Hybrid Azure AD Join vs Entra Join : quelles differences et comment choisir ?

Les postes Windows peuvent etre rattaches a Microsoft Entra ID de deux manieres : Hybrid Azure AD Join (double inscription dans l'Active Directory local et Entra ID) ou Entra Join (inscription directe dans Entra ID, sans domaine AD). Le premier mode maintient une dependance a l'infrastructure on-premises. Le second est le modele cloud-native vers lequel Microsoft oriente les organisations. Cet article compare les deux approches sur des criteres concrets et propose un arbre de decision pour choisir la bonne strategie.

Qu'est-ce que Hybrid Azure AD Join ?

Un poste en Hybrid Azure AD Join est membre du domaine Active Directory local et enregistre dans Microsoft Entra ID. Les deux annuaires connaissent la machine. Ce mode repose sur Azure AD Connect (ou Azure AD Connect Cloud Sync) pour synchroniser l'objet computer de l'AD vers Entra ID.

Fonctionnement technique :

• La machine rejoint le domaine AD classiquement (via netdom, djoin, ou l'interface Windows).
• Azure AD Connect synchronise l'objet computer vers Entra ID. L'appareil obtient un Device ID dans Entra.
• Au logon, l'utilisateur s'authentifie via Kerberos aupres du controleur de domaine, puis obtient un PRT (Primary Refresh Token) aupres d'Entra ID.
• La machine est gerable par GPO (via le domaine AD) et par Intune (via l'inscription MDM), c'est le co-management.

Dependances :

• Un controleur de domaine joignable sur le reseau (LAN ou VPN)
• Azure AD Connect operationnel et en synchronisation
• Infrastructure PKI si vous utilisez des certificats machine
• Connectivity hybride entre le reseau on-prem et les services Microsoft cloud

Ce mode a ete concu pour les organisations qui ne pouvaient pas migrer d'un coup vers le cloud. Il offre un compromis : les anciennes GPO et les applications Kerberos continuent de fonctionner, tout en beneficiant du SSO cloud et du Conditional Access d'Entra ID.

Qu'est-ce que Microsoft Entra Join ?

Un poste en Entra Join (anciennement Azure AD Join) est inscrit uniquement dans Microsoft Entra ID. Il n'est membre d'aucun domaine Active Directory. Toute la gestion passe par Microsoft Intune et les politiques de configuration cloud.

Fonctionnement technique :

• La machine est jointe a Entra ID lors du provisionnement (Autopilot, PPKG, ou OOBE).
• L'utilisateur s'authentifie directement aupres d'Entra ID. L'authentification primaire repose sur le PRT, sans Kerberos.
• Windows Hello for Business peut remplacer le mot de passe par un PIN biometrique lie au TPM.
• La gestion de l'appareil est assuree exclusivement par Intune : configuration profiles, compliance policies, application deployment.

Dependances :

• Connectivite internet vers les services Microsoft (Entra ID, Intune, Microsoft 365)
• Aucune dependance a un controleur de domaine, un VPN ou une infrastructure on-premises
• Un tenant Microsoft 365 avec des licences Intune (incluses dans Microsoft 365 Business Premium, E3, E5, ou en standalone)

C'est le modele que Microsoft recommande pour les nouveaux deploiements. La documentation officielle positionne Entra Join comme le mode cible pour les organisations cloud-first.

Quelles sont les differences concretes ?

Le tableau ci-dessous compare les deux modes sur les criteres que les administrateurs rencontrent au quotidien.

