Professional Documents
Culture Documents
Azure Active Directory Domain Services
Azure Active Directory Domain Services
Azure Active Directory Domain Services
e VUE D’ENSEMBLE
p CONCEPT
FAQ
Bien démarrer
` DÉPLOYER
g DIDACTICIEL
Configurer
g DIDACTICIEL
Gérer
c GUIDE PRATIQUE
Gérer DNS
g DIDACTICIEL
Windows Server
c GUIDE PRATIQUE
Serveur Ubuntu
Dépanner
c GUIDE PRATIQUE
Problèmes courants
Messages d’alerte courants
Azure Active Directory Domain Services (Azure AD DS) fournit des services de domaine
managés, comme la jonction de domaine, la stratégie de groupe, le protocole LDAP et
l’authentification Kerberos/NTLM. Vous utilisez ces services de domaine sans avoir à
déployer, gérer et apporter des correctifs aux contrôleurs de domaine dans le cloud.
Azure AD DS s’intègre à votre locataire Azure AD existant. Cette intégration permet aux
utilisateurs de se connecter aux services et aux applications connectés au domaine
managé à l’aide de leurs informations d’identification existantes. Vous pouvez
également utiliser des comptes d’utilisateurs et des groupes existants pour sécuriser
l’accès aux ressources. Ces fonctionnalités fournissent une migration lift-and-shift plus
simple des ressources locales vers Azure.
Jetez un coup d’œil à notre courte vidéo pour en savoir plus sur Azure AD DS.
https://www.microsoft.com/fr-fr/videoplayer/embed/RE4LblD?
postJsllMsg=true&autoCaptions=fr-fr
Fonctionnement d’Azure AD DS
Quand vous créez un domaine managé Azure AD DS, vous définissez un espace de
noms unique. Cet espace de noms est le nom de domaine, par exemple
aaddscontoso.com. Deux contrôleurs de domaine Windows Server sont ensuite déployés
dans votre région Azure sélectionnée. Ce déploiement de contrôleurs de domaine est
appelé jeu de réplicas.
Vous n’avez pas besoin de gérer, configurer ou mettre à jour ces contrôleurs de
domaine. La plateforme Azure gère les contrôleurs de domaine comme faisant partie du
domaine managé, y compris les sauvegardes et le chiffrement au repos utilisant Azure
Disk Encryption.
Azure AD DS réplique les informations d’identité à partir d’Azure AD, et fonctionne donc
avec des clients Azure AD qui sont uniquement cloud ou synchronisés avec un
environnement AD DS local. Le même ensemble de fonctionnalités Azure AD DS existe
pour les deux environnements.
Vous pouvez étendre un domaine managé pour avoir plusieurs jeux de réplicas par
locataire Azure AD. Les jeux de réplicas peuvent être ajoutés à n’importe quel réseau
virtuel appairé dans toute région Azure prenant en charge Azure AD DS. D’autres jeux
de réplicas dans des régions Azure différentes assurent la récupération d’urgence
géographique pour les applications héritées si une région Azure est mise hors
connexion. Pour plus d’informations, consultez Concepts et caractéristiques des jeux de
réplicas pour les domaines managés.
Jetez un coup d’œil à cette vidéo sur la façon dont Azure AD DS s’intègre à vos
applications et charges de travail pour fournir des services d’identité dans le cloud :
https://www.youtube-nocookie.com/embed/T1Nd9APNceQ
Pour voir des scénarios de déploiement d’Azure AD DS en action, vous pouvez explorer
les exemples suivants :
Pour en savoir plus sur les options d’identité, comparez Azure AD DS avec Azure AD, AD
DS sur des machines virtuelles Azure et AD DS en local.
Pour les environnements hybrides qui exécutent AD DS localement, vous n’avez pas
besoin de gérer la réplication Active Directory sur le domaine managé. Les comptes
d’utilisateur, les appartenances aux groupes et les informations d’identification de votre
annuaire local sont synchronisés avec Azure AD via Azure AD Connect. Ces comptes
utilisateur, appartenances aux groupes et informations d’identification sont
automatiquement disponibles dans le domaine géré.
Étapes suivantes
Pour en savoir plus sur les différentes entre Azure AD DS et d’autres solutions d’identité
et sur le fonctionnement de la synchronisation, consultez les articles suivants :
Comparer Azure AD DS avec Azure AD, Active Directory Domain Services sur des
machines virtuelles Azure et Active Directory Domain Services en local
Comprendre comment la solution Azure AD Domain Services est synchronisée
avec votre répertoire Azure AD
Pour découvrir comment administrer un domaine managé, consultez Concepts de
gestion pour les comptes d’utilisateur, les mots de passe et l’administration dans
Azure AD DS.
Pour fournir aux applications, aux services ou aux appareils un accès à une identité
centrale, il existe trois façons courantes d’utiliser des services Active Directory dans
Azure. Ce choix de solutions d’identité vous offre la possibilité d’utiliser le répertoire le
plus approprié pour les besoins de votre organisation. Par exemple, si vous gérez
principalement des utilisateurs uniquement dans le cloud qui exécutent des appareils
mobiles, il n’est pas judicieux de créer et d’exécuter votre propre solution d’identité
Active Directory Domain Services (AD DS). Au lieu de cela, vous pouvez simplement
utiliser Azure Active Directory.
Même si les trois solutions d’identité basées sur Active Directory ont un nom et une
technologie en commun, elles sont conçues pour fournir des services qui répondent à
différentes demandes des clients. Au niveau supérieur, ces solutions d’identité et
ensembles de fonctionnalités sont les suivants :
Active Directory Domain Services (AD DS) : serveur LDAP (Lightweight Directory
Access Protocol) prêt pour l’entreprise qui fournit des fonctionnalités clés telles
que l’identité et l’authentification, la gestion des objets ordinateur, la stratégie de
groupe et les approbations.
AD DS est un composant central dans de nombreuses organisations disposant
d’un environnement informatique local et fournit des fonctionnalités
d’authentification de compte d’utilisateur et de gestion d’ordinateurs de base.
Pour plus d’informations, consultez Vue d’ensemble d’Active Directory Domain
Services dans la documentation de Windows Server.
Azure Active Directory (Azure AD) : gestion des identités et des appareils mobiles
basée sur le cloud qui fournit des services d’authentification et de compte
d’utilisateur pour les ressources telles que Microsoft 365, le portail Azure ou les
applications SaaS.
Azure AD peut être synchronisé avec un environnement AD DS local pour
fournir une identité unique aux utilisateurs qui travaillent en mode natif dans le
cloud.
Pour plus d’informations sur Azure AD, consultez Qu’est-ce qu’Azure Active
Directory ?
Azure Active Directory Domain Services (Azure AD DS) : fournit des services de
domaine managés avec un sous-ensemble de fonctionnalités AD DS traditionnelles
entièrement compatibles, comme la jonction de domaine, la stratégie de groupe,
le protocole LDAP, et l’authentification Kerberos/NTLM.
Azure AD DS s’intègre à Azure AD, qui peut lui-même se synchroniser avec un
environnement AD DS local. Cette capacité étend les cas d’usage de l’identité
centrale aux applications web traditionnelles qui s’exécutent dans Azure dans le
cadre d’une stratégie lift-and-shift.
Pour en savoir plus sur la synchronisation avec Azure AD et en local, consultez
Synchronisation des objets et des informations d’identification dans un domaine
managé.
Cet article de vue d’ensemble compare la façon dont ces solutions d’identité peuvent
fonctionner ensemble ou être utilisées indépendamment, en fonction des besoins de
votre organisation.
Un domaine managé que vous créez avec Azure Active Directory Domain Services
(Azure AD DS). Microsoft crée et gère les ressources requises.
Un domaine automanagé que vous créez et configurez à l’aide de ressources
traditionnelles telles que les machines virtuelles, le système d’exploitation invité
Windows Server et Active Directory Domain Services (AD DS). Vous continuez
ensuite à administrer ces ressources.
Avec Azure AD DS, les composants de service de base sont déployés et gérés pour vous
par Microsoft en tant qu’expérience de domaine managé. Vous ne pouvez pas déployer,
gérer, corriger et sécuriser l’infrastructure AD DS pour des composants tels que les
machines virtuelles, le système d’exploitation Windows Server ou les contrôleurs de
domaine.
Pour les applications et les services qui s’exécutent dans le cloud et qui ont besoin
d’accéder à des mécanismes d’authentification traditionnels, tels que Kerberos ou NTLM,
Azure AD DS offre une expérience de domaine managé avec charge administrative
minimale. Pour plus d’informations, consultez Concepts de gestion pour les comptes
d’utilisateur, les mots de passe et l’administration dans Azure AD DS.
Le tableau suivant présente certaines des fonctionnalités dont vous pouvez avoir besoin
pour votre organisation, ainsi que les différences entre un domaine managé Azure AD
DS et un domaine automanagé AD DS :
Service managé ✓ ✕
Fonctionnalité Azure AD DS AD DS automanagé
Privilèges d’administrateur ✕ ✓
d’entreprise ou de domaine
jonction de domaine ✓ ✓
Authentification de domaine à ✓ ✓
l’aide de NTLM et Kerberos
Délégation Kerberos Basé sur des ressources Basée sur des ressources
contrainte et basé sur des comptes
Structure d’unité ✓ ✓
d’organisation personnalisée
Stratégie de groupe ✓ ✓
Extensions de schéma ✕ ✓
Lecture LDAP ✓ ✓
Déploiements géolocalisés ✓ ✓
Azure AD DS et Azure AD
Azure AD vous permet de gérer l’identité des appareils utilisés par l’organisation et de
contrôler l’accès aux ressources de l’entreprise depuis ces appareils. Les utilisateurs
peuvent aussi inscrire leur appareil personnel (modèle BYO, bring-your-own) sur Azure
AD, ce qui fournit une identité à l’appareil. Par la suite, Azure AD authentifie l’appareil
lorsqu’un utilisateur se connecte à Azure AD et utilise cet appareil pour accéder aux
ressources sécurisées. Vous pouvez gérer l’appareil à l’aide de logiciels de gestion des
appareils mobiles (MDM), tels que Microsoft Intune. Cette fonctionnalité de gestion
vous permet de restreindre l’accès aux ressources sensibles à partir d’appareils gérés et
conformes aux stratégies.
Les ordinateurs traditionnels et les ordinateurs portables peuvent également être joints
à Azure AD. Ce mécanisme offre les mêmes avantages que l’inscription d’un appareil
personnel à Azure AD, par exemple pour permettre aux utilisateurs de se connecter à
l’appareil à l’aide de leurs informations d’identification d’entreprise.
Les appareils peuvent être joints à Azure AD avec ou sans déploiement hybride qui
inclut un environnement AD DS local. Le tableau suivant présente les modèles de
propriété d’appareil courants et la façon dont ils sont généralement joints à un domaine
:
Avec les appareils joints à Azure AD DS, les applications peuvent utiliser les protocoles
Kerberos et NTLM pour l’authentification. Par conséquent, ils peuvent prendre en charge
les applications héritées migrées pour s’exécuter sur des machines virtuelles Azure dans
le cadre d’une stratégie lift-and-shift. Le tableau suivant présente les différences entre la
façon dont les appareils sont représentés et peuvent s’authentifier auprès du répertoire :
Aspect Joint à Azure AD Joint à Azure AD DS
Mise en réseau Fonctionne sur Internet Doit être connecté ou appairé au réseau
virtuel sur lequel le domaine managé est
déployé
Étapes suivantes
Pour bien démarrer avec l’utilisation d’Azure AD DS, créez un domaine managé Azure
AD DS à l’aide du portail Azure.
Consultez également les pages Concepts de gestion pour les comptes d’utilisateur, les
mots de passe et l’administration dans Azure AD DS et Synchronisation des objets et
des informations d’identification dans un domaine managé.
Tutoriel : Créer et configurer un
domaine managé Azure Active Directory
Domain Services
Article • 02/08/2023
Azure Active Directory Domain Services (Azure AD DS) fournit des services de domaine
managés, comme la jonction de domaine, la stratégie de groupe, le protocole LDAP, et
l’authentification Kerberos/NTLM entièrement compatible avec Windows Server Active
Directory. Vous consommez ces services de domaine sans déployer, gérer et mettre à
jour avec des correctifs les contrôleurs de domaine vous-même. Azure AD DS s’intègre à
votre locataire Azure AD existant. Cette intégration permet aux utilisateurs de se
connecter en utilisant leurs informations d’identification d’entreprise, et vous pouvez
utiliser des groupes et des comptes d’utilisateur existants pour sécuriser l’accès aux
ressources.
Vous pouvez créer un domaine managé avec des options de configuration par défaut
pour le réseau et la synchronisation, ou définir ces paramètres manuellement. Ce tutoriel
montre comment utiliser les options par défaut pour créer et configurer un domaine
managé Azure AD DS avec le portail Azure.
Prérequis
Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Vous avez besoin des rôles Administrateur d’applications et Administrateur de
groupes Azure AD dans votre locataire pour activer Azure AD DS.
Vous avez besoin du rôle Azure Contributeur aux services de domaine pour créer
les ressources Azure AD DS requises.
Vous avez besoin d’un réseau virtuel avec des serveurs DNS qui peuvent interroger
l’infrastructure nécessaire, comme le stockage. Des serveurs DNS qui ne peuvent
pas effectuer de requêtes Internet générales peuvent empêcher de créer un
domaine managé.
Bien que ce ne soit pas obligatoire pour Azure AD DS, nous vous recommandons de
configurer la réinitialisation de mot de passe en libre-service (SSPR) pour le locataire
Azure AD. Les utilisateurs peuvent changer leur mot de passe sans SSPR, mais SSPR aide
s’ils oublient leur mot de passe et doivent les réinitialiser.
) Important
1. Dans le menu du Portail Azure ou dans la page Accueil, sélectionnez Créer une
ressource.
2. Entrez Domain Services dans la barre de recherche, puis choisissez Azure AD
Domain Services dans les suggestions de recherche.
3. Dans la page Azure AD Domain Services, cliquez sur le bouton Créer. L’Assistant
Activer Azure AD Domain Services est lancé.
4. Sélectionnez l’Abonnement Azure dans lequel vous souhaitez créer le domaine
managé.
5. Sélectionnez le Groupe de ressources auquel le domaine managé doit appartenir.
Choisissez de Créer ou de sélectionner un groupe de ressources existant.
Quand vous créez un domaine managé, vous spécifiez un nom DNS. Voici quelques
considérations liées au choix de ce nom DNS :
Conseil
Par exemple, si vous disposez de l’espace de noms DNS existant contoso.com, créez
un domaine managé avec le nom de domaine personnalisé aaddscontoso.com. Si
vous devez utiliser le protocole LDAP sécurisé, vous devez inscrire et avoir ce nom
de domaine personnalisé pour générer les certificats requis.
Renseignez les champs de la fenêtre De base du portail Azure pour créer un domaine
managé :
1. Entrez un Nom de domaine DNS pour votre domaine managé, en tenant compte
des points précédents.
Conseil
4. Une forêt est une construction logique utilisée par Active Directory Domain
Services pour regrouper un ou plusieurs domaines.
Pour créer rapidement un domaine managé, vous pouvez sélectionner Vérifier + créer
afin d’accepter d’autres options de configuration par défaut. Quand vous choisissez
cette option de création, les paramètres par défaut suivants sont configurés :
7 Notes
Vous ne devez pas utiliser d'adresses IP publiques pour les réseaux virtuels et leurs
sous-réseaux en raison des problèmes suivants :
Il est fortement recommandé d'utiliser des adresses IP privées. Si vous utilisez une
adresse IP publique, assurez-vous que vous êtes le propriétaire/utilisateur dédié
des adresses IP choisies dans la plage publique que vous avez choisie.
Sélectionnez Vérifier + créer pour accepter ces options de configuration par défaut.
1. Pour créer le domaine managé, sélectionnez Créer. Une remarque s’affiche pour
signaler que certaines options de configuration, telles que le nom DNS ou le
réseau virtuel, ne sont plus modifiables une fois que le domaine managé Azure
AD DS a été créé. Pour continuer, sélectionnez OK.
Le domaine managé est associé à votre locataire Azure AD. Pendant le processus
d’approvisionnement, Azure AD DS crée deux applications d’entreprise nommées
Services de contrôleur de domaine et AzureActiveDirectoryDomainControllerServices
dans le locataire Azure AD. Ces applications d’entreprise sont nécessaires pour
entretenir votre domaine géré. Ne supprimez pas ces applications.
1. L’onglet Vue d’ensemble pour votre domaine managé montre quelques Étapes de
configuration obligatoires. La première étape de configuration est de mettre à
jour les paramètres du serveur DNS pour votre réseau virtuel. Une fois les
paramètres DNS correctement configurés, cette étape n’apparaît plus.
Les adresses listées sont les contrôleurs de domaine à utiliser dans le réseau
virtuel. Dans cet exemple, ces adresses sont 10.0.2.4 et 10.0.2.5. Vous pouvez
trouver ultérieurement ces adresses IP sous l’onglet Propriétés.
2. Pour mettre à jour les paramètres du serveur DNS pour le réseau virtuel,
sélectionnez le bouton Configurer. Les paramètres DNS sont configurés
automatiquement pour votre réseau virtuel.
Conseil
Si vous avez sélectionné un réseau virtuel existant au cours des étapes précédentes,
les machines virtuelles connectées au réseau obtiennent les nouveaux paramètres
DNS seulement après un redémarrage. Vous pouvez redémarrer les machines
virtuelles en utilisant le portail Azure, Azure PowerShell ou Azure CLI.
7 Notes
Une fois configurés de façon appropriée, les hachages de mot de passe utilisables
sont stockés dans le domaine managé. Si vous supprimez le domaine managé, tout
hachage de mot de passe stocké à ce stade est également supprimé.
Azure AD Connect Cloud Sync n’est pas pris en charge avec Azure AD DS. Les
utilisateurs locaux doivent être synchronisés à l’aide d’Azure AD Connect pour
pouvoir accéder aux machines virtuelles jointes à un domaine. Pour plus
d’informations, consultez Processus de synchronisation du hachage de mot de
passe pour Azure AD DS et Azure AD Connect.
Un compte d’utilisateur uniquement dans le cloud est un compte qui a été créé dans
votre répertoire Azure AD à l’aide du portail Azure ou d’applets de commande
PowerShell Azure AD. Ces comptes d’utilisateurs ne sont pas synchronisés à partir d’un
annuaire local.
Conseil
Pour les comptes d’utilisateurs cloud uniquement, les utilisateurs doivent changer leur
mot de passe avant de pouvoir utiliser Azure AD DS. Ce processus de changement du
mot de passe entraîne la génération et le stockage dans Azure AD des hachages de mot
de passe pour l’authentification Kerberos et NTLM. Le compte n’est pas synchronisé
entre Azure AD et Azure AD DS tant que le mot de passe n’a pas été changé. Vous
pouvez faire expirer les mots de passe de tous les utilisateurs cloud du locataire qui
doivent utiliser Azure AD DS, ce qui force le changement de mot de passe à la
connexion suivante, ou demander aux utilisateurs cloud de changer manuellement leur
mot de passe. Pour ce tutoriel, nous changeons manuellement le mot de passe d’un
utilisateur.
Pour qu’un utilisateur puisse réinitialiser son mot de passe, le locataire Azure AD doit
être configuré pour la réinitialisation du mot de passe en libre-service.
Pour changer le mot de passe d’un utilisateur cloud uniquement, l’utilisateur doit
effectuer les étapes suivantes :
2. En haut à droite, sélectionnez votre nom, puis choisissez Profil dans le menu
déroulant.
3. Dans la page Profil, sélectionnez Changer le mot de passe.
4. Dans la page Changer le mot de passe, entrez votre mot de passe existant
(l’ancien), puis entrez un nouveau mot de passe et confirmez-le.
5. Sélectionnez Envoyer.
Une fois que vous avez changé votre mot de passe, quelques minutes sont nécessaires
pour que le nouveau mot de passe soit utilisable dans Azure AD DS et que vous puissiez
vous connecter aux ordinateurs joints au domaine managé.
Étapes suivantes
Dans ce didacticiel, vous avez appris à :
Avant de joindre des machines virtuelles au domaine et de déployer des applications qui
utilisent le domaine managé, configurez un réseau virtuel Azure pour les charges de
travail des applications.
Configurer un réseau virtuel Azure pour que les charges de travail des applications
utilisent votre domaine managé
Tutoriel : Configurer un réseau virtuel
pour un domaine managé Azure Active
Directory Domain Services
Article • 01/06/2023
Lorsque vous créez vos propres machines virtuelles et applications, celles-ci ne doivent
pas être déployées dans le même sous-réseau de réseau virtuel. Créez et déployez vos
applications dans un sous-réseau de réseau virtuel séparé, ou dans un autre réseau
virtuel qui est appairé avec le réseau virtuel Azure AD DS.
Prérequis
Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Vous avez besoin des rôles Azure AD Administrateur d’applications et
Administrateur de groupes dans votre locataire pour activer Azure AD DS.
Vous avez besoin du rôle Azure Contributeur aux services de domaine pour créer
les ressources Azure AD DS requises.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, le premier tutoriel crée et configure un domaine managé Azure
Active Directory Domain Services.
Quand vous créez et exécutez des machines virtuelles qui doivent accéder au domaine
managé, vous devez leur fournir la connectivité réseau nécessaire. Cette connectivité
réseau peut être fournie de l’une des manières suivantes :
Dans ce tutoriel, vous devez configurer une seule de ces options de connectivité de
réseau virtuel.
Pour créer un sous-réseau de réseau virtuel dédié aux machines virtuelles et aux charges
de travail des applications, effectuez les étapes suivantes :
Dans l’exemple suivant, le sous-réseau workloads qui est créé utilise la plage
d’adresses IP 10.0.3.0/24 :
5. Lorsque vous êtes prêt, sélectionnez OK. Il faut quelques instants pour créer le
sous-réseau de réseau virtuel.
Quand vous créez une machine virtuelle qui doit utiliser le domaine managé, veillez à
sélectionner ce sous-réseau de réseau virtuel. Ne créez pas vos machines virtuelles dans
le sous-réseau aadds-subnet par défaut. Si vous sélectionnez un autre réseau virtuel,
vous ne fournissez pas la connectivité réseau et la résolution DNS nécessaires pour
l’accès au domaine managé, sauf si vous configurez le peering de réseaux virtuels.
L’appairage de réseaux virtuels Azure vous permet de connecter deux réseaux virtuels
sans avoir besoin d’un périphérique de réseau privé virtuel (VPN). Vous pouvez ainsi
connecter rapidement des réseaux virtuels et définir les flux de trafic dans votre
environnement Azure.
Pour plus d’informations sur l’appairage, consultez cette vue d’ensemble de l’appairage
de réseaux virtuels Azure.
Pour appairer un réseau virtuel avec le réseau virtuel du domaine managé, effectuez les
étapes suivantes :
1. Choisissez le réseau virtuel par défaut créé pour votre domaine managé, nommé
aadds-vnet.
4. Il faut quelques instants pour créer l’appairage entre le réseau virtuel Azure AD DS
et le réseau virtuel que vous avez sélectionné. Une fois l’appairage terminé, la
colonne État d’appairage indique Connecté, comme dans l’exemple ci-dessous :
Pour que les machines virtuelles du réseau virtuel appairé puissent utiliser le domaine
managé, vous devez configurer les serveurs DNS avec la résolution de noms correcte.
Configurez les serveurs DNS du réseau virtuel Azure pour qu’ils utilisent les
contrôleurs de domaine Azure AD DS.
Configurez le serveur DNS existant actuellement utilisé sur le réseau virtuel appairé
afin qu’il transfère les requêtes au domaine managé à l’aide de la redirection DNS
conditionnelle. Ces étapes varient selon le serveur DNS existant qui est utilisé.
Dans ce tutoriel, vous configurez les serveurs DNS du réseau virtuel Azure afin qu’ils
transfèrent toutes les requêtes aux contrôleurs de domaine Azure AD DS.
3. Par défaut, un réseau virtuel utilise les serveurs DNS intégrés fournis par Azure.
Choisissez d’utiliser des serveurs DNS Personnalisés. Entrez les adresses IP des
contrôleurs de domaine Azure AD DS, qui sont habituellement 10.0.2.4 et 10.0.2.5.
Vérifiez ces adresses IP dans la fenêtre Vue d’ensemble de votre domaine managé
dans le portail.
4. Quand vous êtes prêt, sélectionnez Enregistrer. Il faut quelques instants pour
mettre à jour les serveurs DNS pour le réseau virtuel.
5. Pour appliquer les nouveaux paramètres DNS aux machines virtuelles, redémarrez
les machines virtuelles qui sont connectées au réseau virtuel appairé.
Quand vous créez une machine virtuelle qui doit utiliser le domaine managé, veillez à
sélectionner ce réseau virtuel appairé. Si vous sélectionnez un autre réseau virtuel, vous
ne fournissez pas la connectivité réseau et la résolution DNS nécessaires pour l’accès au
domaine managé.
Étapes suivantes
Dans ce didacticiel, vous avez appris à :
Pour voir ce domaine managé en action, créez et joignez une machine virtuelle au
domaine.
Joindre une machine virtuelle Windows Server à votre domaine managé
Tutoriel : Joindre une machine
virtuelle Windows Server à un domaine
managé par Azure Active Directory
Domain Services
Article • 22/06/2023
Azure Active Directory Domain Services (Azure AD DS) fournit des services de domaine
managés, comme la jonction de domaine, la stratégie de groupe, le protocole LDAP, et
l’authentification Kerberos/NTLM entièrement compatible avec Windows Server Active
Directory. Avec un domaine managé Azure AD DS, vous pouvez fournir des
fonctionnalités de jonction de domaine et de gestion à des machines virtuelles dans
Azure. Ce tutoriel montre comment créer une machine virtuelle Windows Server, puis la
joindre à un domaine managé.
Prérequis
Pour effectuer ce didacticiel, vous avez besoin des ressources suivantes :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, créez et configurez un domaine managé Azure Active Directory
Domain Services.
Un compte d’utilisateur membre du domaine managé.
Vérifiez que la synchronisation du hachage de mot de passe ou que la
réinitialisation du mot de passe en libre-service d’Azure AD Connect a été
effectuée pour que le compte puisse se connecter au domaine managé.
Un hôte Azure Bastion déployé dans votre réseau virtuel Azure AD DS.
Si nécessaire, créez un hôte Azure Bastion.
Si vous disposez déjà d’une machine virtuelle que vous voulez joindre à un domaine,
passez à la section expliquant comment joindre la machine virtuelle au domaine
managé.
Si vous disposez déjà d’une machine virtuelle que vous voulez joindre à un domaine,
passez à la section expliquant comment joindre la machine virtuelle au domaine
managé.
1. Dans le menu du Portail Azure ou dans la page Accueil, sélectionnez Créer une
ressource.
Région Choisissez la région où créer votre machine virtuelle, par exemple USA Est.
Nom Entrez un nom d’utilisateur pour le compte d’administrateur local à créer sur
d’utilisateur la machine virtuelle, par exemple azureuser
Mot de Entrez puis confirmez un mot de passe sécurisé pour l’administrateur local à
passe créer sur la machine virtuelle. Ne spécifiez pas les informations
d’identification d’un compte d’utilisateur du domaine. Windows LAPS n'est
pas pris en charge.
4. Par défaut, les machines virtuelles créées dans Azure sont accessibles à partir
d’Internet à l’aide de RDP. Quand RDP est activé, des attaques de connexion
automatique sont susceptibles de se produire, ce qui peut désactiver les comptes
portant des noms courants, comme admin ou administrator, en raison d’un trop
grand nombre de tentatives de connexion.
RDP doit être activé seulement quand c’est nécessaire et être limité à un ensemble
de plages d’adresses IP autorisées. Cette configuration permet d’améliorer la
sécurité de la machine virtuelle et de réduire le champ des attaques potentielles.
Vous pouvez aussi créer et utiliser un hôte Azure Bastion qui autorise l’accès
uniquement via le portail Azure sur TLS. Dans l’étape suivante de ce tutoriel, vous
allez utiliser un hôte Azure Bastion pour vous connecter de façon sécurisée à la
machine virtuelle.
10. Ensuite, dans le menu à gauche dans la fenêtre du réseau virtuel, sélectionnez
Sous-réseaux, puis choisissez + Sous-réseau pour ajouter un sous-réseau.
11. Sélectionnez + Sous-réseau, puis entrez un nom pour le sous-réseau, par exemple
gestion. Spécifiez une Plage d’adresses (bloc CIDR) , par exemple 10.0.5.0/24.
Vérifiez que cette plage d’adresses IP ne chevauche pas d’autres plages d’adresses
Azure ou locales existantes. Laissez les autres options avec leur valeur par défaut,
puis sélectionnez OK.
12. La création du sous-réseau prend quelques secondes. Une fois qu’il est créé,
sélectionnez le X pour fermer la fenêtre du sous-réseau.
13. De retour dans le volet Mise en réseau pour créer une machine virtuelle, choisissez
le sous-réseau que vous avez créé dans le menu déroulant, par exemple gestion. Là
encore, veillez à choisir le sous-réseau approprié et ne déployez pas votre machine
virtuelle sur le même sous-réseau que votre domaine managé.
14. Pour IP publique, sélectionnez Aucune dans le menu déroulant. Quand vous
utilisez Azure Bastion dans ce tutoriel pour vous connecter à la gestion, vous
n’avez pas besoin qu’une adresse IP publique soit affectée à la machine virtuelle.
15. Laissez les autres options avec leur valeur par défaut, puis sélectionnez Gestion.
16. Définissez Diagnostics de démarrage sur Désactivé. Laissez les autres options avec
leur valeur par défaut, puis sélectionnez Vérifier + créer.
17. Passez en revue vos paramètres de la machine virtuelle, puis sélectionnez Créer.
Pour utiliser un hôte Bastion pour vous connecter à votre machine virtuelle, procédez
comme suit :
Si nécessaire, autorisez votre navigateur web à ouvrir des fenêtres contextuelles pour
afficher la connexion Bastion. Il faut quelques secondes pour établir la connexion à votre
machine virtuelle.
1. Si Gestionnaire de serveur ne s’ouvre pas par défaut lorsque vous vous connectez
à la machine virtuelle, sélectionnez le menu Démarrer, puis choisissez Gestionnaire
de serveur.
Conseil
Vous pouvez joindre une machine virtuelle à un domaine en utilisant PowerShell
avec l’applet de commande Add-Computer. L’exemple suivant joint le domaine
AADDSCONTOSO, puis redémarre la machine virtuelle. À l’invite, entrez les
informations d’identification d’un utilisateur membre du domaine managé :
Une fois la machine virtuelle Windows Server redémarrée, toutes les stratégies
appliquées dans le domaine managé sont envoyées (push) à la machine virtuelle. Vous
pouvez également vous connecter à la machine virtuelle Windows Server en utilisant des
informations d’identification du domaine appropriées.
Problèmes de connectivité
Si vous ne recevez pas d’invite demandant des informations d’identification pour la
jonction au domaine, c’est qu’il y a un problème de connectivité. La machine virtuelle ne
peut pas atteindre le domaine managé sur le réseau virtuel.
Vérifiez que la machine virtuelle est connectée au même réseau virtuel que celui où
Azure AD DS est activé, ou qu’elle a une connexion réseau appairée.
Effectuez un test Ping du nom de domaine DNS du domaine managé, par exemple
ping aaddscontoso.com .
Étapes suivantes
Dans ce didacticiel, vous avez appris à :
Pour administrer votre domaine managé, configurez une machine virtuelle de gestion en
utilisant le Centre d’administration Active Directory.
Azure Active Directory Domain Services (Azure AD DS) fournit des services de domaines
managés, comme la jonction de domaine, la stratégie de groupe, le protocole LDAP, et
l’authentification Kerberos/NTLM entièrement compatible avec Windows Server Active
Directory. Vous administrez ce domaine managé avec les mêmes outils d’administration
de serveur distant (RSAT, Remote Server Administration Tool) qu’avec un domaine Active
Directory Domain Services local. Comme Azure AD DS est un service managé, vous ne
pouvez pas effectuer certaines tâches d’administration, comme utiliser le protocole RDP
(Remote Desktop Protocol) pour vous connecter aux contrôleurs de domaine.
Ce tutoriel explique comment configurer une machine virtuelle Windows Server dans
Azure et comment installer les outils nécessaires à l’administration d’un domaine Azure
AD DS managé.
Prérequis
Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, consultez le premier tutoriel pour créer et configurer un domaine
managé Azure Active Directory Domain Services.
Une machine virtuelle Windows Server jointe au domaine managé.
Si nécessaire, consultez le tutoriel précédent pour créer et joindre une machine
virtuelle Windows Server à un domaine managé.
Un compte d’utilisateur membre du groupe Administrateurs Azure AD DC dans
votre locataire Azure AD.
Un hôte Azure Bastion déployé dans votre réseau virtuel Azure AD DS.
Si nécessaire, créez un hôte Azure Bastion.
7 Notes
Dans ce tutoriel, vous utilisez une machine virtuelle Windows Server dans Azure qui
est jointe au domaine managé. Vous pouvez également utiliser un client Windows,
comme Windows 10, qui est joint au domaine managé.
Pour plus d’informations sur l’installation des outils d’administration sur un client
Windows, consultez Installer les outils d’administration de serveur distant .
Si nécessaire, autorisez votre navigateur web à ouvrir des fenêtres contextuelles pour
afficher la connexion Bastion. Il faut quelques secondes pour établir la connexion à votre
machine virtuelle.
Pour installer les outils d’administration Active Directory sur une machine virtuelle jointe
au domaine, effectuez les étapes suivantes :
1. Si Gestionnaire de serveur ne s’ouvre pas par défaut lorsque vous vous connectez
à la machine virtuelle, sélectionnez le menu Démarrer, puis choisissez Gestionnaire
de serveur.
4. Pour le Type d’installation, laissez l’option Installation basée sur un rôle ou une
fonctionnalité cochée et sélectionnez Suivant.
Vous pouvez également utiliser le Module Active Directory pour Windows PowerShell, qui
est installé dans le cadre des outils d’administration, pour gérer les actions courantes
dans votre domaine managé.
Étapes suivantes
Dans ce didacticiel, vous avez appris à :
Pour interagir de façon sécurisée avec votre domaine managé à partir d’autres
applications, activez le protocole LDAPS.
Pour communiquer avec votre domaine managé Azure Active Directory Domain Services
(Azure AD DS), le protocole LDAP (Lightweight Directory Access Protocol) est utilisé. Par
défaut, le trafic LDAP n’est pas chiffré, ce qui constitue un problème de sécurité pour de
nombreux environnements.
Avec Azure AD DS, vous pouvez configurer le domaine managé pour qu’utilise le
protocole LDAPS (Lightweight Directory Access Protocol sécurisé). Quand vous utilisez le
protocole LDAP sécurisé, le trafic est chiffré. Le protocole LDAP sécurisé est également
appelé LDAP over SSL (Secure Sockets Layer) / TLS (Transport Layer Security).
Ce tutoriel vous montre comment configurer LDAPS pour un domaine managé Azure
AD DS.
Prérequis
Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, créez et configurez un domaine managé Azure Active Directory
Domain Services.
L’outil LDP.exe installé sur votre ordinateur.
Si nécessaire, installez les outils d’administration de serveur distant (RSAT) pour
Active Directory Domain Services et LDAP.
Vous avez besoin des rôles Azure AD Administrateur d’applications et
Administrateur de groupes dans votre locataire pour activer le protocole LDAP
sécurisé.
Émetteur approuvé : le certificat doit être émis par une autorité approuvée par les
ordinateurs qui se connectent au domaine managé à l’aide du protocole LDAP
sécurisé. Cette autorité peut être une autorité de certification publique ou une
autorité de certification d’entreprise approuvée par ces ordinateurs.
Durée de vie : le certificat doit être valide pour les 3 à 6 mois à venir. L’accès du
protocole LDAP sécurisé à votre domaine géré est interrompu lorsque le certificat
expire.
Nom du sujet : le nom du sujet du certificat doit correspondre à votre domaine
managé. Par exemple, si le nom de votre domaine est aaddscontoso.com, le nom
du sujet du certificat doit être * .aaddscontoso.com.
Le nom DNS ou le nom alternatif du sujet du certificat doit être un certificat
générique pour garantir le bon fonctionnement du protocole LDAP sécurisé
avec Azure AD Domain Services. Les contrôleurs de domaine utilisent des noms
aléatoires, et peuvent être supprimés ou ajoutés pour garantir que le service
reste disponible.
Utilisation de la clé : Le certificat doit être configuré pour les signatures
numériques et le chiffrage des clés.
Rôle du certificat : le certificat doit être valide pour l’authentification de serveur
TLS.
Plusieurs outils sont disponibles pour créer un certificat auto-signé, parmi lesquels
OpenSSL, Keytool, MakeCert et l’applet de commande New-SelfSignedCertificate.
Dans ce tutoriel, nous allons créer un certificat auto-signé pour le protocole LDAP
sécurisé en utilisant l’applet de commande New-SelfSignedCertificate.
Ouvrez une fenêtre PowerShell en tant qu’Administrateur, puis exécutez les commandes
suivantes. Remplacez la variable $dnsName par le nom DNS utilisé par votre propre
domaine managé, par exemple aaddscontoso.com :
PowerShell
L’exemple de sortie suivant montre que le certificat a été généré avec succès et qu’il est
stocké dans le magasin de certificats local (LocalMachine\MY) :
Sortie
PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\MY
Thumbprint Subject
---------- -------
959BD1531A1E674EB09E13BD8534B2C76A45B3E6 CN=aaddscontoso.com
Ces deux clés, les clés privées et publiques, permettent de garantir que seuls les
ordinateurs appropriés peuvent communiquer entre eux. Si vous utilisez une autorité de
certification publique ou une autorité de certification d’entreprise, vous recevez un
certificat qui inclut la clé privée et qui peut être appliqué à un domaine managé. La clé
publique doit déjà être connue et approuvée par les ordinateurs clients.
Dans ce tutoriel, vous avez créé un certificat auto-signé avec la clé privée : vous devez
donc exporter les composants privés et publics appropriés.
3. Sur l’invite Contrôle de compte d’utilisateur, cliquez sur Oui pour lancer la console
MMC en tant qu’administrateur.
11. La clé privée du certificat doit être exportée. Si la clé privée n’est pas incluse dans
le certificat exporté, l’action d’activation du protocole LDAP sécurisé pour votre
domaine managé échoue.
Dans la page Exporter la clé privée, cliquez sur Oui, exporter la clé privée, puis
sélectionnez Suivant.
Dans la page Sécurité, choisissez l’option Mot de passe pour protéger le fichier de
certificat .PFX. L’algorithme de chiffrement doit être TripleDES-SHA1. Entrez et
confirmez un mot de passe, puis sélectionnez Suivant. Ce mot de passe est utilisé
dans la section suivante pour activer le protocole LDAP sécurisé pour votre
domaine managé.
15. Dans la page de vérification, sélectionnez Terminer pour exporter le certificat vers
un fichier de certificat .PFX. Une boîte de dialogue de confirmation s’affiche quand
le certificat a été exporté avec succès.
16. Laissez la console MMC ouverte pour l’utiliser dans la section suivante.
3. Comme vous n’avez pas besoin de la clé privée pour les clients, dans la page
Exporter la clé privée, sélectionnez Non, ne pas exporter la clé privée, puis
sélectionnez Suivant.
Le fichier de certificat .CER peut désormais être distribué sur des ordinateurs clients qui
doivent approuver la connexion LDAP sécurisée au domaine managé. Installons le
certificat sur l’ordinateur local.
2. Cliquez avec le bouton droit sur le fichier de certificat .CER, puis choisissez Installer
le certificat.
4. Quand vous y êtes invité, choisissez Oui pour permettre à l’ordinateur d’apporter
des modifications.
1. Dans le portail Azure , entrez domain services (services de domaine) dans la zone
Rechercher des ressources. Sélectionnez Azure AD Domain Services dans les
résultats de la recherche.
4. Par défaut, l’accès LDAP sécurisé à votre domaine managé est désactivé. Basculez
LDAP sécurisé sur Activer.
5. L’accès LDAP sécurisé à votre domaine managé via Internet est désactivé par
défaut. Quand vous activez l’accès LDAP sécurisé public, votre domaine est
vulnérable aux attaques par force brute via Internet. À l’étape suivante, un groupe
de sécurité réseau est configuré pour verrouiller l’accès seulement aux plages
d’adresses IP sources nécessaires.
) Important
7. Entrez le Mot de passe pour déchiffrer le fichier .PFX défini dans une étape
précédente quand le certificat a été exporté vers un fichier .PFX.
