une communication limitée dans le temps avec les serveurs de MS, donc ça ne sert à rien de les conserver.

Si on scanne un code “phonefactor://” avec une appli standard, certaines renverront juste une erreur, alors que d’autres (comme Aegis) signifieront explicitement ne pas être compatibles avec la méthode propriétaire de MS.

MS Auth permet l’identification soit par notification push, soit par un code type TOTP.
À noter que le code TOTP généré par MS Auth n’est pas le même qu’avec une appli standard !

Si les 2 méthodes sont activées pour un compte donné, on peut alors utiliser soit le code TOTP, soit le code MS Auth lors de la demande MFA.

Paramètres de sécurité par défaut

L’accès conditionnel du MFA nécessite des licences Entra P1/P2.

Si l’organisation n’a pas ces licences, la MFA peut être forcée pour tous les utilisateurs via le mécanisme des “paramètres de sécurité par défaut”. Ceux-ci exigent (entre autres) la MFA pour tous les utilisateurs.
Ils peuvent s’activer et se désactiver dans
Entra admin center -> Entra ID -> Overview -> Properties -> Manage security defaults (tout en bas de la page)

Il est aussi possible de forcer les utilisateurs 1 par 1 via le menu Per-user MFA (voir plus bas).

Paramètrage général

Le menu “Entra ID -> Multifactor authentication” n’est pas toujours disponible ; à voir si cela dépend de la date de création du tenant, ou bien des licences Entra Premium ?
Il semble que ces paramètres sont de toute façon dépréciés par MS, et voués à être remplacés par ce qui suit.

Entra admin center -> Entra ID -> Authentication methods
Contient les paramétrages globaux pour la MFA.

Policies (Stratégies) : permet de choisir quels modes de MFA sont autorisés selon les groupes d’utilisateurs.

• Software OATH token : TOTP standard ; sera proposé sous l’intitulé “MS Authenticator” mais avec l’option “Autre appli”
• MS Authenticator : option “phonefactor://” de MS

Certaines stratégies peuvent être paramétrées en cliquant sur leur nom.

Note sur les codes TOTP (MS Auth / OATH Soft token) :

• si seulement MS Auth activé : absence de l’option “Autre appli” ; choisir MS Auth demande de sélectionner un compte “Pro ou scolaire”
• si les MS Auth + OATH activés : présence de l’option “Autre appli” ; choisir MS Auth demande de sélectionner un compte “Pro ou scolaire”
• si seulement OATH activé : présence de l’option “Autre appli” ; choisir MS Auth demande de sélectionner un compte “Autre”

Settings -> “System-preferred multifactor authentication” :
Ceci force les utilisateurs à être, en premier lieu, exposé à la méthode MFA considéré la + sécurisée par MS. Celle-ci peut changer au fil du temps.
Si cette fonctionnalité est désactivée, les utilisteurs peuvent choisir eux-même la méthode proposée en 1er (voir paragraphe sur la gestion par les utilisateurs finaux).
Ceci n’empêche jamais les utilisateurs d’utiliser une autre méthode ; ça définit juste la première méthode proposée. Ils peuvent toujours en choisir une autre (à condition qu’elle soit autorisée par les stratégies) en déclarant la 1e méthode inaccessible.

“Registration campaign” : ne supporte actuellement (septembre 2025) que MS Authenticator

Obligation MFA pour les centres d’admin

https://aka.ms/mfaforazure
https://learn.microsoft.com/en-us/entra/identity/authentication/concept-mandatory-multifactor-authentication

Activée de force le 30 septembre 2025 au + tard.
Contrairement à ce qui est indiqué sur la doc MS, le centre d’admin M365 (https://admin.microsoft.com) n’est pas encore concerné (même si ça va surement finir par venir).
Mais activée pour le centre d’admin Entra, d’Intune, et le portail Azure, notamment.

