Tutoriel : Créer une approbation de forêt sortante pour un domaine local dans Azure Active Directory Domain Services

Vous pouvez créer une approbation unidirectionnelle sortante entre Azure AD DS et un ou plusieurs environnements AD DS locaux. Cette relation d’approbation permet aux utilisateurs, applications et ordinateurs de s’authentifier auprès d’un domaine local à partir du domaine managé Azure AD DS. Une approbation de forêt peut permettre aux utilisateurs d’accéder aux ressources dans différents scénarios, par exemple :

  • Environnements ne permettant pas la synchronisation des hachages de mot de passe ou dans lesquels des utilisateurs se connectent exclusivement à l’aide de cartes à puce et ne connaissent pas leur mot de passe
  • Scénarios hybrides qui nécessitent toujours l’accès à des domaines locaux

Les approbations peuvent être créées dans les types de domaine de forêt de ressources et de forêt d’utilisateurs. Le type de domaine de forêt de ressources bloque automatiquement la synchronisation pour tous les comptes d’utilisateur qui ont été synchronisés avec Azure AD DS à partir d’un domaine local. Il s’agit du type de domaine le plus sûr à utiliser pour les approbations, car il garantit l’absence de conflits d’UPN quand les utilisateurs s’authentifient. Les approbations créées dans une forêt d’utilisateurs ne sont pas intrinsèquement sûres, mais vous offrent plus de flexibilité quant aux éléments synchronisés à partir d’Azure AD.

Diagramme d'approbation de forêt entre Azure AD DS et les instances AD DS locales

Dans ce tutoriel, vous allez apprendre à :

  • Configurer DNS dans un environnement AD DS local pour prendre en charge la connectivité Azure AD DS
  • Créer une approbation de forêt unidirectionnelle entrante dans un environnement AD DS local
  • Créer une approbation de forêt unidirectionnelle sortante dans Azure AD DS
  • Tester et valider la relation d’approbation à des fins d'authentification et d’accès aux ressources

Si vous n’avez pas d’abonnement Azure, créez un compte avant de commencer.

Prérequis

Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :

Connectez-vous au portail Azure.

Dans ce tutoriel, vous créez et vous configurez une approbation de forêt sortante à partir d'Azure AD DS avec le portail Azure. Pour commencer, connectez-vous au portail Azure. Vous avez besoin des rôles Azure AD Administrateur d’applications et Administrateur de groupes dans votre locataire pour modifier une instance Azure AD DS.

Mise en réseau - Éléments à prendre en compte

Le réseau virtuel qui héberge la forêt Azure AD DS nécessite une connexion réseau à votre instance Active Directory locale. Les applications et les services nécessitent également une connexion au réseau virtuel hébergeant la forêt Azure AD DS. La connexion réseau à la forêt Azure AD DS doit être toujours active et stable, à défaut de quoi les utilisateurs risquent de ne pas pouvoir s’authentifier ou accéder aux ressources.

Avant de configurer une approbation de forêt dans Azure AD DS, assurez-vous que votre mise en réseau entre Azure et l’environnement local répond aux conditions requises suivantes :

  • Utilisez des adresses IP privées. Ne vous fiez pas à DHCP avec attribution d’adresses IP dynamiques.
  • Évitez les espaces d’adressage IP qui se chevauchent pour permettre au routage et à l’appairage de réseaux virtuels de bien communiquer entre Azure et les réseaux locaux.
  • Un réseau virtuel Azure a besoin d’un sous-réseau de passerelle pour configurer une connexion Azure VPN de site à site (S2S) ou ExpressRoute.
  • Créez des sous-réseaux avec suffisamment d’adresses IP pour prendre en charge votre scénario.
  • Assurez-vous qu'Azure AD DS possède son propre sous-réseau. Ne partagez pas ce sous-réseau de réseau virtuel avec les machines virtuelles et services d’application.
  • Les réseaux virtuels appairés ne sont PAS transitifs.
    • Des appairages de réseaux virtuels Azure doivent être créées entre tous les réseaux virtuels pour lesquels vous souhaitez utiliser l’approbation de forêt Azure AD DS vers l’environnement AD DS local.
  • Fournissez une connectivité réseau continue à votre forêt Active Directory locale. N’utilisez pas de connexions à la demande.
  • Vérifiez la présence d’une résolution de noms (DNS) continue entre votre nom de forêt Azure AD DS et votre nom de forêt Active Directory locale.

