Cette page répond aux questions fréquemment posées sur le proxy d’application de Microsoft Entra Domain Services.
Configuration
Puis-je créer plusieurs domaines managés pour un seul annuaire Microsoft Entra ?
Numéro Vous ne pouvez créer qu’un seul domaine managé pris en charge par Microsoft Entra Domain Services par annuaire Microsoft Entra.
Puis-je activer les services de domaine Microsoft Entra dans un réseau virtuel Classic ?
Les réseaux virtuels classiques ne sont pas pris en charge.
Pour plus d’informations, consultez l’annonce de dépréciation officielle.
Puis-je activer les services de domaine Microsoft Entra dans un réseau virtuel Azure Resource Manager ?
Oui. Les services de domaine Microsoft Entra peuvent être activés dans un réseau virtuel Azure Resource Manager. Les réseaux virtuels Azure classiques ne sont plus disponibles quand vous créez un domaine managé.
Puis-je activer Microsoft Entra Domain Services dans un abonnement Azure CSP (fournisseur de solutions de Cloud) ?
Oui. Pour plus d’informations, consultez Activer les services de domaine Microsoft Entra dans les abonnements Azure CSP.
Puis-je rendre Microsoft Entra Domain Services disponible dans plusieurs réseaux virtuels au sein de mon abonnement ?
Le service lui-même ne prend pas directement en charge ce scénario. Votre domaine managé n’est disponible que dans un seul réseau virtuel à la fois. Toutefois, vous pouvez configurer la connectivité entre plusieurs réseaux virtuels afin d’exposer Microsoft Entra Domain Services à d’autres réseaux virtuels. Pour plus d’informations, consultez connexion aux réseaux virtuels dans Azure à l’aide de passerelles VPNou de l’appairage de réseaux virtuels.
Puis-je ajouter des contrôleurs de domaine à un domaine géré par Microsoft Entra Domain Services ?
Numéro Le domaine fourni par Microsoft Entra Domain Services est un domaine managé. Vous n’avez pas besoin d’approvisionner, de configurer ou de gérer des contrôleurs de domaine pour ce domaine. Ces activités de gestion sont fournies en tant que service par Microsoft. Par conséquent, vous ne pouvez pas ajouter de contrôleurs de domaine supplémentaires (en lecture/écriture ou en lecture seule) pour le domaine managé.
Puis-je développer un domaine managé vers différentes régions Azure pour la récupération d’application si une région Azure est hors connexion ?
Oui.
Vous pouvez créer des jeux de réplicas qui partagent le même espace de noms et la même configuration que votre domaine managé.
Les jeux de réplicas peuvent être ajoutés à n’importe quel réseau virtuel appairé dans toute région Azure prenant en charge Domain Services.
Pour en savoir plus, consultez Concepts et fonctionnalités des jeux de réplicas pour Microsoft Entra Domain Services.
Puis-je activer Microsoft Entra Domain Services dans un répertoire Microsoft Entra fédéré sans synchronisation de hachage du mot de passe ?
Numéro Microsoft Entra Domain Services a besoin d’un accès aux hachages de mot de passe des comptes d’utilisateur afin d’authentifier les utilisateurs via NTLM ou Kerberos. Dans un répertoire fédéré, les hachages de mot de passe ne sont pas stockés dans l’annuaire Microsoft Entra. Par conséquent, Microsoft Entra Domain Services ne fonctionne pas avec ces annuaires Microsoft Entra.
Toutefois, si vous utilisez Microsoft Entra Connect pour la synchronisation de hachage du mot de passe, vous pouvez utiliser Microsoft Entra Domain Services, car les valeurs de hachage du mot de passe sont stockées dans Microsoft Entra ID.
Puis-je activer Microsoft Entra Domain Services à l’aide de PowerShell ?
Oui. Pour plus d’informations, consultez Activer Microsoft Entra Domain Services à l’aide de PowerShell.
Puis-je activer Microsoft Entra Domain Services à l’aide d’un modèle Resource Manager ?