Une notification vous informe que le protocole LDAP sécurisé est en cours de
configuration pour le domaine managé. Vous ne pouvez pas modifier d’autres
paramètres pour le domaine managé tant que cette opération n’est pas terminée.
L’activation du protocole LDAP sécurisé pour votre domaine managé prend quelques
minutes. Si le certificat LDAP sécurisé que vous fournissez ne correspond pas aux
critères demandés, l’action d’activation du protocole LDAP sécurisé pour le domaine
managé échoue.
Voici quelques raisons d’échec courantes : le nom de domaine est incorrect, l’algorithme
de chiffrement du certificat n’est pas TripleDES-SHA1 ou le certificat expire ou a déjà
expiré. Vous pouvez recréer le certificat avec des paramètres valides, puis activer le
protocole LDAP sécurisé en utilisant ce certificat mis à jour.
Créons une règle pour autoriser l’accès LDAP sécurisé entrant sur le port TCP 636 à
partir d’un ensemble spécifique d’adresses IP. Une règle DenyAll par défaut avec une
priorité inférieure s’applique à tous les autres trafics entrants provenant d’Internet, de
sorte que seules les adresses spécifiées peuvent atteindre votre domaine managé en
utilisant le protocole LDAP sécurisé.
3. La liste des règles de sécurité de trafic entrant et sortant existantes s’affiche. Sur le
côté gauche de la fenêtre du groupe de sécurité réseau, choisissez Paramètres
Règles de sécurité de trafic entrant.
4. Sélectionnez Ajouter, puis créez une règle pour autoriser le port TCP636. Pour
améliorer la sécurité, choisissez la source Adresses IP, puis spécifiez votre propre
adresse ou plage d’adresses IP pour votre organisation.
Paramètre Valeur
Source Adresses IP
Destination Quelconque
Protocol TCP
Paramètre Valeur
Action Allow
Priority 401
Nom AllowLDAPS
5. Quand vous êtes prêt, sélectionnez Ajouter pour enregistrer et appliquer la règle.
L’exemple d’entrée DNS suivant, avec votre fournisseur DNS externe ou dans le fichier
hosts local, résout le trafic pour ldaps.aaddscontoso.com avec l’adresse IP externe
168.62.205.103 :
168.62.205.103 ldaps.aaddscontoso.com
Ensuite, créez une liaison à votre domaine managé. Les utilisateurs (et les comptes de
service) ne peuvent pas établir des liaisons simples LDAP si vous désactivez la
synchronisation de hachage des mots de passe NTLM sur votre domaine managé. Pour
plus d’informations sur la désactivation de la synchronisation de hachage de mot de
passe NTLM, consultez Sécuriser votre domaine managé.
4. Laissez tels quels les champs préremplis, puis sélectionnez Exécuter. Les résultats
de la requête sont affichés dans la fenêtre de droite, comme illustré dans l’exemple
de sortie suivant :
Pour interroger directement un conteneur spécifique, dans le menu Afficher
Arborescence, vous pouvez spécifier un BaseDN, comme OU=AADDC
Users,DC=AADDSCONTOSO,DC=COM ou OU=AADDC
Computers,DC=AADDSCONTOSO,DC=COM. Pour plus d’informations sur la façon de
mettre en forme et de créer des requêtes, consultez Principes de base des requêtes
LDAP.
7 Notes
Si un certificat auto-signé est utilisé, assurez-vous qu’il a été ajouté dans les
autorités de certification racines de confiance pour que LDAPS fonctionne avec
LDP.exe
Dépannage
Si vous voyez une erreur indiquant que LDAP.exe ne peut pas se connecter, essayez
d’examiner les différentes phases de l’établissement de la connexion :
Le client tente d’établir la connexion TLS en utilisant le nom que vous avez fourni. Le
trafic doit aller jusqu’au bout. Le contrôleur de domaine envoie la clé publique du cert
d’authentification serveur. Le cert doit avoir l’utilisation appropriée dans le certificat, le
nom signé dans le nom d’objet doit être compatible pour que le client sache que le
serveur est le nom DNS auquel vous vous connectez (autrement dit, un caractère
générique fonctionne sans faute d’orthographe) et le client doit faire confiance à
l’émetteur. Vous pouvez rechercher les problèmes dans cette chaîne dans le journal
système de l’observateur d’événements et filtrer les événements où la source est égale à
Schannel. Une fois ces éléments en place, ils forment une clé de session.
Étapes suivantes
Dans ce didacticiel, vous avez appris à :
Pour les environnements hybrides, un locataire Azure Active Directory (Azure AD) peut
être configuré pour se synchroniser avec un environnement Active Directory Domain
Services (AD DS) local à l’aide d’Azure AD Connect. Par défaut, Azure AD Connect ne
synchronise pas les hachages de mot de passe NTLM (NT LAN Manager) et Kerberos
existants demandés pour Azure Active Directory Domain Services (Azure AD DS).
Pour utiliser Azure AD DS avec des comptes synchronisés à partir d’un environnement
AD DS local, vous devez configurer Azure AD Connect afin de synchroniser ces hachages
de mot de passe nécessaires pour l’authentification NTLM et Kerberos. Une fois
Azure AD Connect configuré, un événement de création de compte ou de modification
de mot de passe local synchronise également les hachages de mot de passe existants
avec Azure AD.
Vous n’avez pas besoin d’effectuer ces étapes si vous utilisez des comptes cloud
uniquement sans environnement AD DS local.
" Découvrir pourquoi les hachages de mot de passe NTLM et Kerberos existants sont
nécessaires
" Configurer la synchronisation de hachage du mot de passe existant pour Azure AD
Connect
Prérequis
Pour effectuer ce didacticiel, vous avez besoin des ressources suivantes :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement et qui est
synchronisé avec un annuaire local à l’aide d’Azure AD Connect.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Si nécessaire, activez Azure AD Connect pour la synchronisation de hachage du
mot de passe.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, créez et configurez un domaine managé Azure Active Directory
Domain Services.
Pour authentifier les utilisateurs sur le domaine managé, Azure AD DS nécessite les
hachages de mot de passe dans un format adapté à l’authentification NTLM et Kerberos.
Azure AD ne stocke pas les hachages de mot de passe au format exigé pour
l’authentification NTLM ou Kerberos tant que vous n’activez pas Azure AD DS pour votre
locataire. Pour des raisons de sécurité, Azure AD ne stocke pas non plus d’informations
d’identification de mot de passe sous forme de texte en clair. Par conséquent, Azure AD
ne peut pas générer automatiquement ces hachages de mot de passe NTLM ou
Kerberos en fonction des informations d’identification existantes des utilisateurs.
Azure AD Connect peut être configuré pour synchroniser les hachages de mot de passe
NTLM ou Kerberos exigés pour Azure AD DS. Vérifiez que vous avez effectué les étapes
nécessaires pour activer Azure AD Connect pour la synchronisation de hachage de mot
de passe. Si vous aviez une instance d’Azure AD Connect, téléchargez et mettez à jour la
dernière version pour garantir que vous pouvez synchroniser les hachages de mot de
passe existant pour NTLM et Kerberos. Cette fonctionnalité n’est pas disponible dans les
versions antérieures d’Azure AD Connect ou avec l’outil DirSync existant. Azure AD
Connect version 1.1.614.0 ou ultérieure est nécessaire.
) Important
1. Sur l’ordinateur sur lequel Azure AD Connect est installé, dans le menu Démarrer,
ouvrez Azure AD Connect > Service de synchronisation.
3. Copiez et collez le script PowerShell suivant sur l’ordinateur sur lequel Azure AD
Connect est installé. Le script déclenche une synchronisation de mot de passe
complète qui inclut les hachages de mot de passe existants. Mettez à jour les
variables $azureadConnector et $adConnector avec les noms de connecteurs notés
à l’étape précédente.
Exécutez ce script sur chaque forêt AD pour synchroniser les hachages de mot de
passe NTLM et Kerberos de compte local avec Azure AD.
PowerShell
# Define the Azure AD Connect connector names and import the required
PowerShell module
$p = New-Object
Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParame
ter "Microsoft.Synchronize.ForceFullPasswordSync", String,
ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Étapes suivantes
Dans ce tutoriel, vous avez appris à effectuer les opérations suivantes :
" Découvrir pourquoi les hachages de mot de passe NTLM et Kerberos existants sont
nécessaires
" Configurer la synchronisation de hachage du mot de passe existant pour Azure AD
Connect
Pour améliorer la résilience d’un domaine managé Azure Active Directory Domain
Services (Azure AD DS) ou pour effectuer un déploiement vers des zones géographiques
supplémentaires proches de vos applications, vous pouvez utiliser des jeux de réplicas.
Chaque espace de noms de domaine managé Azure AD DS, tel que aaddscontoso.com,
contient un jeu de réplicas initial. La possibilité de créer des jeux de réplicas
supplémentaires dans d’autres régions Azure fait bénéficier un domaine managé de la
résilience géographique.
Vous pouvez ajouter un jeu de réplicas à n’importe quel réseau virtuel appairé d’une
région Azure prenant en charge Azure AD DS.
Prérequis
Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un domaine managé Azure Active Directory Domain Services créé à l’aide d’un
modèle de déploiement Azure Resource Manager et configuré dans votre locataire
Azure AD.
Si nécessaire, créez et configurez un domaine managé Azure Active Directory
Domain Services.
) Important
Vous devez utiliser une référence (SKU) minimale d’Enterprise pour votre
domaine managé pour prendre en charge les ensembles de réplica. Si
nécessaire, changez de référence SKU pour un domaine managé.
Avant d’utiliser des jeux de réplicas dans Azure AD DS, prenez connaissance des
exigences pour les réseaux virtuels Azure :
Conseil
Quand vous créez un jeu de réplicas sur le portail Azure, les appairages entre
réseaux virtuels sont créées automatiquement.
Si nécessaire, vous pouvez créer un réseau virtuel et un sous-réseau au moment
d’ajouter un jeu de réplicas sur le portail Azure. Vous pouvez aussi choisir des
ressources de réseau virtuel existantes dans la région de destination pour un jeu de
réplicas et laisser les appairages se créer automatiquement s’ils n’existent pas déjà.
Dans ce tutoriel, vous allez créer un jeu de réplicas supplémentaire dans une région
Azure différente de celle du jeu de réplicas Azure AD DS initial.
S’ils n’existent pas déjà, les appairages de réseaux virtuels Azure sont
automatiquement créés entre le réseau virtuel de votre domaine managé et le
réseau virtuel de destination.
Le processus de création du jeu de réplicas prend un certain temps, car les ressources
sont créées dans la région de destination. Le domaine managé lui-même est ensuite
répliqué via la réplication AD DS.
Le jeu de réplicas est présenté comme étant en cours de provisionnement pendant que
le déploiement se produit, comme le montre la capture d’écran d’exemple suivante. Une
fois terminé, le jeu de réplicas indique qu’il est en cours d’exécution.
Supprimer un jeu de réplicas
Un domaine managé est actuellement limité à cinq réplicas : le jeu de réplicas initial et
quatre jeux de réplicas supplémentaires. Si vous n’avez plus besoin d’un jeu de réplicas
ou si vous voulez créer un jeu de réplicas dans une autre région, vous pouvez supprimer
les jeux de réplicas superflus.
) Important
Vous ne pouvez pas supprimer le dernier jeu de réplicas ou le jeu de réplicas initial
dans un domaine managé.
7 Notes
Si vous n’avez plus besoin du réseau virtuel ou de l’appairage utilisé par le jeu de
réplicas, vous pouvez aussi supprimer ces ressources. Vérifiez qu’aucune autre ressource
d’application de l’autre région n’a besoin de connexions réseau avant de la supprimer.
Étapes suivantes
Dans ce didacticiel, vous avez appris à :
Cette rubrique montre comment effectuer une simulation de reprise d’activité (DR) pour
Azure AD Domain Services (Azure AD DS) à l’aide de jeux de réplicas. La mise hors
connexion de l’un des jeux de réplicas est simulée en modifiant les propriétés du réseau
virtuel afin de bloquer l’accès client à ce dernier. Il ne s’agit pas d’une véritable reprise
d’activité car le jeu de réplicas n’est pas mis hors connexion.
Prérequis
Les conditions suivantes doivent être remplies pour pouvoir effectuer la simulation de
reprise d’activité :
Une instance Azure AD DS active est déployée avec au moins un jeu de réplicas
supplémentaire en place. Le domaine doit être dans un état sain.
Un ordinateur client est joint au domaine hébergé Azure AD DS. Le client doit se
trouver dans son propre réseau virtuel, un peering de réseaux virtuels est activé
avec les deux réseaux virtuels des jeux de réplicas, et le réseau virtuel doit avoir les
adresses IP de tous les contrôleurs de domaine dans les jeux de réplicas listés dans
DNS.
Validation de l’environnement
1. Connectez-vous à l’ordinateur client à l’aide d’un compte de domaine.
2. Installez les outils RSAT Active Directory Domain Services.
3. Ouvrez une fenêtre PowerShell avec des privilèges élevés.
4. Effectuez les vérifications de validation de domaine de base :
1. Identifiez les contrôleurs de domaine dans le jeu de réplicas dont vous voulez
simuler la mise hors connexion.
2. Sur l’ordinateur client, connectez-vous à l’un des contrôleurs de domaine en
utilisant nltest /sc_reset:[domain]\[domain controller name] .
3. Dans le portail Azure, accédez au peering de réseaux virtuels du client et mettez à
jour les propriétés afin que tout le trafic entre le client et le jeu de réplicas soit
bloqué.
a. Sélectionnez le réseau appairé à mettre à jour.
b. Sélectionnez l’option permettant de bloquer tout le trafic réseau qui entre dans
le réseau virtuel ou en sort.
4. Sur l’ordinateur client, essayez de rétablir une connexion sécurisée aux deux
contrôleurs de domaine de l’étape 2 en utilisant la même commande nltest. Ces
opérations doivent échouer, car la connectivité réseau a été bloquée.
5. Exécutez Get-AdDomain et Get-AdForest pour obtenir les propriétés d’annuaire de
base. Ces appels aboutissent, car ils accèdent automatiquement à l’un des
contrôleurs de domaine dans l’autre jeu de réplicas.
6. Redémarrez le client et connectez-vous avec le même compte de domaine. Celui-ci
indique que l’authentification fonctionne encore comme prévu et que les
connexions ne sont pas bloquées.
7. Dans le portail Azure, accédez au peering de réseaux virtuels du client et mettez à
jour les propriétés afin que tout le trafic soit débloqué. Cette opération annule les
modifications apportées à l’étape 3.
8. Sur l’ordinateur client, essayez de rétablir une connexion sécurisée aux contrôleurs
de domaine de l’étape 2 en utilisant la même commande nltest. Ces opérations
doivent aboutir, car la connectivité réseau a été débloquée.
Ces opérations montrent que le domaine est toujours disponible, même si l’un des jeux
de réplicas est inaccessible par le client. Effectuez cette série d’étapes pour chaque jeu
de réplicas inclus dans l’instance Azure AD DS.
Résumé
Une fois que vous aurez terminé ces étapes, vous allez voir que les membres du
domaine continuent d’accéder à l’annuaire si l’un des jeux de réplicas n’est pas
accessible dans Azure AD DS. Vous pouvez simuler le même comportement en bloquant
tout l’accès réseau pour un jeu de réplicas au lieu d’un ordinateur client, mais nous vous
le déconseillons. Cette façon de procéder ne modifie pas le comportement du point de
vue du client, mais elle affecte l’intégrité de votre instance Azure AD DS tant que l’accès
réseau n’est pas restauré.
Étapes suivantes
Dans ce didacticiel, vous avez appris à :
Azure Active Directory Domain Services (Azure AD DS) fournit des services de domaine
managés, comme la jonction de domaine, la stratégie de groupe, le protocole LDAP, et
l’authentification Kerberos/NTLM entièrement compatible avec Windows Server Active
Directory. Vous consommez ces services de domaine sans déployer, gérer et mettre à
jour avec des correctifs les contrôleurs de domaine vous-même. Azure AD DS s’intègre à
votre locataire Azure AD existant. Cette intégration permet aux utilisateurs de se
connecter en utilisant leurs informations d’identification d’entreprise, et vous pouvez
utiliser des groupes et des comptes d’utilisateur existants pour sécuriser l’accès aux
ressources.
Vous pouvez créer un domaine managé avec des options de configuration par défaut
pour la mise en réseau et la synchronisation, ou définir manuellement ces paramètres.
Ce tutoriel montre comment définir ces options de configuration avancées pour créer et
configurer un domaine managé Azure AD DS avec le portail Azure.
Prérequis
Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Vous avez besoin des rôles Administrateur d’applications et Administrateur de
groupes Azure AD dans votre locataire pour activer Azure AD DS.
Vous avez besoin du rôle Azure Contributeur aux services de domaine pour créer
les ressources Azure AD DS requises.
Bien que ce ne soit pas obligatoire pour Azure AD DS, nous vous recommandons de
configurer la réinitialisation de mot de passe en libre-service (SSPR) pour le locataire
Azure AD. Les utilisateurs peuvent changer leur mot de passe sans SSPR, mais SSPR aide
s’ils oublient leur mot de passe et doivent les réinitialiser.
) Important
Une fois que vous avez créé un domaine managé, vous ne pouvez pas le déplacer
dans un autre abonnement, groupe de ressources ou région. Veillez à sélectionner
l’abonnement, le groupe de ressources et la région les plus appropriés quand vous
déployez le domaine managé.
1. Dans le menu du Portail Azure ou dans la page Accueil, sélectionnez Créer une
ressource.
2. Entrez Domain Services dans la barre de recherche, puis choisissez Azure AD
Domain Services dans les suggestions de recherche.
3. Dans la page Azure AD Domain Services, cliquez sur le bouton Créer. L’Assistant
Activer Azure AD Domain Services est lancé.
4. Sélectionnez l’Abonnement Azure dans lequel vous souhaitez créer le domaine
managé.
5. Sélectionnez le Groupe de ressources auquel le domaine managé doit appartenir.
Choisissez de Créer ou de sélectionner un groupe de ressources existant.
Quand vous créez un domaine managé, vous spécifiez un nom DNS. Voici quelques
considérations liées au choix de ce nom DNS :
Conseil
Par exemple, si vous disposez de l’espace de noms DNS existant contoso.com, créez
un domaine managé avec le nom de domaine personnalisé aaddscontoso.com. Si
vous devez utiliser le protocole LDAP sécurisé, vous devez inscrire et avoir ce nom
de domaine personnalisé pour générer les certificats requis.
Renseignez les champs de la fenêtre De base du portail Azure pour créer un domaine
managé :
1. Entrez un Nom de domaine DNS pour votre domaine managé, en tenant compte
des points précédents.
Conseil
4. Une forêt est une construction logique utilisée par Active Directory Domain
Services pour regrouper un ou plusieurs domaines.
1. Dans la page Réseau, choisissez un réseau virtuel où déployer Azure AD DS dans le
menu déroulant, ou sélectionnez Créer.
a. Si vous choisissez de créer un réseau virtuel, entrez un nom pour ce nouveau
réseau, comme myVnet, puis spécifiez une plage d’adresses, par exemple
10.0.1.0/24.
b. Créez un sous-réseau dédié avec un nom explicite, par exemple DomainServices.
Spécifiez une plage d’adresses, par exemple 10.0.1.0/24.
Veillez à choisir une plage d’adresses qui se trouve dans votre plage d’adresses IP
privée. Les plages d’adresses IP qui ne vous appartiennent pas et qui se trouvent
dans l’espace d’adressage public provoquent des erreurs dans Azure AD DS.
) Important
Configurer la synchronisation
Azure AD DS vous permet de synchroniser tous les utilisateurs et les groupes
disponibles dans Azure AD, ou d’effectuer une synchronisation limitée seulement à des
groupes spécifiques. Vous pouvez modifier l’étendue de synchronisation maintenant, ou
une fois que le domaine managé est déployé. Pour plus d’informations, consultez
Synchronisation limitée d’Azure AD Domain Services.
1. Pour créer le domaine managé, sélectionnez Créer. Une remarque s’affiche pour
signaler que certaines options de configuration, telles que le nom DNS ou le
réseau virtuel, ne sont plus modifiables une fois que le domaine managé Azure
AD DS a été créé. Pour continuer, sélectionnez OK.
) Important
Le domaine managé est associé à votre locataire Azure AD. Pendant le processus
d’approvisionnement, Azure AD DS crée deux applications d’entreprise nommées
Services de contrôleur de domaine et AzureActiveDirectoryDomainControllerServices
dans le locataire Azure AD. Ces applications d’entreprise sont nécessaires pour
entretenir votre domaine géré. Ne supprimez pas ces applications.
1. L’onglet Vue d’ensemble pour votre domaine managé montre quelques Étapes de
configuration obligatoires. La première étape de configuration est de mettre à
jour les paramètres du serveur DNS pour votre réseau virtuel. Une fois les
paramètres DNS correctement configurés, cette étape n’apparaît plus.
Les adresses listées sont les contrôleurs de domaine à utiliser dans le réseau
virtuel. Dans cet exemple, ces adresses sont 10.0.1.4 et 10.0.1.5. Vous pouvez
trouver ultérieurement ces adresses IP sous l’onglet Propriétés.
2. Pour mettre à jour les paramètres du serveur DNS pour le réseau virtuel,
sélectionnez le bouton Configurer. Les paramètres DNS sont configurés
automatiquement pour votre réseau virtuel.
Conseil
Si vous avez sélectionné un réseau virtuel existant au cours des étapes précédentes,
les machines virtuelles connectées au réseau obtiennent les nouveaux paramètres
DNS seulement après un redémarrage. Vous pouvez redémarrer les machines
virtuelles en utilisant le portail Azure, Azure PowerShell ou Azure CLI.
7 Notes
Une fois configurés de façon appropriée, les hachages de mot de passe utilisables
sont stockés dans le domaine managé. Si vous supprimez le domaine managé, tout
hachage de mot de passe stocké à ce stade est également supprimé.
Un compte d’utilisateur uniquement dans le cloud est un compte qui a été créé dans
votre répertoire Azure AD à l’aide du portail Azure ou d’applets de commande
PowerShell Azure AD. Ces comptes d’utilisateurs ne sont pas synchronisés à partir d’un
annuaire local.
Dans ce tutoriel, nous utilisons un compte d’utilisateur de base cloud uniquement. Pour
plus d’informations sur les étapes supplémentaires nécessaires pour utiliser Azure AD
Connect, consultez Synchroniser les hachages de mot de passe pour les comptes
d’utilisateur synchronisés à partir de votre annuaire Active Directory local vers votre
domaine managé.
Conseil
Pour les comptes d’utilisateurs cloud uniquement, les utilisateurs doivent changer leur
mot de passe avant de pouvoir utiliser Azure AD DS. Ce processus de changement du
mot de passe entraîne la génération et le stockage dans Azure AD des hachages de mot
de passe pour l’authentification Kerberos et NTLM. Le compte n’est pas synchronisé
entre Azure AD et Azure AD DS tant que le mot de passe n’a pas été changé. Vous
pouvez faire expirer les mots de passe de tous les utilisateurs cloud du locataire qui
doivent utiliser Azure AD DS, ce qui force le changement de mot de passe à la
connexion suivante, ou demander aux utilisateurs cloud de changer manuellement leur
mot de passe. Pour ce tutoriel, nous changeons manuellement le mot de passe d’un
utilisateur.
Pour qu’un utilisateur puisse réinitialiser son mot de passe, le locataire Azure AD doit
être configuré pour la réinitialisation du mot de passe en libre-service.
Pour changer le mot de passe d’un utilisateur cloud uniquement, l’utilisateur doit
effectuer les étapes suivantes :
2. En haut à droite, sélectionnez votre nom, puis choisissez Profil dans le menu
déroulant.
3. Dans la page Profil, sélectionnez Changer le mot de passe.
4. Dans la page Changer le mot de passe, entrez votre mot de passe existant
(l’ancien), puis entrez un nouveau mot de passe et confirmez-le.
5. Sélectionnez Envoyer.
Une fois que vous avez changé votre mot de passe, quelques minutes sont nécessaires
pour que le nouveau mot de passe soit utilisable dans Azure AD DS et que vous puissiez
vous connecter aux ordinateurs joints au domaine managé.
Étapes suivantes
Dans ce didacticiel, vous avez appris à :
Pour voir ce domaine managé en action, créez et joignez une machine virtuelle au
domaine.
Vous pouvez créer une approbation unidirectionnelle sortante entre Azure AD DS et un
ou plusieurs environnements AD DS locaux. Cette relation d’approbation permet aux
utilisateurs, applications et ordinateurs de s’authentifier auprès d’un domaine local à
partir du domaine managé Azure AD DS. Une approbation de forêt peut permettre aux
utilisateurs d’accéder aux ressources dans différents scénarios, par exemple :
Les approbations peuvent être créées dans n’importe quel domaine. Le domaine
bloquera automatiquement la synchronisation à partir d’un domaine local pour tous les
comptes d’utilisateur qui ont été synchronisés avec Azure AD DS. Cela empêche les
collisions d’UPN lorsque les utilisateurs s’authentifient.
Prérequis
Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
) Important
Vous devez utiliser une référence (SKU) minimale d’Enterprise pour votre
domaine managé. Si nécessaire, changez de référence SKU pour un domaine
managé.
Avant de configurer une approbation de forêt dans Azure AD DS, assurez-vous que
votre mise en réseau entre Azure et l’environnement local répond aux conditions
requises suivantes :
Utilisez des adresses IP privées. Ne vous fiez pas à DHCP avec attribution
d’adresses IP dynamiques.
Évitez les espaces d’adressage IP qui se chevauchent pour permettre au routage et
à l’appairage de réseaux virtuels de bien communiquer entre Azure et les réseaux
locaux.
Un réseau virtuel Azure a besoin d’un sous-réseau de passerelle pour configurer
une connexion Azure VPN de site à site (S2S) ou ExpressRoute.
Créez des sous-réseaux avec suffisamment d’adresses IP pour prendre en charge
votre scénario.
Assurez-vous qu'Azure AD DS possède son propre sous-réseau. Ne partagez pas
ce sous-réseau de réseau virtuel avec les machines virtuelles et services
d’application.
Les réseaux virtuels appairés ne sont PAS transitifs.
Des appairages de réseaux virtuels Azure doivent être créées entre tous les
réseaux virtuels pour lesquels vous souhaitez utiliser l’approbation de forêt
Azure AD DS vers l’environnement AD DS local.
Fournissez une connectivité réseau continue à votre forêt Active Directory locale.
N’utilisez pas de connexions à la demande.
Vérifiez la présence d’une résolution de noms (DNS) continue entre votre nom de
forêt Azure AD DS et votre nom de forêt Active Directory locale.
) Important
Pour créer l’approbation sortante destinée au domaine managé dans le portail Azure,
effectuez les étapes suivantes :
3. Entrez un nom d’affichage qui identifie votre approbation, puis le nom DNS de la
forêt locale approuvée, par exemple onprem.contoso.com.
5. Fournissez au moins deux serveurs DNS pour le domaine AD DS local, par exemple
10.1.1.4 et 10.1.1.5.
Console
whoami /fqdn
Console
5. Utilisez whoami /fqdn dans la nouvelle invite de commandes pour afficher le nom
unique de l’utilisateur authentifié à partir de l'instance Active Directory locale.
2. Cliquez avec le bouton droit sur le nom de domaine, sélectionnez Nouveau, puis
Unité d'organisation.
8. Entrez Utilisateurs du domaine dans la zone Entrer les noms des objets à
sélectionner. Sélectionnez Vérifier les noms, fournissez les informations
d’identification de l'instance Active Directory locale, puis sélectionnez OK.
7 Notes
3. Pour valider l’autorisation d’écriture, cliquez avec le bouton droit dans le dossier,
sélectionnez Nouveau, puis Document texte. Utilisez le nom par défaut Nouveau
document texte.
Étapes suivantes
Dans ce didacticiel, vous avez appris à :
Pour plus d’informations conceptuelles sur les forêts dans Azure AD DS, consultez
Fonctionnement des relations d’approbation pour les forêts dans Active Directory.
Activer Azure Active Directory Domain
Services à l’aide de PowerShell
Article • 11/05/2023
Azure Active Directory Domain Services (Azure AD DS) fournit des services de domaine
managés, comme la jonction de domaine, la stratégie de groupe, le protocole LDAP, et
l’authentification Kerberos/NTLM entièrement compatible avec Windows Server Active
Directory. Vous consommez ces services de domaine sans déployer, gérer et mettre à
jour avec des correctifs les contrôleurs de domaine vous-même. Azure AD DS s’intègre à
votre locataire Azure AD existant. Cette intégration permet aux utilisateurs de se
connecter en utilisant leurs informations d’identification d’entreprise, et vous pouvez
utiliser des groupes et des comptes d’utilisateur existants pour sécuriser l’accès aux
ressources.
7 Notes
Prérequis
Pour effectuer ce qui est décrit dans cet article, vous avez besoin des ressources
suivantes :
Vous avez besoin de privilèges de Contributeur dans votre abonnement Azure pour
créer les ressources Azure AD DS nécessaires.
) Important
Azure PowerShell
PowerShell
$GroupObjectId = Get-AzureADGroup `
Select-Object ObjectId
if (!$GroupObjectId) {
-SecurityEnabled $true `
-MailEnabled $false `
-MailNickName "AADDCAdministrators"
else {
Une fois le groupe Administrateurs AAD DC créé, obtenez l’ID d’objet de l’utilisateur
souhaité en utilisant l’applet de commande Get-AzureADUser, puis ajoutez l’utilisateur
au groupe en utilisant l’applet de commande Add-AzureADGroupMember.
Dans l’exemple suivant, l’ID d’objet utilisateur du compte a le nom d’utilisateur principal
(UPN) admin@contoso.onmicrosoft.com . Remplacez ce compte d’utilisateur par l’UPN de
l’utilisateur que vous souhaitez ajouter au groupe AAD DC Administrators :
PowerShell
# Retrieve the object ID of the user you'd like to add to the group.
$UserObjectId = Get-AzureADUser `
Select-Object ObjectId
Azure PowerShell
Azure PowerShell
$ResourceGroupName = "myResourceGroup"
$AzureLocation = "westus"
New-AzResourceGroup `
-Name $ResourceGroupName `
-Location $AzureLocation
Créez le réseau virtuel et des sous-réseaux pour Azure AD Domain Services. Deux sous-
réseaux sont créés : un pour DomainServices et un autre pour Workloads. Azure AD DS
est déployé dans le sous-réseau dédié DomainServices. Ne déployez pas d’autres
applications ou charges de travail dans ce sous-réseau. Utilisez le sous-réseau
indépendant Workloads ou d’autres sous-réseaux pour le reste de vos machines
virtuelles.
Azure PowerShell
$VnetName = "myVnet"
$SubnetName = "DomainServices"
$AaddsSubnet = New-AzVirtualNetworkSubnetConfig `
-Name $SubnetName `
-AddressPrefix 10.0.0.0/24
$WorkloadSubnet = New-AzVirtualNetworkSubnetConfig `
-Name Workloads `
-AddressPrefix 10.0.1.0/24
# Create the virtual network in which you will enable Azure AD Domain
Services.
$Vnet= New-AzVirtualNetwork `
-ResourceGroupName $ResourceGroupName `
-Location westus `
-Name $VnetName `
-AddressPrefix 10.0.0.0/16 `
-Subnet $AaddsSubnet,$WorkloadSubnet
Azure PowerShell
$NSGName = "aaddsNSG"
# Create a rule to allow inbound TCP port 3389 traffic from Microsoft secure
access workstations for troubleshooting
-Access Allow `
-Protocol Tcp `
-Direction Inbound `
-Priority 201 `
-SourceAddressPrefix CorpNetSaw `
-SourcePortRange * `
-DestinationAddressPrefix * `
-DestinationPortRange 3389
# Create a rule to allow TCP port 5986 traffic for PowerShell remote
management
-Access Allow `
-Protocol Tcp `
-Direction Inbound `
-Priority 301 `
-SourceAddressPrefix AzureActiveDirectoryDomainServices `
-SourcePortRange * `
-DestinationAddressPrefix * `
-DestinationPortRange 5986
-ResourceGroupName $ResourceGroupName `
-Location $AzureLocation `
-SecurityRules $nsg201,$nsg301
$addressPrefix = $subnet.AddressPrefix
# Associate the network security group with the virtual network subnet
-VirtualNetwork $vnet `
-AddressPrefix $addressPrefix `
-NetworkSecurityGroup $nsg
$vnet | Set-AzVirtualNetwork
Si vous choisissez une région qui prend en charge les Zones de disponibilité, les
ressources Azure AD DS sont réparties entre les zones pour assurer une redondance.
Les Zones de disponibilité sont des emplacements physiques uniques au sein d’une
région Azure. Chaque zone de disponibilité est composée d’un ou de plusieurs centres
de données équipés d’une alimentation, d’un système de refroidissement et d’un réseau
indépendants. Pour garantir la résilience, un minimum de trois zones distinctes sont
activées dans toutes les régions.
Vous ne devez rien configurer pour la répartition d’Azure AD DS entre les zones. La
plateforme Azure gère automatiquement la répartition de zone des ressources. Pour
plus d’informations et pour connaître la disponibilité régionale, voir Zones de
disponibilité dans Azure.
Azure PowerShell
$AzureSubscriptionId = "YOUR_AZURE_SUBSCRIPTION_ID"
$ManagedDomainName = "aaddscontoso.com"
$replicaSetParams = @{
Location = $AzureLocation
SubnetId =
"/subscriptions/$AzureSubscriptionId/resourceGroups/$ResourceGroupName/provi
ders/Microsoft.Network/virtualNetworks/$VnetName/subnets/DomainServices"
$domainServiceParams = @{
Name = $ManagedDomainName
ResourceGroupName = $ResourceGroupName
DomainName = $ManagedDomainName
ReplicaSet = $replicaSet
New-AzADDomainService @domainServiceParams
Une fois que le portail Azure a indiqué que le provisionnement du domaine managé
était terminé, voici les tâches qu’il convient d’effectuer :
Mettez à jour les paramètres DNS pour le réseau virtuel afin que les machines
virtuelles puissent trouver le domaine géré pour l’authentification ou la jonction de
domaine.
Pour configure le système DNS, sélectionnez votre domaine managé dans le
portail. Dans la fenêtre Vue d’ensemble, vous êtes invité à configurer
automatiquement ces paramètres DNS.
Activez la synchronisation de mot de passe avec Azure AD DS afin que les
utilisateurs finaux puissent se connecter au domaine managé avec leurs
informations d’identification d’entreprise.
7 Notes
Pour activer Azure AD DS, vous devez être administrateur général du locataire
Azure AD. Vous avez aussi besoin au moins de privilèges Contributeur dans
l’abonnement Azure.
Azure PowerShell
$AaddsAdminUserUpn = "admin@contoso.onmicrosoft.com"
$ResourceGroupName = "myResourceGroup"
$VnetName = "myVnet"
$AzureLocation = "westus"
$AzureSubscriptionId = "YOUR_AZURE_SUBSCRIPTION_ID"
$ManagedDomainName = "aaddscontoso.com"
Connect-AzureAD
Connect-AzAccount
$GroupObjectId = Get-AzureADGroup `
Select-Object ObjectId
if (!$GroupObjectId) {
-SecurityEnabled $true `
-MailEnabled $false `
-MailNickName "AADDCAdministrators"
else {
# Now, retrieve the object ID of the user you'd like to add to the group.
$UserObjectId = Get-AzureADUser `
Select-Object ObjectId
# Register the resource provider for Azure AD Domain Services with Resource
Manager.
New-AzResourceGroup `
-Name $ResourceGroupName `
-Location $AzureLocation
$SubnetName = "DomainServices"
$AaddsSubnet = New-AzVirtualNetworkSubnetConfig `
-Name DomainServices `
-AddressPrefix 10.0.0.0/24
$WorkloadSubnet = New-AzVirtualNetworkSubnetConfig `
-Name Workloads `
-AddressPrefix 10.0.1.0/24
# Create the virtual network in which you will enable Azure AD Domain
Services.
$Vnet=New-AzVirtualNetwork `
-ResourceGroupName $ResourceGroupName `
-Location $AzureLocation `
-Name $VnetName `
-AddressPrefix 10.0.0.0/16 `
-Subnet $AaddsSubnet,$WorkloadSubnet
$NSGName = "aaddsNSG"
# Create a rule to allow inbound TCP port 3389 traffic from Microsoft secure
access workstations for troubleshooting
-Access Allow `
-Protocol Tcp `
-Direction Inbound `
-Priority 201 `
-SourceAddressPrefix CorpNetSaw `
-SourcePortRange * `
-DestinationAddressPrefix * `
-DestinationPortRange 3389
# Create a rule to allow TCP port 5986 traffic for PowerShell remote
management
-Access Allow `
-Protocol Tcp `
-Direction Inbound `
-Priority 301 `
-SourceAddressPrefix AzureActiveDirectoryDomainServices `
-SourcePortRange * `
-DestinationAddressPrefix * `
-DestinationPortRange 5986
-ResourceGroupName $ResourceGroupName `
-Location $AzureLocation `
-SecurityRules $nsg201,$nsg301
$addressPrefix = $subnet.AddressPrefix
# Associate the network security group with the virtual network subnet
-VirtualNetwork $vnet `
-AddressPrefix $addressPrefix `
-NetworkSecurityGroup $nsg
$vnet | Set-AzVirtualNetwork
$replicaSetParams = @{
Location = $AzureLocation
SubnetId =
"/subscriptions/$AzureSubscriptionId/resourceGroups/$ResourceGroupName/provi
ders/Microsoft.Network/virtualNetworks/$VnetName/subnets/DomainServices"
$domainServiceParams = @{
Name = $ManagedDomainName
ResourceGroupName = $ResourceGroupName
DomainName = $ManagedDomainName
ReplicaSet = $replicaSet
New-AzADDomainService @domainServiceParams
Une fois que le portail Azure a indiqué que le provisionnement du domaine managé
était terminé, voici les tâches qu’il convient d’effectuer :
Mettez à jour les paramètres DNS pour le réseau virtuel afin que les machines
virtuelles puissent trouver le domaine géré pour l’authentification ou la jonction de
domaine.
Pour configure le système DNS, sélectionnez votre domaine managé dans le
portail. Dans la fenêtre Vue d’ensemble, vous êtes invité à configurer
automatiquement ces paramètres DNS.
Activez la synchronisation de mot de passe avec Azure AD DS afin que les
utilisateurs finaux puissent se connecter au domaine managé avec leurs
informations d’identification d’entreprise.
Étapes suivantes
Pour voir le domaine managé en action, vous pouvez joindre une machine virtuelle
Windows à un domaine, configurer le protocole LDAP sécurisé et configurer la
synchronisation du hachage de mot de passe.
Créer un domaine managé Azure Active
Directory Domain Services à l’aide d’un
modèle Resource Manager
Article • 01/06/2023
Azure Active Directory Domain Services (Azure AD DS) fournit des services de domaine
managés, comme la jonction de domaine, la stratégie de groupe, le protocole LDAP, et
l’authentification Kerberos/NTLM entièrement compatible avec Windows Server Active
Directory. Vous consommez ces services de domaine sans déployer, gérer et mettre à
jour avec des correctifs les contrôleurs de domaine vous-même. Azure AD DS s’intègre à
votre locataire Azure AD existant. Cette intégration permet aux utilisateurs de se
connecter en utilisant leurs informations d’identification d’entreprise, et vous pouvez
utiliser des groupes et des comptes d’utilisateur existants pour sécuriser l’accès aux
ressources.
Cet article vous montre comment créer un domaine managé à l’aide d’un modèle de
Azure Resource Manager. Les ressources de prise en charge sont créées à l’aide d’Azure
PowerShell.
Prérequis
Pour effectuer ce qui est décrit dans cet article, vous avez besoin des ressources
suivantes :
Conseil
Par exemple, si vous disposez de l’espace de noms DNS existant contoso.com, créez
un domaine managé avec le nom de domaine personnalisé aaddscontoso.com. Si
vous devez utiliser le protocole LDAP sécurisé, vous devez inscrire et avoir ce nom
de domaine personnalisé pour générer les certificats requis.
Dans cet exemple et dans les articles de guide pratique, le domaine personnalisé
aaddscontoso.com est utilisé comme exemple rapide. Dans toutes les commandes,
spécifiez votre propre nom de domaine.
Les restrictions de nom DNS suivantes s’appliquent également :
PowerShell
PowerShell
PowerShell
-MailNickName "AADDCAdministrators"
Une fois le groupe AAD DC Administrators créé, ajoutez un utilisateur au groupe à l’aide
de l’applet de commande Add-AzureADGroupMember. Vous obtenez d’abord l’ID
d’objet du groupe AAD DC Administrators via l’applet de commande Get-
AzureADGroup et ensuite l’ID d’objet de l’utilisateur souhaité via l’applet de commande
Get-AzureADUser.