Configurer DNS dans le domaine local

Pour résoudre correctement le domaine managé à partir de l’environnement local, vous serez peut-être amené à ajouter des redirecteurs aux serveurs DNS existants. Si vous n’avez pas configuré l’environnement local de manière à ce qu’il communique avec le domaine managé, effectuez les étapes suivantes à partir d’une station de travail de gestion pour le domaine AD DS local :

  1. Sélectionnez DémarrerOutils d’administrationDNS.

  2. Sélectionnez votre zone DNS, par exemple aaddscontoso.com.

  3. Sélectionnez Redirecteurs conditionnels, puis cliquez avec le bouton droit et sélectionnez Nouveau redirecteur conditionnel...

  4. Entrez votre autre Domaine DNS, par exemple contoso.com, puis entrez les adresses IP des serveurs DNS pour cet espace de noms, comme illustré dans l’exemple suivant :

    Capture d’écran montrant comment ajouter et configurer un redirecteur conditionnel pour le serveur DNS.

  5. Cochez la case pour Stocker ce redirecteur conditionnel dans Active Directory, et le répliquer comme suit, puis sélectionnez l’option Tous les serveurs DNS de ce domaine, comme illustré dans l’exemple suivant :

    Capture d’écran de la sélection de tous les serveurs DNS dans ce domaine.

    Important

    Si le redirecteur conditionnel est stocké dans la forêt et non dans le domaine, il échoue.

  6. Pour créer le redirecteur conditionnel, sélectionnez OK.

Créer une approbation de forêt entrante dans le domaine local

Le domaine AD DS local nécessite une approbation de forêt entrante pour le domaine managé. Cette approbation doit être créée manuellement dans le domaine AD DS local ; sa création n'est pas possible à partir du portail Azure.

Pour configurer l’approbation entrante sur le domaine AD DS local, procédez comme suit à partir d’une station de travail de gestion pour le domaine AD DS local :

  1. Sélectionnez DémarrerOutils d’administrationDomaines et approbations Active Directory.
  2. Cliquez avec le bouton droit sur le domaine, par exemple onprem.contoso.com, puis sélectionnez Propriétés.
  3. Choisissez l’onglet Approbations, puis Nouvelle approbation.
  4. Entrez le nom du domaine Azure AD DS, comme aaddscontoso.com, puis sélectionnez Suivant.
  5. Sélectionnez l’option permettant de créer une approbation de forêt, puis une approbation unidirectionnelle : entrante.
  6. Choisissez de créer l’approbation pour ce domaine uniquement. À l’étape suivante, vous allez créer l’approbation dans le portail Azure pour le domaine managé.
  7. Choisissez d’utiliser l'authentification à l'échelle de la forêt, puis entrez et confirmez un mot de passe d’approbation. Ce même mot de passe est également entré dans le portail Azure à la section suivante.
  8. Parcourez les fenêtres suivantes avec les options par défaut, puis sélectionnez l’option pour Non, ne pas confirmer l'approbation sortante.
  9. Sélectionnez Terminer.

Si l’approbation de forêt n’est plus nécessaire pour un environnement, procédez comme suit pour la supprimer du domaine local :

  1. Sélectionnez DémarrerOutils d’administrationDomaines et approbations Active Directory.
  2. Cliquez avec le bouton droit sur le domaine, par exemple onprem.contoso.com, puis sélectionnez Propriétés.
  3. Choisissez l’onglet Approbations, puis Domaines qui approuvent ce domaine (approbations entrantes) , cliquez sur l’approbation à supprimer, puis cliquez sur Supprimer.
  4. Sous l’onglet Approbations, sous Domaines approuvés par ce domaine (approbations sortantes) , cliquez sur l’approbation à supprimer, puis cliquez sur Supprimer.
  5. Cliquez sur Non, supprimer l’approbation du domaine local uniquement.

Créer une approbation de forêt sortante dans Azure AD DS

Une fois le domaine AD DS local configuré pour résoudre le domaine managé et une approbation de forêt entrante créée, créez l’approbation de forêt sortante. Cette approbation de forêt sortante établit la relation d’approbation entre le domaine AD DS local et le domaine managé.

Pour créer l’approbation sortante destinée au domaine managé dans le portail Azure, effectuez les étapes suivantes :

  1. Dans le portail Azure, recherchez et sélectionnez Azure AD Domain Services, puis sélectionnez votre domaine managé, par exemple aaddscontoso.com.

