Entra ID
Azure Active Directory (AAD) s’appelle maintenant “Entra ID”.
C’est une solution de gestion des identités et d’authentification, avec 2FA, SSO etc…
Cout
https://www.microsoft.com/fr-fr/security/business/microsoft-entra-pricing
Différents niveau de prix.
Niveau basique gratuit.
Niveau P1 (Premium 1) inclus dans Microsoft 365 Business Premium (et non Standard)
Le niveau gratuit semble suffire pour une gestion basique.
Réinitialisation de mot de passe libre-service
Non disponible dans les services gratuit. Nécessite Microsoft Entra ID Premium (P1/P2).
Entra Domain Services
Anciennement Azure Active Directory Domain Services (AADDS).
Entra DS Permet de fournir des fonctionnalités de domaine hébergées sur Azure (sans controleur de domaine).
MS appelle ça un “domaine managé” (ou domaine géré).
Il me semble que c’est dédié à l’administration centralisée de serveurs, mais pas pour les machines utilisateurs (le domaine managé n’est pas accessible sans VPN).
Synchronisation avec un AD local
Identité hybride
Présentation chez MS
Lorsqu’un utilisateur possède une identité commune sur les services clouds et le système sur site (on-premises), MS appelle ça une identité hybride.
Il y’a plusieurs façons d’obtenir des identités hybrides.
Password hash Sync : le hash du mot de passe local est synchronisé vers Entra ID ; permet de se connecter directement auprès des services MS avec le même mot de passe que sur le domaine local
Pass-through authentication : les demandes d’authentification auprès du cloud sont transmises au serveur AD on-premises qui les valide
Federation : si l’authentification n’est pas faite par Entra ID mais par un système externe, qui peut avoir ses propres contraintes.
Gestion des utilisateurs
Désactiver l’expiration du mot de passe
Peut se faire en interface web pour l’ensemble des utilisateurs, mais pour du cas par cas, peut uniquement se faire depuis Powershell.
Appareils
Les appareils peuvent être enregistrés (Entra registered), joints (Entra joined) ou en jonction hybride (Entra hybrid-joined).
https://www.it-connect.fr/inscription-machines-entra-id-registered-joined-hybrid-joined/
https://learn.microsoft.com/en-us/entra/identity/devices/faq
https://learn.microsoft.com/en-us/entra/identity/devices/manage-stale-devices
Registered
https://learn.microsoft.com/en-us/entra/identity/devices/concept-device-registration
Si on ajoute un “Compte professionnel ou scolaire”, même sur un appareil perso, alors l’appareil apparaît dans Entra en tant que Registered. Il reste la “propriété” du son propriétaire de base.
Dans Entra ID, on voit la personne qui a ajouté le Compte pro ou scolaire. Si cette personne est supprimée d’Entra ID, le propriétaire sera défini à Aucun.
Si on supprime le “Compte professionnel” des paramètres de Windows, l’appareil disparaît d’Entra.
Lors du 1er lancement d’Office, si on refuse la gestion de l’appareil par la société (“Non, se connecter à cette application uniquement”), l’appareil n’apparait pas dans Entra, et le compte n’est pas référencé dans Accès pro ou scolaire.
Si on accepte la gestion, ça inscrit l’appareil dans Entra.
Entra-joined
https://learn.microsoft.com/en-us/entra/identity/devices/concept-directory-join
L’appareil appartient à l’organisation, et est joint à Entra ID par un admin de l’organisation.
L’architecture administrative est complètement sur le cloud.
Ce mode permet l’accès aux ressources cloud, ainsi que locales.
Le paramétrage des appareils se fait avec Intune (remplacement des GPO, en différent).
Il faut Win Pro ou + (ou Server 2019+).
Pour joindre l’appareil à Entra, il faut aller dans “Compte professionnel ou scolaire”, puis au lieu de rentrer l’adresse mail, il faut sélectionner la proposition, en bas de la fenêtre (sous “Actions alternatives”), “Joindre cet appareil à Microsoft Entra ID”
(si cette proposition n’apparaît pas, c’est probablement un Windows Famille, ou alors l’ordi est déconnecté d’internet)
Le choix du compte qui établit la jonction définit l’activation d’intune sur le poste ou non.