Le paramétrage pour désactiver la MFA en provenance de certaines plages d’IP ne s’appliquent pas à l’accès aux centres d’admin ; la MFA sera demandée en tous les cas.

Se gère ici :
https://entra.microsoft.com/#view/Microsoft_Azure_Resources/MfaSettings.ReactView
Besoin d’être avec “accès élevé” pour modifier les paramètres.

(note : la même page est aussi accessible via les portails Intune et Azure ; c’est bien le même paramétrage accessible de 3 endroits différents)

Les options proposées semblent être un sous-ensemble de celles autorisées dans les “Stratégies”. En activant tout, j’ai le choix entre :

• MS Auth
• TOTP
• Hardware token
• SMS
• Appel

Pour pouvoir accéder aux centres d’admin, il faut qu’une des méthodes ci-dessus soit activée dans les Stratégies, et que l’utilisateur s’enregistre via cette méthode.

Paramètres MFA par utilisateur

Peut se gérer dans Entra ID -> Users -> onglet “Per-user MFA”
(le menu Entra admin center -> Entra ID -> Multifactor authentication -> Additional cloud-based multifactor authentication settings envoie dans le même menu)

Lorsqu’on active la MFA pour un utilisateur, son état passe à “enabled”. Cela signifie qu’il sera contraint d’activer la MFA à sa prochaine connexion.
Une fois la MFA enregistrée par l’utilisateur final, son état passe à “enforced”. À partir de là, elle est nécessaire même pour une simple connexion à Office.

Lorsque l’état est “disabled”, la MFA est ignorée pour les connexions simples à Office. Elle reste nécessaire pour les centres d’admin, ou l’accès à la page utilisateur final de gestion de la MFA.

Entra ID -> Users -> choisir user -> Authentication methods
permet de visualiser les modes d’auth disponibles, indisponibles (activées par l’utilisateur, mais désactivées par les stratégies) et par-défaut pour l’utilisateur sélectionné ; permet d’ajouter certains modes (mail, tél) et d’en supprimer d’autres.

On ne peut pas voir ses propres méthodes d’auth via ce menu ; il faut passer par le lien du paragraphe “Utilisateur final”.

Services settings

Dans l’onglet “Per-user MFA”, il y a un onglet “Service settings”.
C’est ici que l’on peut autoriser la mémorisation d’une réponse MFA pendant plusieurs jours.
On peut aussi y désactiver la MFA pour certaines plages d’IP (fonctionne pour les accès standards à Office, mais pas aux centres d’admin ni à la gestion MFA par l’utilisateur final).

Self-service password recovery

Entra -> Entra ID -> Password reset
Les utilisateurs pour lesquels SSPR est activé ont l’obligation d’activer la MFA, avant de pouvoir se connecter via la connexion web (navigateur, connexion Office etc).

La réinitialisation se fait ici :
https://passwordreset.microsoftonline.com

Il faut valider la MFA par une des méthodes enregistrées et on peut reset son propre mot de passe.

Gestion par l’utilisateur final

https://mysignins.microsoft.com/security-info

L’accès à cette page est lui-même soumis à la MFA.
Les stratégies listées ici sont celles pour lesquelles il y’a une donnée enregistrée. Cela ne signifie pas que ce mode d’auth est accepté par Entra. Il peut avoir été désactivé.

À noter que l’utilisateur peut gérer ses moyens de MFA, mais pas les demandes de MFA elles-mêmes, ni les moyens acceptés et ceux refusés.
Ceci est paramétré par MS et/ou les admins.

App password

Il faut que la MFA soit “enforced” pour l’utilisateur qui veut créer un “app password”.
Ensuite, dans la gestion par l’utilisateur final, il devrait être possible de créer un app password.