  2. Dans le menu de gauche du domaine managé, sélectionnez Approbations, puis + Ajouter une approbation.

  3. Entrez un nom d’affichage qui identifie votre approbation, puis le nom DNS de la forêt locale approuvée, par exemple onprem.contoso.com.

  4. Indiquez le même mot de passe d’approbation que celui utilisé à la section précédente pour configurer l’approbation de forêt entrante pour le domaine AD DS local.

  5. Fournissez au moins deux serveurs DNS pour le domaine AD DS local, par exemple 10.1.1.4 et 10.1.1.5.

  6. Lorsque vous êtes prêt, enregistrez l’approbation de forêt sortante.

    Créer une approbation de forêt sortante dans le portail Azure

Si l’approbation de forêt n’est plus nécessaire pour un environnement, procédez comme suit pour la supprimer d’Azure AD DS :

  1. Dans le portail Azure, recherchez et sélectionnez Azure AD Domain Services, puis sélectionnez votre domaine managé, par exemple aaddscontoso.com.
  2. Dans le menu de gauche du domaine managé, sélectionnez Approbations, choisissez l’approbation, puis cliquez sur Supprimer.
  3. Spécifiez le mot de passe d’approbation qui a été utilisé pour configurer l’approbation de forêt, puis cliquez sur OK.

Valider l’authentification des ressources

Les scénarios courants suivants vous permettent de vérifier que l’approbation de forêt authentifie correctement les utilisateurs et l’accès aux ressources :

Authentification des utilisateurs locaux à partir de la forêt Azure AD DS

Vous devez disposer d’une machine virtuelle Windows Server jointe au domaine managé. Utilisez cette machine virtuelle pour vérifier que votre utilisateur local peut s’authentifier sur une machine virtuelle. Si nécessaire, créez une machine virtuelle Windows et joignez-la au domaine managé.

  1. Connectez-vous à la machine virtuelle Windows Server jointe à la forêt Azure AD DS en utilisant Azure Bastion et vos informations d’identification d’administrateur Azure AD DS.

  2. Ouvrez une invite de commandes et utilisez la commande whoami pour afficher le nom unique de l’utilisateur actuellement authentifié :

    whoami /fqdn
    
  3. Utilisez la commande runas pour vous authentifier en tant qu’utilisateur à partir du domaine local. Dans la commande suivante, remplacez userUpn@trusteddomain.com par l’UPN d’un utilisateur du domaine local approuvé. La commande vous invite à entrer le mot de passe de l’utilisateur :

    Runas /u:userUpn@trusteddomain.com cmd.exe
    
  4. Si l’authentification aboutit, une nouvelle invite de commandes s’ouvre. Le titre de la nouvelle invite de commandes comprend running as userUpn@trusteddomain.com.

  5. Utilisez whoami /fqdn dans la nouvelle invite de commandes pour afficher le nom unique de l’utilisateur authentifié à partir de l'instance Active Directory locale.

Accéder aux ressources de la forêt Azure AD DS à l’aide de l’utilisateur local

À l’aide de la machine virtuelle Windows Server jointe à la forêt Azure AD DS, vous pouvez tester le scénario permettant aux utilisateurs d’accéder aux ressources hébergées dans la forêt quand ils s’authentifient à partir d’ordinateurs du domaine local auprès d’utilisateurs du domaine local. Les exemples suivants vous montrent comment créer et tester différents scénarios courants.

Activer le partage de fichiers et d’imprimantes

  1. Connectez-vous à la machine virtuelle Windows Server jointe à la forêt Azure AD DS en utilisant Azure Bastion et vos informations d’identification d’administrateur Azure AD DS.

  2. Ouvrez Paramètres Windows, puis recherchez et sélectionnez Centre Réseau et partage.

  3. Sélectionnez l’option permettant de modifier les paramètres de partage avancés.

  4. Sous Profil du domaine, sélectionnez Activer le partage de fichiers et d'imprimantes, puis Enregistrer les modifications.

  5. Fermez Centre Réseau et partage.

Créer un groupe de sécurité et ajouter des membres

  1. Ouvrez Utilisateurs et ordinateurs Active Directory.

  2. Cliquez avec le bouton droit sur le nom de domaine, sélectionnez Nouveau, puis Unité d'organisation.

  3. Dans la zone de nom, entrez LocalObjects, puis sélectionnez OK.

  4. Sélectionnez et cliquez avec le bouton droit sur LocalObjects dans le volet de navigation. Sélectionnez Nouveau, puis Groupe.

