Tutoriel : Créer et configurer un domaine managé Microsoft Entra Domain Services

Microsoft Entra Domain Services fournit des services de domaine managés tels que la jonction de domaine, la stratégie de groupe, LDAP, l’authentification Kerberos/NTLM entièrement compatible avec Windows Server Active Directory. Vous utilisez ces services de domaine sans déployer, gérer et corriger vous-même les contrôleurs de domaine. Domain Services s’intègre à votre client Microsoft Entra existant. Cette intégration permet aux utilisateurs de se connecter à l’aide de leurs informations d’identification d’entreprise, et vous pouvez utiliser des groupes et des comptes d’utilisateur existants pour sécuriser l’accès aux ressources.

Vous pouvez créer un domaine managé à l’aide des options de configuration par défaut pour la mise en réseau et la synchronisation, ou définir manuellement ces paramètres. Ce tutoriel vous montre comment utiliser les options par défaut pour créer et configurer un domaine managé Domain Services à l’aide du Centre d’administration Microsoft Entra.

Dans ce tutoriel, vous allez apprendre à :

• Comprendre les exigences DNS pour un domaine managé
• Créer un domaine managé
• Activer la synchronisation de hachage de mot de passe

Si vous n’avez pas d’abonnement Azure, créez un compte avant de commencer.

Prerequisites

Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :

• Un abonnement Azure actif.
  • Si vous n’avez pas d’abonnement Azure, créez un compte.
• Un tenant Microsoft Entra associé à votre abonnement, soit synchronisé avec un annuaire local, soit uniquement avec un annuaire cloud.
  • Si nécessaire, créez un locataire Microsoft Entra ou associez un abonnement Azure à votre compte.
• Vous avez besoin des rôles Administrateur d’application et Administrateur de groupes Microsoft Entra dans votre locataire pour activer les services de domaine.
• Vous avez besoin du rôle Azure Contributeur de services de domaine pour créer les ressources Domain Services requises.
• Un réseau virtuel avec des serveurs DNS capables d’interroger l’infrastructure nécessaire, comme le stockage. Les serveurs DNS qui ne peuvent pas effectuer de requêtes Internet générales peuvent bloquer la possibilité de créer un domaine managé.

Bien qu’il ne soit pas nécessaire pour les services de domaine, il est recommandé de configurer la réinitialisation de mot de passe en libre-service (SSPR) pour le locataire Microsoft Entra. Les utilisateurs peuvent modifier leur mot de passe sans SSPR, mais SSPR aide s’ils oublient leur mot de passe et doivent le réinitialiser.

Important

Vous ne pouvez pas déplacer le domaine managé vers un autre abonnement, groupe de ressources ou région après sa création. Veillez à sélectionner l’abonnement, le groupe de ressources et la région les plus appropriés lorsque vous déployez le domaine managé.

Connectez-vous au Centre d’administration Microsoft Entra

Dans ce tutoriel, vous allez créer et configurer le domaine managé à l’aide du Centre d’administration Microsoft Entra. Pour commencer, connectez-vous d’abord au Centre d’administration Microsoft Entra.

Créer un domaine managé

Pour lancer l’Assistant Activer les services de domaine Microsoft Entra, suivez les étapes suivantes :

1. Dans le menu du Centre d’administration Microsoft Entra ou dans la page d’accueil , recherchez Domain Services, puis choisissez Microsoft Entra Domain Services.

2. Dans la page Microsoft Entra Domain Services, sélectionnez Créer des services de domaine Microsoft Entra.

   

3. Sélectionnez l’abonnement Azure dans lequel vous souhaitez créer le domaine managé.

4. Sélectionnez le groupe de ressources auquel le domaine managé doit appartenir. Choisissez de créer ou de sélectionner un groupe de ressources existant.

Lorsque vous créez un domaine managé, vous spécifiez un nom DNS. Il existe des considérations à prendre en compte lorsque vous choisissez ce nom DNS :

• Nom de domaine intégré : Par défaut, le nom de domaine intégré du répertoire est utilisé (suffixe .onmicrosoft.com ). Si vous souhaitez activer l’accès LDAP sécurisé au domaine managé via Internet, vous ne pouvez pas créer de certificat numérique pour sécuriser la connexion avec ce domaine par défaut. Microsoft possède le domaine .onmicrosoft.com . Par conséquent, une autorité de certification n’émet pas de certificat.
• Noms de domaine personnalisés : L’approche la plus courante consiste à spécifier un nom de domaine personnalisé, généralement un nom de domaine que vous possédez déjà et qui est routable. Quand vous utilisez un domaine personnalisé routable, le trafic peut s’écouler correctement en fonction des besoins pour prendre en charge vos applications.
• Suffixes de domaine non routables : Nous vous recommandons généralement d’éviter un suffixe de nom de domaine non routable, tel que contoso.local. Le suffixe .local n’est pas routable et peut provoquer des problèmes avec la résolution DNS.