Critere	Hybrid Azure AD Join	Entra Join
Inscription	Domaine AD + synchro Azure AD Connect	Directe dans Entra ID (Autopilot, PPKG, OOBE)
Dependance AD on-prem	Oui (DC joignable, Azure AD Connect)	Non
Authentification primaire	Kerberos (DC) + PRT (cloud)	PRT uniquement
SSO applications cloud	Oui (via PRT)	Oui (via PRT)
SSO applications on-prem (Kerberos)	Oui (natif via DC)	Possible via Cloud Kerberos Trust
Gestion des configurations	GPO + Intune (co-management)	Intune uniquement
Group Policy Objects (GPO)	Applicables	Non applicables
Scripts de logon AD	Executes au logon	Non executes (remplacer par Intune scripts)
Lecteurs reseaux mappes (drives)	Via GPO ou script logon	Via Intune script ou OneDrive Known Folder Move
Imprimantes	Via GPO ou Print Server	Via Universal Print ou Intune
BitLocker	Cle stockable dans AD ou Entra	Cle stockee dans Entra ID
LAPS (mot de passe admin local)	Windows LAPS via AD ou Entra	Windows LAPS via Entra ID
Conditional Access	Oui	Oui
Windows Autopilot	Supporte (Hybrid Join Autopilot)	Supporte (mode natif)
Compliance policies Intune	Oui (si co-managed)	Oui
Zero Trust readiness	Partiel (dependance AD)	Complet (identite cloud-native)
Hors connexion (offline)	Logon possible (cache Kerberos)	Logon possible (cache PRT / PIN WHfB)
Windows Hello for Business	Supporte (config hybride requise)	Supporte (config simplifiee, cloud-only)

Observation cle : la majorite des fonctionnalites qui dependaient historiquement de l'AD on-prem ont desormais un equivalent cloud-native. Les lecteurs mappes se remplacent par OneDrive / SharePoint. Les imprimantes se gerent via Universal Print. Les GPO se traduisent en Configuration Profiles Intune. Le SSO Kerberos on-prem est possible via Cloud Kerberos Trust sans controleur de domaine accessible.

En pratique : ce qui change pour l'utilisateur final

Du point de vue de l'utilisateur, la difference entre un poste Hybrid Join et un poste Entra Join est minime au quotidien. L'ecran de logon change legerement : sur un poste Hybrid, l'utilisateur voit le domaine AD dans la liste des options de connexion. Sur un poste Entra Joined, il voit le tenant Entra ID.

Les differences perceptibles :

• Ecran de connexion : sur un poste Entra Joined, l'utilisateur se connecte avec son email Microsoft 365 (UPN). Sur un poste Hybrid, il peut utiliser le format DOMAINE\utilisateur ou l'UPN.
• Windows Hello for Business : la configuration est plus simple sur un poste Entra Joined (pas de dependance a une PKI hybride). L'utilisateur peut configurer un PIN ou l'authentification biometrique directement.
• Acces aux ressources on-prem : si Cloud Kerberos Trust est configure, l'acces aux partages reseau et applications Kerberos fonctionne de maniere transparente. Sinon, l'utilisateur peut devoir saisir ses credentials separement pour les ressources on-prem.
• VPN : le VPN fonctionne dans les deux modes. Sur un poste Entra Joined, un VPN Always-On configure via Intune peut remplacer le VPN traditionnel deploye par GPO.

Ce qui change pour l'administrateur

Les differences cote administration sont plus marquees :

• Provisionnement : un poste Hybrid Join necessite une image avec jonction au domaine (via MDT, SCCM, ou Autopilot Hybrid). Un poste Entra Joined se provisionne via Windows Autopilot en mode cloud-native — l'utilisateur deballe le PC, se connecte au Wi-Fi, entre ses credentials, et le poste s'auto-configure.
• Gestion des mises a jour : en Hybrid, les mises a jour peuvent passer par WSUS ou Configuration Manager. En Entra Join, les mises a jour passent par Windows Update for Business, configurable via Intune Update Rings.
• Securite : en Hybrid, la surface d'attaque inclut l'AD on-prem (Pass-the-Hash, Kerberoasting, DCSync). En Entra Join, l'identite est geree dans le cloud avec MFA, Conditional Access, et pas d'exposition des credentials au reseau local.
• Inventaire et reporting : les deux modes remontent dans le portail Entra > Devices. Intune gere les deux. Mais les postes Entra Joined ont des donnees de conformite plus completes car ils ne dependent pas d'un agent SCCM pour certaines informations.

Quand garder Hybrid Azure AD Join ?

