Il existe de nombreux avantages à faire passer les machines Windows 10 jointes au domaine Active Directory dans un mode Hybid Azure AD Join ou anciennement Domain Join++ (DJ++). Ce mode permet par exemple d’accéder aux ressources Cloud avec du Single Sign-On (Office 365, etc.). En outre, cela permet de bénéficier de scénarios tels que l’enregistrement automatique dans Microsoft Intune ou l’authentification sur la Cloud Management Gateway de System Center Configuration Manager.
Pour atteindre cet état, les machines doivent donc s’enregistrer dans Azure Active Directory.
Normalement, il est possible de rendre Hybrid Azure AD Join une machine Windows 10 à partir de Windows 10 1511/1607.
Néanmoins, il est préférable de privilégier Windows 10 1803 ou une version ultérieure.
En effet une machine jointe à Active Directory, peut déjà avoir réalisé un enregistrement (hors Hybrid Azure AD Join) en se connectant à un service porté par Azure AD (tel qu’Office 365). Dans ce cas, la machine remonte comme Azure AD Registered.
Avant Windows 10 1803, la jointure Hybrid Azure AD engendre des enregistrements dupliqués avec :
- Un enregistrement Hybrid Azure AD
- Un enregistrement Azure AD Registered
Ceci peut rendre difficile :
- La gestion des machines dans Azure AD du fait des enregistrement dupliqués
- La gestion des machines par Microsoft Intune car le mauvais enregistrement peut être inséré dans un groupe AAD utilisé pour les déploiements
- Eviter des problèmes avec Windows Hello for Business.
A partir de Windows 10 1803 (avec KB4489894) ou ultérieur :
- Tout état Azure AD Registered existant est automatiquement supprimé une fois que le périphérique est joint en mode Hybrid Azure AD.
- Vous pouvez empêcher l'enregistrement dans Azure AD de périphérique joint au domaine en ajoutant cette clé de registre - HKLM\SOFTWARE\Politiques\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001.
Pour plus d’informations sur l’implémentation d’Hybrid Azure AD Join.