Dans l’exemple suivant, l’ID d’objet utilisateur du compte a le nom d’utilisateur principal
(UPN) admin@contoso.onmicrosoft.com . Remplacez ce compte d’utilisateur par l’UPN de
l’utilisateur que vous souhaitez ajouter au groupe AAD DC Administrators :
PowerShell
$GroupObjectId = Get-AzureADGroup `
Select-Object ObjectId
# Now, retrieve the object ID of the user you'd like to add to the group.
$UserObjectId = Get-AzureADUser `
Select-Object ObjectId
PowerShell
New-AzResourceGroup `
-Name "myResourceGroup" `
-Location "WestUS"
Si vous choisissez une région qui prend en charge les Zones de disponibilité, les
ressources Azure AD DS sont réparties entre les zones pour assurer une redondance
supplémentaire. Les Zones de disponibilité sont des emplacements physiques uniques
au sein d’une région Azure. Chaque zone de disponibilité est composée d’un ou de
plusieurs centres de données équipés d’une alimentation, d’un système de
refroidissement et d’un réseau indépendants. Pour garantir la résilience, un minimum de
trois zones distinctes sont activées dans toutes les régions.
Vous ne devez rien configurer pour la répartition d’Azure AD DS entre les zones. La
plateforme Azure gère automatiquement la répartition de zone des ressources. Pour
plus d’informations et pour connaître la disponibilité régionale, voir Zones de
disponibilité dans Azure.
Paramètre Valeur
domainConfigurationType Par défaut, un domaine managé est créé en tant que forêt
d’utilisateurs. Ce type de forêt synchronise tous les objets d’Azure
AD, notamment les comptes d’utilisateur créés dans un
environnement AD DS local. Vous n’avez pas besoin de spécifier une
valeur domainConfiguration pour créer une forêt d’utilisateurs.
La définition des paramètres condensés suivants montre comment ces valeurs sont
déclarées. Une forêt d’utilisateurs nommée aaddscontoso.com est créée avec tous les
utilisateurs d’Azure AD DS synchronisés avec le domaine managé :
JSON
"parameters": {
"domainName": {
"value": "aaddscontoso.com"
},
"filteredSync": {
"value": "Disabled"
},
"notificationSettings": {
"value": {
"notifyGlobalAdmins": "Enabled",
"notifyDcAdmins": "Enabled",
"additionalRecipients": []
},
[...]
Le type de ressource de modèle Resource Manager condensé suivant est ensuite utilisé
pour définir et créer le domaine managé. Un réseau virtuel et un sous-réseau Azure
doivent déjà exister ou être créés dans le cadre du modèle Resource Manager. Le
domaine managé est connecté à ce sous-réseau.
JSON
"resources": [
"apiVersion": "2017-06-01",
"type": "Microsoft.AAD/DomainServices",
"name": "[parameters('domainName')]",
"location": "[parameters('location')]",
"dependsOn": [
"[concat('Microsoft.Network/virtualNetworks/',
parameters('vnetName'))]"
],
"properties": {
"domainName": "[parameters('domainName')]",
"subnetId": "[concat('/subscriptions/',
subscription().subscriptionId, '/resourceGroups/', resourceGroup().name,
'/providers/Microsoft.Network/virtualNetworks/', parameters('vnetName'),
'/subnets/', parameters('subnetName'))]",
"filteredSync": "[parameters('filteredSync')]",
"notificationSettings": "[parameters('notificationSettings')]"
},
[...]
Ces paramètres et le type de ressource peuvent être utilisés dans le cadre d’un modèle
Resource Manager plus étendu pour déployer un domaine managé, comme indiqué
dans la section suivante.
JSON
"$schema": "http://schema.management.azure.com/schemas/2015-01-
01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"apiVersion": {
"value": "2017-06-01"
},
"domainConfigurationType": {
"value": "FullySynced"
},
"domainName": {
"value": "aaddscontoso.com"
},
"filteredSync": {
"value": "Disabled"
},
"location": {
"value": "westus"
},
"notificationSettings": {
"value": {
"notifyGlobalAdmins": "Enabled",
"notifyDcAdmins": "Enabled",
"additionalRecipients": []
},
"subnetName": {
"value": "aadds-subnet"
},
"vnetName": {
"value": "aadds-vnet"
},
"vnetAddressPrefixes": {
"value": [
"10.1.0.0/24"
},
"subnetAddressPrefix": {
"value": "10.1.0.0/24"
},
"nsgName": {
"value": "aadds-nsg"
},
"resources": [
"apiVersion": "2017-06-01",
"type": "Microsoft.AAD/DomainServices",
"name": "[parameters('domainName')]",
"location": "[parameters('location')]",
"dependsOn": [
"[concat('Microsoft.Network/virtualNetworks/',
parameters('vnetName'))]"
],
"properties": {
"domainName": "[parameters('domainName')]",
"subnetId": "[concat('/subscriptions/',
subscription().subscriptionId, '/resourceGroups/', resourceGroup().name,
'/providers/Microsoft.Network/virtualNetworks/', parameters('vnetName'),
'/subnets/', parameters('subnetName'))]",
"filteredSync": "[parameters('filteredSync')]",
"domainConfigurationType": "
[parameters('domainConfigurationType')]",
"notificationSettings": "
[parameters('notificationSettings')]"
},
"type": "Microsoft.Network/NetworkSecurityGroups",
"name": "[parameters('nsgName')]",
"location": "[parameters('location')]",
"properties": {
"securityRules": [
"name": "AllowSyncWithAzureAD",
"properties": {
"access": "Allow",
"priority": 101,
"direction": "Inbound",
"protocol": "Tcp",
"sourceAddressPrefix":
"AzureActiveDirectoryDomainServices",
"sourcePortRange": "*",
"destinationAddressPrefix": "*",
"destinationPortRange": "443"
},
"name": "AllowPSRemoting",
"properties": {
"access": "Allow",
"priority": 301,
"direction": "Inbound",
"protocol": "Tcp",
"sourceAddressPrefix":
"AzureActiveDirectoryDomainServices",
"sourcePortRange": "*",
"destinationAddressPrefix": "*",
"destinationPortRange": "5986"
},
"name": "AllowRD",
"properties": {
"access": "Allow",
"priority": 201,
"direction": "Inbound",
"protocol": "Tcp",
"sourceAddressPrefix": "CorpNetSaw",
"sourcePortRange": "*",
"destinationAddressPrefix": "*",
"destinationPortRange": "3389"
},
"apiVersion": "2018-04-01"
},
"type": "Microsoft.Network/virtualNetworks",
"name": "[parameters('vnetName')]",
"location": "[parameters('location')]",
"apiVersion": "2018-04-01",
"dependsOn": [
"[concat('Microsoft.Network/NetworkSecurityGroups/',
parameters('nsgName'))]"
],
"properties": {
"addressSpace": {
"addressPrefixes": "[parameters('vnetAddressPrefixes')]"
},
"subnets": [
"name": "[parameters('subnetName')]",
"properties": {
"addressPrefix": "
[parameters('subnetAddressPrefix')]",
"networkSecurityGroup": {
"id": "[concat('/subscriptions/',
subscription().subscriptionId, '/resourceGroups/', resourceGroup().name,
'/providers/Microsoft.Network/NetworkSecurityGroups/',
parameters('nsgName'))]"
],
"outputs": {}
PowerShell
Mettez à jour les paramètres DNS pour le réseau virtuel afin que les machines
virtuelles puissent trouver le domaine géré pour l’authentification ou la jonction de
domaine.
Pour configure le système DNS, sélectionnez votre domaine managé dans le
portail. Dans la fenêtre Vue d’ensemble, vous êtes invité à configurer
automatiquement ces paramètres DNS.
Activez la synchronisation de mot de passe avec Azure AD DS afin que les
utilisateurs finaux puissent se connecter au domaine managé avec leurs
informations d’identification d’entreprise.
Étapes suivantes
Pour voir le domaine managé en action, vous pouvez joindre une machine virtuelle
Windows à un domaine, configurer le protocole LDAP sécurisé et configurer la
synchronisation du hachage de mot de passe.
Configuration d’une synchronisation à
étendue limitée entre Azure AD et Azure
Active Directory Domain Services à
l’aide d’Azure AD PowerShell
Article • 01/06/2023
Pour assurer des services d’authentification, Azure Active Directory Domain Services
(Azure AD DS) synchronise les utilisateurs et les groupes à partir d’Azure AD. Dans un
environnement hybride, les utilisateurs et les groupes d’un environnement Active
Directory Domain Services (AD DS) local peuvent d’abord être synchronisés avec Azure
AD via Azure AD Connect, puis avec Azure AD DS.
Par défaut, tous les utilisateurs et groupes d’un annuaire Azure AD sont synchronisés
avec un domaine managé Azure AD DS. Si vous avez des besoins spécifiques, vous
pouvez opter pour la synchronisation d’un ensemble défini d’utilisateurs.
Cet article vous montre comment créer un domaine managé qui utilise une
synchronisation délimitée, puis modifier ou désactiver le groupe d’utilisateurs ciblés à
l’aide d’Azure AD PowerShell. Vous pouvez également effectuer ces étapes à l’aide du
portail Azure.
Avant de commencer
Pour faire ce qui est décrit dans cet article, vous avez besoin des ressources et des
privilèges suivants :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, suivez le tutoriel pour créer et configurer un domaine managé
Azure Active Directory Domain Services.
Vous avez besoin des rôles Azure AD Administrateur d’applications et
Administrateur de groupes dans votre locataire pour modifier l’étendue de
synchronisation Azure AD DS.
PowerShell
param (
[Parameter(Position = 0)]
[String[]]$groupsToAdd
Connect-AzureAD
Write-Output
"`n*************************************************************************
***"
try
$newGroupIds.Add($group.ObjectId)
catch
Write-Output
"***************************************************************************
*`n"
Write-Output
"`n*************************************************************************
***"
$currAssignedObjectIds = New-Object
'System.Collections.Generic.HashSet[string]'
else
$currAssignedObjectIds.Add($assignment.PrincipalId)
Write-Output
"***************************************************************************
*`n"
Write-Output
"`n*************************************************************************
***"
try
else
catch
Write-Output
"***************************************************************************
*`n"
PowerShell
2. Spécifiez à présent la liste des groupes dont les utilisateurs doivent être
synchronisés avec le domaine managé.
2 Avertissement
Vous devez inclure le groupe AAD DC Administrators dans la liste des groupes
configurés pour la synchronisation délimitée. Si vous n’incluez pas ce groupe,
le domaine managé est inutilisable.
PowerShell
Dans l’exemple suivant, les groupes à synchroniser n’incluent plus GroupName2, mais
incluent maintenant GroupName3.
2 Avertissement
Vous devez inclure le groupe AAD DC Administrators dans la liste des groupes
configurés pour la synchronisation délimitée. Si vous n’incluez pas ce groupe, le
domaine managé est inutilisable.
Lorsque vous y êtes invité, spécifiez les informations d’identification d’un administrateur
général pour vous connecter à votre locataire Azure AD à l’aide de la cmdlet Connect-
AzureAD :
PowerShell
Lorsque vous y êtes invité, spécifiez les informations d’identification d’un administrateur
général pour vous connecter à votre locataire Azure AD à l’aide de la cmdlet Connect-
AzureAD :
PowerShell
# Connect to your Azure AD tenant
Connect-AzureAD
Étapes suivantes
Pour en savoir plus sur le processus de synchronisation, consultez Comprendre la
synchronisation dans Azure AD Domain Services.
Créer une approbation de forêt Azure
Active Directory Domain Services avec
un domaine local à l’aide d’Azure
PowerShell
Article • 12/04/2023
Prérequis
Pour faire ce qui est décrit dans cet article, vous avez besoin des ressources et des
privilèges suivants :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Vous avez besoin du rôle Azure Contributeur aux services de domaine pour créer
les ressources Azure AD DS requises.
Processus de déploiement
Il s’agit d’un processus en plusieurs parties qui permet de créer une forêt de domaine
managé et la relation d’approbation avec un environnement AD DS local. La procédure
générale suivante crée votre environnement hybride approuvé :
PowerShell
Azure PowerShell
New-AzResourceGroup `
-Name "myResourceGroup" `
-Location "WestUS"
PowerShell
Azure PowerShell
New-AzureAaddsForest `
-azureSubscriptionId <subscriptionId> `
-aaddsResourceGroupName "myResourceGroup" `
-aaddsLocation "WestUS" `
-aaddsAdminUser "contosoadmin@contoso.com" `
-aaddsDomainName "aaddscontoso.com" `
-aaddsVnetName "myVnet" `
-aaddsVnetCIDRAddressSpace "192.168.0.0/16" `
-aaddsSubnetName "AzureADDS" `
-aaddsSubnetCIDRAddressRange "192.168.1.0/24" `
-workloadSubnetName "myWorkloads" `
-workloadSubnetCIDRAddressRange "192.168.2.0/24"
) Important
Si vous créez une connexion directement vers votre réseau virtuel de domaine
managé, utilisez un sous-réseau de passerelle distinct. Ne créez pas la
passerelle dans le sous-réseau du domaine managé.
2. Pour administrer un domaine managé, vous devez créer une machine virtuelle de
gestion, la joindre au domaine managé, puis installer les outils de gestion AD DS
requis.
3. Validez la connectivité réseau entre votre réseau local et le réseau virtuel Azure.
Lors de l’exécution, mettez à jour les paramètres DNS du réseau virtuel Azure, puis
activez les comptes d’utilisateur pour Azure AD DS afin de finaliser les
configurations de votre domaine managé.
5. Prenez note des adresses DNS affichées sur la page de présentation. Vous avez
besoin de ces adresses lors de la configuration du côté Active Directory local de la
relation d’approbation dans une section suivante.
Console
nslookup aaddscontoso.com
PowerShell
Adresses IP -TrustDnsIPs Une liste, séparée par des virgules, des adresses de
DNS AD DS serveur DNS IPv4 pour le domaine approuvé listé.
locales
Azure PowerShell
Add-AaddsResourceForestTrust `
-ManagedDomainFqdn "aaddscontoso.com" `
-TrustFqdn "onprem.contoso.com" `
-TrustFriendlyName "myAzureADDSTrust" `
-TrustDnsIPs "10.0.1.10,10.0.1.11" `
-TrustPassword <complexPassword>
) Important
N’oubliez pas votre mot de passe d’approbation. Vous devez utiliser le même mot
de passe lors de la création du côté local de l’approbation.
Configurer DNS dans le domaine local
Pour résoudre correctement le domaine managé à partir de l’environnement local, vous
serez peut-être amené à ajouter des redirecteurs aux serveurs DNS existants. Si vous
n’avez pas configuré l’environnement local de manière à ce qu’il communique avec le
domaine managé, effectuez les étapes suivantes à partir d’une station de travail de
gestion pour le domaine AD DS local :
Conseil
Console
whoami /fqdn
Console
5. Utilisez whoami /fqdn dans la nouvelle invite de commandes pour afficher le nom
unique de l’utilisateur authentifié à partir de l'instance Active Directory locale.
Conseil
Pour vous connecter en toute sécurité à vos machines virtuelles jointes à
Azure AD Domain Services, vous pouvez utiliser le service hôte Azure Bastion
dans les régions Azure prises en charge.
2. Cliquez avec le bouton droit sur le nom de domaine, sélectionnez Nouveau, puis
Unité d'organisation.
8. Entrez Utilisateurs du domaine dans la zone Entrer les noms des objets à
sélectionner. Sélectionnez Vérifier les noms, fournissez les informations
d’identification de l'instance Active Directory locale, puis sélectionnez OK.
7 Notes
3. Pour valider l’autorisation d’écriture, cliquez avec le bouton droit dans le dossier,
sélectionnez Nouveau, puis Document texte. Utilisez le nom par défaut Nouveau
document texte.
PowerShell
$existingTrust = Get-AaddsResourceForestTrust `
-ManagedDomainFqdn "aaddscontoso.com" `
-TrustFqdn "onprem.contoso.com" `
-TrustFriendlyName "myAzureADDSTrust"
3. Pour mettre à jour le mot de passe d’approbation existant, utilisez le script Set-
AaddsResourceForestTrust . Spécifiez l’objet d’approbation existant d’une étape
PowerShell
Set-AaddsResourceForestTrust `
-Trust $existingTrust `
-TrustPassword <newComplexPassword>
PowerShell
Install-Script -Name Remove-AaddsResourceForestTrust
PowerShell
Remove-AaddsResourceForestTrust `
-ManagedDomainFqdn "aaddscontoso.com" `
-TrustFqdn "onprem.contoso.com" `
-TrustFriendlyName "myAzureADDSTrust"
Étapes suivantes
Dans cet article, vous avez appris à effectuer les opérations suivantes :
Lorsque vous créez et exécutez un domaine managé Azure Active Directory Domain
Services (AD DS), il existe des différences de comportement par rapport à un
environnement AD DS local traditionnel. Vous utilisez les mêmes outils d’administration
dans Azure AD DS en tant que domaine automanagé, mais vous ne pouvez pas accéder
directement aux contrôleurs de domaine (DC). Il existe également des différences de
comportement pour les stratégies de mot de passe et les hachages de mot de passe en
fonction de la source de la création du compte d’utilisateur.
Gestion de domaine
Un domaine managé est un espace de noms DNS associé à un annuaire. Dans un
domaine managé, les contrôleurs de domaine (DC) qui contiennent toutes les
ressources telles que les utilisateurs et les groupes, les informations d’identification et
les stratégies font partie du service managé. Pour la redondance, deux contrôleurs de
domaine sont créés dans le cadre d’un domaine managé. Vous ne pouvez pas vous
connecter à ces contrôleurs de domaine pour effectuer des tâches de gestion. Au lieu de
cela, vous créez une machine virtuelle de gestion qui est jointe au domaine managé,
puis vous installez vos outils de gestion AD DS standard. Vous pouvez utiliser les
composants logiciels enfichables du Centre d’administration Active Directory ou de
MMC (Microsoft Management Console) comme les objets DNS ou de stratégie de
groupe.
Le compte d’utilisateur peut être synchronisé à partir d’Azure AD. Cela comprend
les comptes d’utilisateurs uniquement dans le cloud créés directement dans
Azure AD, et les comptes d’utilisateur hybrides synchronisés à partir d’un
environnement AD DS local à l’aide d’Azure AD Connect.
La majorité des comptes d’utilisateur dans un domaine managé sont créés par
le biais du processus de synchronisation à partir d’Azure AD.
Le compte d’utilisateur peut être créé manuellement dans un domaine managé et
n’existe pas dans Azure AD.
Si vous avez besoin de créer des comptes de service pour des applications qui
s’exécutent uniquement dans un domaine managé, vous pouvez les créer
manuellement dans le domaine managé. La synchronisation étant
unidirectionnelle à partir d’Azure AD, les comptes d’utilisateurs créés dans un
domaine managé ne sont pas resynchronisés avec Azure AD.
Vous pouvez créer vos propres stratégies de mot de passe personnalisées pour
remplacer la stratégie par défaut dans un domaine managé. Ces stratégies
personnalisées peuvent ensuite être appliquées à des groupes d’utilisateurs spécifiques
en fonction des besoins.
Pour plus d’informations sur les différences dans la façon dont les stratégies de mot de
passe sont appliquées en fonction de la source de la création de l’utilisateur, consultez
Stratégies de mot de passe et de verrouillage de compte sur les domaines managés.
Pour les comptes d’utilisateurs cloud uniquement, les utilisateurs doivent changer leur
mot de passe avant de pouvoir utiliser le domaine managé. Ce processus de
changement du mot de passe entraîne la génération et le stockage dans Azure AD des
hachages de mot de passe pour l’authentification Kerberos et NTLM. Le compte n’est
pas synchronisé entre Azure AD et Azure AD DS tant que le mot de passe n’a pas été
modifié.
) Important
Une fois configurés de façon appropriée, les hachages de mot de passe utilisables sont
stockés dans le domaine managé. Si vous supprimez le domaine managé, tout hachage
de mot de passe stocké à ce stade est également supprimé. Les informations
d’identification synchronisées dans Azure AD ne peuvent pas être réutilisées si vous
créez par la suite un domaine managé : vous devez reconfigurer la synchronisation de
hachage de mot de passe pour stocker à nouveau les hachages de mot de passe. Les
machines virtuelles ou les utilisateurs auparavant joints à un domaine ne pourront pas
s’authentifier immédiatement : Azure AD doit générer et stocker les hachages de mot de
passe dans le nouveau domaine managé. Pour plus d’informations, consultez Processus
de synchronisation du hachage de mot de passe pour Azure AD DS et Azure AD
Connect.
) Important
Forêts et approbations
Une forêt est une construction logique utilisée par Active Directory Domain Services (AD
DS) pour regrouper un ou plusieurs domaines. Les domaines stockent alors les objets
pour un utilisateur ou des groupes et fournissent des services d’authentification.
Dans Azure AD DS, la forêt ne contient qu’un seul domaine. Les forêts AD DS locales
contiennent souvent de nombreux domaines. Dans les grandes organisations, en
particulier après des fusions et acquisitions, vous pouvez vous retrouver avec plusieurs
forêts locales qui contiennent chacune plusieurs domaines.
Par défaut, un domaine managé est créé en tant que forêt d’utilisateurs. Ce type de forêt
synchronise tous les objets d’Azure AD, notamment les comptes d’utilisateur créés dans
un environnement AD DS local. Les comptes d’utilisateur peuvent directement
s’authentifier auprès du domaine managé, par exemple pour se connecter à une
machine virtuelle jointe à un domaine. Une forêt d’utilisateurs fonctionne lorsque les
hachages de mot de passe peuvent être synchronisés et que les utilisateurs n’utilisent
pas de méthode de connexion exclusive, comme l’authentification par carte à puce.
Dans une forêt Azure AD DS de ressources, les utilisateurs s’authentifient sur une forêt à
approbation unique à partir de leur AD DS local. Avec cette approche, les objets
utilisateur et les hachages de mot de passe ne sont pas synchronisés avec Azure AD DS.
Les objets utilisateur et les informations d’identification existent uniquement dans
l’instance AD DS locale. Cette approche permet aux entreprises d’héberger des
ressources et des plateformes d’application dans Azure qui dépendent de
l’authentification classique, par exemple LDAPS, Kerberos ou NTLM, en éliminant les
problèmes et craintes en matière d’authentification.
Avant ces références SKU Azure AD DS, un modèle de facturation basé sur le nombre
d’objets (comptes d’utilisateurs et d’ordinateurs) dans le domaine managé était utilisé. Il
n’existe plus de tarification variable en fonction du nombre d’objets du domaine
managé.
Si les besoins de votre entreprise ou de vos applications évoluent et qu'il vous faut une
puissance de calcul supplémentaire pour votre domaine managé, vous pouvez opter
pour une autre référence SKU.
Fréquence de sauvegarde
La fréquence de sauvegarde détermine la fréquence de prise d'un instantané du
domaine managé. Les sauvegardes relèvent d'un processus automatisé managé par la
plateforme Azure. En cas de problème lié à votre domaine managé, le support Azure
peut vous aider à procéder à une restauration à partir d'une sauvegarde. La
synchronisation étant unidirectionnelle depuis Azure AD, les problèmes survenant dans
un domaine managé n’ont pas d’impact sur Azure AD ou les environnements et
fonctionnalités AD DS locaux.
Plus le niveau de référence SKU augmente, plus la fréquence de ces instantanés de
sauvegarde augmente aussi. Examinez les besoins de votre entreprise et l’objectif de
point de récupération afin de déterminer la fréquence de sauvegarde requise pour votre
domaine managé. Si les besoins de votre entreprise ou de vos applications évoluent et
que vous avez besoin de sauvegardes plus fréquentes, vous pouvez opter pour une
autre référence SKU.
Étapes suivantes
Pour commencer, créons un domaine managé Azure AD DS.
Cas d’usage et scénarios courants pour
Azure Active Directory Domain Services
Article • 01/06/2023
Azure Active Directory Domain Services (Azure AD DS) fournit des services de domaine
managés, comme la jonction de domaine, la stratégie de groupe, le protocole LDAP et
l’authentification Kerberos/NTLM. Azure AD DS s’intègre à votre locataire Azure AD
existant, permettant ainsi aux utilisateurs de se connecter à l’aide de leurs informations
d’identification actuelles. Vous utilisez ces services de domaine sans avoir à déployer,
gérer et corriger des contrôleurs de domaine dans le cloud, ce qui permet un lift-and-
shift plus fluide des ressources locales sur Azure.
Cet article décrit quelques scénarios métier courants dans lesquels Azure AD DS offre de
la valeur et répond à ces besoins.
Les administrateurs informatiques utilisent souvent l’une des solutions suivantes pour
fournir un service d’identité aux applications qui s’exécutent dans Azure :
Configurez une connexion VPN de site à site entre les charges de travail qui
s’exécutent dans Azure et un environnement AD DS local.
Les contrôleurs de domaine locaux fournissent ensuite l’authentification par le
biais de la connexion VPN.
Créez des contrôleurs de domaine de réplication à l’aide de machines virtuelles
Azure pour étendre le domaine ou la forêt AD DS à partir de l’environnement local.
Les contrôleurs de domaine qui s’exécutent sur des machines virtuelles Azure
assurent l’authentification et répliquent les informations d’annuaire à partir de
l’environnement AD DS local.
Déployez un environnement AD DS autonome dans Azure à l’aide de contrôleurs
de domaine qui s’exécutent sur des machines virtuelles Azure.
Les contrôleurs de domaine qui s’exécutent sur des machines virtuelles Azure
assurent l’authentification, mais aucune information d’annuaire n’est répliquée à
partir d’un environnement AD DS local.
Grâce à ces approches, les connexions VPN au répertoire local rendent les applications
vulnérables aux problèmes ou pannes réseau temporaires. Si vous déployez des
contrôleurs de domaine à l’aide de machines virtuelles dans Azure, l’équipe
informatique doit gérer les machines virtuelles, puis sécuriser, corriger, superviser,
sauvegarder et dépanner les contrôleurs de domaine.
Azure AD DS offre des alternatives à la nécessité de créer des connexions VPN dans un
environnement AD DS local ou d’exécuter et de gérer des machines virtuelles dans
Azure pour fournir des services d’identité. En tant que service managé, Azure AD DS
réduit la complexité de la création d’une solution d’identité intégrée pour les
environnements hybrides et cloud uniquement.
) Important
Notes de déploiement
Les considérations de déploiement suivantes s’appliquent à cet exemple de cas d’usage :
Les domaines managés utilisent une seule structure d’unité d’organisation plate
par défaut. Toutes les machines virtuelles jointes à un domaine se trouvent dans
une seule unité d’organisation. Si vous le souhaitez, vous pouvez créer des unités
d’organisation personnalisées.
Azure AD DS utilise un objet de stratégie de groupe (GPO) intégré pour les
conteneurs d’utilisateurs et d’ordinateurs. Pour plus de contrôle, vous pouvez créer
des GPO personnalisés et les cibler vers des unités d’organisation personnalisées.
Azure AD DS prend en charge le schéma de l’objet de base de l’ordinateur AD.
Vous ne pouvez pas étendre le schéma de l’objet de l’ordinateur.
Contoso souhaite faire migrer cette application vers Azure. L’application doit continuer à
fonctionner en l’état, sans nécessiter de modifications. De plus, les utilisateurs doivent
être en mesure de s’authentifier à l’aide de leurs informations d’identification
d’entreprise existantes, sans formation supplémentaire. Les utilisateurs finaux doivent
clairement savoir où l’application s’exécute.
Pour ce scénario, Azure AD DS permet aux applications d’effectuer des liaisons LDAP
dans le cadre du processus d’authentification. Les applications locales héritées peuvent
être faire l’objet d’un lift-and-shift vers Azure et continuer à authentifier en toute
transparence les utilisateurs sans avoir besoin d’apporter des modifications à leur
configuration ou expérience utilisateur.
Notes de déploiement
Les considérations de déploiement suivantes s’appliquent à cet exemple de cas d’usage :
Contoso souhaite migrer cette application vers Azure et mettre hors-service l’ancien
matériel local qui l’héberge actuellement. L’application ne peut pas être réécrite pour
utiliser des API d’annuaire modernes comme l’API Microsoft Graph basée sur REST. Une
option lift-and-shift est nécessaire pour migrer l’application afin qu’elle s’exécute dans
le cloud, sans modification de code ni réécriture de l’application.
Pour faciliter ce scénario, Azure AD DS permet aux applications d’effectuer des lectures
LDAP depuis le domaine managé afin d’obtenir les informations d’attribut nécessaires.
L’application n’a pas besoin d’être réécrite, si bien qu’un lift-and-shift sur Azure permet
aux utilisateurs de continuer à l’utiliser sans même qu’ils ne se rendent compte que son
emplacement d’exécution a changé.
Notes de déploiement
Les considérations de déploiement suivantes s’appliquent à cet exemple de cas d’usage :
Dans cet exemple de scénario, Contoso est équipé d’une application de coffre de
logiciel personnalisée qui inclut un front-end web, un serveur SQL et un serveur FTP
back-end. L’authentification intégrée de Windows qui utilise des comptes de service
authentifie le font-end web auprès du serveur FTP. Le serveur web frontal est configuré
pour fonctionner comme un compte de service. Le serveur principal est configuré pour
autoriser l’accès depuis le compte de service pour le serveur web frontal. Contoso ne
souhaite pas déployer et gérer ses propres machines virtuelles contrôleurs de domaine
dans le cloud pour déplacer cette application sur Azure.
Pour ce scénario, les serveurs qui hébergent le front-end web, le serveur SQL et le
serveur FTP peuvent être migrés vers des machines virtuelles Azure et joints à un
domaine managé. Les machines virtuelles peuvent alors utiliser le même compte de
service dans leur annuaire local pour les besoins d’authentification de l’application,
lequel est synchronisé par le biais d’Azure AD à l’aide d’Azure AD Connect.
Notes de déploiement
Les considérations de déploiement suivantes s’appliquent à cet exemple de cas d’usage :
Vérifiez que les applications utilisent un nom d’utilisateur et un mot de passe pour
l’authentification. L’authentification basée sur un certificat ou une carte à puce
n’est pas prise en charge par Azure AD DS.
Vous ne pouvez pas modifier les mots de passe directement sur un domaine
managé. Les utilisateurs finaux peuvent modifier leur mot de passe soit à l’aide du
mécanisme de modification de mot de passe en libre-service Azure AD, soit depuis
le répertoire local. Ces modifications sont automatiquement synchronisées et
disponibles dans le domaine managé.
Étapes suivantes
Pour bien démarrer, vous devez Créer et configurer un domaine managé Azure Active
Directory Domain Services.
Concepts et fonctionnalités des jeux de
réplicas pour Azure Active Directory
Domain Services
Article • 01/06/2023
Lorsque vous créez un domaine managé Azure Active Directory Domain Services (Azure
AD DS), vous définissez un espace de noms unique. Cet espace de noms est le nom de
domaine, par exemple aaddscontoso.com. Deux contrôleurs de domaine sont ensuite
déployés dans la région Azure sélectionnée. Ce déploiement de contrôleurs de domaine
est appelé jeu de réplicas.
Vous pouvez étendre un domaine managé pour avoir plusieurs jeux de réplicas par
locataire Azure AD. Les jeux de réplicas peuvent être ajoutés à n’importe quel réseau
virtuel appairé dans toute région Azure prenant en charge Azure AD DS. D’autres jeux
de réplicas dans des régions Azure différentes assurent la récupération d’urgence
géographique pour les applications héritées si une région Azure est mise hors
connexion.
7 Notes
Vous créez chaque jeu de réplicas dans un réseau virtuel. Chaque réseau virtuel doit être
appairé à tous les autres réseaux virtuels qui hébergent le jeu de réplicas d’un domaine
managé. Cette configuration crée une topologie de réseau maillé qui prend en charge la
réplication de répertoire. Un réseau virtuel peut prendre en charge plusieurs jeux de
réplicas, à condition que chaque jeu de réplicas soit dans un sous-réseau virtuel
différent.
Tous les jeux de réplicas sont placés dans le même site Active Directory. Par conséquent,
toutes les modifications sont propagées à l’aide de la réplication intrasite pour une
convergence rapide.
7 Notes
Il n’est pas possible de définir des sites distincts ni de définir des paramètres de
réplication entre des jeux de réplicas.
7 Notes
Les jeux de réplicas garantissent la disponibilité des services d’authentification dans
les régions où un jeu de réplicas est configuré. Pour qu’une application ait une
redondance géographique en cas de panne régionale, la plateforme d’application
qui s’appuie sur le domaine managé doit également résider dans l’autre région.
La résilience des autres services requis pour que l’application fonctionne, comme
Machines virtuelles Azure ou Azure App Service, n’est pas fournie par les jeux de
réplicas. La conception de la disponibilité d’autres composants d’application doit
tenir compte des caractéristiques de résilience des services qui composent
l’application.
L’exemple suivant montre un domaine managé avec trois jeux de réplicas afin de
renforcer la résilience et de garantir la disponibilité des services d’authentification. Dans
les deux exemples, les charges de travail des applications se trouvent dans la même
région que le jeu de réplicas du domaine managé :
Points à prendre en considération pour le
déploiement
Le niveau tarifaire par défaut pour un domaine managé est le SKU Entreprise, qui prend
en charge plusieurs jeux de réplicas. Pour créer des jeux de réplicas supplémentaires si
vous êtes passé au niveau tarifaire Standard, mettez à niveau le domaine managé vers
Entreprise ou Premium.
Le nombre maximal de jeux de réplicas pris en charge est de cinq, y compris le premier
réplica créé lors de la création du domaine managé.
La facturation de chaque jeu de réplicas est basée sur le niveau tarifaire de la
configuration du domaine. Par exemple, si vous avez un domaine managé qui utilise le
niveau tarifaire Entreprise et que vous avez trois jeux de réplicas, votre abonnement est
facturé à l’heure pour chacun des trois jeux de réplicas.
À l’instar de l’instance AD DS locale, un état déconnecté prolongé peut entraîner une
interruption de la réplication. Les réseaux virtuels appairés n’étant pas transitifs, les
exigences de conception pour les jeux de réplicas nécessitent une topologie réseau
entièrement maillée.
Active Directory Domain Services (AD DS) assure la sécurité sur plusieurs domaines ou
forêts par l’intermédiaire de relations d’approbation de domaine et de forêt. Pour que
l’authentification puisse s’effectuer entre les approbations, Windows doit d’abord
vérifier que le domaine demandé par un utilisateur, un ordinateur ou un service dispose
d’une relation d’approbation avec le domaine du compte demandeur.
Le chemin d’approbation est implémenté par le service Net Logon, au moyen d’une
connexion authentifiée d’appel de procédure distante (RPC) à l’autorité de domaine
approuvé. Un canal sécurisé s’étend également à d’autres domaines AD DS par le biais
de relations d’approbation entre domaines. Ce canal sécurisé est utilisé pour obtenir et
vérifier des informations de sécurité, entre autres les identificateurs de sécurité (SID)
pour les utilisateurs et les groupes.
7 Notes
Pour une vue d’ensemble de la manière dont les approbations s’appliquent à Azure
AD DS, consultez Concepts et fonctionnalités de la forêt.
Pour commencer à utiliser des approbations dans Azure AD DS, créez un domaine
managé qui utilise des approbations de forêt.
Flux des relations d’approbation
Le flux des communications sécurisées sur les approbations conditionne l’élasticité
d’une approbation. La façon dont vous créez ou configurez une approbation détermine
l’étendue de la communication à l’intérieur d’une forêt, ou entre les forêts.
Toutes les approbations de domaine dans une forêt AD DS sont des approbations
transitives bidirectionnelles. Lorsqu’un domaine enfant est créé, une approbation
transitive bidirectionnelle est automatiquement créée entre le nouveau domaine enfant
et le domaine parent.
Une approbation transitive peut être utilisée pour étendre les relations
d’approbation à d’autres domaines.
Une approbation non transitive peut être utilisée pour refuser des relations
d’approbation à d’autres domaines.
Chaque fois que vous créez un domaine dans une forêt, une relation d’approbation
transitive bidirectionnelle est automatiquement créée entre le nouveau domaine et son
domaine parent. Si des domaines enfants sont ajoutés au nouveau domaine, le chemin
d’approbation remonte la hiérarchie de domaine, étendant le chemin d’approbation
initial créé entre le nouveau domaine et son domaine parent. Les relations
d’approbation transitive remontent dans une arborescence de domaine au fur et à
mesure qu’elle se forme, créant ainsi des approbations transitives entre tous les
domaines de l’arborescence de domaine.
Les demandes d’authentification suivent ces chemins d’approbation, si bien que les
comptes de n’importe quel domaine de la forêt peuvent être authentifiés par n’importe
quel autre domaine de la forêt. Avec un processus d’authentification unique, les
comptes disposant des autorisations appropriées peuvent accéder aux ressources de
n’importe quel domaine de la forêt.
Approbations de forêts
Les approbations de forêt vous aident à gérer les infrastructures AD DS segmentées, et à
prendre en charge l’accès aux ressources et à d’autres objets dans plusieurs forêts. Les
approbations de forêt sont utiles pour les fournisseurs de services, les sociétés
expérimentant fusions ou acquisitions, les extranets collaboratifs d’entreprise et les
sociétés cherchant une solution d’autonomie administrative.
En vous appuyant sur les approbations de forêt, vous pouvez lier deux forêts différentes
pour former une relation d’approbation transitive unidirectionnelle ou bidirectionnelle.
Une approbation de forêt permet aux administrateurs de connecter deux forêts AD DS
au moyen d’une seule relation d’approbation, pour fournir une expérience
d’authentification et d’autorisation transparente dans les forêts.
Une approbation de forêt peut uniquement être créée entre un domaine racine de forêt
dans une forêt et un domaine racine de forêt dans une autre forêt. Il n’est possible de
créer des approbations de forêt qu’entre deux forêts, et celles-ci ne peuvent pas être
étendues implicitement à une troisième forêt. Ce comportement signifie que si une
approbation de forêt est créée entre la forêt 1 et la forêt 2, et qu’une autre approbation
de forêt est créée entre la forêt 2 et la forêt 3, la forêt 1 n’entretient aucune relation
d’approbation implicite avec la forêt 3.
Le schéma suivant illustre deux relations d’approbation de forêt distinctes entre trois
forêts AD DS d’une même organisation.
Cette configuration n’autorise pas les utilisateurs de la forêt 1 à accéder aux ressources
de la forêt 3, ou inversement. Pour permettre aux utilisateurs de la forêt 1 et de la forêt 3
de partager des ressources, vous devez créer une approbation transitive bidirectionnelle
entre ces deux forêts.
Si une approbation de forêt unidirectionnelle est créée entre deux forêts, les membres
de la forêt approuvée peuvent utiliser les ressources situées dans la forêt d’approbation.
Par contre, l’approbation ne fonctionne que dans un seul sens.
Par exemple, lorsqu’une approbation de forêt unidirectionnelle est créée entre la forêt 1
(la forêt approuvée) et la forêt 2 (la forêt d’approbation) :
Les membres de la forêt 1 peuvent accéder aux ressources situées dans la forêt 2.
Les membres de la forêt 2 ne peuvent pas accéder aux ressources situées dans la
forêt 1 au moyen de la même approbation.
) Important
Un serveur DNS racine unique est le serveur DNS racine pour les deux espaces de
noms DNS de forêt : la zone racine contient les délégations de chaque espace de
noms DNS, et les indications de racine de tous les serveurs DNS incluent le serveur
DNS racine.
En l’absence de serveur DNS racine partagé, les serveurs DNS racines de chaque
espace de noms DNS de forêt utilisent des redirecteurs conditionnels DNS, afin
que chaque espace de noms DNS route les requêtes de noms dans l’autre espace
de noms.
) Important
Toute forêt Azure AD Domain Services avec une approbation doit utiliser cette
configuration DNS. L’hébergement d’un espace de noms DNS autre que
l’espace de noms DNS de la forêt n’est pas une fonctionnalité d’Azure AD
Domain Services. L’utilisation de redirecteurs conditionnels constitue la
configuration appropriée.
En l’absence de serveur DNS racine partagé, les serveurs DNS racines de chaque
espace de noms DNS de forêt utilisent des zones secondaires DNS, configurées
dans chaque espace de noms DNS pour router les requêtes de noms dans l’autre
espace de noms.
Pour créer une approbation de forêt, vous devez être membre du groupe Admins du
domaine (dans le domaine racine de la forêt), ou du groupe Administrateurs de
l’entreprise dans Active Directory. Chaque approbation se voit attribuer un mot de passe
que les administrateurs des deux forêts doivent connaître. Les membres administrateurs
de l’entreprise dans les deux forêts peuvent créer les approbations dans les deux forêts
à la fois et, dans ce scénario, un mot de passe aléatoire par chiffrement est généré et
écrit automatiquement pour les deux forêts.