Jonction avec Entra

Les appareils peuvent être enregistrés (Entra registered), joints (Entra joined) ou en jonction hybride (Entra hybrid-joined).

https://www.it-connect.fr/inscription-machines-entra-id-registered-joined-hybrid-joined/
https://learn.microsoft.com/en-us/entra/identity/devices/faq
https://learn.microsoft.com/en-us/entra/identity/devices/manage-stale-devices

Registered

https://learn.microsoft.com/en-us/entra/identity/devices/concept-device-registration

Si on ajoute un “Compte professionnel ou scolaire”, même sur un appareil perso, alors l’appareil apparaît dans Entra en tant que Registered. Il reste la “propriété” du son propriétaire de base.
Dans Entra ID, on voit la personne qui a ajouté le Compte pro ou scolaire. Si cette personne est supprimée d’Entra ID, le propriétaire sera défini à Aucun.

Si on supprime le “Compte professionnel” des paramètres de Windows, l’appareil disparaît d’Entra.

Lors du 1er lancement d’Office, si on refuse la gestion de l’appareil par la société (“Non, se connecter à cette application uniquement”), l’appareil n’apparait pas dans Entra, et le compte n’est pas référencé dans Accès pro ou scolaire.
Si on accepte la gestion, ça ajoute le compte pro/scolaire et inscrit l’appareil dans Entra.

Entra-joined

https://learn.microsoft.com/en-us/entra/identity/devices/concept-directory-join

L’appareil appartient à l’organisation, et est joint à Entra ID par un admin de l’organisation.
L’architecture administrative est complètement sur le cloud.
Ce mode permet l’accès aux ressources cloud, ainsi que locales.
Le paramétrage des appareils se fait avec un MDM, comme Intune.
Il faut Win Pro ou + (ou Server 2019+).

Pour joindre l’appareil à Entra, il faut aller dans “Compte professionnel ou scolaire”, puis au lieu de rentrer l’adresse mail, il faut sélectionner la proposition, en bas de la fenêtre (sous “Actions alternatives”), “Joindre cet appareil à Microsoft Entra ID”
(si cette proposition n’apparaît pas, c’est probablement un Windows Famille, ou alors l’ordi est déconnecté d’internet)

Le choix du compte qui établit la jonction définit si le poste est automatiquement inscrit dans Intune, ou non (par le réglage d’inscription d’Intune).

Il est impossible d’avoir un appareil qui soit Entra-joined et joint à un domaine ! L’application d’un mode de connexion empêche l’application du second (on aura un message d’erreur si on essaye). Pour avoir cette configuration, il faut faire une jonction hybride.

Entra hybrid-joined

Ce sont les appareils qui sont joints au domaine local, et également “joints” à Entra ID.
le point de départ est la connexion au domaine local. Puis ce domaine doit être configuré pour permettre une jonction hybride (plusieurs méthodes possibles).
Une fois ceci fait, les postes concernés récupéreront automatiquement la connexion à Entra ID.

https://memo.raphaelguetta.fr/post/entra-hybrid-joined

dsregcmd

La commande dsregcmd permet de diagnostiquer le statut et les problèmes de connexion à Entra ID.

On peut ajouter le flag /debug à chaque paramètre pour avoir plus d’infos.

Le flag /forcerecovery force à se reconnecter.

dsregcmd /status permet de voir le statut de connexion actuel de l’appareil. Un article chez MS donne des informations sur chacun des champs, mais j’en liste ici quelques-uns qui me semblent importants.

Sous"Device State", tout en haut :

• AzureAdJoined permet de dire s’il est joint à Entra (si YES, il sera donc joined ou hybrid-joined)
• EnterpriseJoined correspond à Workplace Joined, je n’explore pas cette possibilité
• DomainJoined correspond à un domaine local (si YES, il sera donc joint uniquement au domaine, ou bien hybrid-joined)

Sous"User State" :

• NgcSet correspond à l’utilisation de Windows Hello
• WorkplaceJoined correspond à la présence d’un Compte Professionnel ou scolaire (et le nombre est en dessous, WorkAccountCount)

Sous “Device Details”, on peut trouver l’ID de l’appareil, que l’on retrouvera dans Entra ID (sous ID de l’appareil, et non ID de l’objet).
“Device Details” n’apparaît que si l’appareil est (hybrid-)joint à Entra.
“DeviceAuthStatus” doit être à SUCCESS, sinon c’est qu’il y a un problème au niveau de son enregistrement sur Entra ID.