Conseil / Astuce

Si vous créez un nom de domaine personnalisé, prenez soin des espaces de noms DNS existants. Bien qu’il soit pris en charge, vous pouvez utiliser un nom de domaine distinct de n’importe quel espace de noms DNS local ou Azure existant.

Par exemple, si vous disposez d’un espace de noms DNS existant de contoso.com, créez un domaine managé avec le nom de domaine personnalisé de dscontoso.com. Si vous devez utiliser le protocole LDAP sécurisé, vous devez inscrire et posséder ce nom de domaine personnalisé pour générer les certificats requis.

Vous devrez peut-être créer des enregistrements DNS supplémentaires pour d’autres services dans votre environnement, ou des redirecteurs DNS conditionnels entre des espaces de noms DNS existants dans votre environnement. Par exemple, si vous exécutez un serveur web qui héberge un site à l’aide du nom DNS racine, il peut y avoir des conflits d’affectation de noms qui nécessitent des entrées DNS supplémentaires.

Dans ces didacticiels et articles pratiques, le domaine personnalisé de dscontoso.com est utilisé comme exemple court. Dans toutes les commandes, spécifiez votre propre nom de domaine.

Les restrictions de nom DNS suivantes s’appliquent également :

• Restrictions de préfixe de domaine : Vous ne pouvez pas créer un domaine managé avec un préfixe de plus de 15 caractères. Le préfixe de votre nom de domaine spécifié (par exemple , dscontoso dans le nom de domaine dscontoso.com ) doit contenir 15 caractères ou moins.
• Conflits de noms réseau : Le nom de domaine DNS de votre domaine managé ne doit pas déjà exister dans le réseau virtuel. Plus précisément, recherchez les scénarios suivants qui entraîneraient un conflit de noms :
  • Si vous disposez déjà d’un domaine Active Directory avec le même nom de domaine DNS sur le réseau virtuel Azure.
  • Si le réseau virtuel dans lequel vous envisagez d’activer le domaine managé dispose d’une connexion VPN avec votre réseau local. Dans ce scénario, vérifiez que vous n’avez pas de domaine portant le même nom de domaine DNS sur votre réseau local.
  • Si vous disposez d’un service cloud Azure existant portant ce nom sur le réseau virtuel Azure.

Renseignez les champs dans la fenêtre Informations de base du Centre d’administration Microsoft Entra pour créer un domaine managé :

1. Entrez un nom de domaine DNS pour votre domaine managé, en tenant compte des points précédents.

2. Choisissez la région Azure dans laquelle le domaine managé doit être créé. Si vous choisissez une région qui prend en charge les zones de disponibilité Azure, les ressources des services de domaine sont distribuées entre les zones pour une redondance supplémentaire.

   Conseil / Astuce

   Les Zones de disponibilité sont des emplacements physiques uniques au sein d’une région Azure. Chaque zone de disponibilité est composée d’un ou de plusieurs centres de données équipés d’une alimentation, d’un système de refroidissement et d’un réseau indépendants. Pour garantir la résilience, un minimum de trois zones distinctes sont activées dans toutes les régions.

   Il n’y a rien à configurer pour que les services de domaine soient distribués entre les zones. La plateforme Azure gère automatiquement la distribution de zones des ressources. Pour plus d’informations et pour voir la disponibilité des régions, consultez Qu’est-ce que les zones de disponibilité dans Azure ?.

3. La référence SKU détermine les performances et la fréquence de sauvegarde. Vous pouvez modifier la référence SKU une fois que le domaine managé a été créé si vos besoins métier ou exigences changent. Pour plus d’informations, consultez les concepts de référence SKU des services de domaine.

   Pour ce tutoriel, sélectionnez la référence SKU Standard . La fenêtre De base doit ressembler à cette capture d’écran :

   

Pour créer rapidement un domaine managé, vous pouvez sélectionner Vérifier + créer pour accepter des options de configuration par défaut supplémentaires. Les valeurs par défaut suivantes sont configurées lorsque vous choisissez cette option de création :

• Crée un réseau virtuel nommé ds-vnet par défaut, qui utilise la plage d’adresses IP 10.0.1.0/24.
• Crée un sous-réseau nommé ds-subnet à l’aide de la plage d’adresses IP de 10.0.1.0/24.
• Synchronise tous les utilisateurs de Microsoft Entra ID dans le domaine managé.

Note

Vous ne devez pas utiliser d’adresses IP publiques pour les réseaux virtuels et leurs sous-réseaux en raison des problèmes suivants :

• Rareté de l’adresse IP : les adresses IP publiques IPv4 sont limitées et leur demande dépasse souvent l’offre disponible. En outre, il y a potentiellement des adresses IP qui se chevauchent avec des points de terminaison publics.