Une forêt de domaine managé prend en charge jusqu’à cinq approbations de forêt
sortante unidirectionnelle vers des forêts locales. L’approbation de forêt sortante pour
Azure AD Domain Services est créée dans le portail Azure. Vous ne créez pas
l’approbation manuellement avec le domaine managé proprement dit. L’approbation de
forêt entrante doit être configurée par un utilisateur disposant des privilèges
précédemment indiqués dans l’instance Active Directory locale.
Le protocole Kerberos utilise également des approbations pour les services d’accord de
tickets (TGS) inter-domaines, et pour valider des certificats PAC (Privilege Attribute
Certificate) sur un canal sécurisé. Le protocole Kerberos procède à une authentification
inter-domaine uniquement auprès des domaines Kerberos dotés de systèmes
d’exploitation non Windows, tels qu’un domaine Kerberos MIT ; il n’a pas besoin
d’interagir avec le service Net Logon.
1. Le domaine actuel est-il approuvé directement par le domaine du serveur qui est
demandé ?
Lorsqu’une approbation de forêt est établie pour la première fois, chaque forêt collecte
tous les espaces de noms approuvés dans sa forêt partenaire, et stocke les informations
dans un objet domaine approuvé. Les espaces de noms approuvés incluent les noms
d’arborescence de domaine, les suffixes de nom d’utilisateur principal (UPN), les suffixes
de nom de principal du service (SPN) et les espaces de noms d’ID de sécurité (SID)
utilisés dans l’autre forêt. Les objets domaine approuvé (TDO) sont répliqués dans le
catalogue global.
7 Notes
Les autres suffixes UPN sur les approbations ne sont pas pris en charge. Si un
domaine local utilise le même suffixe UPN qu’Azure AD DS, la connexion doit
utiliser sAMAccountName.
Quand une station de travail dans une forêt tente d’accéder à des données sur un
ordinateur de ressource dans une autre forêt, le processus d’authentification Kerberos
contacte le contrôleur de domaine pour obtenir un ticket de service vers le SPN de
l’ordinateur de la ressource. Une fois que le contrôleur de domaine a interrogé le
catalogue global et déterminé que le SPN n’est pas dans la même forêt que le
contrôleur de domaine, le contrôleur de domaine renvoie une référence pour son
domaine parent à la station de travail. À ce stade, la station de travail interroge le
domaine parent pour obtenir le ticket de service, et continue de suivre la chaîne de
référence jusqu’à atteindre le domaine dans lequel se trouve la ressource.
10. Une fois que la StationDeTravail1 dispose d’un ticket de service, elle envoie ce
ticket de service au ServeurDeFichiers1 qui lit les informations d’identification de
sécurité de l’Utilisateur1 et élabore un jeton d’accès en conséquence.
Contenu TDO
Les informations contenues dans un objet TDO varient selon que cet objet a été créé par
une approbation de domaine ou par une approbation de forêt.
Lors de la création d’une approbation de domaine, des attributs, tels que le nom de
domaine DNS, le SID de domaine, le type d’approbation, la transitivité de l’approbation
et le nom de domaine réciproque sont représentés dans l’objet TDO. Les objets TDO
d’approbation de forêt stockent des attributs supplémentaires pour identifier tous les
espaces de noms approuvés à partir de la forêt partenaire. Ces attributs incluent les
noms d’arborescence de domaine, les suffixes de nom d’utilisateur principal (UPN), les
suffixes de nom de principal du service (SPN) et les espaces de noms d’ID de sécurité
(SID).
Étant donné que les approbations sont stockées dans Active Directory sous la forme
d’objets TDO, tous les domaines d’une forêt ont connaissance des relations
d’approbation en place dans l’ensemble de la forêt. De même, lorsque deux ou plusieurs
forêts sont jointes par l’intermédiaire d’approbations de forêt, les domaines racines de
forêt dans chaque forêt ont connaissance des relations d’approbation qui sont en place
dans tous les domaines des forêts approuvées.
Une approbation comprend une partie d’approbation et une partie approuvée. Dans la
partie approuvée, tout contrôleur de domaine accessible en écriture peut être utilisé
pour le processus. Dans la partie d’approbation, l’émulateur de contrôleur de domaine
principal procède à la modification du mot de passe.
6. Dans chaque partie de l’approbation, les mises à jour sont répliquées sur les autres
contrôleurs de domaine dans le domaine. Dans le domaine d’approbation, la
modification déclenche une réplication urgente de l’objet domaine approuvé.
Le mot de passe est désormais modifié sur les deux contrôleurs de domaine. La
réplication normale distribue les objets TDO aux autres contrôleurs de domaine dans le
domaine. Toutefois, il est possible que le contrôleur de domaine dans le domaine
d’approbation modifie le mot de passe sans parvenir à correctement mettre à jour un
contrôleur de domaine dans le domaine approuvé. Ce scénario peut se produire à cause
d’un canal sécurisé, exigé dans le processus de modification du mot de passe, et qui n’a
pas pu être établi. Il est également possible que le contrôleur de domaine dans le
domaine approuvé ne soit pas disponible à un moment donné dans le processus, et
qu’il ne reçoive pas le mot de passe mis à jour.
Pour gérer les situations dans lesquelles la modification du mot de passe n’est pas
convenablement communiquée, le contrôleur de domaine dans le domaine
d’approbation ne modifie jamais le nouveau mot de passe, sauf s’il a été dûment
authentifié (configuration d’un canal sécurisé) à l’aide du nouveau mot de passe. Ce
comportement explique pourquoi l’ancien et le nouveau mot de passe sont conservés
dans l’objet TDO du domaine d’approbation.
Une modification de mot de passe n’est pas finalisée tant que l’authentification utilisant
le mot de passe n’est pas réussie. L’ancien mot de passe stocké peut être utilisé sur le
canal sécurisé jusqu’à ce que le contrôleur de domaine du domaine approuvé reçoive le
nouveau mot de passe, ce qui permet de bénéficier d’un service sans interruption.
Si l’authentification avec le nouveau mot de passe échoue, à cause du mot de passe non
valide, le contrôleur de domaine d’approbation tente de procéder à l’authentification à
l’aide de l’ancien mot de passe. S’il s’authentifie correctement avec l’ancien mot de
passe, il reprend le processus de modification du mot de passe dans un délai de
15 minutes.
Les mises à jour des mots de passe d’approbation doivent être répliquées dans un délai
de 30 jours sur les contrôleurs de domaine des deux parties de l’approbation. Si le mot
de passe d’approbation est modifié après ce délai de 30 jours, et qu’un contrôleur de
domaine ne possède que le mot de passe N-2, il ne peut pas utiliser l’approbation
depuis la partie d’approbation, et il ne peut pas créer de canal sécurisé dans la partie
approuvée.
) Important
Pour en savoir plus sur les ports nécessaires dans une approbation de forêt, consultez la
section Windows Server 2008 et versions ultérieures de l’article du Support Microsoft
Guide pratique de configuration d’un pare-feu pour les domaines et les approbations
Active Directory .
Net Logon
Le service Net Logon gère un canal sécurisé, depuis un ordinateur Windows vers un
contrôleur de domaine. Il est également utilisé dans les processus suivants, liés à
l’approbation :
Outils d'administration
Les administrateurs peuvent utiliser Domaines et approbations Active Directory, Netdom
et Nltest pour exposer, créer, supprimer ou modifier des approbations.
Étapes suivantes
Pour prendre en main la création d’un domaine managé avec une approbation de forêt,
consultez Créer et configurer un domaine managé Azure AD DS. Vous pouvez ensuite
créer une approbation de forêt sortante vers un domaine local.
Synchronisation des objets et des
informations d’identification dans un
domaine managé Azure Active Directory
Domain Services
Article • 12/04/2023
Les objets et les informations d’identification d’un domaine managé Azure Active
Directory Domain Services (Azure AD DS) peuvent être créés localement dans le
domaine ou synchronisés à partir d’un locataire Azure Active Directory (Azure AD).
Lorsque vous déployez Azure AD DS pour la première fois, une synchronisation
automatique à sens unique est configurée et démarrée pour répliquer les objets à partir
d’Azure AD. Cette synchronisation unidirectionnelle continue à s’exécuter en arrière-plan
pour maintenir à jour le domaine managé Azure AD DS avec les modifications apportées
par Azure AD. Aucune synchronisation n’est effectuée à partir d’Azure AD DS vers Azure
AD.
Lorsqu’un utilisateur est créé dans Azure AD, il n’est pas synchronisé avec Azure AD DS
tant qu’il n’a pas modifié son mot de passe dans Azure AD. Ce processus de
changement du mot de passe entraîne la génération et le stockage dans Azure AD des
hachages de mot de passe pour l’authentification Kerberos et NTLM. Les hachages de
mot de passe sont nécessaires pour authentifier correctement un utilisateur dans Azure
AD DS.
UPN Attribut UPN de L’attribut UPN du locataire Azure AD est synchronisé tel
l’utilisateur dans quel pour Azure AD DS. La méthode la plus fiable pour
votre locataire se connecter à un domaine managé consiste à utiliser
Azure AD l’UPN.
Attribut dans Source Notes
Azure AD DS
Mots de passe Mot de passe Les hachages de mot de passe hérités requis pour
utilisateur du l’authentification NTLM ou Kerberos sont synchronisés
locataire Azure à partir du locataire Azure AD. Si le locataire Azure AD
AD est configuré pour la synchronisation hybride à l’aide
d’Azure AD Connect, ces hachages de mot de passe
proviennent de l’environnement AD DS local.
Historique des SID SID d’utilisateur L'attribut SidHistory pour les utilisateurs et les groupes
des utilisateurs et et de groupe dans Azure AD DS est défini de sorte à correspondre au
groupes principal local SID de groupe ou d’utilisateur principal correspondant
dans un environnement AD DS local. Cette
fonctionnalité permet de faciliter la migration des
applications sur site vers Azure AD DS, étant donné que
vous n’avez pas besoin de redéfinir les ACL des
ressources.
Conseil
city l
companyName companyName
country co
department department
displayName displayName
employeeId employeeId
facsimileTelephoneNumber facsimileTelephoneNumber
givenName givenName
jobTitle title
mail mail
mailNickName msDS-AzureADMailNickname
manager manager
mobile mobile
objectid msDS-aadObjectId
onPremiseSecurityIdentifier sidHistory
physicalDeliveryOfficeName physicalDeliveryOfficeName
postalCode postalCode
preferredLanguage preferredLanguage
proxyAddresses proxyAddresses
state st
streetAddress streetAddress
surname sn
telephoneNumber telephoneNumber
userPrincipalName userPrincipalName
displayName displayName
mail mail
mailNickName msDS-AzureADMailNickname
objectid msDS-AzureADObjectId
onPremiseSecurityIdentifier sidHistory
proxyAddresses proxyAddresses
securityEnabled groupType
) Important
7 Notes
Utilisez toujours la version la plus récente d’Azure AD Connect pour vous assurer
d'avoir les correctifs pour tous les bogues connus.
Azure AD a un espace de noms bien plus simple et plat. Pour permettre aux utilisateurs
d’accéder de manière fiable aux applications sécurisées par Azure AD, résolvez les
conflits d’UPN entre comptes d’utilisateur dans des forêts différentes. Les domaines
managés utilisent une structure d’unité d’organisation plate, similaire à Azure AD. Tous
les comptes d’utilisateurs et les groupes sont stockés dans le conteneur Utilisateurs
AADDC, en dépit de la synchronisation effectuée à partir de forêts ou de domaines
locaux différents, même si vous avez configuré une structure d’unités d’organisation
hiérarchique locale. Le domaine managé aplatit toutes les structures d’unités
d’organisation hiérarchiques.
Les clés de chiffrement sont uniques pour chaque locataire Azure AD. Ces hachages sont
chiffrés afin que seul Azure AD DS ait accès aux clés de déchiffrement. Aucun autre
service ni composant d’Azure AD n’a accès aux clés de déchiffrement.
Les hachages de mot de passe hérités sont ensuite synchronisés à partir d’Azure AD
dans les contrôleurs de domaine pour un domaine managé. Les disques de ces
contrôleurs de domaine managé dans Azure AD DS sont chiffrés à l’arrêt. Ces hachages
de mot de passe sont stockés et sécurisés sur ces contrôleurs de domaine de la même
manière que les mots de passe stockés et sécurisés dans un environnement AD DS local.
Étapes suivantes
Pour plus d’informations sur les détails de la synchronisation de mot de passe, consultez
Fonctionnement de la synchronisation de hachage du mot de passe avec Azure AD
Connect.
Pour commencer à utiliser Azure AD DS, créez un domaine managé.
Implémenter la synchronisation de
hachage de mot de passe avec la
synchronisation Azure AD Connect
Article • 18/05/2023
Cet article vous fournit les informations nécessaires pour synchroniser vos mots de
passe utilisateur à partir d’une instance Active Directory (AD) locale vers une instance
Azure Active Directory (Azure AD) dans le cloud.
Fonctionnement de la synchronisation de
hachage de mot de passe
Le service de domaine Active Directory stocke les mots de passe sous forme de valeur
de hachage du mot de passe réel de l’utilisateur. Une valeur de hachage est le résultat
d’une fonction mathématique unidirectionnelle (« algorithme de hachage »). Il n’existe
aucune méthode pour retrouver la version en texte brut du mot de passe à partir du
résultat d’une fonction unidirectionnelle.
Pour synchroniser votre mot de passe, Azure AD Connect Sync extrait le hachage de
votre mot de passe à partir de l’instance Active Directory local. Un traitement de sécurité
supplémentaire est appliqué au hachage du mot de passe avant sa synchronisation avec
le service d’authentification Azure Active Directory. Les mots de passe sont synchronisés
pour chaque utilisateur et par ordre chronologique.
Lorsque vous modifiez un mot de passe local, le mot de passe mis à jour est
synchronisé, plus souvent en quelques minutes. La fonctionnalité de synchronisation de
hachage de mot de passe tente automatiquement d’effectuer à nouveau les tentatives
de synchronisation ayant échoué. Si une erreur se produit lors d’une tentative de
synchronisation de mot de passe, une erreur est enregistrée dans l’Observateur
d’événements.
La synchronisation d’un mot de passe n’a aucun impact sur l’utilisateur actuellement
connecté. La session en cours n’est pas immédiatement affectée par une modification
du mot de passe synchronisé effectuée tout en étant connecté à un service cloud.
Toutefois, lorsque le service cloud vous oblige à vous authentifier à nouveau, vous devez
fournir votre nouveau mot de passe.
Autres avantages
En règle générale, la synchronisation de hachage de mot de passe est plus simple
à implémenter qu’un service de fédération. Elle ne nécessite pas de serveurs
supplémentaires et élimine la dépendance vis-à-vis d’un service de fédération
hautement disponible pour authentifier les utilisateurs.
La synchronisation de hachage de mot de passe peut également être activée en
plus de la fédération. Vous pouvez l’utiliser comme solution de secours si votre
service de fédération connaît une défaillance.
7 Notes
La synchronisation de mot de passe est uniquement prise en charge pour
l'utilisateur de type d'objet dans Active Directory. Elle n'est pas prise en charge
pour le type d'objet iNetOrgPerson.
7 Notes
Le hachage MD4 d’origine n’est pas transmis à Azure AD. Au lieu de cela, le
hachage SHA256 du hachage MD4 d’origine est transmis. Par conséquent, si le
hachage stocké dans Azure AD est obtenu, il ne peut pas être utilisé dans une
attaque de type pass-the-hash locale.
7 Notes
La valeur de hachage du mot de passe n’est JAMAIS stockée dans SQL. Ces valeurs
sont traitées uniquement en mémoire avant d’être envoyées à Azure AD.
7 Notes
Les mots de passe des utilisateurs créés directement dans le cloud sont toujours
soumis aux stratégies de mot de passe définies dans le cloud.
Vous pouvez continuer à vous connecter aux services cloud à l’aide d’un mot de passe
synchronisé qui a expiré dans votre environnement local. Votre mot de passe cloud est
mis à jour la prochaine fois que vous modifiez le mot de passe dans l’environnement
local.
CloudPasswordPolicyForPasswordSyncedUsersEnabled
S’il existe des utilisateurs synchronisés qui interagissent uniquement avec des services
intégrés Azure AD et qui doivent également respecter une stratégie d’expiration de mot
de passe, vous pouvez les forcer à respecter votre stratégie d’expiration de mot de
passe Azure AD en activant la fonctionnalité
CloudPasswordPolicyForPasswordSyncedUsersEnabled (dans le module PowerShell
MSOnline déconseillé qui s’appelait
EnforceCloudPasswordPolicyForPasswordSyncedUsers).
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.CloudPasswordPolicyForPasswordSyncedUsersEnabled =
$true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Conseil
Il est recommandé d’activer CloudPasswordPolicyForPasswordSyncedUsersEnabled
avant d’activer la synchronisation du hachage de mot de passe, de sorte que la
synchronisation initiale du hachage de mot de passe n’ajoute pas la valeur
DisablePasswordExpiration à l’attribut PasswordPolicies pour les utilisateurs.
La stratégie de mot de passe Azure AD par défaut oblige les utilisateurs à changer leurs
mots de passe tous les 90 jours. Si votre stratégie dans Active Directory est également
de 90 jours, les deux stratégies doivent correspondre. Cependant, si la stratégie AD n’est
pas de 90 jours, vous pouvez mettre à jour la stratégie de mot de passe Azure AD pour
qu’elle corresponde à l’aide de la commande PowerShell Update-MgDomain
(précédemment : Set-MsolPasswordPolicy).
Azure AD prend en charge une stratégie d’expiration de mot de passe distincte pour
chaque domaine inscrit.
Inconvénient : si des comptes synchronisés doivent avoir des mots de passe sans
expiration dans Azure AD, vous devez ajouter explicitement la valeur
DisablePasswordExpiration à l’attribut PasswordPolicies de l’objet utilisateur dans Azure
"DisablePasswordExpiration"
7 Notes
Pour les utilisateurs hybrides dont la valeur PasswordPolicies est définie sur
DisablePasswordExpiration , cette valeur bascule sur None après le changement
d’un mot de passe en local.
7 Notes
7 Notes
Il est courant de forcer un utilisateur à modifier son mot de passe lors de sa première
ouverture de session, en particulier après la réinitialisation d’un mot de passe
d’administrateur. Il s’agit généralement de définir un mot de passe « temporaire ». Vous
devez pour cela sélectionner l’indicateur « L’utilisateur doit changer le mot de passe à la
prochaine ouverture de session » sur un objet utilisateur dans Active Directory (AD).
Pour prendre en charge les mots de passe temporaires dans Azure AD pour les
utilisateurs synchronisés, vous pouvez activer la fonctionnalité
ForcePasswordChangeOnLogOn en exécutant la commande suivante sur votre serveur
Azure AD Connect :
7 Notes
Si l’utilisateur a l’option « Le mot de passe n’expire jamais » défini dans Active
Directory (AD), l’indicateur qui force la modification du mot de passe ne sera pas
défini dans Active Directory (AD). par conséquent, l’utilisateur ne sera pas invité à
modifier le mot de passe lors de la prochaine connexion.
Un nouvel utilisateur créé dans Active Directory avec l’indicateur « L’utilisateur doit
changer le mot de passe à la prochaine ouverture de session » est toujours
approvisionné dans Azure AD avec une stratégie de mot de passe « Forcer le
changement de mot de passe lors de la prochaine connexion », que la
fonctionnalité ForcePasswordChangeOnLogOn soit true ou false. Il s’agit d’une
logique interne Azure AD, car le nouvel utilisateur est approvisionné sans mot de
passe, tandis que la fonctionnalité ForcePasswordChangeOnLogOn affecte
uniquement les scénarios de réinitialisation de mot de passe administrateur.
U Attention
Expiration du compte
Si votre organisation utilise l’attribut accountExpires dans le cadre de la gestion des
comptes d’utilisateur, il n’est pas synchronisé avec Azure AD. Par conséquent, un
compte Active Directory expiré dans un environnement configuré pour la
synchronisation de hachage de mot de passe sera toujours actif dans Azure AD. Nous
vous recommandons d’utiliser un script PowerShell planifié qui désactive les comptes
AD des utilisateurs, une fois qu’ils ont expiré (utilisez la cmdlet Set-ADUser). À l’inverse,
au cours du processus de suppression de l’expiration d’un compte AD, le compte doit
être réactivé.
Dans ce cas, le nouveau mot de passe remplace votre mot de passe synchronisé et
toutes les stratégies de mot de passe définies dans le cloud s’appliquent au nouveau
mot de passe.
Si vous modifiez de nouveau votre mot de passe local, le nouveau mot de passe est
synchronisé avec le cloud et il remplace le mot de passe mis à jour manuellement.
La synchronisation d’un mot de passe n’a aucun impact sur l’utilisateur Azure connecté.
Votre session de service cloud en cours n’est pas immédiatement affectée par une
modification de mot de passe synchronisé effectuée lorsque vous êtes connecté à un
service cloud. L’option Maintenir la connexion (KMSI) étend la durée de cette différence.
Lorsque le service cloud vous oblige à vous authentifier à nouveau, vous devez fournir
votre nouveau mot de passe.
Processus de synchronisation du hachage de
mot de passe pour Azure AD Domain Services
Si vous utilisez Azure AD Domain Services pour fournir une authentification héritée pour
les applications et les services qui doivent utiliser Kerberos, LDAP ou NTLM, certains
processus supplémentaires font partie du flux de synchronisation du hachage de mot de
passe. Azure AD Connect utilise le processus suivant supplémentaire pour synchroniser
les hachages de mot de passe vers Azure AD pour une utilisation dans Azure AD
Domain Services :
) Important
) Important
Pour référence, cet extrait de code indique ce que vous devez obtenir :
<configuration>
<runtime>
<enforceFIPSPolicy enabled="false"/>
</runtime>
</configuration>
Pour plus d’informations sur la sécurité et FIPS, voir Synchronisation, chiffrement et
conformité à la norme FIPS du hachage de mot de passe Azure AD .
Étapes suivantes
Synchronisation Azure AD Connect : personnaliser les options de synchronisation
Intégration des identités locales dans Azure Active Directory
Ressources pour la migration d’applications vers Azure AD
Attributs personnalisés pour Azure
Active Directory Domain Services
Article • 10/03/2023 • 2 minutes de lecture
Pour diverses raisons, les entreprises ne peuvent pas souvent modifier le code des
applications héritées. Les applications peuvent par exemple utiliser un attribut
personnalisé, comme un ID d’employé personnalisé, et s’en servir pour les opérations
LDAP.
Les deux types d’extensions peuvent être configurés à l’aide d’Azure AD Connect pour
les utilisateurs managés localement ou de l’API MSGraph pour les utilisateurs cloud
uniquement.
7 Notes
Les types d’extensions suivants ne sont pas pris en charge pour la synchronisation :
Configuration requise
La référence SKU minimale prise en charge pour les attributs personnalisés est la
référence SKU Entreprise. Si vous utilisez la version Standard, vous devez mettre à niveau
le domaine managé vers Enterprise ou Premium. Pour plus d’informations, consultez
Tarification pour domaine Azure Active Directory .
Fonctionnement des attributs personnalisés
Après la création d’un domaine managé, cliquez sur Attributs personnalisés
(préversion) sous Paramètres pour activer la synchronisation des attributs. Cliquez sur
Enregistrer pour confirmer les modifications.
7 Notes
Azure AD DS remplit la totalité des utilisateurs et des groupes synchronisés avec les
valeurs d’attribut personnalisées intégrées. Les valeurs d’attribut personnalisées sont
progressivement renseignées pour les objets contenant l’extension du répertoire dans
Azure AD. Pendant le processus de synchronisation de renvoi, les modifications
incrémentielles sont suspendues dans Azure AD et la durée de synchronisation dépend
de la taille du locataire.
Pour vérifier l’état du renvoi, cliquez sur Intégrité du Service d'annuaire Azure AD et
vérifiez que l’analyse de l’horodatage de la synchronisation avec Azure AD a été mise à
jour dans l’heure suivant l’intégration. Une fois mise à jour, le remplissage est terminé.
Étapes suivantes
Pour configurer onPremisesExtensionAttributes ou des extensions du répertoire pour les
utilisateurs cloud uniquement dans Azure AD, voir Options de données personnalisées
dans Microsoft Graph.
Cet article décrit les points et les conditions à prendre en compte lors de la conception pour qu’un réseau virtuel Azure
prenne en charge Azure AD DS.
Vous pouvez inclure un sous-réseau d’application distinct dans le même réseau virtuel pour héberger votre machine
virtuelle de gestion ou vos charges de travail pour les petites applications. Un réseau virtuel distinct pour les charges de
travail d’application plus volumineuses ou complexes homologuées au réseau virtuel Azure AD DS, est généralement la
conception la plus appropriée.
Si vous respectez les conditions décrites dans les sections suivantes pour le réseau virtuel et le sous-réseau, vous pouvez
choisir d’autres conceptions.
Tout au long de votre conception du réseau virtuel pour Azure AD DS, les considérations suivantes s’appliquent :
Azure AD DS doit être déployé dans la même région Azure que votre réseau virtuel.
À ce stade, vous ne pouvez déployer qu’un seul domaine managé par locataire Azure AD. Le domaine managé est
déployé sur une seule région. Assurez-vous de créer ou de sélectionner un réseau virtuel dans une région qui
prend en charge Azure AD DS .
Tenez compte de la proximité des autres régions Azure et des réseaux virtuels qui hébergent les charges de travail de
votre application.
Pour réduire la latence, gardez vos applications principales à proximité du sous-réseau du réseau virtuel, à dans la
même région que celui-ci, pour votre domaine managé. Vous pouvez utiliser le peering du réseau virtuel ou les
connexions de réseau privé virtuel (VPN) entre les réseaux virtuels Azure. Ces options de connexion sont
présentées dans une prochaine section.
Le réseau virtuel ne peut pas s’appuyer sur des services DNS autres que ceux fournis par le domaine managé.
Azure AD DS fournit son propre service DNS. Le réseau virtuel doit être configuré pour utiliser ces adresses de
service DNS. La résolution de noms pour des espaces de noms supplémentaires peut être accomplie à l’aide de
redirecteurs conditionnels.
Vous ne pouvez pas utiliser les paramètres de serveur DNS personnalisés pour diriger des requêtes en provenance
d’autres serveurs DNS, y compris sur des machines virtuelles. Les ressources du réseau virtuel doivent utiliser le
service DNS fourni par le domaine managé.
) Important
Vous ne pouvez pas déplacer Azure AD DS vers un autre réseau virtuel une fois le service activé.
Un domaine managé se connecte à un sous-réseau dans un réseau virtuel Azure. Concevez ce sous-réseau pour
Azure AD DS en prenant en compte les considérations suivantes :
Un domaine managé doit être déployé dans son propre sous-réseau. L’utilisation d’un sous-réseau, d’un sous-réseau
de passerelle ou de passerelles distantes dans l’appairage de réseaux virtuels n’est pas prise en charge.
Un groupe de sécurité réseau est créé pendant le déploiement d’un domaine managé. Ce groupe de sécurité réseau
contient les règles requises pour permettre une communication de service appropriée.
Ne créez et n’utilisez pas un groupe de sécurité réseau existant avec vos propres règles personnalisées.
Un domaine managé requiert de 3 à 5 adresses IP. Assurez-vous que la plage d’adresses IP de votre sous-réseau peut
fournir ce nombre d’adresses.
La restriction des adresses IP disponibles peut empêcher Ale domaine managé de gérer deux contrôleurs de
domaine.
L’exemple de diagramme suivant présente une conception valide dans laquelle le domaine managé possède son propre
sous-réseau. Le sous-réseau de passerelle pour la connectivité externe et les charges de travail d’application sont dans un
sous-réseau connecté du réseau virtuel :
Vous pouvez connecter des charges de travail d’application hébergées sur d’autres réseaux virtuels Azure en utilisant l’une
des méthodes suivantes :
Pour plus d’informations, consultez la page Vue d’ensemble du peering du réseau virtuel Azure.
Pour plus d’informations sur l’utilisation de réseaux privés virtuels, consultez la page Configurer une connexion de
passerelle VPN de réseau virtuel à réseau virtuel à l’aide du portail Azure.
Vous pouvez activer la résolution de noms à l’aide de redirecteurs DNS conditionnels sur le serveur DNS qui prend en
charge les réseaux virtuels connectés, ou en utilisant les adresses IP DNS du réseau virtuel du domaine managé.
Ne verrouillez pas les ressources de mise en réseau utilisées par Azure AD DS. Si les ressources de mise en réseau sont
verrouillées, elles ne peuvent pas être supprimées. Lorsque les contrôleurs de domaine doivent être reconstruits dans ce
cas, de nouvelles ressources de mise en réseau avec des adresses IP différentes doivent être créées.
Ressource Description
Azure
Ressource Description
Azure
Cartes Azure AD DS héberge le domaine managé sur deux contrôleurs de domaine (DC) qui s’exécutent sur Windows Server en
d'interface tant que machines virtuelles Azure. Chaque machine virtuelle dispose d’une interface réseau virtuelle qui se connecte à
réseau votre sous-réseau de réseau virtuel.
Adresse IP Azure AD DS communique avec le service de synchronisation et de gestion à l’aide d’une adresse IP publique de
publique référence SKU standard. Pour plus d’informations sur les adresse IP publique, consultez la page Types d’adresses IP et
standard méthodes d’allocation dans Azure.
dynamique
Azure Azure AD DS utilise un équilibreur de charge de référence SKU standard pour la traduction d’adresses réseau (NAT) et
Standard l’équilibrage de charge (en cas d’utilisation avec le protocole LDAP sécurisé). Pour plus d’informations sur les équilibreurs
Load Balancer de charge Azure, consultez Qu’est-ce que Azure Load Balancer ?
Règles de Azure AD DS crée et utilise les règles NAT de trafic entrant sur l’équilibreur de charge pour une communication à distance
traduction PowerShell sécurisée. Si un équilibreur de charge de référence SKU standard est utilisé, il aura également une règle NAT
d’adresses sortante. Pour l’équilibreur de charge de référence SKU de base, aucune règle NAT sortante n’est requise.
réseau (NAT)
Règles Quand un domaine managé est configuré pour le LDAP sécurisé sur le port TCP 636, trois règles sont créées et utilisées
d'équilibrage sur un équilibreur de charge pour répartir le trafic.
de charge
2 Avertissement
Ne supprimez ni ne modifiez aucune des ressources réseau créées par Azure AD DS, telles que la configuration
manuelle de l’équilibreur de charge ou des règles. Si vous supprimez ou modifiez l’une des ressources réseau, le
service Azure AD DS peut être interrompu.
Les sections suivantes traitent des groupes de sécurité réseau et des exigences relatives aux ports entrants et sortants.
Connectivité entrante
Les règles entrantes de groupe de sécurité réseau suivantes sont requises pour permettre au domaine managé de fournir
des services d’authentification et de gestion. Ne modifiez pas et ne supprimez pas ces règles de groupe de sécurité réseau
pour le sous-réseau de réseau virtuel pour votre domaine managé.
Source Balise du service source Source Destination Service Plages de Protocol Action Obligatoire Objectif
port ports de
ranges destination
Notez que l’étiquette de service CorpNetSaw n’est pas disponible à l’aide de Portail Azure, tout comme la règle de groupe
de sécurité réseau pour CorpNetSaw doit être ajoutée à l’aide de PowerShell.
Azure AD DS s’appuie également sur les règles de sécurité par défaut AllowVnetInBound et
AllowAzureLoadBalancerInBound.
La règle AllowVnetInBound autorise tout le trafic au sein du réseau virtuel qui permet aux contrôleurs de domaine de
communiquer et de répliquer correctement, ainsi que d’autoriser la jonction de domaine et d’autres services de domaine
aux membres du domaine. Pour plus d'informations sur les ports requis pour Windows, consultez la Vue d'ensemble des
services et exigences de ports réseau pour Windows.
La règle AllowAzureLoadBalancerInBound est également requise afin que le service puisse communiquer correctement sur
l’équilibreur de charge pour gérer les contrôleurs de domaine. Ce groupe de sécurité réseau, qui sécurise Azure AD DS, est
nécessaire pour que le domaine managé fonctionne correctement. Ne supprimez pas ce groupe de sécurité réseau.
L’équilibreur de charge ne fonctionnera pas correctement sans ce groupe.
Si nécessaire, vous pouvez créer le groupe de sécurité réseau et les règles requis à l’aide d’Azure PowerShell.
2 Avertissement
Lorsque vous associez un groupe de sécurité réseau mal configuré ou une table d’itinéraire définie par l’utilisateur au
sous-réseau dans lequel le domaine managé est déployé, vous risquez de perturber la capacité de Microsoft à traiter
et à gérer le domaine. La synchronisation entre votre locataire Azure AD et votre domaine managé est également
interrompue. Suivez toutes les exigences répertoriées pour éviter une configuration non prise en charge qui risque de
perturber la synchronisation, les mises à jour correctives ou la gestion.
Si vous utilisez le protocole LDAP sécurisé, vous pouvez ajouter la règle de port TCP 636 requise pour autoriser le trafic
externe, si nécessaire. L’ajout de cette règle ne place pas vos règles de groupe de sécurité réseau dans un état non pris
en charge. Pour plus d’informations, consultez Verrouiller l’accès LDAP sécurisé via Internet.
Le SLA Azure ne s’applique pas aux déploiements qui sont bloqués pour les mises à jour ou la gestion par un groupe
de sécurité réseau mal configuré ou par une table de routage définie par l’utilisateur. Une configuration réseau
rompue peut également empêcher l’application des correctifs de sécurité.
Connectivité sortante
Pour une connectivité entrante, vous pouvez conserver AllowVnetOutbound et AllowInternetOutBound ou restreindre le
trafic sortant en utilisant les ServiceTags répertoriés dans le tableau suivant. Le ServiceTag pour AzureUpdateDelivery doit
être ajouté via PowerShell.
Vous ne pouvez pas sélectionner manuellement la balise de service CorpNetSaw dans le portail si vous essayez de modifier
cette règle de groupe de sécurité réseau. Vous devez utiliser Azure PowerShell ou Azure CLI pour configurer manuellement
une règle qui utilise la balise de service CorpNetSaw.
Par exemple, vous pouvez utiliser le script suivant pour créer une règle autorisant le protocole RDP :
PowerShell
Vous devez également acheminer le trafic entrant à partir des adresses IP incluses dans les balises de service Azure
respectives vers le sous-réseau du domaine managé. Pour plus d’informations sur les balises de service et leur adresse IP
associée , consultez la page Plages et balises de service Azure IP – Cloud public .
U Attention
Ces plages IP de centre de données Azure peuvent être modifiées sans préavis. Vérifiez que vous disposez des
processus vous permettant de valider que vous disposez des dernières adresses IP.
Étapes suivantes
Pour plus d’informations sur certaines ressources réseau et options de connexion utilisées par Azure AD DS, consultez les
articles suivants :
Azure Active Directory (Azure AD) est un service de gestion des identités et des accès
basée sur le cloud. Azure AD permet à vos collaborateurs d’accéder à des ressources
externes telles que Microsoft 365, le portail Azure et des milliers d’autres applications
SaaS. Azure Active Directory les aide également à accéder aux ressources internes,
notamment les applications situées sur votre intranet d’entreprise et les applications
cloud développées pour votre organisation. Pour découvrir comment créer un locataire,
consultez Démarrage rapide : Créer un locataire dans Azure Active Directory.
Pour connaître les différences entre Active Directory et Azure Active Directory, consultez
Comparer Active Directory et Azure Active Directory. Vous pouvez également vous
reporter aux affiches de la série Microsoft Cloud pour architectes d’entreprise afin de
mieux comprendre les services d’identité de base dans Azure, comme Azure AD et
Microsoft 365.
Pour enrichir votre implémentation Azure AD, vous pouvez ajouter des fonctionnalités
payantes en procédant à une mise à niveau vers les licences Azure Active Directory
Premium P1 ou Premium P2. Les licences payantes Azure AD s’appuient sur votre
annuaire gratuit existant. Les licences offrent un libre-service, une surveillance
améliorée, des rapports de sécurité et un accès sécurisé pour vos utilisateurs mobiles.
7 Notes
Pour connaître la structure de prix de ces licences, consultez les tarifs d’Azure
Active Directory .
Pour plus d’informations sur les tarifs d’Azure AD, contactez le forum Azure Active
Directory .
Azure Active Directory Free. Offre la gestion des utilisateurs et des groupes, la
synchronisation d’annuaires locaux, des rapports de base, des changements de
mot de passe en libre-service pour les utilisateurs cloud ainsi que l’authentification
unique sur Azure, Microsoft 365 et bon nombre d’applications SaaS populaires.
Azure Active Directory Premium P1. En plus des fonctionnalités Free, la licence P1
offre à vos utilisateurs hybrides l’accès aux ressources locales et cloud. Elle prend
également en charge des fonctionnalités administratives avancées, notamment les
groupes dynamiques, la gestion de groupes libre-service, Microsoft Identity
Manager et la réécriture dans le cloud pour faire bénéficier à vos utilisateurs locaux
de la réinitialisation de mot de passe en libre-service.
Azure Active Directory Premium P2. En plus des fonctionnalités Free et P1, la
licence P2 offre Azure Active Directory Identity Protection pour fournir un accès
conditionnel en fonction des risques à vos applications et aux données critiques de
l’entreprise. Elle propose également Privileged Identity Management pour faciliter
la découverte, la restriction et la supervision des administrateurs et leur accès aux
ressources et, au besoin, fournir un accès juste-à-temps.
Pour plus d’informations sur l’association d’un abonnement Azure à Azure AD, consultez
Associer ou ajouter un abonnement Azure à Azure Active Directory. Pour plus
d’informations sur l’attribution de licences à vos utilisateurs, consultez Guide pratique :
affecter ou supprimer des licences Azure Active Directory.
Category Description
Gestion des Gérez vos applications cloud et locales avec le proxy d’application,
applications l’authentification unique, le portail Mes applications et les applications
SaaS (software as a service). Pour plus d’informations, consultez Guide
pratique pour offrir un accès à distance sécurisé aux applications locales
et la documentation sur la gestion des applications.
Azure Active Créez des applications qui connectent toutes les identités Microsoft et
Directory pour les obtiennent des jetons pour appeler Microsoft Graph, d’autres API
développeurs Microsoft ou des API personnalisées. Pour plus d’informations, consultez
Plateforme d’identités Microsoft (Azure Active Directory pour
développeurs).
Accès conditionnel Gérez l’accès à vos applications cloud. Pour plus d’informations, consultez
la documentation sur l’accès conditionnel dans Azure AD.
Gestion des Gérez la façon dont vos appareils cloud ou locaux accèdent à vos données
appareils d’entreprise. Pour plus d’informations, consultez la documentation sur la
gestion des appareils Azure AD.
Services de domaine Joignez des machines virtuelles Azure à un domaine sans contrôleur de
domaine. Pour plus d’informations, consultez la documentation sur
Azure AD Domain Services.
Identité hybride Utilisez Azure Active Directory Connect et Connect Health pour fournir
une identité d’utilisateur unique pour l’authentification et l’autorisation
auprès de toutes les ressources, indépendamment de l’emplacement
(cloud ou local). Pour plus d’informations, consultez la documentation sur
les identités hybrides.
Gouvernance des Gérez l’identité de votre organisation au moyen de contrôles d’accès pour
identités vos employés, partenaires commerciaux, fournisseurs, services et
applications. Vous pouvez également effectuer des révisions d’accès. Pour
plus d’informations, consultez la documentation sur Azure AD Identity
Governance et Révisions d’accès Azure AD.
Identity Protection Détectez les vulnérabilités potentielles qui affectent les identités de votre
organisation, configurez des stratégies pour répondre aux actions
suspectes et prenez les mesures appropriées pour les résoudre. Pour plus
d’informations, consultez Azure AD Identity Protection.
Identités gérées Fournissez à vos services Azure une identité managée automatiquement
pour les ressources dans Azure AD qui peut authentifier n’importe quel service
Azure d’authentification pris en charge par Azure AD, notamment Key Vault.
Pour plus d’informations, consultez Identités managées pour les
ressources Azure.
Privileged Identity Gérez, contrôlez et supervisez l’accès au sein de votre organisation. Cette
Management (PIM) fonctionnalité inclut l’accès aux ressources dans Azure AD et Azure, ainsi
qu’à d’autres services Microsoft Online, comme Microsoft 365 ou Intune.
Category Description
Rapports et analyse Obtenez des insights sur la sécurité et les modèles d’utilisation de votre
environnement. Pour plus d’informations, consultez Rapports et
supervision Azure Active Directory.