Oui, vous pouvez créer un domaine managé par Microsoft Entra Domain Services à l’aide d’un modèle Resource Manager. Un principal de service et un groupe Microsoft Entra pour l’administration doivent être créés à l’aide du centre d’administration Microsoft Entra ou de PowerShell avant le déploiement du modèle. Lorsque vous créez un domaine managé par Microsoft Entra Domain Services dans le Centre d’administration Microsoft Entra, vous avez aussi la possibilité d’exporter le modèle pour l’utiliser avec d’autres déploiements. Pour plus d’informations, consultez Créer un domaine managé par les services de domaine Microsoft Entra à l’aide d’un modèle Resource Manager.
Les utilisateurs invités dans mon annuaire peuvent-ils utiliser Microsoft Entra Domain Services ?
Numéro Les utilisateurs invités de votre annuaire Microsoft Entra qui utilisent le processus d’invitation Microsoft Entra B2B sont synchronisés avec votre domaine managé par Microsoft Entra Domain Services. Toutefois, les mots de passe de ces utilisateurs ne sont pas stockés dans votre annuaire Microsoft Entra. C’est pourquoi Microsoft Entra Domain Services n’a aucun moyen de synchroniser les hachages NTLM et Kerberos pour ces utilisateurs dans votre domaine managé. De tels utilisateurs ne peuvent pas se connecter ou joindre des ordinateurs au domaine managé.
Une approbation de forêt bidirectionnelle peut-elle être créée entre les services de domaine et une forêt locale ?
Oui, vous pouvez créer une approbation bidirectionnelle. Vous pouvez également créer une approbation sortante unidirectionnelle ou une approbation entrante unidirectionnelle pour prendre en charge des scénarios différents pour l’authentification et l’accès des utilisateurs. Pour obtenir plus d’informations, consultez Créer une approbation de forêt.
Est-ce que Domain Services prend en charge la création d’approbations externes avec des domaines enfants locaux ?
Domain Services prend en charge uniquement l’approbation de forêt à l’heure actuelle et ne prend pas en charge les approbations de domaines externes.
Puis-je déplacer un domaine managé ?
Après avoir créé un domaine managé Domain Services, vous ne pouvez pas le déplacer vers un autre abonnement, groupe de ressources ou une autre région. Pour modifier la région, une solution de contournement possible consiste à déployer un nouveau jeu de réplicas dans la région vers laquelle vous souhaitez effectuer la migration. Une fois cette opération terminée, supprimez le jeu de réplicas dans la région que vous ne souhaitez plus. Pour résoudre ce problème pour le reste des paramètres, vous pouvez supprimer le domaine managé à l’aide de PowerShell ou du centre d’administration Microsoft Entra, et le recréer avec la configuration souhaitée. Aucune opération de restauration ne peut être fournie lors de la recréation du domaine managé.
Puis-je renommer un nom de domaine Microsoft Entra Domain Services existant ?
Numéro Une fois que vous avez créé un domaine managé par Microsoft Entra Domain Services, vous ne pouvez pas modifier le nom de domaine DNS. Choisissez le nom de domaine DNS avec précaution lorsque vous créez le domaine managé. Pour savoir quels éléments prendre en compte lorsque vous choisissez le nom de domaine DNS, consultez le tutoriel pour créer et configurer un domaine managé par Microsoft Entra Domain Services.
Microsoft Entra Domain Services incluent-ils des options de haute disponibilité ?
Oui. Chaque domaine managé par Microsoft Entra Domain Services comprend deux contrôleurs de domaine. Vous ne gérez pas ces contrôleurs de domaine et ne vous y connectez pas, car ils font partie du service géré. Si vous déployez Microsoft Entra Domain Services dans une région qui prend en charge les Zones de disponibilité, les contrôleurs de domaine sont répartis entre les zones. Dans les régions qui ne prennent pas en charge les Zones de disponibilité, les contrôleurs de domaine sont distribués entre les Groupes à haute disponibilité. Vous ne disposez d’aucune option de configuration ou d’aucun contrôle de gestion sur cette distribution. Pour plus d’informations, consultez Options de disponibilité pour les machines virtuelles dans Azure.
Administration et opérations
Puis-je me connecter au contrôleur de domaine de mon domaine managé à l’aide du Bureau à distance ?