• Risques de sécurité : l’utilisation d’adresses IP publiques pour les réseaux virtuels expose vos appareils directement à Internet, ce qui augmente le risque d’accès non autorisé et d’attaques potentielles. Sans mesures de sécurité appropriées, vos appareils peuvent devenir vulnérables à diverses menaces.

• Complexité : la gestion d’un réseau virtuel avec des adresses IP publiques peut être plus complexe que l’utilisation d’adresses IP privées, car elle nécessite de gérer des plages d’adresses IP externes et de garantir une segmentation et une sécurité de réseau appropriées.

Il est fortement recommandé d’utiliser des adresses IP privées. Si vous utilisez une adresse IP publique, vérifiez que vous êtes l’utilisateur propriétaire/dédié des adresses IP choisies dans la plage publique que vous avez choisie.

Sélectionnez Vérifier + créer pour accepter ces options de configuration par défaut.

Déployer le domaine managé

Dans la page Résumé de l’Assistant, passez en revue les paramètres de configuration de votre domaine managé. Vous pouvez revenir à n’importe quelle étape de l’Assistant pour apporter des modifications. Pour redéployer un domaine managé vers un autre locataire Microsoft Entra de manière cohérente à l’aide de ces options de configuration, vous pouvez également télécharger un modèle pour l’automatisation.

1. Pour créer le domaine managé, sélectionnez Créer. Une remarque s’affiche : certaines options de configuration telles que le nom DNS ou le réseau virtuel ne peuvent pas être modifiées une fois que les services de domaine gérés ont été créés. Pour continuer, sélectionnez OK.

   

2. Le processus d’approvisionnement de votre domaine managé peut prendre jusqu’à une heure. Une notification s’affiche dans le portail qui indique la progression du déploiement de vos services de domaine.

3. Lorsque le domaine managé est entièrement approvisionné, l’onglet Vue d’ensemble affiche l’état du domaine en cours d’exécution. Développez les détails du déploiement pour obtenir des liens vers des ressources telles que le réseau virtuel et le groupe de ressources réseau.

   

Important

Le domaine managé est associé à votre répertoire Microsoft Entra. Pendant le processus d’approvisionnement, Domain Services crée deux applications d’entreprise nommées Domain Controller Services et AzureActiveDirectoryDomainControllerServices dans le répertoire Microsoft Entra. Ces applications d’entreprise sont nécessaires pour traiter votre domaine managé. Ne supprimez pas ces applications.

Mettre à jour les paramètres DNS pour le réseau virtuel Azure

Avec le déploiement réussi des services de domaine, configurez maintenant le réseau virtuel pour permettre à d’autres machines virtuelles et applications connectées d’utiliser le domaine managé. Pour fournir cette connectivité, mettez à jour les paramètres du serveur DNS de votre réseau virtuel pour qu’il pointe vers les deux adresses IP où le domaine managé est déployé.

1. L’onglet Vue d’ensemble de votre domaine managé affiche certaines étapes de configuration requises. La première étape de configuration consiste à mettre à jour les paramètres du serveur DNS pour votre réseau virtuel. Une fois que les paramètres DNS sont correctement configurés, cette étape n’est plus affichée.

   Les adresses répertoriées sont les contrôleurs de domaine à utiliser dans le réseau virtuel. Dans cet exemple, ces adresses sont 10.0.1.4 et 10.0.1.5. Vous trouverez ultérieurement ces adresses IP sous l’onglet Propriétés .

   

2. Pour mettre à jour les paramètres du serveur DNS pour le réseau virtuel, sélectionnez le bouton Configurer . Les paramètres DNS sont automatiquement configurés pour votre réseau virtuel.

Conseil / Astuce

Si vous avez sélectionné un réseau virtuel existant dans les étapes précédentes, toutes les machines virtuelles connectées au réseau obtiennent uniquement les nouveaux paramètres DNS après un redémarrage. Vous pouvez redémarrer des machines virtuelles à l’aide du Centre d’administration Microsoft Entra, de Microsoft Graph PowerShell ou d’Azure CLI.

Activer les comptes d’utilisateur pour Domain Services

Pour authentifier les utilisateurs sur le domaine managé, domain Services a besoin de hachages de mot de passe dans un format adapté à l’authentification NT LAN Manager (NTLM) et Kerberos. L’ID Microsoft Entra ne génère pas ou ne stocke pas de hachages de mot de passe au format requis pour l’authentification NTLM ou Kerberos tant que vous n’activez pas les services de domaine pour votre locataire. Pour des raisons de sécurité, Microsoft Entra ID ne stocke pas non plus d’informations d’identification par mot de passe sous forme de texte en clair. Par conséquent, Microsoft Entra ID ne peut pas générer automatiquement ces codes de hachage de mot de passe NTLM ou Kerberos en fonction des informations d’identification existantes des utilisateurs.