Identités de charge Il s’agit d’une identité utilisée par une charge de travail logicielle (telle
de travail qu’une application, un service, un script ou un conteneur) pour
authentifier et accéder à d’autres services et ressources. Pour plus
d’informations, consultez la F.A.Q. de l’identité de charge de travail.
Terminologie
Pour mieux comprendre Azure AD et sa documentation, nous vous recommandons de
passer en revue les termes suivants.
Terme ou Description
concept
Identité Une chose qui peut être authentifiée. Une identité peut être un utilisateur
avec un nom d’utilisateur et un mot de passe. Les identités incluent
également des applications ou autres serveurs qui peuvent nécessiter
l’authentification via des clés secrètes ou des certificats.
Compte Une identité qui a des données associées. Vous ne pouvez pas avoir de
compte sans identité.
Compte Identité créée par le biais d’Azure AD ou d’un autre service cloud Microsoft
Azure AD comme Microsoft 365. Les identités sont stockées dans Azure AD et sont
accessibles à tout abonnement à un service cloud de votre organisation. Ce
compte est parfois appelé un compte professionnel ou scolaire.
Propriétaire Ce rôle vous permet de gérer toutes les ressources Azure, notamment l’accès
à celles-ci. Ce rôle est basé sur un système d’autorisation plus récent appelé
« contrôle d’accès en fonction du rôle Azure » (Azure RBAC) qui permet de
gérer avec précision l’accès aux ressources Azure. Si vous souhaitez en savoir
plus, veuillez consulter la rubrique Rôles d’administrateur de rôles Azure, de
rôles Azure AD et d’abonnements classiques.
Abonnement Permet de payer les services cloud Azure. Vous pouvez avoir plusieurs
Azure abonnements, lesquels sont liés à une carte de crédit.
Client Azure Une instance dédiée et approuvée d’Azure AD. Le locataire est
automatiquement créé quand votre organisation s’inscrit à un abonnement
de service cloud Microsoft. Ces abonnements comprennent Microsoft Azure,
Microsoft Intune ou Microsoft 365. Un locataire Azure représente une seule
organisation.
Locataire unique Un locataire Azure qui accède à d’autres services dans un environnement
dédié est considéré comme un locataire unique.
Multi-locataire Les locataires Azure qui accèdent à d’autres services dans un environnement
partagé entre plusieurs organisations sont considérés comme multilocataires.
Domaine Chaque nouvel annuaire Azure AD est fourni avec un nom de domaine initial,
personnalisé par exemple domainname.onmicrosoft.com . En plus de ce nom initial, vous
pouvez également ajouter les noms de domaine de votre organisation. Les
noms de domaine de votre organisation incluent les noms que vous utilisez
pour votre activité et que vos utilisateurs utilisent pour accéder aux ressources
de votre organisation, à la liste. L’ajout de noms de domaine personnalisés
vous permet de créer des noms d’utilisateur qui sont familiers à vos
utilisateurs, par exemple alain@contoso.com.
Étapes suivantes
S’inscrire à Azure Active Directory Premium
Azure Active Directory (Azure AD) vous permet de gérer en toute sécurité l’accès aux
ressources et aux services Azure pour vos utilisateurs. Azure AD comprend une suite
complète de fonctionnalités de gestion des identités. Pour plus d’informations sur les
fonctionnalités d’Azure AD, voir Qu’est Azure Active Directory ?
Azure AD permet de créer et de gérer des utilisateurs et des groupes, et d’activer des
autorisations pour octroyer et refuser l’accès aux ressources d’entreprise. Pour plus
d’informations sur la gestion des identités, voir Principes de base de la gestion des
identités Azure.
Architecture Azure AD
L’architecture distribuée géographiquement d’Azure AD combine des fonctionnalités de
surveillance complète, de redirection automatique, de basculement et de récupération
qui apportent disponibilité et performances à l’échelle de l’entreprise.
Réplica principal
Le réplica principal reçoit tous les écrits pour la partition à laquelle il appartient. Toute
opération d’écriture est immédiatement répliquée vers un réplica secondaire dans un
autre centre de données avant de renvoyer une notification de réussite à l’appelant, afin
de garantir la durabilité géo-redondante des écritures.
Réplicas secondaires
Toutes les lectures de répertoire sont traitées à partir des réplicas secondaires qui se
trouvent dans des centres de données répartis entre différentes zones géographiques. Il
existe plusieurs réplicas secondaires, car les données sont répliquées de manière
asynchrone. Les lectures de répertoire, notamment les requêtes d’authentification, sont
traitées à partir de centres de données proches des clients. Les réplicas secondaires sont
responsables de l’évolutivité de lecture.
Extensibilité
L’évolutivité est la capacité d’un service à se développer pour répondre aux exigences
croissantes en matière de performances. L’évolutivité d’écriture est obtenue en
partitionnant les données. L’évolutivité de lecture est obtenue en répliquant les données
d’une partition vers plusieurs réplicas secondaires répartis dans le monde.
Les requêtes à partir d’applications d’annuaire sont routées vers le centre de données le
plus proche. Les écritures sont redirigées en toute transparence vers le réplica principal
pour assurer la cohérence en lecture-écriture. Les réplicas secondaires développent de
manière significative l’échelle des partitions, car les répertoires traitent généralement les
lectures.
Les applications de répertoire se connectent aux centres de données les plus proches.
Cette connexion améliore les performances, et une montée en charge devient donc
possible. Dans la mesure où une partition de répertoire peut avoir plusieurs réplicas
secondaires, ces derniers peuvent être placés plus près des clients de répertoire. Seuls
les composants de service de répertoire interne gourmands en écriture ciblent
directement le réplica principal actif.
Disponibilité continue
La disponibilité (ou le temps d’activité) définit la capacité d’un système à s’exécuter sans
interruption. La haute disponibilité d’Azure AD s’appuie sur le fait que les services
peuvent transmettre rapidement le trafic entre plusieurs centres de données répartis
géographiquement. Chaque centre de données est indépendant, ce qui permet les
modes d’échec décorrélés. Dans cette conception haute disponibilité, Azure AD n’exige
aucun temps d’arrêt pour les activités de maintenance.
Tolérance de panne
Un système est plus disponible s’il est tolérant aux pannes de matériel, de logiciel et de
réseau. Pour chaque partition sur le répertoire, il existe un réplica maître hautement
disponible : le réplica principal. Seules les écritures sur la partition sont effectuées sur ce
réplica. Ce réplica est en cours de surveillance étroite et continue, et les écritures
peuvent être basculées immédiatement vers un autre réplica (qui devient alors le
nouveau réplica) si une défaillance est détectée. Pendant le basculement, une perte de
disponibilité de l’écriture de 1 à 2 minutes est possible. La disponibilité de lecture n’est
pas affectée pendant cette période.
Avant d’être acceptée, une écriture doit être validée durablement sur au moins deux
centres de données. Cela se produit lorsque vous commencez par valider l’écriture sur le
serveur principal et que vous répliquez immédiatement l’écriture dans au moins l’un des
autres centres de données. Grâce à cette action d’écriture, le risque de perte
catastrophique du centre de données hébergeant le réplica principal n’entraîne pas de
perte de données.
Centres de données
Les réplicas d’Azure AD sont stockés dans des centres du monde entier. Pour plus
d’informations, consultez l’article Infrastructure globale Azure .
Azure AD fonctionne dans les centres de données avec les caractéristiques suivantes :
Azure AD fournit une cohérence en lecture-écriture pour les applications qui ciblent un
réplica secondaire en routant ses écritures vers le réplica principal et en extrayant
simultanément les écritures sur le réplica secondaire.
Les écritures d’application utilisant l’API Microsoft Graph d’Azure AD n’ont pas à
conserver des affinités avec le réplica de répertoire pour la cohérence en lecture-
écriture. Le service API Microsoft Graph conserve une session logique qui a une affinité
avec un réplica secondaire utilisé pour les lectures. L’affinité est capturée dans un « jeton
de réplica » mis en cache par le service à l’aide d’un cache distribué dans le centre de
données de réplica secondaire. Ce jeton est ensuite utilisé pour les opérations suivantes
dans la même session logique. Pour continuer à utiliser la même session logique, les
demandes suivantes doivent être acheminées vers le même centre de données Azure
AD. Vous ne pouvez pas poursuivre une session logique si les requêtes client d’annuaire
sont routées vers plusieurs centres de données Azure AD. Dans cette situation, le client a
plusieurs sessions logiques présentant des cohérences en lecture-écriture
indépendantes.
7 Notes
Les écritures sont immédiatement répliquées sur le réplica secondaire pour lequel
les lectures de la session logique ont été émises.
Métriques et supervision
L’exécution d’un service haute disponibilité requiert des mesures et des capacités
d’analyse hautes performances. Azure AD analyse et signale en permanence les mesures
d’intégrité des services clés et les critères de réussite pour chacun de ses services. Nous
développons et affinons en permanence les mesures, surveillant et alertant pour chaque
scénario au sein de chaque service Azure AD, mais aussi sur tous les autres services.
Opérations sécurisées
Étapes suivantes
Guide du développeur Azure Active Directory
Configuration de la synchronisation à
étendue limitée entre Azure AD et Azure
Active Directory Domain Services à
l’aide du Portail Azure
Article • 09/04/2023 • 4 minutes de lecture
Pour assurer des services d’authentification, Azure Active Directory Domain Services
(Azure AD DS) synchronise les utilisateurs et les groupes à partir d’Azure AD. Dans un
environnement hybride, les utilisateurs et les groupes d’un environnement Active
Directory Domain Services (AD DS) local peuvent d’abord être synchronisés avec Azure
AD à l’aide d’Azure AD Connect, puis avec un domaine managé Azure AD DS.
Par défaut, tous les utilisateurs et groupes d’un annuaire Azure AD sont synchronisés
avec un domaine managé. Si seuls certains utilisateurs ont besoin d’utiliser Azure AD DS,
vous pouvez choisir de synchroniser uniquement des groupes d’utilisateurs. Vous
pouvez filtrer la synchronisation pour les groupes locaux, cloud uniquement ou les deux.
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, suivez le tutoriel pour créer et configurer un domaine managé
Azure Active Directory Domain Services.
Vous avez besoin des rôles Azure AD Administrateur d’applications et
Administrateur de groupes dans votre locataire pour modifier l’étendue de
synchronisation Azure AD DS.
Vue d’ensemble de la synchronisation délimitée
Par défaut, tous les utilisateurs et groupes d’un annuaire Azure AD sont synchronisés
avec un domaine managé. Vous pouvez limiter la synchronisation aux comptes
d’utilisateur créés dans Azure AD ou synchroniser tous les utilisateurs.
5. Pour ajouter des groupes, cliquez sur Ajouter des groupes, puis recherchez et
choisissez les groupes à ajouter.
6. Une fois que toutes les modifications ont été apportées, sélectionnez Enregistrer
l’étendue de la synchronisation.
Étapes suivantes
Pour en savoir plus sur le processus de synchronisation, consultez Comprendre la
synchronisation dans Azure AD Domain Services.
Créer une unité d’organisation (UO) sur
un domaine dans un domaine managé
Azure Active Directory Domain Services
Article • 01/06/2023
Les unités d’organisation (UO) dans un domaine managé Active Directory Domain
Services (AD DS) vous permettent de regrouper logiquement des objets tels que des
comptes d’utilisateur, des comptes de service ou des comptes d’ordinateur. Vous
pouvez ensuite affecter des administrateurs à des unités d’organisation spécifiques et
appliquer une stratégie de groupe, donc des paramètres de configuration ciblés.
Ordinateurs AADDC : contient des objets ordinateur associés à tous les ordinateurs
qui sont joints au domaine managé.
Utilisateurs AADDC : comprend les utilisateurs et les groupes qui y sont
synchronisés à partir du locataire Azure AD.
Lors de la création et de l’exécution des charges de travail utilisant Azure AD DS, vous
devrez peut-être créer des comptes de service pour que les applications s’authentifient
elles-mêmes. Pour organiser ces comptes de service, vous créez souvent une unité
d’organisation personnalisée dans le domaine managé, puis des comptes de service au
sein de cette unité d’organisation.
Cet article vous explique comment créer une UO dans votre domaine géré.
Avant de commencer
Pour faire ce qui est décrit dans cet article, vous avez besoin des ressources et des
privilèges suivants :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, suivez le tutoriel pour créer et configurer un domaine managé
Azure Active Directory Domain Services.
Une machine virtuelle de gestion Windows Server jointe au domaine managé
Azure AD DS.
Si nécessaire, suivez le tutoriel Créer une machine virtuelle de gestion.
Un compte d’utilisateur membre du groupe Administrateurs Azure AD DC dans
votre locataire Azure AD.
Pour créer des unités d’organisation personnalisées, les utilisateurs doivent être
membres du groupe Administrateurs AAD DC.
Un utilisateur qui crée une unité d’organisation personnalisée se voit accorder des
privilèges d’administration (contrôle total) sur cette unité d’organisation et est le
propriétaire de la ressource.
Par défaut, le groupe Administrateurs AAD DC a également le contrôle total sur
l’unité d’organisation personnalisée.
Une unité d’organisation pour Utilisateurs AADDC est créée et contient tous les
comptes d’utilisateur synchronisés à partir de votre locataire Azure AD.
Vous ne pouvez pas déplacer des utilisateurs ou des groupes de l’unité
d’organisation Utilisateurs AADDC vers des unités d’organisation personnalisées
que vous créez. Seuls les comptes d’utilisateurs ou les ressources créés dans le
domaine managé peuvent être déplacés dans des unités d’organisation
personnalisées.
Les comptes d’utilisateur, groupes, comptes de service et objets ordinateur que
vous créez dans des unités d’organisation personnalisées ne sont pas disponibles
dans votre locataire Azure AD.
Ces objets n’apparaissent pas à l’aide de l’API Microsoft Graph ou dans
l’interface utilisateur Azure AD ; ils sont uniquement disponibles dans votre
domaine managé.
7 Notes
Pour créer une unité d’organisation personnalisée dans un domaine managé, vous
devez être connecté à un compte d’utilisateur membre du groupe d
administrateurs du contrôleur de domaine AAD.
Les applications et les services ont souvent besoin d’une identité pour s’authentifier
auprès d’autres ressources. Par exemple, un service web peut avoir besoin de
s’authentifier auprès d’un service de base de données. Si une application ou un service
possède plusieurs instances, comme une batterie de serveurs web, la création et la
configuration manuelles des identités pour ces ressources prend beaucoup de temps.
Cet article vous explique comment créer un gMSA dans un domaine managé à l’aide
d’Azure PowerShell.
Avant de commencer
Pour faire ce qui est décrit dans cet article, vous avez besoin des ressources et des
privilèges suivants :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, suivez le tutoriel pour créer et configurer un domaine managé
Azure Active Directory Domain Services.
Une machine virtuelle de gestion Windows Server jointe au domaine managé
Azure AD DS.
Si nécessaire, suivez le tutoriel Créer une machine virtuelle de gestion.
Vue d’ensemble des comptes de service
administrés
Un compte de service administré autonome (sMSA) est un compte de domaine dont le
mot de passe est managé automatiquement. Cette approche simplifie la gestion des
noms de principal du service (SPN) et permet de déléguer la gestion à d’autres
administrateurs. Vous n’avez pas besoin de créer et de faire tourner manuellement les
informations d’identification du compte.
Pour en savoir plus, consultez Vue d’ensemble des comptes de service administrés de
groupe (gMSA).
Créez des comptes de service dans les unités d’organisation personnalisées d’un
domaine managé.
Vous ne pouvez pas créer de compte de service dans les unités d’organisation
intégrées Utilisateurs AADDC et Ordinateurs AADDC.
À la place, Créez une unité d’organisation personnalisée dans le domaine
managé, puis créez des comptes de service dans cette unité d’organisation.
La clé racine des services de distribution de clés (KDS) est précréée.
La clé racine KDS est utilisée pour générer et récupérer des mots de passe pour
les comptes de service administrés de groupe (gMSA). Dans Azure AD DS, la
racine KDS est créée pour vous.
Vous n’avez pas les privilèges nécessaires pour en créer un autre ou afficher la
clé racine KDS par défaut.
Créer un compte de service administré de
groupe (gMSA)
Tout d’abord, créez une unité d’organisation personnalisée à l’aide de la cmdlet New-
ADOrganizationalUnit. Pour plus d’informations sur la création et la gestion d’unités
d’organisation personnalisées, consultez Unités d’organisation personnalisées dans
Azure AD DS.
Conseil
Pour effectuer ces étapes afin de créer un gMSA, utilisez votre machine virtuelle
de gestion. Cette machine virtuelle de gestion doit déjà disposer des applets de
commande AD PowerShell nécessaires et de la connexion au domaine géré.
L’exemple suivant crée une unité d’organisation personnalisée nommée myNewOU dans
le domaine managé nommé aaddscontoso.com. Utilisez votre unité d’organisation et
votre nom de domaine managé :
PowerShell
PowerShell
-DNSHostName WebFarmSvc.aaddscontoso.com `
-Path "OU=MYNEWOU,DC=aaddscontoso,DC=com" `
-ManagedPasswordIntervalInDays 30 `
-ServicePrincipalNames
http/WebFarmSvc.aaddscontoso.com/aaddscontoso.com, `
http/WebFarmSvc.aaddscontoso.com/aaddscontoso, `
http/WebFarmSvc/aaddscontoso.com, `
http/WebFarmSvc/aaddscontoso `
-PrincipalsAllowedToRetrieveManagedPassword AADDSCONTOSO-SERVER$
Les applications et les services peuvent maintenant être configurés pour utiliser le
compte de service administré de groupe (gMSA) en fonction des besoins.
Étapes suivantes
Pour en savoir plus sur les comptes de service administrés de groupe (gMSA), consultez
Prise en main des comptes de service administrés de groupe.
Administrer la stratégie de groupe dans
un domaine géré par Azure Active
Directory Domain Services
Article • 01/06/2023
Cet article indique comment installer les outils de gestion de stratégie de groupe,
modifier les objets de stratégie de groupe intégrés et créer des objets de stratégie de
groupe personnalisés.
Si vous vous intéressez à la stratégie de gestion des serveurs, y compris les machines
Azure et hybrides connectées, pensez à lire sur l’article sur la fonctionnalité
configuration Invité d’Azure Policy.
Avant de commencer
Pour faire ce qui est décrit dans cet article, vous avez besoin des ressources et des
privilèges suivants :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, suivez le tutoriel pour créer et configurer un domaine managé
Azure Active Directory Domain Services.
Une machine virtuelle de gestion Windows Server jointe au domaine managé
Azure AD DS.
Si nécessaire, suivez les étapes du tutoriel pour créer et joindre une machine
virtuelle Windows Server à un domaine managé.
Un compte d’utilisateur membre du groupe Administrateurs Azure AD DC dans
votre locataire Azure AD.
7 Notes
Par exemple, copiez la version Anglais (États-Unis) des fichiers .adml dans le dossier
\en-us .
5. Pour le Type d’installation, laissez l’option Installation basée sur un rôle ou une
fonctionnalité cochée et sélectionnez Suivant.
7 Notes
Pour administrer une stratégie de groupe dans un domaine managé, vous devez
être connecté à un compte d’utilisateur membre du groupe d’administrateurs
AAD DDC.
1. Dans l’écran d’accueil, sélectionnez Outils d’administration. Une liste des outils de
gestion disponibles s’affiche, dont la gestion des stratégie de groupe installée
dans la section précédente.
2. Cliquez sur Gestion des stratégies de groupe pour ouvrir la console de gestion
des stratégies de groupe (GPMC).
Il existe deux objets de stratégie de groupe (GPO) intégrés dans un domaine managé :
un pour le conteneur Ordinateurs AADDC et un autre pour le conteneur AADDC
utilisateurs. Vous pouvez personnaliser ces objets de stratégie de groupe pour
configurer la stratégie de groupe selon vos besoins dans votre domaine managé.
Lorsque vous avez terminé, sélectionnez Fichier > Enregistrer pour enregistrer la
stratégie. Les ordinateurs actualisent la stratégie de groupe par défaut toutes les
90 minutes et appliquent les modifications que vous avez apportées.
2. Indiquez le nom du nouvel objet de stratégie de groupe, tel que Mon objet de
stratégie de groupe personnalisé, puis sélectionnez OK. Vous pouvez
éventuellement baser cet objet de stratégie de groupe personnalisé sur un objet
de stratégie de groupe existant et un ensemble d’options de stratégie.
3. Un objet de stratégie de groupe est créé et associé à votre unité d’organisation
personnalisée. Pour configurer les paramètres de stratégie, cliquez avec le bouton
droit sur l’objet de stratégie de groupe personnalisé et sélectionnez Modifier… :
4. L’outil Éditeur de gestion des stratégies de groupe s’ouvre pour vous permettre
de personnaliser l’objet de stratégie de groupe :
Lorsque vous avez terminé, sélectionnez Fichier > Enregistrer pour enregistrer la
stratégie. Les ordinateurs actualisent la stratégie de groupe par défaut toutes les
90 minutes et appliquent les modifications que vous avez apportées.
Étapes suivantes
Pour plus d’informations sur les paramètres de stratégie de groupe disponibles et que
vous pouvez configurer à l’aide de la console de gestion des stratégies de groupe,
consultez la page Utiliser les éléments de préférence de stratégie de groupe.
Administrer DNS et créer des
redirecteurs conditionnels dans un
domaine managé Azure Active Directory
Domain Services
Article • 01/06/2023
Azure AD DS inclut un serveur DNS qui fournit la résolution de noms pour le domaine
managé. Ce serveur DNS comprend des enregistrements DNS intégrés et des mises à
jour pour les composants clés qui permettent l’exécution du service.
Lorsque vous exécutez vos propres applications et services, il se peut que vous deviez
créer des enregistrements DNS pour des machines qui ne sont pas jointes au domaine,
ou configurer des adresses IP virtuelles pour des équilibreurs de charge ou des
redirecteurs DNS externes. Les utilisateurs qui appartiennent au groupe Administrateurs
AAD DC bénéficient de privilèges d’administration DNS sur le domaine managé Azure
AD DS, et peuvent créer et modifier des enregistrements DNS personnalisés.
Dans un environnement hybride, les zones DNS et les enregistrements configurés dans
d'autres espaces de noms DNS, comme un environnement AD DS local, ne sont pas
synchronisés avec le domaine managé. Pour résoudre les ressources nommées dans
d’autres espaces de noms DNS, créez et utilisez des redirecteurs conditionnels pointant
vers des serveurs DNS existants dans votre environnement.
Cet article explique comment installer les Outils du serveur DNS, puis utiliser la console
DNS pour gérer les enregistrements et créer des redirecteurs conditionnels dans Azure
AD DS.
7 Notes
Avant de commencer
Pour faire ce qui est décrit dans cet article, vous avez besoin des ressources et des
privilèges suivants :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, suivez le tutoriel pour créer et configurer un domaine managé
Azure Active Directory Domain Services.
Connectivité à partir de votre réseau virtuel Azure AD DS vers l’emplacement où
vos autres espaces de noms DNS sont hébergés.
Cette connectivité peut être assurée moyennant une connexion Azure
ExpressRoute ou Passerelle VPN Azure.
Machine virtuelle de gestion Windows Server jointe au domaine managé.
Si nécessaire, suivez les étapes du tutoriel pour créer et joindre une machine
virtuelle Windows Server à un domaine managé.
Un compte d’utilisateur membre du groupe Administrateurs Azure AD DC dans
votre locataire Azure AD.
2. Si Gestionnaire de serveur ne s’ouvre pas par défaut lorsque vous vous connectez
à la machine virtuelle, sélectionnez le menu Démarrer, puis choisissez Gestionnaire
de serveur.
Pour administrer DNS dans un domaine managé, vous devez être connecté à un
compte d’utilisateur membre du groupe d’administrateurs AAD DDC.
1. Dans l’écran d’accueil, sélectionnez Outils d’administration. Une liste des outils de
gestion disponibles s’affiche, dont le DNS installé dans la section précédente.
Sélectionnez DNS pour lancer la console Gestion du service DNS.
2 Avertissement
Lorsque vous gérez des enregistrements à l’aide des Outils du serveur DNS, veillez
à ne pas supprimer ou modifier les enregistrements DNS intégrés qu’Azure AD DS
utilise. Les enregistrements DNS intégrés incluent les enregistrements DNS de
domaine, les enregistrements de serveur de noms et d’autres enregistrements
utilisés pour le lieu du contrôleur de domaine. Si vous modifiez ces
enregistrements, les services de domaine sont interrompus sur le réseau virtuel.
Dans un serveur DNS, un redirecteur conditionnel est une option de configuration qui
vous permet de définir un domaine DNS, par exemple contoso.com, vers lequel
transférer les requêtes. À la différence du serveur DNS local qui tente de résoudre les
requêtes pour les enregistrements de ce domaine, les requêtes DNS sont transférées au
DNS configuré pour ce domaine. Cette configuration garantit le renvoi des
enregistrements DNS qui conviennent, car vous ne créez pas de zone DNS locale avec
des enregistrements en double dans le domaine managé pour refléter ces ressources.
Pour créer un redirecteur conditionnel dans votre domaine managé, procédez comme
suit :
3. Entrez votre autre Domaine DNS, par exemple contoso.com, puis entrez les
adresses IP des serveurs DNS pour cet espace de noms, comme illustré dans
l’exemple suivant :
4. Cochez la case pour Stocker ce redirecteur conditionnel dans Active Directory, et
le répliquer comme suit, puis sélectionnez l’option Tous les serveurs DNS de ce
domaine, comme illustré dans l’exemple suivant :
) Important
Étapes suivantes
Pour plus d’informations sur la gestion DNS, consultez l’article Outils DNSsur Technet.
Vérifier l’intégrité d’un domaine géré
par les services de domaine Azure
Active Directory
Article • 01/06/2023
Azure Active Directory Domain Services (Azure AD DS) exécute des tâches en arrière-
plan pour assurer que le domaine géré est intègre et à jour. Ces tâches incluent la
réalisation de sauvegardes, l’application de mises à jour de sécurité et la synchronisation
des données à partir d’Azure AD. En cas de problème avec le domaine managé Azure
AD DS, ces tâches peuvent ne pas s’effectuer correctement. Pour examiner et résoudre
les problèmes éventuels, vous pouvez vérifier l’état d’intégrité d’un domaine managé à
l’aide du portail Azure.
L’état affiché dans le coin supérieur droit indique l’intégrité globale du domaine
managé. L’état prend en compte toutes les alertes existantes de votre domaine. Le
tableau suivant détaille les indicateurs d’état disponibles :
Doit être Il n’existe aucune alerte critique sur le domaine managé, mais il existe
surveillé une ou plusieurs alertes d’avertissement qui doivent être traitées.
(avertissement)
Doit être Il y a une ou plusieurs alertes critiques sur le domaine managé qui
surveillé doivent être traitées. Vous avez peut-être également des alertes
(critique) d’avertissement et/ou d’information.
Analyses
Les analyses sont des zones d’un domaine managé qui sont vérifiées régulièrement. S’il
existe des alertes actives pour le domaine managé, cela peut entraîner le signalement
d’un problème par une des analyses. Azure AD DS surveille actuellement les zones
suivantes :
Sauvegarde
Synchronisation avec Azure AD
Analyse de sauvegarde
L’analyse de sauvegarde vérifie que les sauvegardes régulières automatisées du
domaine managé s’exécutent correctement. Le tableau suivant détaille l’état de l’analyse
de sauvegarde disponible :
Valeur de Explication
détail
Jamais Cet état est normal pour les nouveaux domaines managés. La première
sauvegardé sauvegarde doit être créée 24 heures après le déploiement du domaine managé.
Si cet état persiste, ouvrez une demande de support Azure.
La dernière Cet intervalle de temps correspond à l’état attendu pour l’analyse de sauvegarde.
sauvegarde Les sauvegardes régulières automatisées doivent avoir lieu au cours de cette
a été période.
effectuée
entre 1 et 14
jours
auparavant.
La dernière Un intervalle de temps supérieur à deux semaines indique un problème avec les
sauvegarde sauvegardes régulières automatisées. Les alertes critiques actives peuvent
a été empêcher le domaine managé d’être sauvegardé. Résolvez les alertes actives pour
effectuée il y le domaine managé. Si l’analyse de sauvegarde ne met pas à jour l’état pour
a plus de 14 signaler une sauvegarde récente, ouvrez une demande de support Azure.
jours.
Alertes
Des alertes sont générées pour les problèmes d’un domaine managé qui doivent être
adressés pour que le service s’exécute correctement. Chaque alerte explique le
problème et fournit une URL qui décrit les étapes spécifiques pour résoudre le
problème. Pour plus d’informations sur les alertes possibles et leurs solutions, consultez
Dépannage des alertes.
Les alertes d’état d’intégrité sont classées selon les niveaux de gravité suivants :
Les alertes critiques sont des problèmes ayant un impact sérieux sur le domaine
managé. Ces alertes doivent être traitées immédiatement. La plateforme Azure ne
peut pas surveiller, gérer, mettre à jour et synchroniser le domaine managé tant
que les problèmes ne sont pas résolus.
Les alertes d’avertissement vous informent des problèmes qui peuvent avoir un
impact sur les opérations du domaine managé si le problème persiste. Ces alertes
fournissent aussi des recommandations pour sécuriser le domaine managé.
Les alertes d’information sont des notifications qui n’ont pas d’impact négatif sur
le domaine managé. Les alertes d’information fournissent des informations sur ce
qui se passe dans le domaine managé.
Étapes suivantes
Pour plus d’informations sur les alertes affichées dans la page d’état d’intégrité,
consultez Résoudre les alertes sur votre domaine managé
Vérifier les métriques de flotte d’Azure
Active Directory Domain Services
Article • 01/06/2023
Les administrateurs peuvent utiliser les métriques Azure Monitor pour configurer une
étendue pour Azure Active Directory Domain Services (Azure AD DS) et obtenir des
insights sur l’exécution du service.
Vous pouvez accéder aux métriques Azure AD DS à
partir de deux emplacements :
Vous pouvez également afficher les métriques pour une flotte d’instances Azure
AD DS :
La capture d’écran suivante montre les métriques combinées pour le temps
processeur total, les requêtes DNS et les recherches LDAP par instance de rôle :
Métrique Description
DNS – Nombre Le nombre moyen de requêtes reçues par le serveur DNS chaque seconde. Elle
total de est soutenue par les données du compteur de performances du contrôleur de
requêtes domaine et peut être filtrée ou fractionnée par instance de rôle.
reçues/s
Nombre total de Le nombre moyen de réponses envoyées par le serveur DNS chaque seconde.
réponses Elle est soutenue par les données du compteur de performances du contrôleur
envoyées/s de domaine et peut être filtrée ou fractionnée par instance de rôle.
NTDS – Liaisons Le nombre de liaisons LDAP réussies par seconde pour l’objet NTDS. Elle est
LDAP réussies/s soutenue par les données du compteur de performances du contrôleur de
domaine et peut être filtrée ou fractionnée par instance de rôle.
% d’octets Le rapport du nombre d’octets dédiés sur la limite dédiée. La mémoire dédiée
validés utilisés est la mémoire physique utilisée pour laquelle de l’espace a été réservé dans
le fichier d’échange au cas où elle ait besoin d’être écrite sur disque. La limite
dédiée est déterminée par la taille du fichier d'échange. Si ce dernier est
agrandi, la limite de la mémoire dédiée augmente et le rapport diminue. Ce
compteur correspond à la valeur de pourcentage actuelle uniquement ; il ne
s’agit pas d’une moyenne. Elle est soutenue par les données du compteur de
performances du contrôleur de domaine et peut être filtrée ou fractionnée par
instance de rôle.
Métrique Description
Temps Durée (en pourcentage) que le processeur met pour exécuter des threads
processeur total actifs. Elle est calculée en mesurant le pourcentage de temps passé par le
processeur à exécuter le thread inactif, puis en soustrayant cette valeur de
100 %. (Chaque processeur a un thread inactif qui consomme des cycles
quand aucun autre thread n'est prêt à s'exécuter.) Ce compteur est l'indicateur
principal de l'activité du processeur et affiche le pourcentage moyen de temps
d'occupation observé sur l'intervalle échantillon. Il convient de noter que le
calcul comptable permettant de déterminer si le processeur est inactif est
effectué à un intervalle d’échantillonnage interne de l’horloge système
(10 ms). Sur les processeurs rapides d’aujourd’hui, le % de temps processeur
peut donc sous-estimer l’utilisation du processeur, car le processeur peut
passer beaucoup de temps à la maintenance des threads entre les intervalles
d’échantillonnage de l’horloge système. Les applications de minutage basées
sur la charge de travail sont un exemple d’applications qui seront très
probablement mesurées de façon incorrecte, car les minuteurs sont signalés
juste après l’échantillon. Elle est soutenue par les données du compteur de
performances du contrôleur de domaine et peut être filtrée ou fractionnée par
instance de rôle.
Authentifications Le nombre de fois où les clients utilisent un ticket pour s’authentifier auprès
Kerberos de cet ordinateur par seconde. Elle est soutenue par les données du compteur
de performances du contrôleur de domaine et peut être filtrée ou fractionnée
par instance de rôle.
% de temps Temps écoulé en pourcentage que tous les threads de processus DNS ont
processeur (dns) passé à utiliser le processeur pour exécuter des instructions. Une instruction
est l’unité de base d’exécution dans un ordinateur, un thread est l’objet qui
exécute les instructions et un processus est l’objet créé lorsqu’un programme
est exécuté. Le code exécuté pour gérer des interruptions dues au matériel et
gérer des conditions d'interruption est inclus dans ce compte. Elle est
soutenue par les données du compteur de performances du contrôleur de
domaine et peut être filtrée ou fractionnée par instance de rôle.
% de temps Temps écoulé en pourcentage que tous les threads de processus lsass ont
processeur passé à utiliser le processeur pour exécuter des instructions. Une instruction
(lsass) est l’unité de base d’exécution dans un ordinateur, un thread est l’objet qui
exécute les instructions et un processus est l’objet créé lorsqu’un programme
est exécuté. Le code exécuté pour gérer des interruptions dues au matériel et
gérer des conditions d'interruption est inclus dans ce compte. Elle est
soutenue par les données du compteur de performances du contrôleur de
domaine et peut être filtrée ou fractionnée par instance de rôle.
Métrique Description
NTDS – Le nombre moyen de recherches par seconde pour l’objet NTDS. Elle est
Recherches soutenue par les données du compteur de performances du contrôleur de
LDAP/s domaine et peut être filtrée ou fractionnée par instance de rôle.
Pour afficher et gérer l’alerte Azure Monitor, un utilisateur doit avoir des rôles Azure
Monitor affectés.
Dans Azure Monitor ou les métriques Azure AD DS, cliquez sur Nouvelle alerte et
configurez une instance Azure AD DS comme étendue. Choisissez ensuite les métriques
que vous souhaitez mesurer dans la liste des signaux disponibles :
La capture d’écran suivante montre comment définir une alerte de métrique avec un
seuil pour Temps processeur total :
Vous pouvez également configurer une notification d’alerte, qui peut être un e-mail, un
SMS ou un appel vocal :
La capture d’écran suivante montre une alerte de métrique déclenchée pour le Temps
processeur total :
Dans ce cas, une notification par e-mail est envoyée après une activation d’alerte :
Une autre notification par e-mail est envoyée après la désactivation de l’alerte :
Sélectionner plusieurs ressources
Vous pouvez activer la sélection de plusieurs ressources pour mettre en corrélation les
données entre les types de ressources.
Étapes suivantes
Vérifier l’intégrité d’un domaine géré par les services de domaine Azure Active
Directory
Configurer des notifications par e-mail
pour les problèmes rencontrés dans
Azure Active Directory Domain Services
Article • 01/06/2023
L’intégrité d’un domaine managé Azure Active Directory Domain Services (Azure AD DS)
est supervisée par la plateforme Azure. Les alertes relatives au domaine managé
s’affichent dans la page État d’intégrité du portail Azure. Pour assurer des interventions
en temps voulu quand des problèmes surviennent, il est possible de configurer des
notifications par e-mail pour signaler les alertes d’intégrité dès qu’elles sont détectées
dans le domaine managé Azure AD DS.
Cet article vous montre comment configurer les destinataires des notifications par e-
mail pour un domaine managé.
Assurez-vous toujours que l’e-mail provient d’un expéditeur Microsoft vérifié avant
de cliquer sur les liens contenus dans le message. Les notifications par e-mail
proviennent toujours de l’adresse azure-noreply@microsoft.com .
Vous pouvez ajouter jusqu’à cinq destinataires supplémentaires pour les notifications
par e-mail. Si vous voulez que les notifications par e-mail soient envoyées à plus de cinq
destinataires, créez une liste de distribution et ajoutez-la à la liste de notification.
Vous pouvez aussi décider que tous les administrateurs généraux de l’annuaire Azure AD
et tous les membres du groupe Administrateurs AAD DC recevront les notifications par
e-mail. Azure AD DS peut envoyer les notifications à 100 adresses e-mail au maximum,
en incluant la liste des administrateurs généraux et des administrateurs AAD DC.
2 Avertissement
Quand vous modifiez les paramètres de notification, vous mettez à jour les
paramètres de notification du domaine managé tout entier, pas seulement les
vôtres.
J’ai reçu une notification par e-mail pour une alerte, mais
lorsque j’ai ouvert une session, le portail Azure ne
contenait pas d’alerte. Que s’est-il passé ?
Une alerte qui été résolue ne figure plus sur le portail Azure. La raison la plus probable
est qu’un autre destinataire des notifications par e-mail a résolu l’alerte dans votre
domaine managé ou elle a été résolue automatiquement par la plateforme Azure.
Étapes suivantes
Pour plus d’informations sur la résolution de certains problèmes susceptibles d’être
signalés, consultez Résoudre les alertes dans un domaine managé.
Désactiver ou supprimer un domaine
managé Azure Active Directory Domain
Services à partir du portail Azure
Article • 01/06/2023
Si vous n’avez plus besoin d’un domaine managé Azure Active Directory Domain
Services (Azure AD DS), vous pouvez le supprimer. Il n’existe aucune option permettant
de désactiver de façon provisoire ou définitive un domaine managé Azure AD DS. La
suppression du domaine managé ne supprime pas et n’impacte pas défavorablement le
locataire Azure AD.
Cet article explique comment utiliser le portail Azure domaine pour supprimer un
domaine managé.
2 Avertissement
Étapes suivantes
N’hésitez pas à faire part de vos commentaires concernant les fonctionnalités que
vous aimeriez voir dans Azure AD DS.
Si vous voulez redémarrer avec Azure AD DS, consultez Créer et configurer un domaine
managé Azure Active Directory Domain Services.
Modifier la référence SKU d'un domaine
managé Azure Active Directory Domain
Servicess existant
Article • 12/04/2023
Dans Azure Active Directory Domain Services (Azure AD DS), les performances et
fonctionnalités disponibles sont basées sur le type de référence SKU. Ces différences de
fonctionnalités incluent la fréquence de sauvegarde ou le nombre maximal
d’approbations de forêts sortantes unidirectionnelles.
Vous sélectionnez une référence SKU lorsque vous créez le domaine managé, et vous
pouvez augmenter ou diminuer la référence SKU lorsque les besoins de votre entreprise
évoluent, après le déploiement du domaine managé. Les besoins de l'entreprise
évoluent notamment lorsqu'il lui faut effectuer des sauvegardes plus fréquentes ou
créer des approbations de forêts supplémentaires. Pour plus d’informations sur les
limites et la tarification des différentes références SKU, consultez les pages Concepts
relatifs aux références SKU Azure AD et Tarification Azure AD DS .
Cet article vous explique comment modifier la référence SKU d'un domaine managé
Azure AD DS à l’aide du portail Azure.
Avant de commencer
Pour faire ce qui est décrit dans cet article, vous avez besoin des ressources et des
privilèges suivants :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, suivez le didacticiel pour créer et configurer un domaine managé.
Par exemple, si vous avez créé sept approbations sur la référence SKU Premium, vous ne
pouvez pas opter pour la référence SKU Entreprise. La référence SKU Entreprise prend en
charge un maximum de cinq approbations.
Pour plus d’informations sur ces limites, consultez Fonctionnalités et limites des
références SKU Azure AD DS.
Étapes suivantes
Si vous disposez d’une forêt de ressources et souhaitez créer des approbations
supplémentaires une fois la référence SKU modifiée, consultez Créer une approbation
de forêt sortante vers un domaine local dans Azure AD DS.
Instructions d’Azure AD pour l’extraction
de données
Article • 01/06/2023
Ce document décrit comment récupérer des données à partir de Azure Active Directory
Domain Services (Azure AD DS).