Numéro Vous n’êtes pas autorisé à vous connecter aux contrôleurs de domaine pour le domaine managé, via le Bureau à distance. Les membres du groupe Administrateurs Microsoft Entra DC peuvent administrer le domaine managé à l’aide des outils d’administration AD, tels que le centre d’administration d’Active Directory (ADAC) ou AD PowerShell. Ces outils sont installés à l’aide de la fonctionnalité Outils d’administration de serveur distant sur un serveur Windows joint au domaine managé. Pour plus d’informations, consultez Créer une machine virtuelle de gestion pour configurer et administrer un domaine managé par Microsoft Entra Domain Services.
J’ai activé les services de domaine Microsoft Entra Domain Services. Quel compte d’utilisateur dois-je utiliser pour joindre des ordinateurs à ce domaine ?
Tout compte d’utilisateur faisant partie du domaine managé peut joindre une machine virtuelle. Les membres du groupe Administrateurs Microsoft Entra DC disposent d’un accès Bureau à distance aux machines qui ont été jointes au domaine managé.
Existe-t-il un quota pour le nombre de machines que je peux joindre au domaine ?
Il n’existe aucun quota dans les services de domaine pour les machines jointes à un domaine.
Comment l’heure est-elle synchronisée pour les machines virtuelles (VM) jointes à un domaine managé ?
Les machines virtuelles qui s’exécutent sur Azure sont synchronisées avec les hôtes Azure à une heure extrêmement précise. Les machines virtuelles non-Azure qui s’exécutent localement doivent avoir les services de temps Windows configurés pour une synchronisation avec une source d’heure NTP externe, tout comme les machines virtuelles jointes à un domaine. Pour plus d’informations, consultez Configurer le mécanisme de temps pour Machines virtuelles Windows Active Directory dans Azure.
Est-ce que je dispose des privilèges d’administrateur de domaine pour le domaine managé fourni par Microsoft Entra Domain Services ?
Numéro Vous ne disposez pas des privilèges d’administrateur sur le domaine managé. Les privilèges Administrateur de domaine et Administrateur d’entreprise ne sont pas disponibles pour vous dans le domaine. Les membres des groupes d’administrateurs de domaine ou d’administrateurs d’entreprise de votre instance Active Directory locale ne se voient accorder aucun privilège d’administrateur de domaine ou d’entreprise sur le domaine managé.
Puis-je modifier les appartenances aux groupes à l’aide de LDAP ou d’autres outils d’administration AD sur des domaines managés ?
Les utilisateurs et les groupes qui sont synchronisés de Microsoft Entra ID vers Microsoft Entra Domain Services ne peuvent pas être modifiés, car leur source d’origine est Microsoft Entra ID. Cela comprend le déplacement des utilisateurs ou des groupes de l’unité d’organisation managée Utilisateurs AADDC vers une unité d’organisation personnalisée. En revanche, tout utilisateur ou groupe provenant du domaine managé peut être modifié.
Puis-je autoriser un serveur DHCP dans un domaine managé ?
Numéro L’appartenance aux administrateurs de domaine est requise pour autoriser un serveur DHCP, qui n’est pas disponible dans un domaine managé.
Combien de temps faut-il pour que les modifications que j’apporte à mon annuaire Microsoft Entra soient visibles dans mon domaine managé ?
Les modifications apportées à votre annuaire Microsoft Entra à l’aide de l’interface utilisateur de Microsoft Entra UI ou de PowerShell sont synchronisées automatiquement avec votre domaine managé. Ce processus de synchronisation se produit en arrière-plan. Il n’y a pas de période définie pour cette synchronisation pour effectuer toutes les modifications d’objets.
Puis-je étendre le schéma du domaine géré fourni par Microsoft Entra Domain Services ?
Numéro Le schéma est administré par Microsoft pour le domaine managé. Les extensions de schéma ne sont pas prises en charge par Microsoft Entra Domain Services.
Puis-je modifier ou ajouter des enregistrements DNS dans mon domaine managé ?
Oui. Les membres du groupe Administrateurs Microsoft Entra DC bénéficient de privilèges Administrateur DNS, afin de modifier les enregistrements DNS sur le domaine managé. Ces utilisateurs peuvent utiliser la console du Gestionnaire DNS sur un ordinateur exécutant Windows Server joint au domaine managé afin de gérer le système DNS. Pour utiliser la console du Gestionnaire DNS, installez les outils de serveur DNS, qui font partie de la fonctionnalité facultative Outils d’administration de serveur distant sur le serveur. Pour plus d’informations, consultez Administrer les DNS sur un domaine managé par Microsoft Entra Domain Services.
