none
VPN ou DirectAcces (Autopilot Azure avec domaine Hybrid) ? RRS feed

  • Question

  • Bonjour,

    Azure Autopilot MDM gère et déploie des postes sous Windows 10. Cependant nous ne pouvons nous connecté pour une première fois car la machine client n'est pas dans le réseau d'entreprise. 

    Comment faire pour connecter le poste au réseau Azure, ou est-ce que DirectAcces peut remédier à cela ? 

    Problématique :

    Nous voulons configurer nos machines avec azure Autopilot (MDM), jusque-là tout va bien, une fois configurer la machine est dans le domaine du serveur qui est chez Azure. Cependant, il faut être dans le même réseau d’entreprise en temps normal pour se connecter pour la première fois. Ce qui n’est pas le cas, car nous ne sommes pas dans le même réseau, étant donné que le serveur et dans les datacenter de Microsoft.

    Dans le futur, les utilisateurs travailleront depuis leurs domiciles et plus depuis le bureau, donc nous aurons plus forcément de locaux avec une connexion au réseau d'entreprise donc la solution de faire du Site-to-site n'est pas faisable. Avec la crise du CORONA pleins d’entreprise commence à travailler depuis chez eux afin de faire des économies sur les loyers des bureaux voir à terme les abandonnés. Nous voulons donc que dans le futur, les utilisateurs puissent reçevoir leurs nouveaux postes de travail à domicile et puissent travailler directement avec.

    Solutions :

    Nous voulons donc offrir la possibilité aux utilisateurs de se connecter au domaine d’entreprise avec leurs identifiants standards (Smartcard) en dehors du réseau d’entreprises. Le seul moyen, je pense, c’est une connexion VPN. Nous voulons savoir si nous avons la possibilité de configurer le Windows Azure Virtual Network ou autre solution, afin que les utilisateurs puissent se connecter  au Windows Logon (voir image ci-dessous) ?
    Il faudrait pouvoir faire le déploiement de cette solution avec Azure Autopilote de fait à ce que l’utilisateur puisse s’y connecter directement après la configuration du poste.

    //

    Ou comme j’ai compris Autopilot, déploie également les GPOs sur les postes de travail dès lors, est-ce que Direct Acces qui est déployer par GPO normalement pourrait faire l’affaire ? Comme Direct Acces établie une connexion au réseau d’entreprise lorsque celui-ci n’est pas dans le réseau à ce que j’ai compris, cela pourrait permettre aux utilisateurs de s’y connecter directement et de manière transparente.

    Avez-vous une idée ou un moyen, afin que les utilisateurs puissent se connecter au domaine depuis chez eux ? Peut-être que d’autre entreprises on eu les mêmes problématiques que nous.

    Je vous remercie d’avance pour vos conseils et idées.




    dimanche 24 mai 2020 12:52

Réponses

Toutes les réponses

  • Salut, 

    J'ai lu une partie de ton problème, c'est vrai que c'est très long, mais j'ai compris ton intérêt, en fait il est bien possible d'ailleurs c'est l'interet de intune et autopilote qu'un poste hors de domaine integre le domaine, et récupére et les stratégies chiffrement application etccc et les gpos, tu n'as besoin ni du vpn ni de directacces. 

    Il le fait sur le net. Il passe par ton azure ad et dns, demande à votre admin comment il a configuré son azure tu devras trouvé des réponses.

    Mais sache que ce que tu veux faire et bien faisable.


    • Modifié M dakhama dimanche 24 mai 2020 18:00
    dimanche 24 mai 2020 18:00
  • Bonjour, 

    Merci pour votre réponse, je suis l'administrateur mais je suis autodidacte j'avais fait un apprentissage dans l'informatique mais pas au niveau ingénieur :-) et je le fait pour une association. Cependant lorsque je souhaite me connecté pour la première fois j'ai le message d'erreur le contrôleur de domaine n'est pas disponible. Dès lors je ne sais pas comment il faut faire si il y a pas besoin de VPN/autres? Je tiens bien à précisé il ne s'agit pas de Azure AD mais de Hybrid AD avec un domaine local. 

    Merci pour votre réponse. 

    Avec mes meilleures salutations. 