7 Notes
Supprimer un utilisateur
Pour supprimer un utilisateur, effectuez les étapes suivantes :
L’utilisateur est supprimé et n’apparaît plus sur la page Utilisateurs : Tous les
utilisateurs. L’utilisateur est affiché sur la page Utilisateurs supprimés pendant 30 jours
et peut être restauré durant cette période.
Lorsqu'un utilisateur est supprimé, toutes les licences utilisées par celui-ci sont mises à
la disposition d'autres utilisateurs.
Vous pouvez également utiliser le Module Active Directory pour Windows PowerShell, qui
est installé dans le cadre des outils d’administration, pour gérer les actions courantes
dans votre domaine managé.
Étapes suivantes
Vue d’ensemble d’Azure AD DS
Renforcer un domaine géré des services
de domaine Azure Active Directory
Article • 11/05/2023
Par défaut, Azure Active Directory Domain Services (Azure AD DS) permet l’utilisation de
chiffrements comme NTLM v1 et TLS v1. Certaines applications héritées peuvent avoir
besoin de ces chiffrements, mais étant considérés comme faibles, vous pouvez les
désactiver si vous n’en avez pas l’utilité. Si vous disposez d’une connectivité hybride
locale reposant sur Azure AD Connect, vous pouvez aussi désactiver la synchronisation
des hachages de mot de passe NTLM.
Cet article explique comment renforcer un domaine managé à l’aide d’un paramètre tel
que :
Prérequis
Pour effectuer ce qui est décrit dans cet article, vous avez besoin des ressources
suivantes :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, créez et configurez un domaine managé Azure Active Directory
Domain Services.
Utiliser les paramètres de sécurité pour
renforcer votre domaine
1. Connectez-vous au portail Azure .
Conseil
PowerShell
Login-AzAccount
) Important
Les utilisateurs et les comptes de service ne peuvent pas établir de liaisons simples
LDAP si vous désactivez la synchronisation de hachage de mot de passe NTLM
dans votre domaine managé Azure AD DS. Si vous devez établir des liaisons
simples LDAP, ne définissez pas l’option de configuration de sécurité
"SyncNtlmPasswords"="Disabled"; dans la commande suivante.
PowerShell
$securitySettings =
@{"DomainSecuritySettings"=@{"NtlmV1"="Disabled";"SyncNtlmPasswords"="Disabl
ed";"TlsV1"="Disabled";"KerberosRc4Encryption"="Disabled";"KerberosArmoring"
="Disabled"}}
PowerShell
) Important
Une fois que le hachage de mot de passe NTLM est différent du hachage de mot
de passe Kerberos, le recours à NTLM ne fonctionnera pas. Les informations
d’identification mises en cache ne fonctionnent pas non plus si la machine virtuelle
dispose d’une connectivité au contrôleur de domaine géré.
Étapes suivantes
Pour en savoir plus sur le processus de synchronisation, consultez Synchronisation des
objets et des informations d’identification dans un domaine managé.
Configurer la délégation Kerberos
contrainte (KCD) dans Azure Active
Directory Domain Services
Article • 01/06/2023
Pendant leur exécution, les applications peuvent avoir besoin d’accéder à des ressources
dans le contexte d’un autre utilisateur. Active Directory Domain Services (AD DS) prend
en charge un mécanisme, appelé délégation Kerberos, qui autorise ce cas d’usage. La
délégation Kerberos contrainte (KCD) s’appuie alors sur ce mécanisme pour définir les
ressources accessibles dans le contexte de l’utilisateur.
Les domaines managés Azure Active Directory Domain Services (Azure AD DS) étant
plus sécurisés que les environnements AD DS locaux classiques, utilisez un mécanisme
KCD plus sécurisé basé sur les ressources.
Cet article vous montre comment configurer la délégation Kerberos contrainte basée sur
les ressources dans un domaine managé Azure AD DS.
Prérequis
Pour effectuer ce qui est décrit dans cet article, vous avez besoin des ressources
suivantes :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, créez et configurez un domaine managé Azure Active Directory
Domain Services.
Une machine virtuelle de gestion Windows Server jointe au domaine managé
Azure AD DS.
Si nécessaire, suivez les étapes du tutoriel pour créer et joindre une machine
virtuelle Windows Server à un domaine managé, puis installez les outils de
gestion AD DS.
Un compte d’utilisateur membre du groupe Administrateurs Azure AD DC dans
votre locataire Azure AD.
Le mécanisme KCD classique présente aussi quelques inconvénients. Par exemple, dans
les anciens systèmes d’exploitation, les administrateurs de service n’avaient aucun
moyen utile de savoir quels services front-end déléguaient vers les services de
ressources qu’ils possédaient. Tout service front-end qui pouvait déléguer vers un
service de ressources constituait un point d’attaque potentiel. Si un serveur qui
hébergeait un service front-end configuré pour déléguer vers des services de ressources
était compromis, les services de ressources pouvaient l’être tout autant.
La KCD basée sur la ressource est configurée à l’aide de PowerShell. Vous devez utiliser
les applets de commande Set-ADComputer ou Set-ADUser, selon que le compte
d’emprunt est un compte d’ordinateur ou un compte de service/compte d’utilisateur.
L’application web doit accéder à une API web qui s’exécute sur l’ordinateur nommé
contoso-api.aaddscontoso.com dans le contexte des utilisateurs du domaine.
2. Joignez les machines virtuelles (à la fois celles qui exécutent l’application web et
celles qui exécutent l’API web) au domaine managé. Créez ces comptes
d’ordinateur dans l’unité d’organisation personnalisée de l’étape précédente.
7 Notes
3. Enfin, configurez le mécanisme KCD basé sur les ressources à l’aide de l’applet de
commande PowerShell Set-ADComputer.
PowerShell
Set-ADComputer contoso-api.aaddscontoso.com -
PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
3. Créez le compte de service (par exemple, appsvc) utilisé pour exécuter l’application
web dans l’unité d’organisation personnalisée.
7 Notes
4. Enfin, configurez le mécanisme KCD basé sur les ressources à l’aide de l’applet de
commande PowerShell Set-ADUser.
PowerShell
Étapes suivantes
Pour en savoir plus sur le fonctionnement de la délégation dans Active Directory
Domain Services, consultez Vue d’ensemble de la délégation Kerberos contrainte.
Stratégies de mot de passe et de
verrouillage de compte sur des
domaines managés Azure Active
Directory Domain Services
Article • 09/05/2023
Pour gérer la sécurité des utilisateurs dans Azure AD DS (Azure Active Directory Domain
Services), vous pouvez définir des stratégies de mot de passe affinées qui contrôlent les
paramètres de verrouillage des comptes ou la longueur minimale et la complexité des
mots de passe. Une stratégie de mot de passe affinée par défaut est créée et appliquée
à tous les utilisateurs membres d’un domaine managé Azure AD DS. Pour fournir un
contrôle précis et répondre à des besoins d’entreprise ou de conformité spécifiques, il
est possible de créer et d’appliquer des stratégies supplémentaires à des utilisateurs ou
groupes spécifiques.
Cet article montre comment créer et configurer une stratégie de mot de passe affinée
dans Azure AD DS à partir du Centre d’administration Active Directory.
7 Notes
Les stratégies de mot de passe ne sont disponibles que pour les domaines
managés créés à l’aide du modèle de déploiement Resource Manager.
Avant de commencer
Pour faire ce qui est décrit dans cet article, vous avez besoin des ressources et des
privilèges suivants :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, suivez le tutoriel pour créer et configurer un domaine managé
Azure Active Directory Domain Services.
Le domaine managé doit avoir été créé à l’aide d’un modèle de déploiement
Resource Manager.
Machine virtuelle de gestion Windows Server jointe au domaine managé.
Si nécessaire, suivez le tutoriel Créer une machine virtuelle de gestion.
Un compte d’utilisateur membre du groupe Administrateurs Azure AD DC dans
votre locataire Azure AD.
Pour plus d’informations sur les stratégies de mot de passe et l’utilisation du Centre
d’administration Active Directory, consultez les articles suivants :
Les stratégies sont distribuées par le biais de l’association de groupes dans un domaine
managé et les modifications que vous apportez sont appliquées à la connexion
utilisateur suivante. La modification de la stratégie ne déverrouille pas un compte
d’utilisateur qui est déjà verrouillé.
Le compte d’utilisateur peut être synchronisé à partir d’Azure AD. Cette méthode
concerne les comptes d’utilisateur cloud uniquement qui sont créés directement
dans Azure, et les comptes d’utilisateur hybrides qui sont synchronisés à partir
d’un environnement AD DS local à l’aide d’Azure AD Connect.
La majorité des comptes d’utilisateur dans Azure AD DS sont créés par le biais
du processus de synchronisation à partir d’Azure AD.
Le compte d’utilisateur peut être créé manuellement dans un domaine managé et
n’existe pas dans Azure AD.
Quelle que soit la méthode de création de compte d’utilisateur choisie, les stratégies de
verrouillage de compte suivantes sont appliquées à tous les utilisateurs par la stratégie
de mot de passe par défaut dans Azure AD DS :
Avec ces paramètres par défaut, les comptes d’utilisateurs sont verrouillés pendant 30
minutes si cinq mots de passe non valides sont utilisés en l’espace de 2 minutes. Les
comptes sont déverrouillés automatiquement après 30 minutes.
Si vous utilisez une stratégie de mot de passe Azure AD qui spécifie un âge maximal du
mot de passe supérieur à 90 jours, ce paramètre d’âge est appliqué à la stratégie par
défaut dans Azure AD DS. Vous pouvez configurer une stratégie de mot de passe
personnalisée pour définir un âge maximal du mot de passe différent dans Azure AD DS.
Soyez vigilant si l’âge maximal du mot de passe configuré dans une stratégie de mot de
passe Azure AD DS est inférieur à celui défini dans Azure AD ou dans un environnement
AD DS local. Dans ce scénario, le mot de passe d’un utilisateur peut expirer dans Azure
AD DS avant que l’utilisateur ne soit invité à le changer dans Azure AD ou dans un
environnement AD DS local.
Pour les comptes d’utilisateur créés manuellement dans un domaine managé, les
paramètres de mot de passe supplémentaires suivants sont également appliqués à
partir de la stratégie par défaut. Ces paramètres ne s’appliquent pas aux comptes
d’utilisateur synchronisés à partir d’Azure AD, car un utilisateur ne peut pas mettre à
jour son mot de passe directement dans Azure AD DS.
Les stratégies de mot de passe personnalisées sont appliquées aux groupes dans un
domaine managé. Cette configuration remplace de fait la stratégie par défaut.
Pour créer une stratégie de mot de passe personnalisée, utilisez les outils
d’administration Active Directory à partir d’une machine virtuelle jointe à un domaine. Le
Centre d’administration Active Directory vous permet d’afficher, de modifier et de créer
des ressources dans un domaine managé, notamment des unités d’organisation.
7 Notes
Pour créer une stratégie de mot de passe personnalisée dans un domaine managé,
vous devez être connecté à un compte d’utilisateur membre du groupe
Administrateurs AAD DC.
Une stratégie de mot de passe intégrée pour le domaine managé s’affiche. Vous ne
pouvez pas modifier cette stratégie intégrée. Vous devez créer une stratégie de
mot de passe personnalisée pour remplacer la stratégie par défaut.
5. Dans le volet des tâches à droite, sélectionnez Nouveau > Paramètres de mot de
passe.
6. Dans la boîte de dialogue Créer des paramètres de mot de passe, entrez un nom
pour la stratégie, par exemple MyCustomFGPP.
7. Quand plusieurs stratégies de mot de passe ont été définies, la stratégie appliquée
à un utilisateur est celle qui a la précédence, ou priorité, la plus élevée. Plus le
numéro est faible, plus la priorité est élevée. La stratégie de mot de passe par
défaut a une priorité de 200.
10. Dans la section S’applique directement à, cliquez sur le bouton Ajouter. Dans la
boîte de dialogue Sélectionner Utilisateurs ou Groupes, sélectionnez le bouton
Emplacements.
13. Cliquez sur OK pour enregistrer votre stratégie de mot de passe personnalisée.
Étapes suivantes
Pour plus d’informations sur les stratégies de mot de passe et l’utilisation du Centre
d’administration Active Directory, consultez les articles suivants :
Les audits de sécurité et de DNS Azure Active Directory Domain Services (Azure AD DS)
permettent à Azure de diffuser en continu les événements aux ressources ciblées. Ces
ressources incluent le Stockage Microsoft Azure, les espaces de travail Azure Log
Analytics ou Azure Event Hub. Après avoir activé les événements d’audit de sécurité, le
service de domaine Azure AD DS envoie tous les événements audités pour la catégorie
sélectionnée à la ressource ciblée.
Vous pouvez archiver les événements dans les événements de diffusion en continu et de
Stockage Microsoft Azure à un logiciel SIEM (Security Information and Event
Management) (ou équivalent) à l’aide d’Azure Event Hubs ou effectuer votre propre
analyse et utiliser des espaces de travail Log Analytics, à partir du Portail Microsoft
Azure.
La table suivante présente les scénarios pour chaque type de ressource de destination.
) Important
Vous devez créer la ressource cible avant d’activer les audits de sécurité Azure
Active Directory Domain Services. Vous pouvez créer ces ressources en utilisant le
Portail Microsoft Azure, Azure PowerShell ou Azure CLI.
Ressource Scénario
cible
Ressource Scénario
cible
Stockage Utilisez cette cible si votre besoin principal repose sur le stockage des
Azure événements d’audit de sécurité à des fins d’archivage. Les autres cibles peuvent
être utilisées à des fins d’archivage ; toutefois, ces cibles fournissent des
fonctionnalités au-delà du besoin principal d’archivage.
Hubs Utilisez cette cible si votre besoin principal repose sur le partage des événements
d'événements d’audit de sécurité avec un autre logiciel tel qu’un logiciel d’analyse de données
Azure ou un logiciel de gestion des informations et des événements de sécurité (SIEM).
Avant d’activer les événements d’audit de sécurité Azure AD DS, créez un hub
Event Hub avec le Portail Microsoft Azure.
Espace de Utilisez cette cible si votre besoin principal repose sur l’analyse et le passage en
travail Azure revue des audits de sécurité directement à partir du Portail Microsoft Azure.
Log Analytics
Avant d’activer les événements d’audit de sécurité Azure AD DS, créez un espace
de travail Log Analytics dans le Portail Microsoft Azure.
) Important
Les audits de sécurité Azure AD DS ne sont pas rétroactifs. Vous ne pouvez pas
récupérer ou répéter des événements du passé. Le service Active Directory Domain
Services ne peut envoyer que des événements qui se produisent une fois les audits
de sécurité activés.
7. Cela fait, sélectionnez Enregistrer pour valider vos modifications. Les ressources
cibles commencent à recevoir des événements d’audit Azure AD DS peu après
l’enregistrement de la configuration.
) Important
Les audits Azure AD DS ne sont pas rétroactifs. Vous ne pouvez pas récupérer ou
répéter des événements du passé. Azure AD DS ne peut envoyer que des
événements qui se produisent une fois les audits activés.
Connect-AzAccount
Azure Event Hub - Créer un hub Event Hub à l’aide d’Azure PowerShell. Vous
devrez peut-être également utiliser la cmdlet New-
AzEventHubAuthorizationRule pour créer une règle d’autorisation qui
accorde à Azure Active Directory Domain Services des autorisations d’accès à
l’espace de noms Event Hub. La règle d’autorisation doit inclure les droits
Manage (Gérer), Listen (Écouter) et Send (Envoyer).
) Important
Azure PowerShell
PowerShell
Set-AzDiagnosticSetting `
-ResourceId $aadds.ResourceId `
-StorageAccountId storageAccountId `
-Enabled $true
Azure Event Hubs : remplacez eventHubName par le nom de votre hub Event
Hub, et eventHubRuleId par l’ID de votre règle d’autorisation :
PowerShell
-EventHubName eventHubName `
-EventHubAuthorizationRuleId eventHubRuleId `
-Enabled $true
PowerShell
-WorkspaceID workspaceId `
-Enabled $true
Les exemples de requêtes suivants peuvent être utilisés pour lancer l’analyse des
événements d’audit depuis Azure AD DS.
Exemple de requête 1
Affichez tous les événements de verrouillage de compte au cours des sept derniers
jours :
Kusto
AADDomainServicesAccountManagement
Exemple de requête 2
Affichez tous les événements de verrouillage de compte (4740) entre le 3 juin 2020 à 9 h
00 et le 10 juin 2020 à minuit, triés par ordre croissant de date et d’heure :
Kusto
AADDomainServicesAccountManagement
Exemple de requête 3
Affichez les événements de connexion de compte survenus sept jours plus tôt pour
l’utilisateur de compte nommé :
Kusto
AADDomainServicesAccountLogon
Exemple de requête 4
Affichez les événements de connexion de compte survenus sept jours plus tôt pour
l’utilisateur de compte nommé qui a tenté de se connecter à l’aide d’un mot de passe
incorrect (0xC0000006a) :
Kusto
AADDomainServicesAccountLogon
Exemple de requête 5
Affichez les événements de connexion de compte survenus sept jours plus tôt pour
l’utilisateur de compte nommé qui a tenté de se connecter alors que le compte était
verrouillé (0xC0000234) :
Kusto
AADDomainServicesAccountLogon
Exemple de requête 6
Affichez le nombre d’événements de connexion de compte survenus sept jours plus tôt
pour toutes les tentatives de connexion qui se sont produites pour tous les utilisateurs
verrouillés :
Kusto
AADDomainServicesAccountLogon
| summarize count()
Nom de la Description
catégorie d’audit
Gestion de compte Audite les modifications apportées aux groupes et comptes d’utilisateurs
et d’ordinateurs. Cette catégorie comprend les sous-catégories suivantes :
Serveur DNS Audite les modifications apportées aux environnements DNS. Cette
catégorie comprend les sous-catégories suivantes :
- DNSServerAuditsDynamicUpdates (préversion)
- DNSServerAuditsGeneral (préversion)
Suivi des détails Audit les activités des applications et utilisateurs individuels sur
l’ordinateur concerné et le fonctionnement de cet ordinateur. Cette
catégorie comprend les sous-catégories suivantes :
Accès aux services Audite les tentatives d’accès aux objets dans Active Directory Domain
d’annuaire Services (AD DS) et de modification de ces derniers. Ces événements
d’audit sont journalisés uniquement sur des contrôleurs de domaine. Cette
catégorie comprend les sous-catégories suivantes :
Accès aux objets Audite les tentatives d’accès à des objets ou types d’objets spécifiques sur
un ordinateur ou réseau. Cette catégorie comprend les sous-catégories
suivantes :
-Auditer le registre
-Auditer SAM
Nom de la ID d’événement
catégorie
d’événements
Sécurité de la gestion 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4730, 4731, 4732,
des comptes 4733, 4734, 4735, 4737, 4738, 4740, 4741, 4742, 4743, 4754, 4755, 4756,
4757, 4758, 4764, 4765, 4766, 4780, 4781, 4782, 4793, 4798, 4799, 5376,
5377
Sécurité de la 4670, 4703, 4704, 4705, 4706, 4707, 4713, 4715, 4716, 4717, 4718, 4719,
modification de 4739, 4864, 4865, 4866, 4867, 4904, 4906, 4911, 4912
stratégie
Sécurité de 4985
l’utilisation des
privilèges
Étapes suivantes
Pour plus d’informations sur Kusto, consultez les articles suivants :
Pour mieux comprendre l’état de votre domaine managé Azure Active Directory Domain
Services (Azure AD DS), vous pouvez activer des événements d’audit de sécurité. Il est
alors possible d’examiner ces événements d’audit de sécurité à l’aide des classeurs
Azure Monitor qui combinent du texte, des requêtes analytiques et des paramètres dans
des rapports interactifs enrichis. Azure AD DS comprend des modèles de classeurs pour
avoir une vue d’ensemble de la sécurité et l’activité des comptes et vous permettre ainsi
d’explorer les événements d’audit et de gérer votre environnement.
Cet article explique comment utiliser des classeurs Azure Monitor pour examiner les
événements d’audit de sécurité dans Azure AD DS.
Avant de commencer
Pour faire ce qui est décrit dans cet article, vous avez besoin des ressources et des
privilèges suivants :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, suivez le tutoriel pour créer et configurer un domaine managé
Azure Active Directory Domain Services.
Événements d’audit de sécurité activés pour votre domaine managé qui diffusent
en continu des données vers un espace de travail Log Analytics.
Si nécessaire, activer les audits de sécurité pour Azure AD DS.
Les modèles de classeur sont des rapports organisés conçus pour une réutilisation
flexible par plusieurs utilisateurs et équipes. Lorsque vous ouvrez un modèle de classeur,
les données de votre environnement Azure Monitor sont chargées. Vous pouvez utiliser
des modèles sans incidence sur les autres utilisateurs de votre organisation, et vous
pouvez enregistrer vos classeurs basés sur le modèle.
Pour plus d’informations sur la modification et la gestion des classeurs, consultez Vue
d’ensemble des classeurs Azure Monitor.
6. Pour descendre dans la hiérarchie des types d’événement, sélectionnez l’une des
cartes Résultat de connexion par exemple Compte verrouillé, comme illustré dans
l’exemple suivant :
7. La partie inférieure du rapport Vue d’ensemble de la sécurité figure sous le
graphique décompose ensuite le type d’activité sélectionné. Sur le côté droit, vous
pouvez filtrer par nom d’utilisateur impliqué, comme indiqué dans l’exemple de
rapport suivant :
Choisissez une Période, par exemple Les 30 derniers jours, puis la manière dont
vous souhaitez que l’affichage Mosaïque représente les données.
Vous pouvez filtrer par Nom d’utilisateur du compte, par exemple felix, comme
indiqué dans l’exemple de rapport suivant :
La zone située sous le graphique affiche les événements de connexion individuels,
ainsi que des informations telles que le résultat de l’activité et la station de travail
source. Ces informations peuvent aider à identifier les sources répétées
d’événements de connexion qui peuvent provoquer le verrouillage de compte ou
indiquer une attaque potentielle.
Comme pour le rapport Vue d’ensemble de la sécurité, vous pouvez accéder aux
différentes vignettes en haut du rapport pour visualiser et analyser les données en
fonction des besoins.
1. Pour enregistrer une copie de l’un des modèles de classeur, sélectionnez Modifier
> Enregistrer sous > Rapports partagés, puis entrez un nom et enregistrez-le.
2. À partir de votre copie du modèle, sélectionnez Modifier pour passer en mode
d’édition. Vous pouvez choisir le bouton bleu Modifier en regard d’une partie du
rapport afin de la modifier.
Tous les graphiques et tables des classeurs Azure Monitor sont générés à l’aide de
requêtes Kusto. Pour plus d’informations sur la création de vos requêtes, consultez
Requêtes de journal Azure Monitor et Didacticiel sur les requêtes Kusto.
Étapes suivantes
Si vous devez ajuster les stratégies de mot de passe et de verrouillage, consultez la
rubrique Stratégies de mot de passe et de verrouillage de compte sur les domaines
managés.
Pour les problèmes liés aux utilisateurs, découvrez résoudre les problèmes de connexion
de compte et les problèmes de verrouillage de compte.
Sécuriser l’accès à distance aux
machines virtuelles dans Azure Active
Directory Domain Services
Article • 01/06/2023
Pour sécuriser l’accès à distance aux machines virtuelles qui s’exécutent dans un
domaine managé Azure Active Directory Domain Services (Azure AD DS), vous pouvez
utiliser les services Bureau à distance (RDS) et le serveur NPS (Network Policy Server).
Azure AD DS authentifie les utilisateurs quand ils demandent l’accès par le biais de
l’environnement des services Bureau à distance. Pour renforcer la sécurité, vous pouvez
intégrer Azure AD Multi-Factor Authentication afin de fournir une invite
d'authentification supplémentaire pendant les événements de connexion. Pour fournir
cette fonctionnalité, Azure AD Multi-Factor Authentication utilise une extension NPS.
) Important
Nous vous recommandons vivement d’utiliser le service Azure Bastion dans toutes
les régions où il est pris en charge. Dans les régions où Azure Bastion n’est pas
disponible, suivez les étapes décrites dans cet article en attendant que le service
soit disponible. Veillez à attribuer des adresses IP publiques aux machines virtuelles
jointes à Azure AD DS où tout le trafic RDP entrant est autorisé.
Cet article explique comment configurer les services Bureau à distance dans Azure AD
DS et comment utiliser l'extension NPS d'Azure AD Multi-Factor Authentication.
Prérequis
Pour effectuer ce qui est décrit dans cet article, vous avez besoin des ressources
suivantes :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, créez et configurez un domaine managé Azure Active Directory
Domain Services.
Un sous-réseau de charges de travail créé dans votre réseau virtuel Azure Active
Directory Domain Services.
Si nécessaire, configurez un réseau virtuel pour une instance Azure Active
Directory Domain Services.
Un compte d’utilisateur membre du groupe Administrateurs Azure AD DC dans
votre locataire Azure AD.
RDGVM01 : exécute les serveurs Broker pour les connexions Bureau à distance,
Accès Web des services Bureau à distance et Passerelle des services Bureau à
distance.
RDSHVM01 : exécute le serveur Hôte de session Bureau à distance.
3. Si vous souhaitez fournir l’accès à l’aide d’un navigateur web, Configurez le client
web Bureau à distance pour vos utilisateurs.
Avec le Bureau à distance déployé dans le domaine managé, vous pouvez gérer et
utiliser le service comme vous le feriez avec un domaine AD DS local.
Pour fournir cette fonctionnalité, un serveur NPS (Network Policy Server) supplémentaire
est installé dans votre environnement avec l'extension NPS d'Azure AD Multi-Factor
Authentication. Cette extension s’intègre avec Azure AD pour demander et retourner
l’état des invites d’authentification multifacteur.
Les utilisateurs doivent être inscrits pour utiliser Azure AD Multi-Factor Authentication,
ce qui peut nécessiter des licences Azure AD supplémentaires.
1. Créez une machine virtuelle Windows Server 2016 ou 2019 supplémentaire, par
exemple, NPSVM01, qui est connectée à un sous-réseau de charges de travail dans
votre réseau virtuel Azure AD DS. Joignez la machine virtuelle au domaine managé.
2. Connectez-vous à la machine virtuelle NPS en tant que compte faisant partie du
groupe Administrateurs Azure AD DC, par exemple, contosoadmin.
3. Dans le Gestionnaire de serveur, sélectionnez Ajouter des rôles et des
fonctionnalités, puis installez le rôle Services de stratégie et d’accès réseau.
4. Consultez l'article de procédure existant pour installer et configurer l'extension
NPS d'Azure AD MFA.
1. N’Enregistrez pas le serveur NPS dans Active Directory. Cette étape échoue dans
un domaine managé.
2. À l’étape 4 pour configurer la stratégie réseau, activez également la case à cocher
Ignorer les propriétés de numérotation des comptes d’utilisateurs.
PowerShell
Étapes suivantes
Pour plus d’informations sur l’amélioration de la résilience de votre déploiement,
consultez Services Bureau à distance – Haute disponibilité.
7 Notes
Profil de sécurité
Le profil de sécurité résume les comportements à fort impact d’Azure services de
domaine Active Directory, ce qui peut entraîner des considérations de sécurité accrues.
Sécurité du réseau
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Sécurité
réseau.
Fonctionnalités
Fonctionnalités
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser
ce service.
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser
ce service.
Fonctionnalités
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser
ce service.
Remarques sur les fonctionnalités : évitez d’utiliser des comptes ou des méthodes
d’authentification locaux. Ceux-ci doivent être désactivés dans la mesure du possible.
Utilisez plutôt Azure AD pour vous authentifier lorsque cela est possible.
Fonctionnalités
Identités managées
Conseils de configuration : Cette fonctionnalité n’est pas prise en charge pour sécuriser
ce service.
Principaux de service
Conseils de configuration : Cette fonctionnalité n’est pas prise en charge pour sécuriser
ce service.
Accès privilégié
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Accès
privilégié.
Fonctionnalités
Comptes Administration locaux
Conseils de configuration : Cette fonctionnalité n’est pas prise en charge pour sécuriser
ce service.
Fonctionnalités
Description : Azure Role-Based Access Control (Azure RBAC) peut être utilisé pour gérer
l’accès aux actions de plan de données du service. Plus d’informations
Conseils de configuration : Cette fonctionnalité n’est pas prise en charge pour sécuriser
ce service.
Fonctionnalités
Customer Lockbox
Description : Customer Lockbox peut être utilisé pour l’accès au support Microsoft. Plus
d’informations
Conseils de configuration : Cette fonctionnalité n’est pas prise en charge pour sécuriser
ce service.
Fonctionnalités
Description : Les outils (tels qu’Azure Purview ou Azure Information Protection) peuvent
être utilisés pour la découverte et la classification des données dans le service. Plus
d’informations
Conseils de configuration : Cette fonctionnalité n’est pas prise en charge pour sécuriser
ce service.
Fonctionnalités
Conseils de configuration : Cette fonctionnalité n’est pas prise en charge pour sécuriser
ce service.
Fonctionnalités
Conseils de configuration : Activez le transfert sécurisé dans les services où il existe une
fonctionnalité de chiffrement de données natives dans le transit intégrée. Appliquez
HTTPS à tous les services et applications web et assurez-vous que TLS v1.2 ou version
ultérieure est utilisé. Les versions héritées telles que SSL 3.0 et TLS v1.0 doivent être
désactivées. Pour la gestion à distance de Machines Virtuelles, utilisez SSH (pour Linux)
ou RDP/TLS (pour Windows) au lieu d’un protocole non chiffré.
Référence : Tutoriel : Configurer ldap sécurisé pour un domaine managé Azure services
de domaine Active Directory
Fonctionnalités
Description : Le chiffrement des données au repos à l’aide de clés de plateforme est pris
en charge. Tout contenu client au repos est chiffré avec ces clés gérées par Microsoft.
Plus d’informations
Prise en charge Activé par défaut Responsabilité de la configuration
Fonctionnalités
Description : le chiffrement des données au repos à l’aide de clés gérées par le client est
pris en charge pour le contenu client stocké par le service. Plus d’informations
Conseils de configuration : Cette fonctionnalité n’est pas prise en charge pour sécuriser
ce service.
Fonctionnalités
Description : Le service prend en charge l’intégration d’Azure Key Vault pour toutes les
clés client, secrets ou certificats. Plus d’informations
Fonctionnalités
Fonctionnalités
Conseils de configuration : Cette fonctionnalité n’est pas prise en charge pour sécuriser
ce service.
Fonctionnalités
Description : le service produit des journaux de ressources qui peuvent fournir des
métriques et une journalisation améliorées spécifiques au service. Le client peut
configurer ces journaux de ressources et les envoyer à son propre récepteur de
données, comme un compte de stockage ou un espace de travail Log Analytics. Plus
d’informations
Vous pouvez archiver les événements dans les événements de diffusion en continu et de
Stockage Microsoft Azure à un logiciel SIEM (Security Information and Event
Management) (ou équivalent) à l’aide d’Azure Event Hubs ou effectuer votre propre
analyse et utiliser des espaces de travail Log Analytics, à partir du Portail Microsoft
Azure.
Référence : Activer les audits de sécurité pour Azure services de domaine Active
Directory
Sauvegarde et récupération
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Sauvegarde
et récupération.
Fonctionnalités
Étapes suivantes
Consultez la vue d’ensemble du benchmark de sécurité cloud Microsoft
En savoir plus sur les bases de référence de la sécurité Azure
Joindre une machine virtuelle Windows
Server à un domaine managé Azure
Active Directory Domain Services à
l’aide d’un modèle Resource Manager
Article • 01/08/2023
Cet article explique comment créer une machine virtuelle Windows Server et comment
la joindre à un domaine managé Azure AD DS à l’aide de modèles Resource Manager.
Vous allez aussi découvrir comment joindre une machine virtuelle Windows Server
existante à un domaine Azure AD DS.
Prérequis
Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, le premier tutoriel crée et configure un domaine managé Azure
Active Directory Domain Services.
Un compte d'utilisateur qui fait partie du groupe Administrateurs AAD DC.
Chaque ressource est définie dans un modèle au format JavaScript Object Notation
(JSON). L’exemple JSON suivant utilise le type de ressource Microsoft.
Compute/virtualMachines/extensions pour installer l’extension de jonction de domaine
Active Directory. Il comporte des paramètres qui sont spécifiés au moment du
déploiement. Lorsque l’extension est déployée, la machine virtuelle est jointe au
domaine managé spécifié.
JSON
{
"apiVersion": "2015-06-15",
"type": "Microsoft.Compute/virtualMachines/extensions",
"name": "[concat(parameters('dnsLabelPrefix'),'/joindomain')]",
"location": "[parameters('location')]",
"dependsOn": [
"[concat('Microsoft.Compute/virtualMachines/',
parameters('dnsLabelPrefix'))]"
],
"properties": {
"publisher": "Microsoft.Compute",
"type": "JsonADDomainExtension",
"typeHandlerVersion": "1.3",
"autoUpgradeMinorVersion": true,
"settings": {
"Name": "[parameters('domainToJoin')]",
"OUPath": "[parameters('ouPath')]",
"User": "[concat(parameters('domainToJoin'), '\\',
parameters('domainUsername'))]",
"Restart": "true",
"Options": "[parameters('domainJoinOptions')]"
},
"protectedSettings": {
"Password": "[parameters('domainPassword')]"
}
}
}
Cette extension de machine virtuelle peut être déployée même si vous ne créez pas de
machine virtuelle dans le même modèle. Les exemples de cet article illustrent les deux
approches suivantes :
Créer une machine virtuelle Windows Server et la joindre à un domaine managé
Joindre une machine virtuelle Windows Server existante à un domaine managé
Pour créer une machine virtuelle Windows Server et la joindre ensuite à un domaine
managé, procédez comme suit :
Paramètre Valeur
Abonnement Choisissez le même abonnement Azure que celui dans lequel vous avez
activé Azure AD Domain Services.
Existing VNET Nom du réseau virtuel existant auquel connecter la machine virtuelle,
Name par exemple myVnet.
Existing Subnet Nom du sous-réseau du réseau virtuel existant, par exemple Workloads.
Name
DNS Label Prefix Entrez le nom DNS à utiliser pour la machine virtuelle, par exemple
myvm.
Domain Compte d’utilisateur dans le domaine managé qui doit être utilisé pour
Username joindre la machine virtuelle au domaine managé, par exemple
contosoadmin@aaddscontoso.com . Ce compte doit faire partie du domaine
managé.
3. Passez en revue les conditions générales, puis cochez la case J’accepte les termes
et conditions mentionnés ci-dessus. Lorsque vous êtes prêt, sélectionnez
Purchase (Acheter) pour créer et joindre la machine virtuelle au domaine managé.
2 Avertissement
Paramètre Valeur
Abonnement Choisissez le même abonnement Azure que celui dans lequel vous avez
activé Azure AD Domain Services.
VM list Entrez la liste séparée par des virgules des machines virtuelles existantes
à joindre au domaine managé, par exemple myVM1,myVM2.
Domain Join Compte d’utilisateur dans le domaine managé qui doit être utilisé pour
User Name joindre la machine virtuelle au domaine managé, par exemple
contosoadmin@aaddscontoso.com . Ce compte doit faire partie du domaine
managé.
3. Passez en revue les conditions générales, puis cochez la case J’accepte les termes
et conditions mentionnés ci-dessus. Lorsque vous êtes prêt, sélectionnez
Purchase (Acheter) pour joindre la machine virtuelle au domaine managé.
2 Avertissement
Étapes suivantes
Dans cet article, vous avez utilisé la portail Azure pour configurer et déployer des
ressources à l’aide de modèles. Vous pouvez aussi déployer des ressources avec des
modèles Resource Manager à partir d’Azure PowerShell ou Azure CLI.
Joindre une machine virtuelle Linux
CentOS à un domaine managé par
Azure Active Directory Domain Services
Article • 01/06/2023
Pour permettre aux utilisateurs de se connecter à des machines virtuelles dans Azure en
utilisant un ensemble unique d’informations d’identification, vous pouvez joindre les
machines virtuelles à un domaine managé Azure Active Directory Domain Services
(Azure AD DS). Quand vous joignez une machine virtuelle à un domaine managé Azure
AD DS, les comptes d’utilisateurs et les informations d’identification du domaine
peuvent être utilisés pour se connecter aux serveurs et les gérer. Les appartenances aux
groupes du domaine managé sont également appliquées pour vous permettre de
contrôler l’accès aux fichiers ou aux services sur la machine virtuelle.
Cet article vous montre comment joindre une machine virtuelle Linux CentOS à un
domaine managé.
Prérequis
Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, le premier tutoriel crée et configure un domaine managé Azure
Active Directory Domain Services.
Un compte d’utilisateur membre du domaine managé.
Des noms de machine virtuelle Linux uniques d’un maximum de 15 caractères pour
éviter les noms tronqués susceptibles de générer des conflits dans Active
Directory.
Créer une machine virtuelle Linux CentOS et s’y
connecter
Si vous disposez d’une machine virtuelle Linux CentOS dans Azure, connectez-vous-y en
utilisant SSH, puis passez à l’étape suivante pour commencer à configurer la machine
virtuelle.
Si vous avez besoin de créer une machine virtuelle Linux CentOS ou si vous souhaitez
créer une machine virtuelle de test dans le cadre de cet article, vous pouvez employer
l’une des méthodes suivantes :
Azure portal
Azure CLI
Azure PowerShell
Déployez la machine virtuelle dans le réseau virtuel où vous avez activé Azure
Active Directory Domain Services ou dans un réseau virtuel appairé.
Déployez la machine virtuelle dans un sous-réseau différent de celui de votre
domaine managé.
Une fois la machine virtuelle déployée, suivez les étapes pour vous connecter à la
machine virtuelle avec SSH.
Bash
sudo vi /etc/hosts
Dans le fichier hosts, mettez à jour l’adresse localhost. Dans l’exemple suivant :
Quand vous avez terminé, enregistrez et quittez le fichier hosts à l’aide de la commande
:wq de l’éditeur.
Bash
sudo yum install adcli realmd sssd krb5-workstation krb5-libs oddjob oddjob-
mkhomedir samba-common-tools
Bash
Bash
Bash
Sortie
Bash
sudo vi /etc/ssh/sshd_config
Bash
PasswordAuthentication yes
Bash
Bash
sudo visudo
2. Ajoutez l’entrée suivante à la fin du fichier /etc/sudoers. Étant donné que le nom de
groupe Administrateurs du contrôleur de domaine AAD contient un espace, incluez-
y une barre oblique inverse en guise de caractère d’échappement. Ajoutez votre
propre nom de domaine, par exemple aaddscontoso.com :
config
1. Créez une connexion SSH à partir de votre console. Utilisez un compte de domaine
qui appartient au domaine managé en utilisant la commande ssh -l , comme
contosoadmin@aaddscontoso.com , puis entrez l’adresse de votre machine virtuelle,
par exemple centos.aaddscontoso.com. Si vous utilisez Azure Cloud Shell, utilisez
l’adresse IP publique de la machine virtuelle plutôt que le nom DNS interne.
Bash
2. Une fois connecté à la machine virtuelle, vérifiez que le répertoire de base a bien
été initialisé :
Bash
sudo pwd
Vous devez vous trouver dans le répertoire de base /home et votre propre
répertoire doit correspondre au compte d’utilisateur.
Bash
sudo id
4. Si vous vous êtes connecté à la machine virtuelle en tant que membre du groupe
Administrateurs AAD DC, vérifiez que vous pouvez bien utiliser la commande
sudo :
Bash
Étapes suivantes
Si vous avez des difficultés à connecter la machine virtuelle au domaine managé ou à
vous connecter avec un compte de domaine, consultez Résoudre les problèmes de
jonction à un domaine.
Joindre une machine virtuelle CoreOs à
un domaine managé par Azure
Active Directory Domain Services
Article • 01/06/2023
Pour permettre aux utilisateurs de se connecter à des machines virtuelles dans Azure en
utilisant un ensemble unique d’informations d’identification, vous pouvez joindre les
machines virtuelles à un domaine managé Azure Active Directory Domain Services
(Azure AD DS). Quand vous joignez une machine virtuelle à un domaine managé Azure
AD DS, les comptes d’utilisateurs et les informations d’identification du domaine
peuvent être utilisés pour se connecter aux serveurs et les gérer. Les appartenances aux
groupes du domaine managé sont également appliquées pour vous permettre de
contrôler l’accès aux fichiers ou aux services sur la machine virtuelle.
Cet article vous montre comment joindre une machine virtuelle CoreOS à un domaine
managé.
Prérequis
Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, le premier tutoriel crée et configure un domaine managé Azure
Active Directory Domain Services.