Quelle est la stratégie de durée de vie des mots de passe dans un domaine managé ?
Par défaut, la durée de vie des mots de passe dans un domaine managé par Microsoft Entra Domain Services est de 90 jours. Cette durée de vie des mots de passe n’est pas synchronisée avec celle configurée dans Microsoft Entra ID. Par conséquent, il est possible qu’un mot de passe utilisateur expire dans votre domaine managé, mais soit toujours valide dans Microsoft Entra ID. Dans les scénarios comme celui-ci, les utilisateurs doivent modifier leur mot de passe dans Microsoft Entra. Le nouveau mot de passe est ensuite synchronisé avec votre domaine managé. Si vous souhaitez modifier la durée de vie par défaut d’un mot de passe dans un domaine managé, vous pouvez créer et configurer des stratégies de mot de passe personnalisées.
En outre, la stratégie de mot de passe Microsoft Entra pour DisablePasswordExpiration est synchronisée avec un domaine managé. Lorsque DisablePasswordExpiration est appliqué à un utilisateur dans Microsoft Entra ID, la valeur UserAccountControl pour l’utilisateur synchronisé dans le domaine managé a DONT_EXPIRE_PASSWORD appliqué.
Lorsque les utilisateurs réinitialisent leur mot de passe dans Microsoft Entra ID, l’attribut forceChangePasswordNextSignIn=True est appliqué. Un domaine managé synchronise cet attribut à partir de Microsoft Entra ID. Lorsque le domaine managé détecte que forceChangePasswordNextSignIn est défini pour un utilisateur synchronisé à partir de Microsoft Entra ID, l’attribut pwdLastSet dans le domaine managé est défini sur 0, ce qui invalide le mot de passe actuellement défini.
Microsoft Entra Domain Services assure-t-il une protection par verrouillage de compte AD ?
Oui. Cinq tentatives de saisie de mot de passe non valide en 2 minutes dans le domaine managé entraînent le verrouillage d’un compte d’utilisateur pendant 30 minutes. Après ces 30 minutes, le compte d’utilisateur est automatiquement déverrouillé. Les tentatives de saisie de mot de passe non valide dans le domaine managé ne verrouillent pas le compte d’utilisateur dans Microsoft Entra ID. Le compte d’utilisateur est verrouillé uniquement dans votre domaine managé par Microsoft Entra Domain Services. Pour plus d’informations, consultez Stratégies de mot de passe et de verrouillage de compte sur les domaines managés.
Puis-je configurer le système de fichiers DFS et la réplication dans Microsoft Entra Domain Services ?
Numéro Le système de fichiers DFS (Distributed File System) et la réplication ne sont pas disponibles lors de l’utilisation de Microsoft Entra Domain Services.
Comment les mises à jour Windows sont-elles appliquées dans Microsoft Entra Domain Services ?
Les contrôleurs de domaine dans un domaine managé appliquent automatiquement les mises à jour Windows requises. Il n’y a rien à configurer ni à administrer ici. Veillez à ne pas créer de règles de groupe de sécurité réseau qui bloquent le trafic sortant vers les mises à jour Windows. Pour vos propres machines virtuelles jointes au domaine managé, vous êtes responsable de la configuration et de l’application des mises à jour requises du système d’exploitation et des applications.
Dois-je supprimer les étiquettes AzureUpdateDelivery et AzureFrontDoor.FirstParty dans le groupe de sécurité réseau sortant (NSG) ?
Avec la dépréciation des étiquettes AzureUpdateDelivery et AzureFrontDoor.FirstParty, Microsoft Entra Domain Services ne recommande plus d’ajouter ces étiquettes au trafic Internet sortant. Si vous utilisez la règle AllowInternetOutBound par défaut (priorité 65001), aucune modification n’est nécessaire (avec ou sans étiquettes AzureUpdateDelivery et AzureFrontDoor.FirstParty). Si vous supprimez la règle AllowInternetOutBound par défaut (priorité 65001) ou précédez-la avec une règle InternetOutBound refusée, utilisez un pare-feu pour filtrer le trafic Windows Update sortant à l’aide du nom de domaine complet WindowsUpdate au lieu de restreindre InternetOutBound. Cette étape est cruciale pour que Microsoft Entra Domain Services continue de recevoir des mises à jour Windows. Pour plus d’informations, consultez Modifications apportées à l’étiquette de service AzureUpdateDelivery.