    Guillaume

    J'ai suivis la procédure suivante : https://docs.microsoft.com/en-us/mem/intune/enrollment/windows-autopilot-hybrid
    dimanche 24 mai 2020 20:38
  • Re bonjour Guillaume,

    D'accord, dans ce cas on va vous apporter de l'aide, et vous accompagnez, parceque la plupart du temps ce sont des ingénieurs payés par les entreprises et qui attendent qu'on leur fasse le travail à leur place, mais dans ton cas pour une association et pas ingénieurs c'est différent.

    dimanche 24 mai 2020 21:54
  • Pour commencer intune s'appuie sur azure ad, et meme avec un domaine hybride y a vos comptes qui se synchronise dans l'azure ad ? Et c'est le cas ? Pour que vos postes extérieur puissent joindre votre domaine, il faut que votre domaine soit declarer dans azure et bien-sûr il vous faut un enregistrement chez un hébergeur pour votre domaine. Avez-vous aussi des offres Microsoft 365 ?
    • Modifié M dakhama dimanche 24 mai 2020 21:57
    dimanche 24 mai 2020 21:56
  • Merci pour votre réponse, oui, c'est le cas en effet. J'ai configuré Azure AD Connect et Intune connector (voir image ci-dessous). Auprès de mon hébergeur de nom de domaine, j'ai mis l'enregistrement A: fs.domaine.ch; certauth.adfs.domaine.ch; nomduserveurlocal.domaine.ch pointé à l'adresse IP public du serveur. De même dans le serveur DNS vers l'adresse local du serveur 10.x.y.z

    Ainsi que les 2 CNAME d'office 365 enterpriseregistration et enterpriseenrollment

    Naturellement nous avons des licences E3 Non-Profit et Azure Non-Profit

    Peut-être qu'il manque quelques choses dans les enregistrement ?

    Merci à vous

     

    dimanche 24 mai 2020 22:07
  • Salut,

    Oui les paramètres mdm et mam c'est à déployer avec gpo pour que vos machines en interne soient integrées directement dans intune et azure.

    Mais d'après ce que j'ai compris, vous vouliez que vos machines hors domaine puissent être intégré à azure et gérer par intune ? 

    Dans ce cas c'est le compte Microsoft 365 qui va les integrés, votre domaine externe est ajouté dans le centre Microsoft 365 ? Et bien configuré 

    lundi 25 mai 2020 14:52
  • Hello, 

    Merci de ta réponse, alors les postent sont déployé par autopilot, autopilot le met dans le domaine local avec l'ODJ Connector voir poste: https://www.petervanderwoude.nl/post/hybrid-azure-ad-join-with-windows-autopilot/. Cependant lorsque l'utilisateur se connecte, il reçoit le message suivant: Nous ne pouvons pas vous connecter avec ces informations d'identification car votre domaine n'est pas disponible. Assurez-vous que votre appareil est connecté au réseau de votre entreprise et réessayez. Si vous vous êtes déjà connecté à ce périphérique avec un autre identifiant, vous pouvez vous connecter avec cet identifiant.

    C'est clair que nous sommes pas dans le réseau d'entreprise car le serveur est chez Microsoft dans leurs datacenter. Voilà la problématique actuel. 

    Pour les GPO j'ai pas très bien compris lequelles il faut appliqué ? Celle-ci pour MDM https://docs.microsoft.com/en-us/windows/client-management/mdm/enroll-a-windows-10-device-automatically-using-group-policy

    lundi 25 mai 2020 18:27
  • Apparemment cette fonction n'est pas encore supporté par Microsoft, la connexion avec un VPN serait comme-même obligatoire. Appelée Bring-your-own-devices can use VPN to deploy : https://www.anoopcnair.com/windows-autopilot-updates-timelines/

    Dès lors il me semble qu'une connexion VPN soit comme-même obligatoire. Voici la réponse du support Azure, mais comme il sont pas toujours des lumières, peut-être qu'il y à pas besoin.

    Hi Guillaume,
    VPN support is currently in development (see: https://docs.microsoft.com/en-us/mem/intune/fundamentals/in-development).
    Regards, Peter<o:p></o:p>


    lundi 25 mai 2020 20:59
  • Re,

    Je vais voir ma config et te confirmé , la tu as deux problématique, je t'enverrai un lien pour la deuxième méthode, mais faut bien différencier entre autoenrollement avec gpo et intune.

    Pour tes machines hors domaine, intune ne va pas les integrés au domaine, mais tu pourras les gérés par intune c'est ce que tu souhaites non ??