Un compte d’utilisateur membre du domaine managé.
Des noms de machine virtuelle Linux uniques d’un maximum de 15 caractères pour
éviter les noms tronqués susceptibles de générer des conflits dans Active
Directory.
Créer une machine virtuelle CoreOS et s’y
connecter
Si vous disposez d’une machine virtuelle Linux CoreOS dans Azure, connectez-vous-y en
utilisant SSH, puis passez à l’étape suivante pour commencer à configurer la machine
virtuelle.
Si vous avez besoin de créer une machine virtuelle Linux CoreOS ou si vous souhaitez
créer une machine virtuelle de test dans le cadre de cet article, vous pouvez employer
l’une des méthodes suivantes :
Azure portal
Azure CLI
Azure PowerShell
Déployez la machine virtuelle dans le réseau virtuel où vous avez activé Azure
Active Directory Domain Services ou dans un réseau virtuel appairé.
Déployez la machine virtuelle dans un sous-réseau différent de celui de votre
instance Azure Active Directory Domain Services.
Une fois la machine virtuelle déployée, suivez les étapes pour vous connecter à la
machine virtuelle avec SSH.
Console
sudo vi /etc/hosts
Dans le fichier hosts, mettez à jour l’adresse localhost. Dans l’exemple suivant :
Quand vous avez terminé, enregistrez et quittez le fichier hosts à l’aide de la commande
:wq de l’éditeur.
Console
sudo vi /etc/sssd/sssd.conf
Spécifiez votre propre nom de domaine managé pour les paramètres suivants :
Console
[sssd]
config_file_version = 2
domains = AADDSCONTOSO.COM
[domain/AADDSCONTOSO]
id_provider = ad
auth_provider = ad
chpass_provider = ad
ldap_uri = ldap://aaddscontoso.com
ldap_search_base = dc=aaddscontoso,dc=com
ldap_schema = rfc2307bis
ldap_sasl_mech = GSSAPI
ldap_user_object_class = user
ldap_group_object_class = group
ldap_user_home_directory = unixHomeDirectory
ldap_user_principal = userPrincipalName
ldap_account_expire_policy = ad
ldap_force_upper_case_realm = true
fallback_homedir = /home/%d/%u
krb5_server = aaddscontoso.com
krb5_realm = AADDSCONTOSO.COM
1. Dans un premier temps, utilisez la commande adcli info pour vérifier que vous
pouvez afficher les informations sur le domaine managé. L’exemple suivant
recueille des informations pour le domaine AADDSCONTOSO.COM. Spécifiez votre
propre nom de domaine managé TOUT EN MAJUSCULES :
Console
Si la commande adcli info ne trouve pas votre domaine managé, examinez les
étapes de dépannage suivantes :
Console
Console
1. Créez une connexion SSH à partir de votre console. Utilisez un compte de domaine
qui appartient au domaine managé en utilisant la commande ssh -l , comme
contosoadmin@aaddscontoso.com , puis entrez l’adresse de votre machine virtuelle,
Console
Console
id
Étapes suivantes
Si vous avez des difficultés à connecter la machine virtuelle au domaine managé ou à
vous connecter avec un compte de domaine, consultez Résoudre les problèmes de
jonction à un domaine.
Joindre une machine virtuelle
Red Hat Enterprise Linux à un domaine
managé par Azure Active Directory
Domain Services
Article • 10/04/2023
Pour permettre aux utilisateurs de se connecter à des machines virtuelles dans Azure en
utilisant un ensemble unique d’informations d’identification, vous pouvez joindre les
machines virtuelles à un domaine managé Azure Active Directory Domain Services
(Azure AD DS). Quand vous joignez une machine virtuelle à un domaine managé Azure
AD DS, les comptes d’utilisateurs et les informations d’identification du domaine
peuvent être utilisés pour se connecter aux serveurs et les gérer. Les appartenances aux
groupes du domaine managé sont également appliquées pour vous permettre de
contrôler l’accès aux fichiers ou aux services sur la machine virtuelle.
Cet article montre comment joindre une machine virtuelle Red Hat Enterprise Linux
(RHEL) à un domaine managé.
Prérequis
Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, le premier tutoriel crée et configure un domaine managé Azure
Active Directory Domain Services.
Un compte d’utilisateur membre du domaine managé.
Des noms de machine virtuelle Linux uniques d’un maximum de 15 caractères pour
éviter les noms tronqués susceptibles de générer des conflits dans Active
Directory.
Créer une machine virtuelle Linux RHEL et s’y
connecter
Si vous disposez d’une machine virtuelle Linux RHEL dans Azure, connectez-vous-y en
utilisant SSH, puis passez à l’étape suivante pour commencer à configurer la machine
virtuelle.
Si vous avez besoin de créer une machine virtuelle Linux RHEL ou si vous souhaitez créer
une machine virtuelle de test dans le cadre de cet article, vous pouvez employer l’une
des méthodes suivantes :
Azure portal
Azure CLI
Azure PowerShell
Déployez la machine virtuelle dans le réseau virtuel où vous avez activé Azure
Active Directory Domain Services ou dans un réseau virtuel appairé.
Déployez la machine virtuelle dans un sous-réseau différent de celui de votre
instance Azure Active Directory Domain Services.
Une fois la machine virtuelle déployée, suivez les étapes pour vous connecter à la
machine virtuelle avec SSH.
Bash
sudo vi /etc/hosts
Dans le fichier hosts, mettez à jour l’adresse localhost. Dans l’exemple suivant :
Quand vous avez terminé, enregistrez et quittez le fichier hosts à l’aide de la commande
:wq de l’éditeur.
RHEL 6
) Important
Tenez compte que Red Hat Enterprise Linux 6.X et Oracle Linux 6.x sont déjà
EOL.
RHEL 6.10 dispose d’un support ELS disponible, qui prendra fin en juin
2024 .
Bash
Bash
Bash
aaddscontoso.com .
Veillez à ce que AADDSCONTOSO.COM soit remplacé par votre
propre nom de domaine :
Bash
sudo vi /etc/krb5.conf
config
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = AADDSCONTOSO.COM
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
AADDSCONTOSO.COM = {
kdc = AADDSCONTOSO.COM
admin_server = AADDSCONTOSO.COM
[domain_realm]
.AADDSCONTOSO.COM = AADDSCONTOSO.COM
AADDSCONTOSO.COM = AADDSCONTOSO.COM
Bash
sudo vi /etc/sssd/sssd.conf
config
[sssd]
domains = AADDSCONTOSO.COM
[domain/AADDSCONTOSO.COM]
id_provider = ad
Bash
Bash
Bash
Bash
Bash
sudo vi /etc/ssh/sshd_config
config
PasswordAuthentication yes
Bash
Bash
sudo visudo
2. Ajoutez l’entrée suivante à la fin du fichier /etc/sudoers. Étant donné que le nom de
groupe Administrateurs du contrôleur de domaine AAD contient un espace, incluez-
y une barre oblique inverse en guise de caractère d’échappement. Ajoutez votre
propre nom de domaine, par exemple aaddscontoso.com :
config
1. Créez une connexion SSH à partir de votre console. Utilisez un compte de domaine
qui appartient au domaine managé en utilisant la commande ssh -l , comme
contosoadmin@aaddscontoso.com , puis entrez l’adresse de votre machine virtuelle,
par exemple rhel.aaddscontoso.com. Si vous utilisez Azure Cloud Shell, utilisez
l’adresse IP publique de la machine virtuelle plutôt que le nom DNS interne.
Bash
2. Une fois connecté à la machine virtuelle, vérifiez que le répertoire de base a bien
été initialisé :
Bash
sudo pwd
Vous devez vous trouver dans le répertoire de base /home et votre propre
répertoire doit correspondre au compte d’utilisateur.
Bash
sudo id
4. Si vous vous êtes connecté à la machine virtuelle en tant que membre du groupe
Administrateurs AAD DC, vérifiez que vous pouvez bien utiliser la commande
sudo :
Bash
Étapes suivantes
Si vous avez des difficultés à connecter la machine virtuelle au domaine managé ou à
vous connecter avec un compte de domaine, consultez Résoudre les problèmes de
jonction à un domaine.
Joindre une machine virtuelle Ubuntu
Linux à un domaine managé par Azure
Active Directory Domain Services
Article • 03/04/2023 • 9 minutes de lecture
Pour permettre aux utilisateurs de se connecter à des machines virtuelles dans Azure en
utilisant un ensemble unique d’informations d’identification, vous pouvez joindre les
machines virtuelles à un domaine managé Azure Active Directory Domain Services
(Azure AD DS). Quand vous joignez une machine virtuelle à un domaine managé Azure
AD DS, les comptes d’utilisateurs et les informations d’identification du domaine
peuvent être utilisés pour se connecter aux serveurs et les gérer. Les appartenances aux
groupes du domaine managé sont également appliquées pour vous permettre de
contrôler l’accès aux fichiers ou aux services sur la machine virtuelle.
Cet article vous montre comment joindre une machine virtuelle Ubuntu Linux à un
domaine managé.
Prérequis
Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, le premier tutoriel crée et configure un domaine managé Azure
Active Directory Domain Services.
Un compte d’utilisateur membre du domaine managé. Vérifiez que l’attribut
SAMAccountName de l’utilisateur n’est pas généré automatiquement. Si plusieurs
comptes d’utilisateur du locataire Azure AD ont le même attribut mailNickname,
l’attribut SAMAccountName de chaque utilisateur est généré automatiquement.
Pour plus d’informations, consultez Comment les objets et les informations
d’identification sont synchronisés dans un domaine managé Azure Active Directory
Domain Services.
Des noms de machine virtuelle Linux uniques d’un maximum de 15 caractères pour
éviter les noms tronqués susceptibles de générer des conflits dans Active
Directory.
Si vous avez besoin de créer une machine virtuelle Ubuntu Linux ou si vous souhaitez
créer une machine virtuelle de test dans le cadre de cet article, vous pouvez employer
l’une des méthodes suivantes :
Azure portal
Azure CLI
Azure PowerShell
Déployez la machine virtuelle dans le réseau virtuel où vous avez activé Azure
Active Directory Domain Services ou dans un réseau virtuel appairé.
Déployez la machine virtuelle dans un sous-réseau différent de celui de votre
instance Azure Active Directory Domain Services.
Une fois la machine virtuelle déployée, suivez les étapes pour vous connecter à la
machine virtuelle avec SSH.
Bash
sudo vi /etc/hosts
Dans le fichier hosts, mettez à jour l’adresse localhost. Dans l’exemple suivant :
aaddscontoso.com est le nom de domaine DNS de votre domaine managé.
ubuntu est le nom d’hôte de votre machine virtuelle Ubuntu que vous joignez au
domaine managé.
config
Quand vous avez terminé, enregistrez et quittez le fichier hosts à l’aide de la commande
:wq de l’éditeur.
Bash
Bash
sudo vi /etc/ntp.conf
2. Dans le fichier ntp.conf, créez une ligne pour ajouter le nom DNS de votre domaine
managé. Dans l’exemple suivant, une entrée est ajoutée pour aaddscontoso.com.
Utilisez votre propre nom DNS :
config
server aaddscontoso.com
Exécutez les commandes suivantes pour effectuer ces étapes. Utilisez votre propre
nom DNS avec la commande ntpdate :
Bash
Bash
Bash
Bash
Sortie
Si vous avez reçu l’erreur Échec GSS non spécifié. Du code mineur peut fournir plus
d’informations (serveur introuvable dans la base de données Kerberos), ouvrez le fichier
/etc/krb5.conf et ajoutez le code suivant dans la section [libdefaults] , puis réessayez :
config
rdns=false
Bash
sudo vi /etc/sssd/sssd.conf
config
# use_fully_qualified_names = True
Bash
Bash
sudo vi /etc/ssh/sshd_config
config
PasswordAuthentication yes
Bash
Bash
sudo vi /etc/pam.d/common-session
config
Bash
sudo visudo
config
1. Créez une connexion SSH à partir de votre console. Utilisez un compte de domaine
qui appartient au domaine managé à l’aide de la commande ssh -l , par exemple
contosoadmin@aaddscontoso.com , puis entrez l’adresse de votre machine virtuelle,
par exemple ubuntu.aaddscontoso.com. Si vous utilisez Azure Cloud Shell, utilisez
l’adresse IP publique de la machine virtuelle plutôt que le nom DNS interne.
Bash
2. Une fois connecté à la machine virtuelle, vérifiez que le répertoire de base a bien
été initialisé :
Bash
sudo pwd
Vous devez vous trouver dans le répertoire de base /home et votre propre
répertoire doit correspondre au compte d’utilisateur.
Bash
sudo id
4. Si vous vous êtes connecté à la machine virtuelle en tant que membre du groupe
Administrateurs AAD DC, vérifiez que vous pouvez bien utiliser la commande
sudo :
Bash
sudo apt-get update
Étapes suivantes
Si vous avez des difficultés à connecter la machine virtuelle au domaine managé ou à
vous connecter avec un compte de domaine, consultez Résoudre les problèmes de
jonction à un domaine.
Joindre une machine virtuelle SUSE
Linux Enterprise à un domaine managé
par Azure Active Directory
Domain Services
Article • 31/03/2023 • 11 minutes de lecture
Pour permettre aux utilisateurs de se connecter à des machines virtuelles dans Azure en
utilisant un ensemble unique d’informations d’identification, vous pouvez joindre les
machines virtuelles à un domaine managé Azure Active Directory Domain Services
(Azure AD DS). Quand vous joignez une machine virtuelle à un domaine managé Azure
AD DS, les comptes d’utilisateurs et les informations d’identification du domaine
peuvent être utilisés pour se connecter aux serveurs et les gérer. Les appartenances aux
groupes du domaine managé sont également appliquées pour vous permettre de
contrôler l’accès aux fichiers ou aux services sur la machine virtuelle.
Cet article montre comment joindre une machine virtuelle SUSE Linux Enterprise (SLE) à
un domaine managé.
Prérequis
Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, le premier tutoriel crée et configure un domaine managé Azure
Active Directory Domain Services.
Un compte d’utilisateur membre du domaine managé.
Des noms de machine virtuelle Linux uniques d’un maximum de 15 caractères pour
éviter les noms tronqués susceptibles de générer des conflits dans Active
Directory.
Créer une machine virtuelle Linux SLE et s’y
connecter
Si vous disposez d’une machine virtuelle Linux SLE dans Azure, connectez-vous-y en
utilisant SSH, puis passez à l’étape suivante pour commencer à configurer la machine
virtuelle.
Si vous avez besoin de créer une machine virtuelle Linux SLE ou si vous souhaitez créer
une machine virtuelle de test dans le cadre de cet article, vous pouvez employer l’une
des méthodes suivantes :
Azure portal
Azure CLI
Azure PowerShell
Déployez la machine virtuelle dans le réseau virtuel où vous avez activé Azure
Active Directory Domain Services ou dans un réseau virtuel appairé.
Déployez la machine virtuelle dans un sous-réseau différent de celui de votre
instance Azure Active Directory Domain Services.
Une fois la machine virtuelle déployée, suivez les étapes pour vous connecter à la
machine virtuelle avec SSH.
Bash
sudo vi /etc/hosts
Dans le fichier hosts, mettez à jour l’adresse localhost. Dans l’exemple suivant :
Quand vous avez terminé, enregistrez et quittez le fichier hosts à l’aide de la commande
:wq de l’éditeur.
Bash
2. Ouvrez YaST.
Le module s’ouvre avec une vue d’ensemble montrant les différentes propriétés
réseau de votre ordinateur et la méthode d’authentification actuellement utilisée,
comme le montre l’exemple de capture d’écran suivant :
Pour commencer la modification, sélectionnez Change Settings.
Pour joindre une machine virtuelle à un domaine managé, procédez comme suit :
4. Acceptez les paramètres par défaut dans la boîte de dialogue suivante, puis
sélectionnez OK.
Si tout est correct, la boîte de dialogue suivante s’affiche pour indiquer que la
machine virtuelle a découvert le domaine managé, mais que vous n’êtes pas
encore inscrit (Not yet enrolled).
6. Dans la boîte de dialogue, spécifiez le nom d’utilisateur (Username) et le mot de
passe (Password) d’un utilisateur qui fait partie du domaine managé. Si nécessaire,
ajoutez un compte d’utilisateur à un groupe dans Azure AD.
Pour vous assurer que le domaine actuel est activé pour Samba, activez l’option
Overwrite Samba configuration to work with this AD.
8. Un message s’affiche pour confirmer que vous êtes correctement inscrit. Pour
terminer, sélectionnez OK.
Une fois la machine virtuelle inscrite dans le domaine managé, configurez le client en
utilisant Manage Domain User Logon, comme illustré dans la capture d’écran suivante :
1. Pour autoriser les connexions à l’aide des données fournies par le domaine
managé, cochez la case de l’option Allow Domain User Logon.
2. Si vous le souhaitez, sous Enable domain data source, cochez les sources de
données supplémentaires nécessaires pour votre environnement. Ces options
incluent les utilisateurs autorisés à utiliser sudo ou les lecteurs réseau disponibles.
5. Spécifiez une valeur pour l’emplacement du répertoire de base. Pour que les
répertoires de base respectent le format /home/USER_NAME, utilisez /home/%u.
Pour plus d’informations sur les variables possibles, consultez la page man
sssd.conf ( man 5 sssd.conf ), section override_homedir.
6. Sélectionnez OK.
7. Pour enregistrer les modifications, sélectionnez OK. Vérifiez ensuite que les valeurs
affichées sont désormais correctes. Pour quitter la boîte de dialogue, sélectionnez
Cancel.
8. Si vous avez l’intention d’exécuter simultanément SSSD et Winbind (par exemple,
lors de la jointure via SSSD, mais en exécutant un serveur de fichiers Samba),
l’option Samba kerberos method doit être définie sur secrets and keytab dans
smb.conf. L’option SSSD ad_update_samba_machine_account_password doit
également être définie sur true dans sssd.conf. Ces options empêchent le keytab
système de se désynchroniser.
3. Afin d’utiliser la source SMB pour l’authentification Linux, activez l’option Use SMB
Information for Linux Authentication.
4. Pour créer automatiquement un répertoire de base local pour les utilisateurs de
domaine managé sur la machine virtuelle, activez l’option Create Home Directory
on Login.
6. Si vous souhaitez modifier les plages UID et GID pour les utilisateurs et groupes
Samba, sélectionnez Expert Settings.
Une fois que vous avez joint le domaine managé, vous pouvez vous y connecter à partir
de votre station de travail à l’aide du gestionnaire d’affichage de votre bureau ou de la
console.
Joindre le domaine :
Bash
Bash
/etc/samba/smb.conf
config
[global]
workgroup = AADDSCONTOSO
realm = AADDSCONTOSO.COM
security = ADS
/etc/krb5.conf
config
[libdefaults]
default_realm = AADDSCONTOSO.COM
clockskew = 300
[realms]
AADDSCONTOSO.COM = {
kdc = PDC.AADDSCONTOSO.COM
default_domain = AADDSCONTOSO.COM
admin_server = PDC.AADDSCONTOSO.COM
[domain_realm]
.aaddscontoso.com = AADDSCONTOSO.COM
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
minimum_uid = 1
/etc/security/pam_winbind.conf
config
[global]
cached_login = yes
krb5_auth = yes
krb5_ccache_type = FILE
warn_pwd_expire = 14
/etc/nsswitch.conf
config
3. Vérifiez que la date et l’heure dans Azure AD et Linux sont synchronisées. Pour ce
faire, vous pouvez ajouter le serveur Azure AD au service NTP :
config
server aaddscontoso.com
Bash
sudo systemctl restart ntpd
4. Joignez le domaine :
Bash
5. Activez winbind comme source de connexion dans les modules PAM (Pluggable
Authentication Modules) Linux :
Bash
Bash
Bash
Bash
sudo vi /etc/ssh/sshd_config
config
PasswordAuthentication yes
Bash
Bash
sudo visudo
2. Ajoutez l’entrée suivante à la fin du fichier /etc/sudoers. Étant donné que le nom de
groupe Administrateurs du contrôleur de domaine AAD contient un espace, incluez-
y une barre oblique inverse en guise de caractère d’échappement. Ajoutez votre
propre nom de domaine, par exemple aaddscontoso.com :
config
# Add 'AAD DC Administrators' group members as admins.
1. Créez une connexion SSH à partir de votre console. Utilisez un compte de domaine
qui appartient au domaine managé à l’aide de la commande ssh -l , par exemple
contosoadmin@aaddscontoso.com , puis entrez l’adresse de votre machine virtuelle,
par exemple linux-q2gr.aaddscontoso.com. Si vous utilisez Azure Cloud Shell,
utilisez l’adresse IP publique de la machine virtuelle plutôt que le nom DNS
interne.
Bash
2. Une fois connecté à la machine virtuelle, vérifiez que le répertoire de base a bien
été initialisé :
Bash
sudo pwd
Vous devez vous trouver dans le répertoire de base /home et votre propre
répertoire doit correspondre au compte d’utilisateur.
Bash
sudo id
4. Si vous vous êtes connecté à la machine virtuelle en tant que membre du groupe
Administrateurs AAD DC, vérifiez que vous pouvez bien utiliser la commande
sudo :
Bash
Étapes suivantes
Si vous avez des difficultés à connecter la machine virtuelle au domaine managé ou à
vous connecter avec un compte de domaine, consultez Résoudre les problèmes de
jonction à un domaine.
Authentification Active Directory pour
des machines virtuelles Linux non
jointes à un domaine
Article • 12/04/2023
Actuellement, la distribution Linux peut fonctionner en tant que membre des domaines
Active Directory, ce qui leur donne accès au système d’authentification AD. Pour tirer
parti de l’authentification AD dans certains cas, nous pouvons éviter la jonction AD. Pour
permettre aux utilisateurs de se connecter à une machine virtuelle Linux Azure avec un
compte Active Directory, vous avez différents choix. Une possibilité est de joindre la
machine virtuelle dans Active Directory. Une autre possibilité consiste à baser le flux
d’authentification via LDAP vers votre annuaire Active Directory sans joindre la machine
virtuelle sur AD. Cet article explique comment vous authentifier avec les informations
d’identification AD sur votre système Linux (CentosOS) basé sur LDAP.
Prérequis
Pour terminer le flux d’authentification, nous supposons que vous avez déjà :
Passez en revue les informations que vous avez fournies et, si tout est correct, cliquez
sur Terminer.
7 Notes
7 Notes
Bash
Après l’installation, vérifiez si la recherche LDAP fonctionne. Pour le vérifier, essayez une
recherche LDAP en suivant l’exemple ci-dessous :
Bash
-D CN=ReadOnlyUser,CN=Users,DC=contoso,DC=com -w
Read0nlyuserpassword \
-b CN=Users,DC=contoso,DC=com
Si la requête LDAP fonctionne correctement, vous obtiendrez une sortie avec des
informations comme suit :
config
extended LDIF
LDAPv3
filter: (objectclass=*)
requesting: ALL
Users, contoso.com
dn: CN=Users,DC=contoso,DC=com
objectClass: top
objectClass: container
cn: Users
distinguishedName: CN=Users,DC=contoso,DC=com
instanceType: 4
whenCreated: 20220913115340.0Z
whenChanged: 20220913115340.0Z
uSNCreated: 5660
uSNChanged: 5660
showInAdvancedViewOnly: FALSE
name: Users
objectGUID:: i9MABLytKUurB2uTe/dOzg==
systemFlags: -1946157056
objectCategory: CN=Container,CN=Schema,CN=Configuration,DC=contoso,DC=com
isCriticalSystemObject: TRUE
dSCorePropagationData: 20220930113600.0Z
dSCorePropagationData: 20220930113600.0Z
dSCorePropagationData: 20220930113600.0Z
dSCorePropagationData: 20220930113600.0Z
dSCorePropagationData: 16010101000000.0Z
7 Notes
-D CN=ReadOnlyUser,CN=Users,DC=contoso,DC=com -w Read0nlyuserpassword
-b CN=Users,DC=contoso,DC=com -d 3
Bash
sudo vi /etc/sssd/sssd.conf
Exemple de sssd.conf :
config
[sssd]
config_file_version = 2
domains = default
full_name_format = %1$s
[nss]
[pam]
[domain/default]
id_provider = ldap
cache_credentials = True
ldap_uri = ldaps://contoso.com
ldap_search_base = CN=Users,DC=contoso,DC=com
ldap_schema = AD
ldap_default_bind_dn = CN=ReadOnlyUser,CN=Users,DC=contoso,DC=com
ldap_default_authtok_type = obfuscated_password
ldap_default_authtok = generated_password
ldap_tls_cacert = /etc/pki/tls/cacerts.pem
#ldap_tls_reqcert = allow
ldap_id_mapping = True
enumerate = True
fallback_homedir = /home/%u
default_shell = /bin/bash
access_provider = permit
sudo_provider = ldap
auth_provider = ldap
autofs_provider = ldap
resolver_provider = ldap
7 Notes
Si vous n’avez pas de certificat TLS valide sous /etc/pki/tls/ appelé cacerts.pem, la
liaison ne fonctionne pas
Bash
Après cela, créez un mot de passe obfusqué pour le compte de liaison de nom de
domaine. Vous devez insérer le mot de passe de domaine pour ReadOnlyUser :
Bash
sudo sss_obfuscate --domain default
Bash
Bash
Bash
Tester la configuration
La dernière étape consiste à vérifier que le flux fonctionne correctement. Pour vérifier
cela, essayez de vous connecter avec l’un de vos utilisateurs AD dans Active Directory.
Nous avons essayé avec un utilisateur appelé ADUser. Si la configuration est correcte,
vous obtenez le résultat suivant :
Sortie
Vous êtes maintenant prêt à utiliser l’authentification AD sur votre machine virtuelle
Linux.
Déployer le proxy d’application Azure
AD pour un accès sécurisé aux
applications internes dans un domaine
managé Azure Active Directory Domain
Services
Article • 01/06/2023
Grâce à Azure AD Domain Services (Azure AD DS), vous pouvez transférer des
applications héritées lift-and-shift s’exécutant localement vers Azure. Le proxy
d’application Azure Active Directory (AD) vous aide à prendre en charge les Workers à
distance en publiant en toute sécurité les applications internes qui font partie d’un
domaine managé Azure AD DS afin qu’elles soient accessibles via Internet.
Si vous débutez avec le Proxy d'application Azure AD et que vous souhaitez en savoir
plus, consultez Comment fournir un accès à distance sécurisé aux applications internes.
Avant de commencer
Pour faire ce qui est décrit dans cet article, vous avez besoin des ressources et des
privilèges suivants :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Une licence Azure AD Premium est nécessaire pour utiliser le proxy
d’application Azure AD.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, créez et configurez un domaine managé Azure Active Directory
Domain Services.
Créer une machine virtuelle Windows jointe à
un domaine
Pour acheminer le trafic vers des applications qui s’exécutent dans votre environnement,
vous devez installer le composant connecteur de Proxy d’application Azure AD. Ce
connecteur Azure AD Application Proxy doit être installé sur une machine virtuelle
Windows Server jointe au domaine managé. Pour certaines applications, vous pouvez
déployer plusieurs serveurs sur lesquels le connecteur est installé. Cette option de
déploiement vous donne une plus grande disponibilité et vous permet de traiter des
charges d’authentification plus importantes.
Pour créer une machine virtuelle pour le connecteur de Proxy d’application Azure AD,
procédez comme suit :
7 Notes
Pour fournit une haute disponibilité pour l’authentification des applications par le
biais du Proxy d’application Azure AD, vous pouvez installer des connecteurs sur
plusieurs machines virtuelles. Effectuez les étapes répertoriées dans la section
précédente pour installer le connecteur sur d’autres serveurs joints au domaine
managé.
7 Notes
PowerShell
Pour chaque serveur d’applications qui exécute les applications derrière le Proxy
d'application Azure AD, utilisez la cmdlet PowerShell Set-ADComputer pour configurer
des KCD basés sur des ressources. Dans l’exemple suivant, le connecteur de Proxy
d’application Azure AD est autorisé à utiliser l’ordinateur appserver.aaddscontoso.com :
PowerShell
Set-ADComputer appserver.aaddscontoso.com -
PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount
Si vous déployez plusieurs connecteurs de Proxy d’application Azure AD, vous devez
configurer des KCD basés sur des ressources pour chaque instance de connecteur.
Étapes suivantes
Avec le Proxy d'application Azure AD intégré à Azure AD DS, publiez des applications
auxquelles les utilisateurs peuvent accéder. Pour plus d’informations, consultez Publier
des applications à l’aide du Proxy d’application Azure AD.
Configurer Azure Active Directory
Domain Services pour prendre en
charge la synchronisation de profils
utilisateur pour SharePoint Server
Article • 01/06/2023
Cet article vous montre comment configurer Azure AD DS pour autoriser le service de
synchronisation de profils utilisateur SharePoint Server.
Avant de commencer
Pour faire ce qui est décrit dans cet article, vous avez besoin des ressources et des
privilèges suivants :
Un abonnement Azure actif.
Si vous n’avez pas d’abonnement Azure, créez un compte .
Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec
un annuaire local ou un annuaire cloud uniquement.
Si nécessaire, créez un locataire Azure Active Directory ou associez un
abonnement Azure à votre compte.
Un domaine managé Azure Active Directory Domain Services activé et configuré
dans votre locataire Azure AD.
Si nécessaire, suivez le tutoriel pour créer et configurer un domaine managé
Azure Active Directory Domain Services.
Une machine virtuelle de gestion Windows Server jointe au domaine managé
Azure AD DS.
Si nécessaire, suivez le tutoriel Créer une machine virtuelle de gestion.
Un compte d’utilisateur membre du groupe Administrateurs Azure AD DC dans
votre locataire Azure AD.
Le nom du compte de service SharePoint pour le service de synchronisation de
profils utilisateur. Pour plus d’informations sur le compte de synchronisation des
profils, consultez Planifier des comptes d’administration et de service dans
SharePoint Server. Pour obtenir le nom du compte de synchronisation des profils sur
le site web SharePoint Central Administration, cliquez sur Application
Management (Gestion des applications)>Manage service applications (Gérer les
applications de service)>User Profile service application (Application de service
Profil utilisateur) . Pour plus d’informations, consultez Configurer la
synchronisation de profil à l’aide de l’importation Active Directory SharePoint dans
SharePoint Server.
Le groupe de sécurité AAD DC Service Accounts est aussi membre du groupe intégré
Accès compatible pré-Windows 2000.
À partir de votre machine virtuelle de gestion Azure AD DS, effectuez les étapes
suivantes :
7 Notes
Pour modifier l’appartenance au groupe dans un domaine managé, vous devez être
connecté à un compte d’utilisateur qui est membre du groupe AAD DC
Administrators.
Cet article indique les étapes à suivre pour résoudre les problèmes courants dans Azure
AD DS.
Le nom aaddscontoso.com est déjà utilisé sur ce réseau. Spécifiez un Conflit de nom de
nom qui n’est pas utilisé. domaine dans le réseau
virtuel
Les services de domaine n’ont pas pu être activés pour ce client Azure L’application Domain
AD. Le service ne dispose pas des autorisations adéquates pour Services ne dispose pas
l’application appelée « Synchronisation des services de domaine Azure des autorisations
AD ». Supprimez l’application appelée « Synchronisation des services de adéquates pour
domaine Azure AD » et réessayez d’activer les services de domaine pour l’application de
votre client Azure AD. synchronisation d’Azure
AD Domain Services
Les services de domaine n’ont pas pu être activés pour ce client Azure L’application Domain
AD. L’application de services de domaine dans votre client Azure AD n’a Services n’est pas
pas les autorisations requises pour activer les services de domaine. configurée correctement
Supprimez l’application avec l’identificateur d’application d87dcbc6- dans votre locataire
a371-462e-88e3-28ad15ec4e64 et essayez ensuite d’activer les services Azure AD
de domaine pour votre client Azure AD.
Exemple de message d’erreur Résolution :
Les services de domaine n’ont pas pu être activés pour ce client Azure L’application Microsoft
AD. L’application Microsoft Azure AD est désactivée dans votre client Graph est désactivée
Azure AD. Activez l’application avec l’identificateur d’application dans votre client Azure
00000002-0000-0000-c000-000000000000 et essayez ensuite d’activer AD.
les services de domaine pour votre client Azure AD.
Le nom aaddscontoso.com est déjà utilisé sur ce réseau. Spécifiez un nom qui n’est pas
utilisé.
Résolution :
Vérifiez que vous n’avez pas d’environnement AD DS existant avec le même nom de
domaine sur le même réseau virtuel ou sur un réseau virtuel appairé. Par exemple, si
vous disposez d’un domaine AD DS nommé aaddscontoso.com qui s’exécute sur des
machines virtuelles Azure. Quand vous essayez d’activer un domaine managé Azure AD
DS avec le même nom de domaine (aaddscontoso.com) sur le réseau virtuel, l’opération
demandée échoue.
Cet échec est dû à des conflits de noms pour le nom de domaine sur le réseau virtuel.
Une recherche DNS vérifie si un environnement AD DS existant répond au nom de
domaine demandé. Pour résoudre cet échec, utilisez un nom différent pour configurer
votre domaine managé, ou supprimez le domaine AD DS existant, puis réessayez
d’activer Azure AD DS.
Autorisations inappropriées
Message d’erreur
Les services de domaine n’ont pas pu être activés pour ce client Azure AD. Le service ne
dispose pas des autorisations adéquates pour l’application appelée « Synchronisation des
services de domaine Azure AD ». Supprimez l’application appelée « Synchronisation des
services de domaine Azure AD » et réessayez d’activer les services de domaine pour votre
client Azure AD.
Résolution :
Vérifiez s’il existe une application nommée Azure AD Domain Services Sync dans votre
annuaire Azure AD. Si cette application existe, supprimez-la, puis réessayez d’activer
Azure AD DS. Pour rechercher une application existante et la supprimer si nécessaire,
effectuez les étapes suivantes :
Les services de domaine n’ont pas pu être activés pour ce client Azure AD. L’application de
services de domaine dans votre client Azure AD n’a pas les autorisations requises pour
activer les services de domaine. Supprimez l’application avec l’identificateur d’application
d87dcbc6-a371-462e-88e3-28ad15ec4e64 et essayez ensuite d’activer les services de
domaine pour votre client Azure AD.
Résolution :
PowerShell
$InformationPreference = "Continue"
$WarningPreference = "Continue"
$identifierUri = "https://sync.aaddc.activedirectory.windowsazure.com"
Les services de domaine n’ont pas pu être activés pour ce client Azure AD. L’application
Microsoft Azure AD est désactivée dans votre client Azure AD. Activez l’application avec
l’identificateur d’application 00000002-0000-0000-c000-000000000000 et essayez ensuite
d’activer les services de domaine pour votre client Azure AD.
Résolution :
Pour vérifier l’état de cette application existante et l’activer si nécessaire, effectuez les
étapes suivantes :
pour spécifier les informations d’identification dans Azure AD DS. Vérifiez que cet
UPN est correctement configuré dans Azure AD.
Console
Vérifiez que le compte d’utilisateur est actif: par défaut, cinq tentatives de saisie
de mot de passe non valide en 2 minutes dans le domaine managé entraînent le
verrouillage d’un compte d’utilisateur pendant 30 minutes. L’utilisateur ne peut pas
se connecter tant que le compte est verrouillé. Après ces 30 minutes, le compte
d’utilisateur est automatiquement déverrouillé.
Les tentatives de saisie de mot de passe non valide dans le domaine managé ne
verrouillent pas le compte d’utilisateur dans Azure AD. Le compte d’utilisateur
est verrouillé uniquement dans votre domaine managé. Vérifiez l’état du compte
d’utilisateur dans la console d’administration Active Directory (ADAC) en utilisant
la machine virtuelle de gestion, et non dans Azure AD.
Vous pouvez aussi configurer des stratégies de mot de passe affinées pour
modifier le seuil et la durée de verrouillage par défaut.
Pour savoir s’il existe des alertes actives, vérifiez l’état d’intégrité d’un domaine managé.
Si des alertes sont présentes, résolvez les problèmes associés.
Le compte d’utilisateur reste dans un état désactivé dans le domaine managé, même si
vous recréez un compte d’utilisateur avec le même UPN dans le répertoire Azure AD.
Pour supprimer le compte d’utilisateur du domaine managé, vous devez forcer sa
suppression dans le locataire Azure AD.
Étapes suivantes
Si vous continuez à rencontrer des problèmes, ouvrez une requête de support Azure
pour obtenir un résolution des problèmes supplémentaire.
Résoudre les problèmes de jonction à
un domaine avec un domaine managé
Azure Active Directory Domain Services
Article • 01/06/2023
Lorsque vous essayez de joindre une machine virtuelle ou de connecter une application
à un domaine managé Azure Active Directory Domain Services (Azure AD DS), vous
pouvez obtenir une erreur indiquant que vous ne pouvez pas le faire. Pour résoudre les
problèmes de jonction à un domaine, identifiez les points où vous avez un problème
parmi les suivants :
3. Essayez de vider le cache de résolution DNS sur la machine virtuelle, par exemple
ipconfig /flushdns .
1. Vérifiez l’état d’intégrité de votre domaine managé dans le portail Azure. Si vous
avez une alerte pour AADDS001, une règle de groupe de sécurité réseau bloque
l’accès.
2. Examinez les règles de groupe de sécurité réseau et ports requis. Vérifiez
qu’aucune règle de groupe de sécurité réseau appliquée à la machine virtuelle ou
au réseau virtuel à partir duquel vous vous connectez ne bloque ces ports réseau.
3. Une fois les problèmes de configuration d’un groupe de sécurité réseau résolus,
l’alerte AADDS001 disparaît de la page d’intégrité en 2 heures environ. Maintenant
que la connectivité réseau est disponible, essayez à nouveau de joindre la machine
virtuelle au domaine.
Pour résoudre les problèmes liés aux informations d’identification, passez en revue les
étapes suivantes de résolution des problèmes :
Étapes suivantes
Pour une compréhension plus approfondie des processus Active Directory dans le cadre
de l’opération de jonction à un domaine, consultez Problèmes de jonction et
d’authentification.
Si vous rencontrez toujours des problèmes pour joindre votre machine virtuelle au
domaine managé, trouvez de l’aide et ouvrez un ticket de support pour Azure Active
Directory.
Résoudre les problèmes de verrouillage
de compte avec un domaine managé
Azure Active Directory Domain Services
Article • 01/06/2023
Par défaut, si cinq tentatives de mot de passe incorrectes ont lieu en l’espace de deux
minutes, le compte est verrouillé pendant 30 minutes.
Les seuils de verrouillage de compte par défaut sont configurés à l’aide d’une stratégie
de mot de passe affinée. En présence de conditions requises spécifiques, vous pouvez
remplacer ces seuils de verrouillage de compte par défaut. Cela étant, il est déconseillé
d’augmenter les limites de seuil pour tenter de réduire le nombre de verrouillages de
compte. Penchez-vous dans un premier temps sur la source du comportement de
verrouillage de compte.
Les stratégies sont distribuées par le biais de l’association de groupes dans le domaine
managé, et les modifications que vous apportez sont appliquées à la connexion
utilisateur suivante. La modification de la stratégie ne déverrouille pas un compte
d’utilisateur qui est déjà verrouillé.
Pour plus d’informations sur les stratégies de mot de passe affinées, ainsi que sur les
différences entre les utilisateurs créés directement dans Azure AD Directory et
synchronisés à partir d’Azure AD, consultez Configurer des stratégies de mot de passe et
de verrouillage de compte.
Une fois les audits de sécurité activés, les exemples de requêtes suivants vous
expliquent comment examiner les Événements de verrouillage de compte, code 4740.
Affichez tous les événements de verrouillage de compte au cours des sept derniers
jours :
Kusto
AADDomainServicesAccountManagement
Affichez tous les événements de verrouillage de compte au cours des sept derniers jours
pour le compte appelé driley.
Kusto
AADDomainServicesAccountLogon
Kusto
AADDomainServicesAccountManagement
Activez le protocole RDP sur vos contrôleurs de domaine dans le groupe de sécurité
réseau sur le back-end pour configurer la capture de diagnostics (netlogon). Pour plus
d'informations sur les exigences des groupes de sécurité, voir Règle de sécurité
entrantes.
Si vous avez déjà modifié le groupe de sécurité réseau par défaut, suivez Port 3389 :
gestion par bureau distant.
Pour activer le journal Netlogon sur n’importe quel serveur, suivez Activation de la
journalisation de débogage pour le service Netlogon.
Étapes suivantes
Pour plus d’informations sur les stratégies de mot de passe affinées afin d'ajuster les
seuils de verrouillage de compte, consultez Configurer des stratégies de mot de passe et
de verrouillage de compte.
