Comment creer et deployer un Provisioning Package (PPKG) pour Entra Join ?
Le Provisioning Package (PPKG) est le mecanisme Microsoft pour joindre un poste Windows a Microsoft Entra ID sans intervention manuelle. Il contient un Bulk Enrollment Token qui autorise la machine a s'inscrire automatiquement dans le tenant Entra. Cet article couvre la creation du PPKG avec Windows Configuration Designer, les parametres essentiels, le deploiement via Intune, et la gestion de l'expiration du token.
Qu'est-ce qu'un Provisioning Package ?
Un Provisioning Package est un fichier .ppkg qui applique des parametres de configuration a un poste Windows de maniere automatisee. Il peut configurer le Wi-Fi, installer des certificats, creer des comptes locaux, et — ce qui nous interesse ici — joindre le poste a Microsoft Entra ID.
Dans le contexte d'une migration Hybrid AD vers Entra Join, le PPKG est utilise en Phase 2 : apres la disjonction du domaine AD, le PPKG est applique pour joindre le poste directement a Entra ID et declencher l'inscription MDM dans Intune.
Le format est documente dans la documentation Microsoft sur les Provisioning Packages.
Comment creer le PPKG avec Windows Configuration Designer ?
Installation de Windows Configuration Designer
Windows Configuration Designer (WCD) est disponible de deux manieres :
- Microsoft Store : recherchez "Windows Configuration Designer"
- Windows ADK : installez le Windows Assessment and Deployment Kit et selectionnez le composant "Configuration Designer"
Generer le Bulk Enrollment Token
Avant de creer le PPKG, vous devez generer un token d'inscription en masse dans le portail Entra :
- Connectez-vous au portail Microsoft Entra
- Allez dans Devices > Enroll devices > Windows enrollment > Provisioning Packages
- Cliquez sur Create provisioning package
- Selectionnez la duree de validite du token (par defaut : 180 jours)
- Copiez le token genere — vous en aurez besoin dans WCD
Configurer le PPKG dans WCD
- Ouvrez Windows Configuration Designer
- Selectionnez Provision desktop devices (mode simplifie) ou Advanced provisioning (mode complet)
- En mode avance, naviguez vers Runtime settings > Workplace > Enrollments
- Configurez les parametres suivants :
| Parametre | Valeur | Description |
|---|---|---|
| UPN | admin@votretenant.onmicrosoft.com |
Compte autorise a inscrire des devices. Utilisez un compte de service dedie. |
| AuthPolicy | OnPremise |
Indique l'utilisation d'un Bulk Enrollment Token |
| DiscoveryServiceFullUrl | https://enterpriseenrollment.manage.microsoft.com/EnrollmentServer/Discovery.svc |
URL du service de decouverte Intune |
| Secret | (le token copie a l'etape precedente) | Bulk Enrollment Token genere dans le portail Entra |
| EnrollmentServiceFullUrl | (laisser vide) | Decouvert automatiquement via le DiscoveryServiceFullUrl |
| PolicyServiceFullUrl | (laisser vide) | Decouvert automatiquement |
- Optionnel : ajoutez d'autres configurations si necessaire (Wi-Fi, certificat, etc.)
- Cliquez sur Export > Provisioning package
- Choisissez un nom de fichier et un dossier de destination
- Signez le package si vous avez un certificat de signature (optionnel mais recommande en production)
- Cliquez sur Build
Le fichier .ppkg genere fait generalement entre 2 et 10 Ko.
Comment deployer le PPKG sur les postes ?
Plusieurs methodes de deploiement sont possibles :
Via une migration automatisee
Dans le cadre d'une migration Hybrid AD vers Entra Join, le PPKG est depose sur le poste avant la Phase 2 et applique automatiquement par le script de migration :
# Copie du PPKG sur le poste (peut etre fait en Phase 1 pendant que le poste est encore sur le domaine)
Copy-Item "\\serveur\partage\enrollment.ppkg" "C:\Windows\Temp\enrollment.ppkg" -Force
# Application du PPKG (Phase 2, apres disjonction AD)
Install-ProvisioningPackage -PackagePath "C:\Windows\Temp\enrollment.ppkg" -QuietInstall -ForceInstall
L'option -QuietInstall supprime les prompts utilisateur. L'option -ForceInstall bypasse les verifications de confiance (le PPKG n'est pas signe dans cet exemple).