Sous “Tenant Details”, on voit les détails du tenant Entra (notamment son ID, que l’on retrouve sur la page d’accueil d’Entra).
On y voit aussi MdmUrl, à voir si c’est utile pour la confguration d’Intune ?

Défaire la jonction

Paramètres -> Comptes -> Accès professionnel ou scolaire -> Connecté par xx@xx -> Déconnecter
Ça exige d’avoir un compte admin local auquel on peut se connecter.

On peut aussi défaire la jonction en invite de commande en admin :
dsregcmd /debug /leave
Attention, il n’y a pas de garde-fou, il faut avoir accès à un compte hors de l’organisation pour ouvrir une session après le redémarrage !
Si il n’y avait pas de compte admin, un identifiant de l’organisation sera proposé au redémarrage, sans possibilité de changer, et le mot de passe ne fonctionnera pas.
En ce cas, on peut essayer de réactiver le compte Administrateur, par exemple avec chntpw.

L’appareil disparaîtra d’Entra et Intune.

Admin locaux des appareils

https://learn.microsoft.com/en-us/entra/identity/devices/assign-local-admin

Selon le paramétrage d’Entra, l’utilisateur effectuant la jonction sera admin local du poste, ou non.
Ceci se paramètre dans
Entra admin center -> Entra ID -> Devices -> Overview -> Manage -> Device settings
et activer “Registering user is added as local administrator on the device during Microsoft Entra join (Preview)”.
À noter que l’utilisateur sera supprimé du groupe Local admins si la jonction à Entra est supprimée.

De plus, les utilisateurs avec les rôles Entra suivants :

• “Global Admin”
• “Entra Joined Device Local Administrator”
  auront également les droits admin lorsqu’ils ouvrent une session sur un poste (quel que soit le poste, on ne peut pas filtrer par ce mécanisme).
  Les modifications sur les membres de ces groupes seront bien effectives, même sur des postes qui ont été joints auparavant (il y’a bien sûr un délai de synchro nécessaire, qui peut aller jusqu’à 4h selon la doc MS).
  Si on révoque le rôle Local Admin d’un utilisateur, celui-ci le conserve tant que sa session reste ouverte. À sa prochaine ouverture de session, il ne les aura plus (si la révocation a été synchro sur les serveurs Entra)

On peut voir ces affectations dans netplwiz.
On voit l’utilisateur qui a fait la jonction directement dans les utilisateurs de l’ordinateur.
Si on va dans
lusrmgr.msc -> Groupes -> Administrateurs
on voit les SID, qui correspondent aux rôles Entra d’admin.

Vérification des SID

https://niklastinner.medium.com/convert-entra-roles-to-sids-132d93ea21fc
https://blog.piservices.fr/post/2023/10/28/azure-ad-convertir-un-guid-azure-ad-en-sid-en-utilisant-powershell

Le SID que l’on voit dans Windows n’est pas visible dans Entra. Si on veut vérifier les SID, il faut récupérer l’id du rôle Entra, puis le convertir en SID via un script que des personnes merveilleuses ont écrit et mis à dispo.

Pour récupérer l’id du rôle, aller sur MS Graph Explorer
Se connecter avec un compte ayant les droits d’accès corrects
Exécuter la requête GET sur https://graph.microsoft.com/v1.0/directoryRoles/
Dans le résultat, chercher (Ctrl-F) le rôle en question (par exemple en cherchant “device”).