Où Microsoft Entra Domain Services stocke-t-il les données client ?
Microsoft Entra Domain Services stocke les données client. Par défaut, les données client restent dans la région où l’instance de service est déployée. Les clients peuvent utiliser des jeux de réplicas pour stocker des données dans d’autres régions.
Comment la mise à jour corrective est-elle effectuée sur les contrôleurs de domaine qui font partie d’un domaine managé ?
Les correctifs sont installés dès qu’ils sont disponibles (un mardi sur deux). Ils sont installés en phases au cours de la semaine où ils sont disponibles, à partir du mardi.
Pourquoi les noms de mes contrôleurs de domaine changent-ils ?
Il est possible que, durant la maintenance des contrôleurs de domaine, les noms de ceux-ci changent. Pour éviter les problèmes liés à ce type de modification, il est recommandé de ne pas utiliser les noms des contrôleurs de domaine codés en dur dans des applications et/ou d’autres ressources de domaine, mais le nom de domaine complet (FQDN). De cette façon, quels que soient les noms des contrôleurs de domaine, vous n’aurez rien à reconfigurer après une modification de nom.
Le mot de passe du compte KRBTGT dans un domaine managé est-il régulièrement restauré ? Si c’est le cas, quelle est la fréquence ?
Le mot de passe du compte KRBTGT dans un domaine managé est restauré tous les sept (7) jours.
Facturation et disponibilité
Microsoft Entra Domain Services est-il payant ?
Oui. Pour plus d’informations, consultez la page relative aux prix appliqués.
Le service peut-il être essayé gratuitement ?
Microsoft Entra Domain Services est inclus dans l’essai gratuit d’Azure. Vous pouvez vous inscrire pour bénéficier d’un essai gratuit d’un mois d’Azure.
Puis-je mettre en pause un domaine managé par Microsoft Entra Domain Services ?
Numéro Une fois que vous avez activé un domaine managé par Microsoft Entra Domain Services, le service est disponible dans votre réseau virtuel sélectionné jusqu’à ce que vous supprimiez le domaine managé. Il n’existe aucun moyen de suspendre le service. La facturation horaire se poursuivra jusqu’à ce que vous supprimiez le domaine managé.
Puis-je basculer Microsoft Entra Domain Services vers une autre région pour un événement de récupération d’urgence ?
Oui, afin de fournir une résilience géographique pour un domaine managé, vous pouvez créer un jeu de réplicas supplémentaire sur un réseau virtuel appairé dans une région Azure qui prend en charge les service de domaine. Les jeux de réplicas partagent le même espace de noms et la même configuration que le domaine managé.
Puis-je obtenir Microsoft Entra Domain Services dans le cadre d’Enterprise Mobility Suite (EMS) ? Ai-je besoin de Microsoft Entra ID P1 ou P2 pour utiliser Microsoft Entra Domain Services ?
Numéro Microsoft Entra Domain Services constitue un service Azure avec paiement à l’utilisation et ne font pas partie d’EMS. Microsoft Entra Domain Services peut être utilisé avec toutes les éditions de Microsoft Entra ID (Gratuit et Premium). La facturation se fait à l’utilisation, sur une base horaire.
Puis-je créer un domaine enfant sous un domaine managé ?
Numéro Microsoft Entra Domain Services a une conception à domaine unique et à forêt unique, et vous ne pouvez pas créer de domaines enfants.
Dans quelles régions Azure le service est-il disponible ?
Pour consulter une liste des régions Azure dans lesquelles Microsoft Entra Domain Services est disponible, consultez la page Régions Azure.
Dépannage
Reportez-vous au Guide de résolution des problèmes pour trouver les solutions aux problèmes courants liés à la configuration ou à l’administration d’Azure AD Domain Services.
Étapes suivantes
Pour en savoir plus sur Microsoft Entra Domain Services, consultez Présentation de Microsoft Entra Domain Services.
Pour commencer, consultez Créer et configurer un domaine managé Microsoft Entra Domain Services.