    On verra après pour le message d'erreur, mais faut qu'on se mette d'accord sur tes problèmes et demande

    lundi 25 mai 2020 21:13
  • Hello, Merci pour ta réponse, Azure propose plusieurs méthodes de jointure la plus connue Azure AD (AD DS) qui synchronise les utilisateurs du domaine local mais les stratégies et les postes sont gérés par Azure (Connexion au poste avec son adresse e-mail ou Windows Hello). Celle que je souhaite intégré c’est la jonction à Active Directory Hybrid (AD FS) qui fait la liaison du serveur local physique, les postes sont toujours géré par le serveur local avec les GPO de Windows Serveur de mêmes que les groupes et utilisateurs Azure ne fait que de déployer les programmes et Windows à l’aide d’autopilot en gros il remplace presque le job de SCCM dans le cloud la connexion se fait avec le nom d’utilisateur et mot de passe DOMAIN\Username comme nous le connaissions avant Azure. J’avais vue justement qu’une fois le déploiement qu’il était possible de s’y connecter de n’importe où, mais apparemment l’option n’est pas encore possible. https://docs.microsoft.com/fr-fr/azure/active-directory/devices/concept-azure-ad-join-hybrid https://youtu.be/Z7rCLrRwoY4 Merci à toi
    lundi 25 mai 2020 22:51
  • Salut,

    La vidéo et la doc parlent plus de l'intégration hybride avec azure ad et intune, la plus utilisée, tu peux aussi choisir le SSO comme authentification pour tes applis etc.... C'est le senario le plus utilisé et facile à gérer. L'adfs nécessite beaucoup de connaissances et plutôt orienté grande architecture car il faut aussi un proxy et des redirecteurs pour faciliter la tâche, c'est pourquoi Microsoft ne le recommande pas souvent. 

    Maintenant tout dépend du nombre de postes et ce que tu veux faire au juste, est ce que les utilisateurs reviendront à l'association régulièrement ? Quel est le vrai intérêt des gpos si tu peux utiliser les stratégies intune.

    Directacces reste aussi une bonne solution, cependant comme adfs la misedmise enden place nécessite des compétences et un maintien régulièrement.




    lundi 25 mai 2020 23:58
  • Hello, 

    Merci pour ta réponse, car Microsoft nous avait informer suite à un ticket qu'il n'était pas possible avec Azure AD de faire une authentification au domaine d'entreprise et de s'authentifié avec les Smartcard PKI, mais qu'avec Windows Hello. Pour cette configuration il fallait utilisé AD FS, mais si tu me dit que c'est possible avec AD DS et que l'on peut utiliser le domaine local pour nous ça peut jouer. Pourquoi ne pas utilisé les GPOs Azure, j'ai trouvé qu'elle ne sont pas complet pour les restrictions et config des postes de travail. Par exemple que ce produit t'il lors du retrait de la smartcard, info bulle, menu démarrer (layout), retrait des applications installé par Windows les jeux ect, ce que gére vraiment les GPOs bitlocker, suppression de la télémétrie. D'après le site plus haut le fait d'utiliser le domaine local et de faire un premier login arriverais dans les fonctionnalité de Microsoft Azure d'ici quelque temps.





    mardi 26 mai 2020 06:34
  • Rebonjour,

    en effet avec les stratégies intune tu peux gérer BitLocker, le dépoilement et la désinstallation des applications et encore d'autres restriction plus intéressantes.

     suppression de la télémétrie !!

    ceci est l'erreur à ne pas commettre, plusieurs personnes supprime ou désactive ce service qui est primordial et important dans la communication cloud. c'est se service qui sert aux échanges avec le cloud, pour synchroniser les strategies, paramètres, applications ..... si tu comptes le supprimer ou désactiver, ce n'est pas la peine d'installer intune, tu dois te retourner vers un vpn classique dans ce cas.

    mardi 26 mai 2020 11:55
  • Je sais pas si nous parlons de la même télémétrie, mais sous Windows 10 il nous a été demandé par la confédération suisse de le mettre au niveau minimal où aucune télémétrie. Il apparaît rapidement que ce nouveau système d’exploitation collecte et transmet automatiquement les données des utilisateurs à Microsoft et ses partenaires. Ces données comprennent notamment les contacts, le calendrier, la voix par le micro de l’ordinateur ou l'historique des frappes sur le clavier. Cela ne devrait pas avoir d’impact avec Azure, même si Azure fait de même certainement. Mais alors il faut me montré où sont les Gpo sur azure car pour ma part j’ai pas vue grand chose où c’était très limité. Mais après l’exigence c’est la connexion par Smartcard donc l’obligation du domaine local. Comme j’ai lu la fonctionnalité de connexion par VPN Azure pour le first login arrive au cours de l’année 2020 d’après la roadmap de Azure.
    mardi 26 mai 2020 17:16
  • Re,

    Si si on parle de la meme télémétrie, celle la est bien utilisé par intune pour synchroniser les paramètres, cest un genre de heardbeats avec le cloud, sans ce service ou en le désactivantil n'n y'aura ple cloud, je vais te le montrer par des captures.