Une fois trouvé, on copie l’ID, et on le colle dans le script suivant, dans la variable $objectId
On exécute le script via Powershell, et ça nous donne le SID Windows correspondant.

function Convert-AzureAdObjectIdToSid {
<#
.SYNOPSIS
Convert an Azure AD Object ID to SID
  
.DESCRIPTION
Converts an Azure AD Object ID to a SID.
Author: Oliver Kieselbach (oliverkieselbach.com)
The script is provided "AS IS" with no warranties.
  
.PARAMETER ObjectID
The Object ID to convert
#>
 
    param([String] $ObjectId)
 
    $bytes = [Guid]::Parse($ObjectId).ToByteArray()
    $array = New-Object 'UInt32[]' 4
 
    [Buffer]::BlockCopy($bytes, 0, $array, 0, 16)
    $sid = "S-1-12-1-$array".Replace(' ', '-')
 
    return $sid
}
 
$objectId = "73d664e4-0886-4a73-b745-c694da45ddb4"
$sid = Convert-AzureAdObjectIdToSid -ObjectId $objectId
Write-Output $sid

Entra ID

https://entra.microsoft.com

Azure Active Directory (AAD) s’appelle maintenant “Entra ID”.
C’est une solution de gestion des identités et d’authentification, avec 2FA, SSO etc…

Autre portail accessible, via le portail Azure :
https://aad.portal.azure.com/#dashboard

Cout

https://www.microsoft.com/fr-fr/security/business/microsoft-entra-pricing

Différents niveau de prix.
Niveau basique gratuit.
Niveau P1 (Premium 1) inclus dans Microsoft 365 Business Premium (et non Standard)

Le niveau gratuit semble suffire pour une gestion basique.

Réinitialisation de mot de passe libre-service

Non disponible dans les services gratuit. Nécessite Microsoft Entra ID Premium (P1/P2).

2FA/MFA

memo.raphaelguetta.fr/post/entra-mfa

Entra Domain Services

Anciennement Azure Active Directory Domain Services (AADDS).
Entra DS Permet de fournir des fonctionnalités de domaine hébergées sur Azure (sans controleur de domaine).
MS appelle ça un “domaine managé” (ou domaine géré).

Il me semble que c’est dédié à l’administration centralisée de serveurs, mais pas pour les machines utilisateurs (le domaine managé n’est pas accessible sans VPN).

Synchronisation avec un AD local

Identité hybride

Présentation chez MS
Lorsqu’un utilisateur possède une identité commune sur les services clouds et le système sur site (on-premises), MS appelle ça une identité hybride.

Il y’a plusieurs façons d’obtenir des identités hybrides.

Password hash Sync : le hash du mot de passe local est synchronisé vers Entra ID ; permet de se connecter directement auprès des services MS avec le même mot de passe que sur le domaine local

Pass-through authentication : les demandes d’authentification auprès du cloud sont transmises au serveur AD on-premises qui les valide

Federation : si l’authentification n’est pas faite par Entra ID mais par un système externe, qui peut avoir ses propres contraintes.

Gestion des utilisateurs

Désactiver l’expiration du mot de passe

Peut se faire en interface web pour l’ensemble des utilisateurs, mais pour du cas par cas, peut uniquement se faire depuis Powershell.

Appareils

https://brouillons.raphaelguetta.fr/post/entra-jonction-appareils

Les appareils peuvent être enregistrés (Entra registered), joints (Entra joined) ou en jonction hybride (Entra hybrid-joined).
https://www.it-connect.fr/inscription-machines-entra-id-registered-joined-hybrid-joined/

https://learn.microsoft.com/en-us/entra/identity/devices/faq

https://learn.microsoft.com/en-us/entra/identity/devices/manage-stale-devices

Comportement de Win 11 lors de l’OOBE

Pc Win 11 Pro : s’il est setup en tant que “pour le travail ou l’école” :

• si adresse quelconque, message comme quoi ça n’appartient pas à un compte MS pro ou scolaire
• si adresse hotmail, même message d’erreur
• avec adresse qui appartient bien à un domaine géré chez MS 365, le poste apparaît dans Entra ID en tant que “Microsoft Entra joined”.