Via Microsoft Intune
Si les postes sont deja geres par Intune (co-management), vous pouvez pousser le PPKG en tant que script PowerShell ou application Win32 via Intune. Le script copie le PPKG et l'applique.
Via un partage reseau ou une cle USB
Pour des deploiements ponctuels, le PPKG peut etre copie manuellement ou via une cle USB. Double-cliquer sur un fichier .ppkg ouvre l'assistant d'application Windows.
Comment gerer l'expiration du token ?
Le Bulk Enrollment Token a une duree de vie limitee. Selon la documentation Microsoft, la duree par defaut est de 180 jours (configurable entre 1 et 180 jours lors de la generation).
Risques d'un token expire
Si le PPKG contient un token expire, l'application du package ne genere pas toujours une erreur explicite. La jonction Entra echoue silencieusement : le poste reste en etat Workgroup sans jonction Entra, sans inscription Intune, et sans acces aux ressources cloud. C'est un des echecs les plus difficiles a diagnostiquer.
Bonnes pratiques
- Surveillez la date d'expiration. Notez la date de creation du token et configurez un rappel 2 semaines avant echeance.
- Regenerez le PPKG regulierement. Si vous migrez sur plusieurs mois, regenerez le PPKG tous les 3 mois.
- Testez le PPKG avant chaque vague. Appliquez le PPKG sur un poste pilote avant de lancer une vague de migration.
- Stockez la date d'expiration dans votre outil de pilotage. Un dashboard qui affiche "PPKG expire dans 12 jours" evite les oublis.
Que faire si le PPKG echoue ?
Si l'application du PPKG echoue, verifiez dans cet ordre :
- Token expire : regenerez le PPKG avec un nouveau token
- Connectivite reseau : le poste doit atteindre
enterpriseenrollment.manage.microsoft.cometlogin.microsoftonline.comsur le port 443 - Scope d'inscription MDM : verifiez dans Entra > Mobility > Microsoft Intune que le scope couvre l'utilisateur du token
- Logs Windows : consultez l'Event Viewer > Applications and Services Logs > Microsoft > Windows > Provisioning-Diagnostics-Provider
# Consulter les logs de provisioning
Get-WinEvent -LogName "Microsoft-Windows-Provisioning-Diagnostics-Provider/Admin" -MaxEvents 20 |
Format-Table TimeCreated, Message -Wrap
Pour les autres erreurs courantes lors d'une migration, consultez Erreurs frequentes lors d'une migration Hybrid AD vers Entra ID.
FAQ
Peut-on utiliser le meme PPKG pour plusieurs postes ?
Oui. Le Bulk Enrollment Token est lie au tenant, pas a un poste specifique. Un meme PPKG peut etre applique sur autant de postes que necessaire, tant que le token est valide et que le scope d'inscription MDM autorise les devices.
Le PPKG fonctionne-t-il sur Windows 10 et Windows 11 ?
Oui. Le format PPKG est supporte sur Windows 10 (depuis la version 1703) et Windows 11. Pour une migration Hybrid AD vers Entra Join, Windows 10 21H2 ou ulterieur est recommande.
Le PPKG doit-il etre signe ?
Non, la signature est optionnelle. Un PPKG non signe fonctionne avec les options -QuietInstall -ForceInstall. En production, signer le PPKG avec un certificat de confiance ajoute une couche de securite : Windows verifie l'integrite du package avant de l'appliquer. Cela empeche un PPKG modifie malicieusement d'etre applique.
EntraLift integre la gestion du PPKG directement dans le dashboard : upload du fichier, suivi de la date d'expiration du token, deploiement automatique sur les postes lors de la migration. Le PPKG est stocke de maniere chiffree et distribue uniquement aux postes en cours de migration.
Commentaires (0)
Laisser un commentaire