    Pour les gpos elles sont présentes sous forme de paramètres et stratégies dans intune. Y a meme une possibilité de pousser des scripts powershell.

    mardi 26 mai 2020 18:31
  • Ok, ça marche. Pas de problème, mais comme nous utilisons Smartcard PKI nous ne pouvons pas utiliser Azure mais que AD FS il est déjà mis en place dans notre infra. Reste plus qu'à trouvé le moyen à ce que les utilisateurs se connecte pour la première fois avec leurs Smartcard.  
    vendredi 29 mai 2020 10:49
  • ah oui, je vois, c'est vrai que le smartcard est un peu embêtant, t'as raison tu dois passer par l'adfs, et je sais que l'adfs azure relais mieux les SSO, en ce qui concerne les smartcards aucune idée, je vais me renseigner un petit peu, vu que peu d'entreprise opte pour cette option. 
    vendredi 29 mai 2020 11:38
  • Oui pour les smartcard c'est tout bon, mais c'est juste à présent la première connexion des utilisateurs qui posent problème, je pense que la connexion à un VPN est obligatoire ce que Microsoft essaie de mettre en oeuvre. Mais j'ai pas trouvé l'info si le service est déjà disponible ou pas encore. Afin de ne plus avoir le message: "Nous ne pouvons pas vous connecter avec ces informations d'identification car votre domaine n'est pas disponible. Assurez-vous que votre appareil est connecté au réseau de votre entreprise et réessayez. Si vous vous êtes déjà connecté à ce périphérique avec un autre identifiant, vous pouvez vous connecter avec cet identifiant".


    vendredi 29 mai 2020 11:46
  • Bonjour Guillaume Devaud,

    Ci-dessous vous trouverez un article qui propose quelques solutions pour ce message d’erreur.

    Fix We can’t sign you with this credential because your domain isn’t available

    Je vous remercie par avance pour votre retour.

    Cordialement,

    Biliana


    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votreproblème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    vendredi 29 mai 2020 13:46
  • Bonjour Biliana, 

    Les clients ne sont pas sur le même réseau pour le moment, car les postent serait envoyé directement au domicile des utilisateurs prêt à être utilisé quelques soit le lieu et le réseau. le serveur est chez Azure en Cloud. Les machines clients sont déployé via Autopilot (https://www.petervanderwoude.nl/post/hybrid-azure-ad-join-with-windows-autopilot/); (https://techcommunity.microsoft.com/t5/windows-it-pro-blog/windows-autopilot-hybrid-azure-ad-join-and-automatic/ba-p/286126)je pense que pour le first login les machines doivent se connecté en VPN. l'option n'est apparemment pas encore disponible dans Azure, il faut utilisé Anyconnect de Cisco ou autres pour le moment:

    Device enrollment
    Bring-your-own-devices can use VPN to deploy
    This feature may be delayed.

    https://docs.microsoft.com/en-us/mem/intune/fundamentals/in-development

    Mais je n'arrive pas à savoir si cette option n'est pas encore disponible ou si elle l'est déjà ?

    https://techcommunity.microsoft.com/t5/business-continuity-and-disaster/provision-windows-devices-from-anywhere-to-support-a-mobile/m-p/1289174


    vendredi 29 mai 2020 16:02
  • Bonjour, 

    Nous allons abandonné Autopilot au profit de DirectAccess selon docs ci-dessous: 

    Install DirectAcess step-by-step:

    https://www.youtube.com/watch?v=RVRVjYpwbas

    Rejoindre un client qui n'est pas dans le réseau au domaine : 

    https://docs.microsoft.com/fr-fr/windows-server/remote/remote-access/directaccess/directaccess-offline-domain-join

    Merci à tous de m'avoir aider.  

    Meilleures salutations, 

    Guillaume


    dimanche 31 mai 2020 20:46