Pour pouvoir joindre un domaine, il faut se déconnecter de AzureAD (Entra) dans Paramètres -> Comptes -> Accès Professionnel ou Scolaire ; le poste disparaît alors de la liste dans Entra ID.

Généralités

https://learn.microsoft.com/en-us/entra/identity/devices/troubleshoot-hybrid-join-windows-current

La jonction hybride ne peut se faire que lorsque le poste est déjà joint à un domaine.

Plusieurs possibilités existent pour établir cette jonction. Celle décrite en méthode principale par MS va concerner l’ensemble des postes de la forêt. Elle se fait via Entra Connect Sync, avec une configuration complémentaire (facultative pour la synchro des users/passwords, mais obligatoire pour la jonction hybride généralisée).

Prérequis

En tous les cas, il faudra :

• une synchro des utilisateurs/passwords via Entra Connect Sync
• les droits Administrateur d’entreprise pour la forêt locale
• l’autorisation des utilisateurs de joindre leur machine à Entra ID (c’est un paramètre sur l’annuaire Entra)
• l’accès à certaines URLs Microsoft (voir les détails chez MS ; en l’absence de proxy/firewall/DPI ça ne devrait pas être un souci)

Le paramétrage de la jonction hybride passe par la création d’un point de connection de service (SCP).

Jonction manuelle et contrôlée

Permet de déployer la jonction hybride sur seulement les OU choisies, à fins de test.

https://learn.microsoft.com/en-us/entra/identity/devices/hybrid-join-manual

https://learn.microsoft.com/en-us/entra/identity/devices/hybrid-join-control

Dans mon cas, j’avais déjà activé le SCP via Entra connect Sync avant de le faire manuellement ; si les étapes suivantes ne suffisent pas, peut-être que d’autres étapes, automatisées par Entra Connect Sync sont nécessaires.

Supprimer le SCP si déjà existant

Il faut s’assurer que le SCP est absent de la configuration du DC local.
Pour ceci, lancer la modification ADSI adsiedit.msc et naviguer dans :

• “Configuration [dcname.domain.com]”
• “CN=Configuration,DC=domain,DC=com”
• “CN=Services”
• “CN=Device Registration Configuration”
• clic-droit sur “CN=62a0ff2e-97b9-4513-943f-0d221bd30080” -> “Propriétés” -> “Éditeur d’attributs”
• trouver, si elles existent, les valeurs azureADId et azureADName
• sur chacune d’elles, si elles existent, Modifier -> Supprimer

Déployer les entrées de registre sur les postes clients

Il est nécessaire de déployer les valeurs “TenantId” et “TenantName” sous la clé “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD” .

Pour ceci, on passe par une GPO :

• Config ordi -> Préférences -> Paramètres Windows -> Registre -> Nouvel élément registre (à faire 2 fois)
• Update
• HKLM
• Chemin d’accès : SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD
• Nom de valeur : TenantId et TenantName
• Type : REG_SZ
• Valeur : l’ID du tenant (trouvable sur la page d’accueil d’Entra) et le nom de tenant (type monentreprise.onmicrosoft.com , ou utiliser un domaine personnalisé qui a été validé sur MS)

Finalisation

Il faut ensuite attendre (ou déclencher) la synchro Entra Connect Sync (après avoir déployé les clés de registre sur le client). Il apparaîtra dans Entra en tant que “En attente” (Pending).
On peut alors redémarrer le poste pour finaliser la jonction hybride, ou le faire manuellement en administrateur avec la commande dsregcmd /debug /join.
Le poste sera alors considéré comme “hybrid-joined” dans Entra ID avec une date d’inscription.
Cette entrée devrait remplacer l’entrée précédente de type “registered” si elle était présente. On perd également l’information sur la personne qui a joint son compte MS (on le voyait en registered, on ne le voit plus en hybrid-joined). Je suppose qu’on peut retrouver cette info avec Intune.