Hybrid Azure AD Join reste pertinent dans des situations specifiques :

Applications metier dependantes de Kerberos. Si vos applications internes s'authentifient exclusivement via Kerberos et qu'aucune modernisation n'est prevue a court terme, les postes doivent pouvoir contacter un DC. Cloud Kerberos Trust peut couvrir certains cas, mais pas tous — notamment les applications qui utilisent la delegation Kerberos contrainte (KCD) basee sur le nom de service.

GPO non migrables a court terme. Certaines organisations ont des centaines de GPO accumulees sur des annees. Si l'inventaire des GPO n'est pas fait et que la traduction en politiques Intune n'est pas planifiee, couper les GPO du jour au lendemain est risque. L'outil Group Policy Analytics dans Intune permet d'evaluer la compatibilite de vos GPO existantes avec Intune.

Sites sans connectivite cloud fiable. Des sites industriels, des reseaux deconnectes ou des environnements air-gapped ne peuvent pas dependre d'une authentification cloud-only. Les postes doivent pouvoir s'authentifier localement via un DC.

Phase transitoire explicitement planifiee. Si Hybrid Join est utilise comme etape intermediaire avec un calendrier de migration vers Entra Join, c'est un choix legitime. Le risque est de rester indefiniment dans cet etat transitoire sans jamais completer la migration.

Quand migrer vers Entra Join ?

La migration vers Entra Join est recommandee quand les conditions suivantes sont reunies :

Le parc est majoritairement cloud-ready. Les utilisateurs travaillent avec Microsoft 365, des applications SaaS, et n'ont pas de dependance quotidienne a des ressources purement on-premises. Leurs fichiers sont sur OneDrive ou SharePoint, pas sur un partage SMB.

Les GPO ont un equivalent Intune identifie. L'inventaire des GPO a ete realise et chaque regle critique a un equivalent en Configuration Profile ou Compliance Policy dans Intune. Les GPO cosmetiques ou obsoletes ont ete identifiees et eliminees. Pour un traitement detaille de l'impact sur les GPO, consultez Migration Entra ID : impact sur les GPO, strategies locales et scripts de logon.

L'objectif est le Zero Trust. Le modele Zero Trust de Microsoft repose sur une identite cloud-native, un appareil gere et conforme, et un acces conditionnel permanent. Un poste Hybrid Join a toujours une surface d'attaque liee a l'AD (PtH, Kerberoasting, delegation non contrainte). Un poste Entra Joined reduit cette surface en eliminant la dependance a l'AD.

La suppression de l'AD on-prem est planifiee. Si l'organisation prevoit de decommissionner ses controleurs de domaine et Azure AD Connect, les postes doivent etre migres vers Entra Join au prealable. C'est le cas typique d'une organisation qui finalise sa transformation cloud.

Comment planifier une migration Hybrid AD vers Entra Join ?

La migration n'est pas un switch instantane. C'est un projet qui demande un inventaire, un pilote, et un deploiement par vagues.

Arbre de decision

Le poste a-t-il des applications Kerberos critiques ?
├─ OUI → Cloud Kerberos Trust couvre le besoin ?
│        ├─ OUI → Migration possible (Entra Join)
│        └─ NON → Rester en Hybrid Join (temporairement)
└─ NON → Le poste depend-il de GPO non migrables ?
         ├─ OUI → Inventorier avec GP Analytics, planifier la migration Intune
         └─ NON → Migration possible (Entra Join)

Etapes de planification

1. Inventaire des dependances. Listez les GPO appliquees, les scripts de logon, les lecteurs mappes, les imprimantes gerees par Print Server, les applications Kerberos. Pour chaque dependance, identifiez l'equivalent cloud ou la solution de contournement.

2. Evaluation avec Group Policy Analytics. Importez vos GPO dans Intune > Devices > Group Policy Analytics. L'outil classe chaque parametre en "supported", "not supported" ou "deprecated". Concentrez-vous sur les parametres "not supported" : ce sont vos bloqueurs potentiels.

3. Pilote sur un groupe restreint. Migrez 5 a 10 postes representatifs (differents profils utilisateur, differentes applications). Validez que tout fonctionne : logon, applications, imprimantes, VPN, BitLocker, scripts. Pour le guide technique complet de la migration, consultez Comment migrer ses postes de Hybrid Azure AD vers Microsoft Entra ID.