  5. Entrez FileServerAccess dans la zone Nom du groupe. Pour Étendue du groupe, sélectionnez Domaine local, puis OK.

  6. Dans le volet de contenu, double-cliquez sur FileServerAccess. Sélectionnez Membres, Ajouter, puis Emplacements.

  7. Sélectionnez votre instance Active Directory locale dans l'affichage Emplacement, puis OK.

  8. Entrez Utilisateurs du domaine dans la zone Entrer les noms des objets à sélectionner. Sélectionnez Vérifier les noms, fournissez les informations d’identification de l'instance Active Directory locale, puis sélectionnez OK.

    Notes

    La relation d'approbation étant unidirectionnelle, vous devez fournir les informations d’identification. Cela signifie que les utilisateurs du domaine managé Azure AD DS ne pourront pas accéder aux ressources ni rechercher des utilisateurs ou groupes dans le domaine (local) approuvé.

  9. Le groupe Utilisateurs du domaine de votre instance Active Directory locale doit être membre du groupe FileServerAccess. Sélectionnez OK pour enregistrer le groupe et fermer la fenêtre.

Créer un partage de fichiers pour l’accès inter-forêts

  1. Sur la machine virtuelle Windows Server jointe à la forêt Azure AD DS, créez un dossier et attribuez-lui un nom, par exemple CrossForestShare.
  2. Cliquez avec le bouton droit sur le dossier, puis sélectionnez Propriétés.
  3. Sélectionnez l'onglet Sécurité, puis Modifier.
  4. Dans la boîte de dialogue Autorisations pour CrossForestShare, sélectionnez Ajouter.
  5. Entrez FileServerAccess dans Entrer les noms des objets à sélectionner, puis sélectionnez OK.
  6. Sélectionnez FileServerAccess dans la liste Noms des groupes ou des utilisateurs. Dans la liste Autorisations pour FileServerAccess, sélectionnez Autoriser pour les autorisations Modifier et Écrire, puis OK.
  7. Sélectionnez l’onglet Partage, puis Partage avancé.
  8. Sélectionnez Partager ce dossier, puis entrez un nom de partage de fichiers facile à retenir dans Nom du partage, par exemple CrossForestShare.
  9. Sélectionnez Autorisations. Dans la liste Autorisations pour tous, sélectionnez Autoriser pour l'autorisation Modifier.
  10. Sélectionnez OK deux fois, puis Fermer.

Valider l’authentification inter-forêts sur une ressource

  1. Connectez-vous à un ordinateur Windows joint à votre instance Active Directory locale à l’aide d’un compte d’utilisateur de votre instance Active Directory locale.

  2. À l’aide de l'Explorateur Windows, connectez-vous au partage que vous avez créé à l’aide du nom d’hôte complet et le partage, par exemple .

  3. Pour valider l’autorisation d’écriture, cliquez avec le bouton droit dans le dossier, sélectionnez Nouveau, puis Document texte. Utilisez le nom par défaut Nouveau document texte.

    Si les autorisations d’écriture sont correctement définies, un nouveau document texte est créé. Les étapes suivantes permettent d'ouvrir, de modifier et de supprimer le fichier, selon vos besoins.

  4. Pour valider l’autorisation de lecture, ouvrez Nouveau document texte.

  5. Pour valider l’autorisation de modification, ajoutez du texte au fichier et fermez le Bloc-notes. Lorsque vous êtes invité à enregistrer les modifications, sélectionnez Enregistrer.

  6. Pour valider l’autorisation de suppression, cliquez avec le bouton droit sur Nouveau document texte, puis sélectionnez Supprimer. Sélectionnez Oui pour confirmer la suppression du fichier.

Étapes suivantes

Dans ce didacticiel, vous avez appris à :

  • Configurer DNS dans un environnement AD DS local pour prendre en charge la connectivité Azure AD DS
  • Créer une approbation de forêt unidirectionnelle entrante dans un environnement AD DS local
  • Créer une approbation de forêt unidirectionnelle sortante dans Azure AD DS
  • Tester et valider la relation d’approbation à des fins d'authentification et d’accès aux ressources

Pour plus d’informations conceptuelles sur les types de forêts dans Azure AD DS, consultez Que sont les forêts de ressources ? et Comment fonctionnent les approbations de forêts dans Azure AD DS ?.