Si ce n’était pas le cas :

• vérifier que la synchronisation Entra Connect Sync a bien été effectuée récemment, sans erreur
• attendre suffisamment longtemps pour que l’ensemble serveur/client/Entra soit dans le même état (peut prendre 30 minutes)
• vérifier dans Entra -> Appareils que l’appareil est bien présent ; si son type de jointure est “hybrid-joined”, vérifier que son état “Inscrit” est bien une date, et non “En attente”
• s’il est “En attente”, essayer de redémarrer le client, ou lancer dsregcmd /debug /join
• vérifier avec dsregcmd /status s’il y a d’éventuelles erreurs

Suppression de la jonction

Pour sortir définitivement un poste d’Entra ID, je n’ai pas trouvé d’autre solution que de quitter le domaine puis le joindre à nouveau.

Pour quitter la jonction hybride, il faut entrer dans une invite de commande en administrateur et lancer la commande :
dsregcmd /debug /leave
Cette commande met quelques secondes à aboutir, et l’appareil se retrouve instantanément déconnecté (visible dans le résultat de dsregcmd /status).

Tant que les clés de registre TenantId et TenantName restent présentes, il est toujours possible de re-joindre Entra en entrant dsregcmd /debug /join.
Si on les supprime, la jonction hybride ne fonctionnera plus.

Ceci a également pour effet de supprimer complètement l’appareil de Entra ID. Toutefois, si Entra Connect Sync continue de fonctionner sur le serveur, cet appareil sera re-synchronisé à la prochaine sync en tant que hybrid-join, et en “Pending”. Ça semble être lié à son objectGUID.
Pour qu’il ne soit plus du tout synchronisé, il faut sortir le poste du domaine, puis supprimer le compte Ordinateur sur le DC, puis re-joindre le domaine. La nouvelle entité aura un objectGUID différent, ce qui lui permettra de ne pas être considéré comme hybrid-join lorsqu’il est synchronisé.

Dépannage

https://learn.microsoft.com/en-us/entra/identity/devices/troubleshoot-hybrid-join-windows-current

Suppression accidentelle du poste dans Entra ID

Si un poste est supprimé dans Entra ID sans défaire la jonction avant, celui-ci se pensera toujours hybrid-joined, mais pas Entra ID.
Il réapparaîtra dans Entra ID au cours de la prochaine synchro, mais restera en l’état “Pending”.
Pour être réellmeent ré-enregistré, il est nécessaire de faire dsregcmd /debug /leave puis dsregcmd /debug /join (qui nécessitera une connectivité au DC).
À voir si ça peut être automatisé via GPO ?

https://learn.microsoft.com/en-us/troubleshoot/windows-client/networking/domain-joined-machines-cannot-detect-domain-profile

Profiles

Observateur event
Journaux apps services
Microsoft -> Windows -> NetworkProfile -> Operationnel

On y voit le GUID du profil choisi une fois l’identificxation NLA effectuée

Get-NetConnectionProfile

https://learn.microsoft.com/en-us/powershell/module/netconnection/set-netconnectionprofile
Set-NetConnectionProfile -InterfaceIndex “18” -NetworkCategory “Private”

Pas possible de définit le profil Domaine ; ceci est fait automatiquement par Windows

https://superuser.com/questions/1725191/network-names-in-windows

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
Signatures

Pour diagnostiquer la connectivité réseau avec le controlleur de domaine
Test-ComputerSecureChannel

dcdiag

Serveur toujours en non identifié

Essayer de juste redémarrer le service NLA ; ça devrait fonctionner, mais ça recommencera au prochain reboot

https://glennopedia.com/2024/06/01/network-location-awareness-service-revisited/

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters
DWORD “AlwaysExpectDomainController” “1”

MTU

connaitre le MTU en powershell :
netsh interface ipv4 show subinterfaces