4. Checklist pre-migration. Avant chaque vague, verifiez les prerequis machine par machine. Consultez Checklist pre-migration Hybrid AD vers Entra ID pour une liste actionnable de 25 points de controle.

5. Migration par vagues. Elargissez progressivement. Commencez par les populations les plus cloud-ready (equipes IT, equipes commerciales nomades), puis les populations avec plus de dependances on-prem.

6. Nettoyage post-migration. Supprimez les objets computer orphelins dans l'AD. Mettez a jour Azure AD Connect pour exclure les machines migrees. Si toutes les machines sont migrees, planifiez la desactivation d'Azure AD Connect.

Erreurs de planification courantes

Migrer sans inventaire des GPO. C'est le risque numero un. Une GPO qui pousse un proxy, un certificat racine, ou un parametre de securite critique peut etre invisible au quotidien mais essentielle au fonctionnement. Si elle disparait a la migration, les utilisateurs rencontrent des problemes difficilement diagnosticables. L'inventaire prealable avec Group Policy Analytics n'est pas optionnel.

Migrer tout le parc en une seule vague. Si un probleme est decouvert apres migration, il est beaucoup plus simple de gerer 10 postes a remettre en etat que 500. Les vagues progressives permettent aussi d'affiner les scripts de migration et les politiques Intune entre chaque lot.

Ignorer le remapping de profil. La migration change le SID de l'utilisateur. Sans remapping, l'utilisateur perd l'acces a son profil (bureau, documents, parametres). Le profil existe toujours sur le disque, mais Windows en cree un nouveau. Cela genere des tickets de support en masse et une perte de confiance des utilisateurs. Pour le traitement complet du remapping, consultez Remapping du profil utilisateur apres jonction Entra : SID, registre, ACL.

Ne pas prevoir de compte admin local de secours. Si la jonction Entra echoue et que l'ancien compte de domaine ne fonctionne plus, le poste est inaccessible. Un compte administrateur local cree avant la migration permet de reprendre la main dans tous les cas. Voir Securiser une migration d'identite : compte admin local de secours.

FAQ

Peut-on avoir des postes Hybrid Join et Entra Join dans le meme tenant ?

Oui. Les deux modes de jonction coexistent dans un meme tenant Entra ID. C'est meme le scenario standard pendant une migration progressive : les postes non encore migres restent en Hybrid Join, les postes migres sont en Entra Join. Le Conditional Access, Intune et les applications Microsoft 365 fonctionnent avec les deux types de jonction.

Entra Join fonctionne-t-il sans connexion internet ?

Partiellement. Un poste Entra Joined peut se connecter hors ligne si l'utilisateur a deja ouvert une session sur cette machine. Windows met en cache le PRT et les credentials (PIN Windows Hello). En revanche, la premiere connexion sur un poste Entra Joined necessite une connectivite internet pour authentifier l'utilisateur aupres d'Entra ID.

Les GPO sont-elles applicables sur un poste Entra Joined ?

Non. Les Group Policy Objects sont un mecanisme Active Directory. Un poste qui n'est pas membre d'un domaine AD ne recoit pas de GPO. Les parametres equivalents doivent etre deployes via Intune (Configuration Profiles, Settings Catalog, Security Baselines) ou via des scripts PowerShell deployes par Intune.

Faut-il Azure AD Connect pour Entra Join ?

Non. Azure AD Connect synchronise les objets de l'AD on-prem vers Entra ID. Il est necessaire pour Hybrid Azure AD Join. Pour Entra Join, les appareils sont inscrits directement dans Entra ID sans passer par l'AD. Les comptes utilisateur doivent toutefois exister dans Entra ID — ils peuvent venir d'Azure AD Connect (comptes synchronises) ou etre des comptes cloud-only.

---

Pour automatiser la migration de vos postes Hybrid Azure AD vers Entra Join — disjonction AD, application du PPKG, remapping du profil utilisateur — consultez EntraLift. L'outil pilote l'ensemble du processus a distance, machine par machine, avec suivi en temps reel.