Si vous rencontrez toujours des problèmes pour joindre votre machine virtuelle au
domaine managé, trouvez de l’aide et ouvrez un ticket de support pour Azure Active
Directory.
Résoudre les problèmes de connexion
au compte avec un domaine managé
Azure Active Directory Domain Services
Article • 01/06/2023
Les raisons les plus courantes pour lesquelles un compte utilisateur ne peut pas se
connecter à un domaine Azure AD DS (Azure Active Directory) incluent les scénarios
suivants :
Conseil
Pour les environnements hybrides qui utilisent Azure AD Connect pour synchroniser les
données d’annuaire locales avec Azure AD, assurez-vous que vous utilisez la dernière
version d’Azure AD Connect et que vous avez configuré Azure AD Connect pour
effectuer une synchronisation complète après avoir activé Azure AD DS. Si vous
désactivez Azure AD DS et que vous le réactivez, vous devez suivre ces étapes à
nouveau.
Si vous continuez d’avoir des problèmes avec des comptes qui ne se synchronisent pas
via Azure AD Connect, redémarrez le service Azure AD Sync. À partir de l’ordinateur sur
lequel Azure AD Connect est installé, ouvrez une fenêtre d’invite de commande et
exécutez les commandes suivantes :
Console
AADDSCONTOSO\deeriley .
Le format SAMAccountName peut être généré automatiquement pour les
utilisateurs dont le préfixe UPN est trop long ou identique à un autre utilisateur
sur le domaine managé. Le format UPN garantit des données uniques au sein
d’Azure AD.
Par défaut, si cinq tentatives de mot de passe incorrectes ont lieu en l’espace de deux
minutes, le compte est verrouillé pendant 30 minutes.
Pour plus d’informations et pour savoir comment résoudre les problèmes de blocage de
compte, consultez la rubrique Troubleshoot account lockout problems in Azure AD DS
(Résolution des problèmes de blocage de compte dans Azure AD DS).
Étapes suivantes
Si vous rencontrez toujours des problèmes pour joindre votre machine virtuelle au
domaine managé, demandez de l’aide et ouvrez un ticket de support pour Azure Active
Directory.
Résoudre des erreurs d’annuaire
incompatible pour des domaines
managés Azure Active Directory Domain
Services existants
Article • 01/06/2023
Si un domaine managé Azure Active Directory Domain Services (Azure AD DS) affiche
une erreur de locataire incompatible, vous ne pouvez pas administrer le domaine
managé jusqu’à ce qu’elle soit résolue. Cette erreur se produit si le réseau virtuel Azure
sous-jacent est déplacé vers un autre annuaire Azure AD.
Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) sert à limiter l’accès aux
ressources. Lorsque vous activez Azure AD DS dans un locataire Azure AD, les hachages
des informations d’identification sont synchronisés avec le domaine managé. Pour
effectuer cette opération, vous devez être un administrateur de locataire pour l’annuaire
Azure AD et l’accès aux informations d’identification doit être contrôlé.
Pour déployer des ressources sur un réseau virtuel Azure et contrôler le trafic, vous
devez disposer de privilèges d’administrateur sur le réseau virtuel sur lequel vous
déployez le domaine managé.
Pour qu’Azure RBAC fonctionne de manière cohérente et sécurise l’accès à toutes les
ressources utilisées par Azure AD DS, le domaine managé et le réseau virtuel doivent
appartenir au même locataire Azure AD.
Configuration valide
Dans l’exemple de scénario de déploiement suivant, le domaine managé Contoso est
activé dans le locataire Azure AD Contoso. Le domaine managé est déployé sur un
réseau virtuel appartenant à un abonnement Azure détenu par le locataire Azure AD
Contoso.
Tout d’abord, supprimez le domaine managé de votre annuaire Azure AD. Ensuite,
créez un domaine managé de remplacement dans le même annuaire Azure AD que
le réseau virtuel que vous souhaitez utiliser. Quand vous êtes prêt, joignez au
domaine managé recréé toutes les machines précédemment jointes au domaine
supprimé.
Déplacez l’abonnement Azure contenant le réseau virtuel vers le même annuaire
Azure AD que le domaine managé.
Étapes suivantes
Pour plus d’informations sur la résolution des problèmes liés à Azure AD DS, consultez
le guide de résolution des problèmes.
Comprendre les états d’intégrité et
résoudre les domaines suspendus dans
Azure Active Directory Domain Services
Article • 01/06/2023
Quand Azure AD Domain Services (Azure AD DS) ne parvient pas à mettre en service un
domaine managé pendant une longue période, ça met ce domaine en état de
suspension. Si un domaine managé reste dans un état suspendu, il est automatiquement
supprimé. Pour assurer l’intégrité de votre domaine managé Azure AD DS et éviter la
suspension, résolvez toutes les alertes aussi rapidement que possible.
Cet article explique pourquoi les domaines managés sont suspendus et comment
récupérer un domaine suspendu.
Exécution
Doit être surveillé
Suspendu
Supprimé
État En cours d’exécution
Un domaine managé qui est configuré correctement et sans problème se trouve dans
l’état En cours d’exécution. Il s’agit de l’état souhaité pour un domaine managé.
À quoi s’attendre
La plateforme Azure peut superviser régulièrement l’intégrité du domaine managé.
Les contrôleurs du domaine managé sont corrigés et mis à jour régulièrement.
Les modifications effectuées dans Azure Active Directory sont régulièrement
synchronisées avec le domaine managé.
Des sauvegardes du domaine managé sont effectuées régulièrement.
Pour plus d’informations, consultez Résolution des alertes liées aux domaines managés.
À quoi s’attendre
Quand un domaine managé présente l’état Doit être surveillé, la plateforme Azure peut
ne pas être en mesure de superviser, corriger, mettre à jour ou sauvegarder des
données régulièrement. Dans certains cas, comme avec une configuration réseau non
valide, les contrôleurs du domaine managé peuvent être inaccessibles.
État Suspendu
Un domaine managé passe à l’état Suspendu pour l’une des raisons suivantes :
Une ou plusieurs alertes critiques n’ont pas été résolues au bout de 15 jours.
Les alertes critiques peuvent être dues à une configuration incorrecte qui
bloque l’accès aux ressources dont a besoin Azure AD DS. Par exemple, l’alerte
AADDS104 : erreur réseau n’a pas été résolue pendant plus de 15 jours dans le
domaine managé.
Il y a un problème de facturation avec l’abonnement Azure ou l’abonnement Azure
a expiré.
Les domaines managés sont suspendus quand la plateforme Azure ne parvient pas à
gérer, superviser, corriger ou sauvegarder le domaine. Un domaine managé reste à l’état
Suspendu pendant 15 jours. Pour conserver l’accès au domaine managé, résolvez
immédiatement les alertes critiques.
À quoi s’attendre
Le comportement suivant se produit quand un domaine managé se trouve dans l’état
Suspendu :
Une fois que vous avez résolu les alertes quand le domaine managé est dans l’état
Suspendu, formulez une demande de support Azure pour revenir à un état sain. Si la
sauvegarde date de moins de 30 jours, le support Azure peut restaurer le domaine
managé.
État Supprimé
Si un domaine managé reste à l’état Suspendu pendant 15 jours, il est supprimé. Ce
processus est irrécupérable.
À quoi s’attendre
Quand un domaine managé passe à l’état Supprimé, le comportement suivant se
produit :
Étapes suivantes
Pour assurer l’intégrité de votre domaine managé et réduire le risque de suspension,
découvrez comment résoudre les alertes liés à votre domaine managé.
Résoudre les problèmes de connectivité
LDAP sécurisé dans un domaine managé
Azure Active Directory Domain Services
Article • 01/06/2023
Les applications et services qui utilisent le protocole LDAP (Lightweight Directory Access
Protocol) pour communiquer avec Azure Active Directory Domain Services (Azure AD
DS) peuvent être configurés pour utiliser le protocole LDAP sécurisé. Un certificat
approprié et les ports réseau requis doivent être ouverts pour que le protocole LDAP
sécurisé fonctionne correctement.
Cet article vous aide à résoudre les problèmes liés à l’accès LDAP sécurisé dans Azure
AD DS.
La chaîne émetteur du certificat LDAP sécurisé doit être approuvée sur le client.
Vous pouvez ajouter l’autorité de certification racine au magasin de certificats
racines de confiance sur le client pour établir la relation d’approbation.
Assurez-vous d’exporter et d’appliquer le certificat aux ordinateurs clients.
Vérifiez que le certificat LDAP sécurisé pour votre domaine managé présente le
nom DNS dans l’attribut Objet ou Autres noms de l’objet.
Passez en revue les conditions requises pour le certificat LDAP sécurisé et créez
un certificat de remplacement si nécessaire.
Vérifiez que le client LDAP, tel que ldp.exe se connecte au point de terminaison
LDAP sécurisé à l’aide d’un nom DNS, et non de l’adresse IP.
Le certificat appliqué au domaine managé n’inclut pas les adresses IP du service,
mais uniquement les noms DNS.
Vérifiez le nom de DNS auquel la client LDAP se connecte. Il doit correspondre à
l’adresse IP publique pour le protocole LDAP sécurisé sur le domaine managé.
Si le nom DNS correspond à l’adresse IP interne, mettez à jour l’enregistrement
DNS pour qu’il corresponde à l’adresse IP externe.
Pour la connectivité externe, le groupe de sécurité réseau doit inclure une règle qui
autorise le trafic vers le port TCP 636 à partir d’Internet.
Si vous pouvez vous connecter au domaine managé à l’aide du protocole LDAP
sécurisé à partir de ressources directement connectées au réseau virtuel, mais
pas à partir de connexions externes, vous devez créer une règle de groupe de
sécurité réseau pour autoriser le trafic LDAP sécurisé.
Étapes suivantes
Si vous rencontrez toujours des problèmes, formulez une demande de support Azure
pour bénéficier d’une aide supplémentaire.
Problèmes connus : Alertes courantes et
résolutions dans Azure Active Directory
Domain Services
Article • 15/03/2023
Cet article fournit des solutions aux problèmes fréquemment rencontrés dans Azure AD
DS.
Message d’alerte
L’annuaire Azure AD associé à votre domaine géré a peut-être été supprimé. Le domaine
géré n’est plus dans une configuration prise en charge. Microsoft ne peut pas surveiller,
gérer, mettre à jour et synchroniser votre domaine géré.
Résolution
Cette erreur se produit généralement quand un abonnement Azure est déplacé vers un
nouvel annuaire Azure AD et que l’ancien annuaire Azure AD associé à Azure AD DS est
supprimé.
Cette erreur est irrécupérable. Pour résoudre l’alerte, supprimez votre domaine managé,
puis recréez-le dans votre nouveau répertoire. Si vous rencontrez des problèmes lors de
la suppression du domaine managé, créez une demande de support Azure pour obtenir
une assistance supplémentaire.
Résolution
Azure AD DS se synchronise automatiquement avec un annuaire Azure AD. Si l’annuaire
Azure AD est configuré pour B2C, Azure AD DS ne peut pas être déployé et synchronisé.
Pour utiliser Azure AD DS, vous devez recréer votre domaine managé dans un annuaire
non Azure AD B2C en effectuant les étapes suivantes :
L’intégrité du domaine managé se met automatiquement à jour dans les deux heures, et
l’alerte est supprimée.
Message d’alerte
La plage d’adresses IP pour le réseau virtuel dans lequel vous avez activé les services de
domaine Azure AD est dans une plage d’adresses IP publiques. Les services de domaine
Azure AD doivent être activés dans un réseau virtuel avec une plage d’adresses IP privées.
Cette configuration affecte la capacité de Microsoft à surveiller, gérer, mettre à jour et
synchroniser votre domaine managé.
Résolution
Avant de commencer, assurez-vous de bien comprendre les espaces d’adressage privé
IP v4 .
À l’intérieur d’un réseau virtuel, les machines virtuelles peuvent effectuer des requêtes
sur les ressources Azure qui se trouvent dans la même plage d’adresses IP que celles
configurées pour le sous-réseau. Si vous configurez une plage d’adresses IP publiques
pour un sous-réseau, les demandes routées au sein d’un réseau virtuel peuvent ne pas
atteindre les ressources web prévues. Cette configuration risque d’entraîner des erreurs
imprévisibles avec Azure AD DS.
7 Notes
Pour résoudre cette alerte, supprimez votre domaine managé existant et recréez-le sur
un réseau virtuel avec une plage d’adresses IP privées. Ce processus entraîne des
perturbations, car le domaine managé est indisponible, et toutes les ressources
personnalisées que vous avez créées, comme les unités d’organisation ou les comptes
de service, sont perdues.
L’intégrité du domaine managé se met automatiquement à jour dans les deux heures, et
l’alerte est supprimée.
Résolution
Azure AD DS nécessite un abonnement actif et ne peut pas être déplacé vers un autre
abonnement. Si l’abonnement Azure auquel le domaine managé a été associé est
supprimé, vous devez recréer un abonnement Azure et un domaine managé.
Message d’alerte
Votre abonnement Azure associé à votre domaine managé n’est pas actif. Azure AD
Domain Services nécessite un abonnement actif pour continuer à fonctionner
correctement.
Résolution
Azure AD DS nécessite un abonnement actif. Si l’abonnement Azure auquel le domaine
managé était associé n’est pas actif, vous devez le renouveler pour réactiver
l’abonnement.
Message d’alerte
L’abonnement utilisé par Azure AD Domain Services a été déplacé dans un autre
répertoire. Azure AD Domain Services nécessite un abonnement actif dans le même
répertoire pour continuer à fonctionner correctement.
Résolution
Azure AD DS nécessite un abonnement actif et ne peut pas être déplacé vers un autre
abonnement. Si l’abonnement Azure auquel le domaine managé était associé est
déplacé, replacez l’abonnement dans l’annuaire précédent, ou supprimez votre domaine
managé de l’annuaire existant et créez un domaine managé de remplacement dans
l’abonnement choisi.
Message d’alerte
Une ressource utilisée pour votre domaine managé a été supprimée. Cette ressource est
requise pour qu’Azure AD Domain Services fonctionne correctement.
Résolution
Azure AD DS crée des ressources supplémentaires pour fonctionner correctement, telles
que des adresses IP publiques, des interfaces de réseau virtuel et un équilibreur de
charge. Si l’une de ces ressources est supprimée, le domaine managé est dans un état
non pris en charge et il ne peut pas être géré. Pour plus d’informations sur ces
ressources, consultez Ressources réseau utilisées par Azure AD DS.
Cette alerte est générée quand l’une de ces ressources requises est supprimée. Si la
ressource a été supprimée il y a moins de quatre heures, il est possible que la
plateforme Azure puisse la recréer automatiquement. Les étapes suivantes décrivent
comment vérifier l’état d’intégrité et l’horodatage pour la suppression des ressources :
1. Dans le portail Azure, recherchez et sélectionnez Services de domaine. Choisissez
votre domaine managé, par exemple aaddscontoso.com.
Il peut arriver, pour différentes raisons, que l’alerte date de plus de quatre heures.
Si c’est le cas, vous pouvez supprimer le domaine managé, puis créer un domaine
managé de remplacement afin d’appliquer une correction immédiate, ou vous
pouvez ouvrir une demande de support pour corriger l’instance. Selon la nature du
problème, le support peut avoir besoin de faire une restauration à partir d’une
sauvegarde.
Message d’alerte
Le sous-réseau sélectionné pour le déploiement d’Azure AD Domain Services est plein et
n’a pas l’espace nécessaire pour le contrôleur de domaine supplémentaire qui doit être
créé.
Résolution
Le sous-réseau de réseau virtuel pour Azure AD DS nécessite suffisamment d’adresses IP
pour les ressources créées automatiquement. Cet espace d’adressage IP inclut la
nécessité de créer des ressources de remplacement en cas d’événement de
maintenance. Pour réduire le risque de manquer d’adresses IP disponibles, ne déployez
pas d’autres ressources (par exemple, vos propres machines virtuelles) sur le même
sous-réseau de réseau virtuel que le domaine managé.
Cette erreur est irrécupérable. Pour résoudre l’alerte, supprimez votre domaine managé
existant, puis recréez-le. Si vous rencontrez des problèmes lors de la suppression du
domaine managé, créez une demande de support Azure pour obtenir une assistance
supplémentaire.
AADDS111 : Principal du service non autorisé
Message d’alerte
Un principal de service qu’Azure AD Domain Services utilise pour gérer votre domaine
n’est pas autorisé à gérer les ressources de l’abonnement Azure. Le principal du service doit
obtenir les autorisations nécessaires pour gérer votre domaine managé.
Résolution
Certains principaux de service générés automatiquement sont utilisés afin de gérer et de
créer des ressources pour un domaine managé. Si les autorisations d’accès pour l’un de
ces principaux de service sont modifiées, le domaine ne pourra pas gérer correctement
les ressources. Les étapes suivantes montrent comment comprendre et accorder des
autorisations d’accès à un principal de service :
Message d’alerte
Nous avons détecté que le sous-réseau du réseau virtuel dans ce domaine n’a peut-être
pas suffisamment d’adresses IP. Azure AD Domain Services a besoin d’au moins deux
adresses IP disponibles au sein du sous-réseau où il est activé. Nous vous recommandons
d’avoir au moins 3 à 5 adresses IP auxiliaires au sein de ce sous-réseau. Cela peut se
produire si d’autres machines virtuelles sont déployées au sein du sous-réseau, épuisant
ainsi le nombre d’adresses IP disponibles, ou s’il existe une restriction sur le nombre
d’adresses IP disponibles dans le sous-réseau.
Résolution
Le sous-réseau de réseau virtuel pour Azure AD DS nécessite suffisamment d’adresses IP
pour les ressources créées automatiquement. Cet espace d’adressage IP inclut la
nécessité de créer des ressources de remplacement en cas d’événement de
maintenance. Pour réduire le risque de manquer d’adresses IP disponibles, ne déployez
pas d’autres ressources (par exemple, vos propres machines virtuelles) sur le même
sous-réseau de réseau virtuel que le domaine managé.
Pour résoudre cette alerte, supprimez votre domaine managé existant et recréez-le sur
un réseau virtuel avec une plage d’adresses IP suffisamment grande. Ce processus
entraîne des perturbations, car le domaine managé est indisponible, et toutes les
ressources personnalisées que vous avez créées, comme les unités d’organisation ou les
comptes de service, sont perdues.
L’intégrité du domaine managé se met automatiquement à jour dans les deux heures, et
l’alerte est supprimée.
Message d’alerte
Les ressources utilisées par Azure AD Domain Services ont été détectées dans un état
inattendu et ne peuvent pas être récupérées.
Résolution
Azure AD DS crée des ressources supplémentaires pour fonctionner correctement, telles
que des adresses IP publiques, des interfaces de réseau virtuel et un équilibreur de
charge. Si l’une de ces ressources est modifiée, le domaine managé est dans un état non
pris en charge et il ne peut pas être géré. Pour plus d’informations sur ces ressources,
consultez Ressources réseau utilisées par Azure AD DS.
Cette alerte est générée quand l’une de ces ressources requises est modifiée et ne peut
pas être récupérée automatiquement par Azure AD DS. Pour résoudre l’alerte, ouvrez
une demande de support Azure pour corriger l’instance.
Message d’alerte
Le sous-réseau sélectionné pour le déploiement d’Azure AD Domain Services n’est pas
valide et ne peut pas être utilisé.
Résolution
Cette erreur est irrécupérable. Pour résoudre l’alerte, supprimez votre domaine managé
existant, puis recréez-le. Si vous rencontrez des problèmes lors de la suppression du
domaine managé, créez une demande de support Azure pour obtenir une assistance
supplémentaire.
Message d’alerte
Il est impossible d’opérer sur une ou plusieurs des ressources réseau utilisées par le
domaine managé, car l’étendue cible a été verrouillée.
Résolution
Les verrous de ressources peuvent être appliqués aux ressources Azure pour en
empêcher la modification ou la suppression. Azure AD DS étant un service managé, la
plateforme Azure doit pouvoir apporter des modifications à la configuration. Si un
verrou de ressource est appliqué à certains des composants Azure AD DS, la plateforme
Azure ne peut pas effectuer ses tâches de gestion.
Pour rechercher des verrous de ressources sur les composants Azure AD DS et les
supprimer, effectuez les étapes suivantes :
1. Pour chacun des composants réseau du domaine managé de votre groupe de
ressources (par exemple, réseau virtuel, carte réseau ou adresse IP publique),
consultez les journaux des opérations sur le Portail Azure. Ces journaux des
opérations doivent indiquer la raison pour laquelle une opération échoue et où un
verrou de ressource est appliqué.
2. Sélectionnez la ressource où un verrou est appliqué puis, sous Verrous,
sélectionnez et supprimez le ou les verrous.
Message d’alerte
En raison d’une ou de plusieurs restrictions de stratégie, il est impossible d’opérer sur une
ou plusieurs des ressources réseau utilisées par le domaine managé.
Résolution
Les stratégies sont appliquées aux ressources et aux groupes de ressources Azure qui
contrôlent les actions de configuration autorisées. Azure AD DS étant un service
managé, la plateforme Azure doit pouvoir apporter des modifications à la configuration.
Si une stratégie est appliquée à certains des composants Azure AD DS, la plateforme
Azure risque de ne pas pouvoir effectuer ses tâches de gestion.
Pour rechercher les stratégies appliquées sur les composants Azure AD DS et les mettre
à jour, effectuez les étapes suivantes :
Résolution
2 Avertissement
Passez en revue l’alerte Intégrité Azure AD DS, puis consultez les propriétés d’extension
Azure AD qui n’ont pas pu être intégrées. Accédez à la page Attributs personnalisés
pour rechercher le LDAPName Azure AD DS attendu de l’extension. Veillez à ce que
LDAPName ne soit pas en conflit avec un autre attribut de schéma AD ou qu’il s’agit de
l’un des attributs AD intégrés autorisés.
Suivez ensuite cette procédure pour réessayer d’intégrer l’attribut personnalisé dans la
page Attributs personnalisés :
1. Sélectionnez les attributs ayant échoué, puis cliquez sur Supprimer et Enregistrer.
2. Attendez la suppression de l’alerte d’intégrité ou vérifiez que les attributs
correspondants ont été supprimés de l’unité d’organisation
AADDSCustomAttributes d’une machine virtuelle jointe à un domaine.
3. Sélectionnez Ajouter, puis choisissez à nouveau les attributs souhaités, puis cliquez
sur Enregistrer.
Une fois l’intégration réussie, Azure AD DS remplit à nouveau les utilisateurs et les
groupes synchronisés avec les valeurs d’attribut personnalisées intégrées. Les valeurs
d’attribut personnalisées s’affichent progressivement, en fonction de la taille du
locataire. Pour vérifier l’état du remplissage, accédez à Intégrité Azure AD DS, puis
vérifiez que l’horodatage de Synchronisation avec le moniteur Azure AD a été mis à
jour au cours de la dernière heure.
Résolution
Vérifiez l’intégrité d’Azure AD DS pour toutes les alertes qui indiquent des problèmes au
niveau de la configuration du domaine managé. Les problèmes de configuration réseau
peuvent bloquer la synchronisation à partir d’Azure AD. Si vous êtes en mesure de
résoudre les alertes qui indiquent un problème de configuration, attendez deux heures,
puis vérifiez à nouveau si la synchronisation s’est terminée avec succès.
Message d’alerte
La dernière sauvegarde du domaine managé a eu lieu le [date].
Résolution
Vérifiez l’intégrité d’Azure AD DS pour les alertes qui indiquent des problèmes avec la
configuration du domaine géré. Les problèmes liés à la configuration réseau peuvent
empêcher la plateforme Azure d’effectuer des sauvegardes. Si vous êtes en mesure de
résoudre les alertes qui indiquent un problème de configuration, attendez deux heures,
puis vérifiez à nouveau si la synchronisation s’est terminée avec succès.
AADDS503 : Suspension en raison de
l’abonnement désactivé
Message d’alerte
Le domaine managé est suspendu, car l’abonnement Azure associé au domaine n’est pas
actif.
Résolution
2 Avertissement
Message d’alerte
Le domaine managé est suspendu en raison d’une configuration non valide. Le service n’a
pas pu gérer, corriger ou mettre à jour les contrôleurs du domaine managé depuis un
certain temps.
Résolution
2 Avertissement
Vérifiez l’intégrité d’Azure AD DS pour les alertes qui indiquent des problèmes avec la
configuration du domaine géré. Si vous êtes en mesure de résoudre les alertes qui
indiquent un problème de configuration, attendez deux heures, puis vérifiez de nouveau
que la synchronisation est terminée. Quand vous êtes prêt, créez une demande de
support Azure pour réactiver le domaine managé.
Message de l'alerte
Microsoft ne peut pas gérer les contrôleurs de domaine de ce domaine géré en raison
d’alertes d’intégrité non résolues [ID]. Cela bloque les mises à jour de sécurité critiques
ainsi qu’une migration planifiée vers Windows Server 2019 pour ces contrôleurs de
domaine. Suivez les étapes de l’alerte pour résoudre le problème. L’échec de la résolution
de ce problème dans les 30 jours entraînera la suspension du domaine managé.
Résolution
2 Avertissement
Vérifiez l’intégrité d’Azure AD DS pour les alertes qui indiquent des problèmes avec la
configuration du domaine géré. Si vous parvenez à résoudre les alertes indiquant un
problème de configuration, attendez six heures et vérifiez à nouveau si l’alerte a été
supprimée. Ouvrez une demande de support Azure si vous avez besoin d’aide.
Étapes suivantes
Si vous rencontrez toujours des problèmes, formulez une demande de support Azure
pour bénéficier d’une aide supplémentaire.
Problèmes connus : Alertes de configuration réseau
dans Azure Active Directory Domain Services
Article • 01/06/2023
Pour une bonne communication entre les applications et services et Azure Active Directory Domain Services (Azure AD
DS), des ports réseau spécifiques doivent être ouverts afin d'autoriser le trafic. Dans Azure, vous contrôlez le flux du
trafic à l’aide de groupes de sécurité réseau. L’état d’intégrité d’un domaine managé Azure AD DS affiche une alerte si
les règles de groupe de sécurité réseau requises ne sont pas respectées.
Cet article vous aide à comprendre et à résoudre les alertes courantes découlant de problèmes de configuration des
groupes de sécurité réseau.
Message d’alerte
Microsoft ne peut pas atteindre les contrôleurs de domaine pour ce domaine géré. Cela peut se produire si un groupe de
sécurité réseau (NSG) configuré sur votre réseau virtuel bloque l’accès à un domaine géré. Une autre raison possible est
s’il existe un itinéraire défini par l’utilisateur qui bloque le trafic entrant à partir d’Internet.
Les règles de groupe de sécurité réseau non valides sont la cause la plus courante d’erreurs réseau pour Azure AD DS.
Le groupe de sécurité réseau pour le réseau virtuel doit autoriser l’accès à des ports et protocoles spécifiques. Si ces
ports sont bloqués, la plateforme Azure ne peut pas surveiller ou mettre à jour le domaine managé. La synchronisation
entre le répertoire Azure AD et Azure AD DS est également impactée. Veillez à garder ces ports par défaut ouverts
pour éviter les interruptions de service.
1 Facultatif
pour le débogage. « Allow » si nécessaire pour le dépannage avancé.
7 Notes
Vous pouvez configurer LDAP sécurisé pour disposer d'une règle supplémentaire autorisant le trafic entrant.
Cette règle supplémentaire est requise pour une communication LDAPS correcte.
Règles de sécurité de trafic entrant
7 Notes
Azure AD DS requiert un accès sortant non restreint depuis le réseau virtuel. Nous vous déconseillons de créer
d'autres règles de groupe de sécurité réseau pouvant restreindre l’accès sortant pour le réseau virtuel.
2. Sélectionnez le groupe de sécurité réseau associé à votre domaine managé, par exemple AADDS-contoso.com-
NSG.
3. Sur la page Vue d'ensemble, les règles de sécurité de trafic entrant et sortant existantes s’affichent.
Examinez les règles de trafic entrant et sortant, puis comparez-les à la liste des règles requises dans la section
précédente. Si nécessaire, sélectionnez et supprimez toutes les règles personnalisées qui bloquent le trafic requis.
Si l’une des règles requises est manquante, ajoutez une règle dans la section suivante.
Après avoir ajouté ou supprimé des règles pour autoriser le trafic requis, l’intégrité du domaine managé se met
automatiquement à jour dans les deux heures, et l’alerte est supprimée.
Étapes suivantes
Si vous rencontrez toujours des problèmes, formulez une demande de support Azure pour bénéficier d’une aide
supplémentaire.
Problèmes connus : Alertes liées aux
principaux de service dans Azure AD
Domain Services
Article • 01/06/2023
Les principaux de service sont des applications que la plateforme Azure utilise pour
gérer, mettre à jour et tenir à jour un domaine managé Azure AD DS (Azure Active
Directory Domain Services). Si un principal de service est supprimé, les fonctionnalités
dans le domaine managé Azure AD DS sont affectées.
Cet article vous aide à résoudre les alertes liées à la configuration des principaux de
service.
Message d’alerte
Un principal de service requis pour que les services de domaine Azure AD fonctionnent
correctement a été supprimé de votre annuaire Azure AD. Cette configuration affecte la
capacité de Microsoft à surveiller, gérer, mettre à jour et synchroniser votre domaine
managé.
Si un principal de service requis est supprimé, la plateforme Azure ne peut pas effectuer
de tâches de gestion automatisées. Le domaine managé risque de ne pas appliquer
correctement les mises à jour ou de ne pas effectuer de sauvegardes.
ID de l'application Résolution
PowerShell
Install-Module AzureAD
Import-Module AzureAD
PowerShell
L’intégrité du domaine managé se met automatiquement à jour dans les deux heures, et
l’alerte est supprimée.
L’intégrité du domaine managé se met automatiquement à jour dans les deux heures, et
l’alerte est supprimée.
Message d’alerte
Le principal du service dont l’ID d’application est « d87dcbc6-a371-462e-88e3-
28ad15ec4e64 » a été supprimé, puis recréé. Cette nouvelle création laisse des
autorisations incohérentes sur les ressources Azure AD Domain Services nécessaires pour
traiter votre domaine managé. La synchronisation des mots de passe dans votre domaine
managé pourrait en être affectée.
Résolution
Pour recréer l’application Azure AD utilisée pour la synchronisation des informations
d’identification, effectuez les étapes suivantes avec Azure AD PowerShell. Pour plus
d’informations, consultez Installer Azure AD PowerShell.
PowerShell
Install-Module AzureAD
Import-Module AzureAD
PowerShell
$app = Get-AzureADApplication -Filter "IdentifierUris eq
'https://sync.aaddc.activedirectory.windowsazure.com'"
Remove-AzureADApplication -ObjectId $app.ObjectId
Une fois que vous avez supprimé les deux applications, la plateforme Azure les recrée
automatiquement et tente de reprendre la synchronisation de mot de passe. L’intégrité
du domaine managé se met automatiquement à jour dans les deux heures, et l’alerte est
supprimée.
Étapes suivantes
Si vous rencontrez toujours des problèmes, formulez une demande de support Azure
pour bénéficier d’une aide supplémentaire.
Problèmes connus : Alertes du
protocole LDAP sécurisé dans Azure
Active Directory Domain Services
Article • 01/06/2023
Les applications et services qui utilisent le protocole LDAP (Lightweight Directory Access
Protocol) pour communiquer avec Azure Active Directory Domain Services (Azure AD
DS) peuvent être configurés pour utiliser le protocole LDAP sécurisé. Un certificat
approprié et les ports réseau requis doivent être ouverts pour que le protocole LDAP
sécurisé fonctionne correctement.
Cet article vous aide à comprendre et à résoudre les alertes courantes avec un accès
LDAP sécurisé dans Azure AD DS.
Message d’alerte
Le protocole LDAP sécurisé sur Internet est activé pour le domaine managé. Toutefois,
l’accès au port 636 n’est pas verrouillé à l’aide d’un Groupe de sécurité réseau (NSG). Cela
peut exposer les comptes d’utilisateurs du domaine managé à des attaques de mots de
passe par force brute.
Résolution
Lorsque vous activez le protocole LDAP sécurisé, il est recommandé de créer des règles
supplémentaires qui restreignent l’accès LDAPS entrant à des adresses IP spécifiques.
Ces règles protègent le domaine managé contre les attaques par force brute. Pour
mettre à jour le groupe de sécurité réseau afin de restreindre l’accès au port TCP 636
pour le protocole LDAP sécurisé, procédez comme suit :
L’intégrité du domaine managé se met automatiquement à jour dans les deux heures, et
l’alerte est supprimée.
Conseil
Le port TCP 636 n’est pas la seule règle nécessaire au bon fonctionnement d’Azure
AD DS. Pour en savoir plus, consultez Groupes de sécurité réseau et ports Azure
AD DS requis.
Message d’alerte
Le certificat LDAP sécurisé pour le domaine managé expirera le [date]].
Résolution
Créez un certificat LDAP sécurisé de remplacement en suivant les étapes de création
d’un certificat pour le protocole LDAP sécurisé. Appliquez le certificat de remplacement
à Azure AD DS et distribuez-le à tous les clients qui se connectent à l’aide du protocole
LDAP sécurisé.
Étapes suivantes
Si vous rencontrez toujours des problèmes, formulez une demande de support Azure
pour bénéficier d’une aide supplémentaire.
Az.ADDomainServices
Référence
Cette page est un index des définitions de stratégie intégrées d’Azure Policy pour Azure
Active Directory Domain Services. Pour obtenir des éléments intégrés supplémentaires
d’Azure Policy pour d’autres services, consultez Définitions intégrées d’Azure Policy.
Les domaines Utilisez le mode TLS 1.2 uniquement pour vos Audit, Refuser, 1.1.0
gérés par domaines gérés. Par défaut, Azure AD Domain Désactivé
Azure Active Services permet d’utiliser des méthodes de
Directory chiffrement comme NTLM v1 et TLS v1. Certaines
Domain applications héritées peuvent avoir besoin de ces
Services chiffrements, mais étant considérés comme
doivent utiliser faibles, vous pouvez les désactiver si vous n’en
le mode avez pas l’utilité. Quand le mode TLS 1.2
TLS 1.2 uniquement est activé, les clients effectuant une
uniquement demande qui n’utilise pas TLS 1.2 échouent. Pour
en savoir plus, rendez-vous sur
https://docs.microsoft.com/azure/active-
directory-domain-services/secure-your-domain.
Azure Active Azure Private Link vous permet de connecter vos AuditIfNotExists, 1.0.0
Directory doit réseaux virtuels aux services Azure sans Désactivé
utiliser une adresse IP publique au niveau de la source ou de
liaison privée la destination. La plateforme Private Link gère la
pour accéder connectivité entre le consommateur et les
aux services services sur le réseau principal Azure. En
Azure mappant des points de terminaison privés à
Azure AD, vous pouvez réduire les risques de
fuite de données. Pour en savoir plus, rendez-
vous à l’adresse suivante :
https://aka.ms/privateLinkforAzureADDocs . Il
Nom Description Effet(s) Version
(Portail Azure) (GitHub)
Étapes suivantes
Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub .
Consultez la Structure de définition Azure Policy.
Consultez la page Compréhension des effets de Policy.
Foire aux questions (FAQ) sur
Azure Active Directory (AD)
Domain Services
Forum aux questions
Cette page répond aux questions fréquemment posées sur les services de domaine
Azure Active Directory.
Configuration
Puis-je créer plusieurs domaines managés pour
un seul annuaire Azure AD ?
Non. Vous ne pouvez créer qu’un seul domaine managé pris en charge par Azure AD
Domain Services par annuaire Azure AD.
Administration et opérations
Puis-je me connecter au contrôleur de domaine
de mon domaine géré à l’aide du Bureau à
distance ?
Non. Vous n’êtes pas autorisé à vous connecter aux contrôleurs de domaine pour le
domaine géré, via le Bureau à distance. Les membres du groupe Administrateurs Azure
AD DC peuvent administrer le domaine managé à l’aide des outils d’administration AD,
tels que le centre d’administration d’Active Directory (ADAC) ou AD PowerShell. Ces
outils sont installés à l’aide de la fonctionnalité Outils d’administration de serveur distant
sur un serveur Windows joint au domaine géré. Pour plus d’informations, consultez
Créer une machine virtuelle de gestion pour configurer et administrer un domaine
managé Azure AD Domain Services.
Lorsque les utilisateurs réinitialisent leur mot de passe dans Azure AD, l’attribut
forceChangePasswordNextSignIn=true est appliqué. Un domaine managé synchronise
cet attribut à partir de Azure AD. Lorsque le domaine managé détecte que
forceChangePasswordNextSignIn est défini pour un utilisateur synchronisé à partir de
Azure AD, l’attribut pwdLastSet dans le domaine managé est défini sur 0, ce qui invalide
le mot de passe actuellement défini.
Facturation et disponibilité
Les services de domaine Azure AD sont-ils
payants ?
Oui. Pour plus d’informations, consultez la page relative aux prix appliqués .
Dépannage
Reportez-vous au Guide de résolution des problèmes pour trouver les solutions aux
problèmes courants liés à la configuration ou à l’administration d’Azure AD Domain
Services.
Étapes suivantes
Pour en savoir plus sur Azure AD Domain Services, consultez Présentation d’Azure Active
Directory Domain Services.
Pour bien démarrer, consultez Créer et configurer un domaine managé Azure Active
Directory Domain Services.
Disponibilité des fonctionnalités Azure
Active Directory Domain Services
Article • 01/06/2023
Fonctionnalité Disponibilité
Gérer DNS ✅
Étapes suivantes
Questions fréquentes (FAQ)
Mises à jour de service
Tarification
Déploiement et gestion d'Azure Active
Directory Domain Services pour les
fournisseurs de solutions Azure Cloud
Article • 01/06/2023
Azure CSP (Fournisseurs de solutions Azure Cloud) est un programme destiné aux
partenaires Microsoft qui fournit un canal de licence pour divers services cloud
Microsoft. Azure CSP permet aux partenaires de gérer les ventes, de prendre en charge
les relations relatives à la facturation, de fournir un support technique et sur la
facturation et d’être le seul point de contact du client. De plus, Azure CSP fournit un
ensemble complet d’outils, notamment un portail libre-service et des API connexes. Ces
outils permettent aux partenaires CSP de provisionner et gérer facilement des
ressources Azure et de fournir une facturation pour les clients et leurs abonnements.
Le portail Espace partenaires est le point d’entrée de tous les partenaires Azure CSP. Il
fournit des fonctionnalités de gestion de client riches, un traitement automatisé, etc. Les
partenaires Azure CSP peuvent utiliser les fonctionnalités de l’Espace partenaires en
utilisant une interface utilisateur basée sur le web ou PowerShell et différents appels
d’API.
Le locataire du partenaire CSP présente trois groupes d’agents spéciaux : les agents
d’administration, les agents de support technique et les agents de vente.
Le groupe des agents d’administration est attribué au rôle d’administrateur de locataire
dans le locataire Azure AD de Contoso. Ainsi, un utilisateur appartenant au groupe
d’agents d’administration du partenaire CSP a des privilèges d’administration de
locataire dans le locataire Azure AD de Contoso.
Quand le partenaire CSP provisionne un abonnement Azure CSP pour Contoso, son
groupe d’agents d’administration est affecté au rôle de propriétaire pour cet
abonnement. Ainsi, les agents d’administration du partenaire CSP ont les privilèges
nécessaires pour provisionner des ressources Azure telles que des machines virtuelles,
des réseaux virtuels et Azure AD Domain Services pour le compte de Contoso.
Azure AD DS prend en charge les abonnements Azure CSP. Vous pouvez déployer votre
application dans un abonnement Azure CSP lié à l’annuaire Azure AD de votre locataire.
Ainsi, vos employés (équipes du support) peuvent gérer, administrer et assurer la
maintenance des machines virtuelles sur lesquelles votre application est déployée à
l’aide des informations d’identification d’entreprise de votre organisation.
Ce modèle de déploiement peut être adapté aux petites organisations qui n’ont pas
d’administrateur d’identité dédié ou qui préfèrent que le partenaire CSP gère les
identités pour leur compte.
2 Avertissement
Pour qu’un partenaire CSP effectue ces tâches sur un domaine managé, un compte
d’utilisateur doit être créé dans le locataire Azure AD du client. Les informations
d’identification pour ce compte doivent être partagées avec les agents
d’administration du partenaire CSP. De plus, ce compte d’utilisateur doit être
ajouté au groupe Administrateurs AAD DC pour qu’il puisse effectuer des tâches de
configuration sur le domaine managé.
Étapes suivantes
Pour commencez, inscrivez-vous au programme Fournisseur de solutions Azure Cloud.
Vous pourrez ensuite Activer Azure AD Domain Services à l’aide du portail Azure ou
d'Azure PowerShell.