Pourquoi Hybrid Azure AD Join ?
Vous gerez un parc Windows en entreprise et vous en avez assez du provisionning manuel ? Windows Autopilot change la donne : un appareil sort de sa boite, se connecte au WiFi, et se configure tout seul. Mais dans un monde ou l'Active Directory on-premises coexiste avec Azure AD, le mode Hybrid Join est souvent incontournable.
Ce guide vous emmene de zero a une configuration fonctionnelle, scripts PowerShell inclus.
Ce dont vous avez besoin
- Licence : Microsoft Intune (M365 E3/E5 ou Intune Plan 1)
- Infra : Azure AD Connect v2+ configure et synchronisant
- Serveur : Connecteur Intune pour Active Directory installe sur un serveur membre du domaine
- Appareils : Windows 11 22H2 ou superieur
Architecture en un coup d'oeil
Le deploiement Hybrid Join fait intervenir 5 composants qui doivent communiquer entre eux sans friction :
| Composant | Role | Emplacement |
|---|---|---|
| Azure AD | Identites cloud + enregistrement appareils | Cloud Microsoft |
| Active Directory | Annuaire on-premises + objets ordinateur | On-premises |
| Azure AD Connect | Synchronisation des identites et appareils | Serveur on-premises |
| Microsoft Intune | Gestion MDM + profils Autopilot | Cloud Microsoft |
| Connecteur Intune AD | Creation d'objets ordinateur dans l'AD | Serveur on-premises |
Point cle
Le connecteur Intune est la piece maitresse. C'est lui qui cree l'objet ordinateur dans votre AD local avant que l'appareil ne demarre. Sans lui, pas de Hybrid Join.
Configuration pas a pas
Valider Azure AD Connect
Ouvrez Azure AD Connect et verifiez que la fonctionnalite Hybrid Azure AD Join est activee dans les options de configuration. Lancez une synchronisation complete si elle ne l'a jamais ete.
Installer le connecteur Intune pour Active Directory
Telechargez le connecteur depuis le portail Intune (Appareils > Windows > Connecteurs). Installez-le sur un serveur membre du domaine disposant d'une connexion Internet. Le service ODJ Connector doit etre en etat Running.
Creer un profil de deploiement Autopilot
Centre d'administration Intune > Appareils > Windows > Inscription > Profils de deploiement. Creez un profil en selectionnant Hybrid Azure AD joined comme type de jointure. Assignez-le a un groupe d'appareils.
Configurer l'Enrollment Status Page (ESP)
L'ESP permet de bloquer l'acces au bureau tant que les applications critiques ne sont pas installees. Configurez un timeout raisonnable (30-45 min pour un premier deploiement).
Importer les hash materiels
Exportez le hardware hash de vos appareils avec PowerShell (voir ci-dessous) et importez le CSV dans Intune > Appareils > Windows > Inscription > Appareils.
Scripts PowerShell essentiels
Exporter le hash materiel
1# Installer le module si necessaire2Install-Module -Name Get-WindowsAutopilotInfo -Force -Scope CurrentUser3 4# Exporter le hash de l'appareil courant5Get-WindowsAutopilotInfo -OutputFile C:\Temp\AutopilotHash.csv6 7# Pour exporter depuis plusieurs machines via le reseau8$computers = Get-ADComputer -Filter "OperatingSystem -like '*Windows 11*'" |9 Select-Object -ExpandProperty Name10 11foreach ($pc in $computers) {12 Invoke-Command -ComputerName $pc -ScriptBlock {13 Get-WindowsAutopilotInfo14 } | Export-Csv -Path "C:\Temp\AllHashes.csv" -Append -NoTypeInformation15}16 17Write-Host "Export termine : $($computers.Count) appareils traites" -ForegroundColor GreenVerifier le statut du connecteur
1# Verifier que le service ODJ Connector est en cours d'execution2$service = Get-Service -Name "ODJConnectorSvc" -ErrorAction SilentlyContinue3 4if ($service) {5 if ($service.Status -eq "Running") {6 Write-Host "Connecteur Intune OK - Service en cours d'execution" -ForegroundColor Green7 } else {8 Write-Warning "Le service est arrete. Tentative de redemarrage..."9 Start-Service -Name "ODJConnectorSvc"10 }11} else {12 Write-Error "Le connecteur Intune n'est pas installe sur ce serveur."13}14 15# Verifier la derniere synchronisation16$logPath = "C:\ProgramData\Microsoft\Windows Intune\ODJConnector\Logs"17if (Test-Path $logPath) {18 $lastLog = Get-ChildItem $logPath -Filter "*.log" |19 Sort-Object LastWriteTime -Descending |20 Select-Object -First 121 Write-Host "Dernier log : $($lastLog.Name) - $($lastLog.LastWriteTime)"22}Forcer une synchronisation Azure AD Connect
1# A executer sur le serveur Azure AD Connect2Import-Module ADSync3 4# Synchronisation delta (rapide)5Start-ADSyncSyncCycle -PolicyType Delta6 7# Verifier le statut8Get-ADSyncScheduler | Select-Object SyncCycleInProgress, NextSyncCycleStartTimeInUTCDepannage : les erreurs les plus frequentes
Erreur critique : 0x801c03f3
Cette erreur signifie que le connecteur Intune ne parvient pas a creer l'objet ordinateur dans votre AD. Causes possibles : service ODJConnectorSvc arrete, OU cible inexistante, ou permissions insuffisantes sur l'OU.