Il est impossible d’avoir un appareil qui soit Entra-joined et joint à un domaine ! L’application d’un mode de connexion empêche l’application du second (on aura un message d’erreur si on essaye). Pour avoir cette configuration, il faut faire une jonction hybride.
Entra hybrid-joined
Ce sont les appareils qui sont joints au domaine local, et également “joints” à Entra ID.
le point de départ est la connexion au domaine local. Puis ce domaine doit être configuré pour permettre une jonction hybride (plusieurs méthodes possibles).
Une fois ceci fait, les postes concernés récupéreront automatiquement la connexion à Entra ID.
https://memo.raphaelguetta.fr/post/azure-entra-hybrid-joined
Il me semble que, une fois la jonction hybride établie, si on cherche à ajouter un Compte professionnel ou scolaire, l’appareil sera connecté au GPM (Intune ?) de l’entreprise.
dsregcmd
La commande dsregcmd permet de diagnostiquer le statut et les problèmes de connexion à Entra ID.
On peut ajouter le flag /debug à chaque paramètre pour avoir plus d’infos.
Le flag /forcerecovery force à se reconnecter.
dsregcmd /status permet de voir le statut de connexion actuel de l’appareil. Un article chez MS donne des informations sur chacun des champs, mais j’en liste ici quelques-uns qui me semblent importants.
Sous"Device State", tout en haut :
- AzureAdJoined permet de dire s’il est joint à Entra (si YES, il sera donc joined ou hybrid-joined)
- EnterpriseJoined correspond à Workplace Joined, je n’explore pas cette possibilité
- DomainJoined correspond à un domaine local (si YES, il sera donc joint uniquement au domaine, ou bien hybrid-joined)
Sous"User State" :
- NgcSet correspond à l’utilisation de Windows Hello
- WorkplaceJoined correspond à la présence d’un Compte Professionnel ou scolaire (et le nombre est en dessous, WorkAccountCount)
Sous “Device Details”, on peut trouver l’ID de l’appareil, que l’on retrouvera dans Entra ID (sous ID de l’appareil, et non ID de l’objet).
“Device Details” n’apparaît que si l’appareil est (hybrid-)joint à Entra.
“DeviceAuthStatus” doit être à SUCCESS, sinon c’est qu’il y a un problème au niveau de son enregistrement sur Entra ID.
Sous “Tenant Details”, on voit les détails du tenant Entra (notamment son ID, que l’on retrouve sur la page d’accueil d’Entra).
On y voit aussi MdmUrl, à voir si c’est utile pour la confguration d’Intune ?
Défaire la jonction
Paramètres -> Comptes -> Accès professionnel ou scolaire -> Connecté par xx@xx -> Déconnecter
Ça exige d’avoir un compte admin local auquel on peut se connecter.
On peut aussi défaire la jonction en invite de commande en admin :
dsregcmd /debug /leave
Attention, il n’y a pas de garde-fou, il faut avoir accès à un compte hors de l’organisation pour ouvrir une session après le redémarrage !
Si il n’y avait pas de compte admin, un identifiant de l’organisation sera proposé au redémarrage, sans possibilité de changer, et le mot de passe ne fonctionnera pas.
En ce cas, on peut essayer de réactiver le compte Administrateur, par exemple avec chntpw.
L’appareil disparaîtra d’Entra et Intune.
Entra security
Comportement de Win 11 lors de l’OOBE
Pc Win 11 Pro : s’il est setup en tant que “pour le travail ou l’école” :
- si adresse quelconque, message comme quoi ça n’appartient pas à un compte MS pro ou scolaire
- si adresse hotmail, même message d’erreur
- avec adresse qui appartient bien à un domaine géré chez MS 365, le poste apparaît dans Entra ID en tant que “Microsoft Entra joined”.
Pour pouvoir joindre un domaine, il faut se déconnecter de AzureAD (Entra) dans Paramètres -> Comptes -> Accès Professionnel ou Scolaire ; le poste disparaît alors de la liste dans Entra ID.