Note

Une fois correctement configurés, les hachages de mot de passe utilisables sont stockés dans le domaine managé. Si vous supprimez le domaine managé, tous les hachages de mot de passe stockés à ce stade sont également supprimés.

Les informations d’identification synchronisées dans l’ID Microsoft Entra ne peuvent pas être réutilisées si vous créez ultérieurement un domaine managé. Vous devez reconfigurer la synchronisation de hachage de mot de passe pour stocker à nouveau les hachages de mot de passe. Les machines virtuelles jointes au domaine ou les utilisateurs précédemment joints à un domaine ne pourront pas s’authentifier immédiatement . Microsoft Entra ID doit générer et stocker les hachages de mot de passe dans le nouveau domaine managé.

La synchronisation Microsoft Entra Cloud n’est pas prise en charge avec les services de domaine. Les utilisateurs locaux doivent être synchronisés à l’aide de la synchronisation Microsoft Entra Connect pour pouvoir accéder aux machines virtuelles jointes à un domaine. La synchronisation de connexion doit être installée sur Windows Server 2022, Windows Server 2019 ou Windows Server 2016. Pour plus d’informations, consultez le processus de synchronisation de hachage de mot de passe pour Les services de domaine et Microsoft Entra Connect.

Les étapes de génération et de stockage de ces codes de hachage de mot de passe diffèrent pour les comptes d’utilisateur cloud uniquement créés dans Microsoft Entra ID et ceux synchronisés à partir de votre répertoire local à l’aide de Microsoft Entra Connect.

Un compte d’utilisateur cloud uniquement est un compte créé dans votre annuaire Microsoft Entra à l’aide du Centre d’administration Microsoft Entra ou de PowerShell. Ces comptes d’utilisateurs ne sont pas synchronisés à partir d’un annuaire local.

Dans ce tutoriel, nous allons utiliser un compte d’utilisateur cloud uniquement de base. Pour plus d’informations sur les étapes supplémentaires requises pour utiliser Microsoft Entra Connect, consultez Synchroniser les hachages de mot de passe pour les comptes d’utilisateur synchronisés à partir de votre ad local vers votre domaine managé.

Conseil / Astuce

Si votre annuaire Microsoft Entra a une combinaison d’utilisateurs cloud uniquement et synchronisés, vous devez effectuer les deux ensembles d’étapes.

Pour les comptes d’utilisateur cloud uniquement, les utilisateurs doivent modifier leurs mots de passe avant de pouvoir utiliser les services de domaine. Ce processus de modification de mot de passe entraîne la génération et le stockage des hachages de mot de passe pour l’authentification Kerberos et NTLM dans l’ID Microsoft Entra. Le compte n’est pas synchronisé entre Microsoft Entra ID et Domain Services tant que le mot de passe n’est pas modifié. Expirez les mots de passe pour tous les utilisateurs cloud du locataire qui doivent utiliser les services de domaine, ce qui force une modification de mot de passe lors de la prochaine connexion, ou demandez aux utilisateurs du cloud de modifier manuellement leurs mots de passe. Pour ce tutoriel, nous allons modifier manuellement un mot de passe utilisateur.

Avant qu’un utilisateur puisse réinitialiser son mot de passe, le locataire Microsoft Entra doit être configuré pour la réinitialisation de mot de passe en libre-service.

Pour modifier le mot de passe d’un utilisateur cloud uniquement, l’utilisateur doit effectuer les étapes suivantes :

1. Accédez à la page du Panneau d'accès Microsoft Entra ID à l'adresse https://myapps.microsoft.com.

2. Dans le coin supérieur droit, sélectionnez votre nom, puis choisissez Profil dans le menu déroulant.

   

3. Dans la page Profil , sélectionnez Modifier le mot de passe.

4. Dans la page Modifier le mot de passe , entrez votre mot de passe existant (ancien), puis entrez et confirmez un nouveau mot de passe.

5. Sélectionnez Soumettre.

Quelques minutes après avoir modifié votre mot de passe, il faudra un certain temps avant que le nouveau mot de passe soit utilisable dans les services de domaine et pour vous connecter avec succès aux ordinateurs liés au domaine géré.

Étapes suivantes

Dans ce didacticiel, vous avez appris à :

• Comprendre les exigences DNS pour un domaine managé
• Créer un domaine managé
• Ajouter des utilisateurs administratifs à la gestion de domaine
• Activer les comptes d’utilisateur pour Domain Services et générer des hachages de mot de passe

Avant de joindre des machines virtuelles de jonction de domaine et de déployer des applications qui utilisent le domaine managé, configurez un réseau virtuel Azure pour les charges de travail d’application.

Configurer un réseau virtuel Azure pour les charges de travail d’application afin d’utiliser votre domaine managé