| Erreur / Symptome | Cause probable | Solution |
|---|---|---|
| 0x801c03f3 | Connecteur Intune inaccessible ou OU cible manquante | Verifier le service ODJConnectorSvc + permissions sur l'OU |
| Timeout ESP > 60 min | Applications volumineuses ou connexion lente | Augmenter le timeout ou exclure les apps non critiques de l'ESP |
| Appareil reste 'Pending' dans Intune | Hash materiel non importe ou profil non assigne | Re-importer le CSV et verifier l'assignation du profil Autopilot |
| Pas de synchronisation Hybrid | Azure AD Connect ne synchronise pas les objets device | Forcer une sync delta et verifier la configuration Hybrid Join dans AADConnect |
| Erreur 'TPM attestation failed' | TPM 2.0 desactive ou firmware obsolete | Activer TPM 2.0 dans le BIOS et mettre a jour le firmware |
Executez dsregcmd /status sur l'appareil. Recherchez AzureAdJoined: YES et DomainJoined: YES dans la sortie. Les deux doivent etre a YES pour un Hybrid Join fonctionnel.
Non, le TPM 2.0 est obligatoire pour l'attestation Autopilot. Assurez-vous qu'il est active dans le BIOS/UEFI de vos appareils. Windows 11 l'exige de toute facon.
En moyenne 30 a 60 minutes pour un premier deploiement avec ESP, selon le nombre d'applications et la vitesse de connexion. Les deploiements suivants sur le meme modele sont souvent plus rapides grace au cache.
Oui, mais le VPN doit etre etabli avant la tentative de jointure au domaine. Utilisez un profil VPN deploye via Intune avec l'option "avant la connexion utilisateur" (device tunnel).
Bonnes pratiques
- Testez en lab d'abord — Ne deployez jamais directement en production. Creez un groupe de test avec 2-3 appareils.
- Monitorer le connecteur — Configurez une alerte si le service
ODJConnectorSvcs'arrete. - Nommez vos profils clairement — Utilisez une convention comme
AP-HybridJoin-Win11-FRpour faciliter la gestion. - Gardez Azure AD Connect a jour — Les anciennes versions peuvent causer des problemes de synchronisation des objets device.
- Documentez vos OU cibles — Le connecteur doit savoir exactement ou creer les objets ordinateur dans votre AD.
Attention au timing
Apres l'import des hash materiels, comptez 15 a 30 minutes avant que les appareils apparaissent dans Intune. La synchronisation Azure AD Connect ajoute un delai supplementaire pour le Hybrid Join. Patience !
Conclusion
Le deploiement Autopilot en mode Hybrid Azure AD Join demande une preparation rigoureuse — connecteur Intune, Azure AD Connect, profils et ESP. Mais une fois en place, c'est un gain de temps considerable : vos utilisateurs recoivent un appareil preconfigure, pret a l'emploi, sans intervention manuelle de l'IT.
Le secret ? Tester, monitorer, iterer. Commencez petit, validez chaque etape, et etendez progressivement a l'ensemble du parc.
