Tutoriel : Créer une machine virtuelle de gestion pour configurer et administrer un domaine managé Azure Active Directory Domain Services

Azure Active Directory Domain Services (Azure AD DS) fournit des services de domaines managés, comme la jonction de domaine, la stratégie de groupe, le protocole LDAP, et l’authentification Kerberos/NTLM entièrement compatible avec Windows Server Active Directory. Vous administrez ce domaine managé avec les mêmes outils d’administration de serveur distant (RSAT, Remote Server Administration Tool) qu’avec un domaine Active Directory Domain Services local. Comme Azure AD DS est un service managé, vous ne pouvez pas effectuer certaines tâches d’administration, comme utiliser le protocole RDP (Remote Desktop Protocol) pour vous connecter aux contrôleurs de domaine.

Ce tutoriel explique comment configurer une machine virtuelle Windows Server dans Azure et comment installer les outils nécessaires à l’administration d’un domaine Azure AD DS managé.

Dans ce tutoriel, vous allez apprendre à :

  • Comprendre les tâches d’administration disponibles dans un domaine managé
  • Installer les outils d’administration Active Directory sur une machine virtuelle Windows Server
  • Utiliser le Centre d’administration Active Directory pour effectuer des tâches courantes

Si vous n’avez pas d’abonnement Azure, créez un compte avant de commencer.

Prérequis

Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :

Connectez-vous au portail Azure.

Dans ce tutoriel, vous créez et vous configurez une machine virtuelle de gestion avec le portail Azure. Pour commencer, connectez-vous au portail Azure.

Tâches d’administration disponibles dans Azure AD DS

Azure AD DS fournit un domaine managé que vos utilisateurs, vos applications et vos services vont utiliser. Cette approche change certaines des tâches de gestion disponibles que vous pouvez effectuer, ainsi que les privilèges dont vous disposez dans le domaine managé. Ces tâches et autorisations peuvent être différentes de celles que vous rencontrez avec un environnement Active Directory Domain Services local normal. Vous ne pouvez pas vous connecter aux contrôleurs du domaine managé avec Bureau à distance.

Tâches d’administration pouvant être effectuées sur un domaine géré

Les membres du groupe AAD DC Administrators bénéficient de privilèges leur permettant d’effectuer les tâches suivantes sur le domaine managé :

  • Configurer l’objet de stratégie de groupe intégré pour les conteneurs Ordinateurs AADDC et Utilisateurs AADDC dans le domaine managé.
  • administrer le DNS sur le domaine géré ;
  • Créer et administrer des unités d’organisation personnalisées dans le domaine managé.
  • obtenir un accès d’administrateur aux ordinateurs joints au domaine géré ;

Privilèges d’administrateur dont vous ne disposez pas sur un domaine managé

Le domaine managé est verrouillé : vous ne disposez donc pas de privilèges permettant d’effectuer certaines tâches d’administration sur le domaine. Voici quelques exemples de tâches que vous ne pouvez pas effectuer :

  • Étendre le schéma du domaine managé.
  • Vous connecter aux contrôleurs de domaine du domaine managé avec Bureau à distance.
  • Ajouter des contrôleurs de domaine au domaine managé.
  • Vous ne disposez pas des privilèges Administrateur de domaine ou Administrateur d’entreprise pour le domaine managé.

Se connecter à la machine virtuelle Windows Server

Dans le tutoriel précédent, une machine virtuelle Windows Server a été créée et jointe au domaine managé. Utilisez cette machine virtuelle pour installer les outils de gestion. Si nécessaire, suivez les étapes du tutoriel pour créer et joindre une machine virtuelle Windows Server à un domaine managé.

Notes

Dans ce tutoriel, vous utilisez une machine virtuelle Windows Server dans Azure qui est jointe au domaine managé. Vous pouvez également utiliser un client Windows, comme Windows 10, qui est joint au domaine managé.

Pour plus d’informations sur l’installation des outils d’administration sur un client Windows, consultez Installer les outils d’administration de serveur distant.

Pour commencer, connectez-vous à la machine virtuelle Windows Server comme suit :

  1. Dans le portail Azure, sélectionnez Groupes de ressources sur le côté gauche. Choisissez le groupe de ressources où votre machine virtuelle a été créée, par exemple myResourceGroup, puis sélectionnez la machine virtuelle, par exemple myVM.

  2. Dans le volet Vue d’ensemble de votre machine virtuelle, sélectionnez Se connecter, puis Bastion.

    Se connecter à une machine virtuelle Windows avec Bastion dans le portail Azure

  3. Entrez les informations d’identification pour votre machine virtuelle, puis sélectionnez Se connecter.

    Se connecter via l’hôte Bastion dans le portail Azure

Si nécessaire, autorisez votre navigateur web à ouvrir des fenêtres contextuelles pour afficher la connexion Bastion. Il faut quelques secondes pour établir la connexion à votre machine virtuelle.

Installer les outils d’administration Active Directory

Dans un domaine managé, vous utilisez les mêmes outils d’administration que dans les environnements AD DS locaux, comme le Centre d’administration Active Directory (ADAC) ou AD PowerShell. Ces outils peuvent être installés dans le cadre de la fonctionnalité Outils d’administration de serveur distant sur des ordinateurs Windows Server et des ordinateurs clients. Les membres du groupe Administrateurs AAD DC peuvent administrer les domaines managés à distance en utilisant ces outils d’administration AD à partir d’un ordinateur joint au domaine managé.

Pour installer les outils d’administration Active Directory sur une machine virtuelle jointe au domaine, effectuez les étapes suivantes :

  1. Si Gestionnaire de serveur ne s’ouvre pas par défaut lorsque vous vous connectez à la machine virtuelle, sélectionnez le menu Démarrer, puis choisissez Gestionnaire de serveur.

  2. Dans le volet Tableau de bord de la fenêtre Gestionnaire de serveur, sélectionnez Ajouter des rôles et des fonctionnalités.

  3. Dans la page Avant de commencer de l’Assistant Ajout de rôles et de fonctionnalités, sélectionnez Suivant.

  4. Pour le Type d’installation, laissez l’option Installation basée sur un rôle ou une fonctionnalité cochée et sélectionnez Suivant.

  5. Dans la page Sélection du serveur, choisissez la machine virtuelle actuelle dans le pool de serveurs, par exemple myvm.aaddscontoso.com, puis sélectionnez Suivant.

  6. Sur la page Rôles de serveurs, cliquez sur Suivant.

  7. Dans la page Fonctionnalités, développez le nœud Outils d’administration de serveur distant, puis développez le nœud Outils d’administration de rôles.

    Choisissez la fonctionnalité Outils AD DS et AD LDS dans la liste des outils d’administration de rôles, puis sélectionnez Suivant.

    Installer les « Outils AD DS et AD LDS » à partir de la page Fonctionnalités

  8. Dans la page Confirmation, sélectionnez Installer. L’installation des outils d’administration peut prendre une ou deux minutes.

  9. Une fois l’installation de la fonctionnalité terminée, sélectionnez Fermer pour quitter l’Assistant Ajout de rôles et de fonctionnalités.

Utiliser les outils d’administration Active Directory

Une fois les outils d’administration installés, voyons comment les utiliser pour administrer le domaine managé. Vérifiez que vous êtes connecté à la machine virtuelle avec un compte d’utilisateur membre du groupe Administrateurs AAD DC.

  1. Dans le menu Démarrer, sélectionnez Outils d’administration Windows. Les outils d’administration Active Directory installés à l’étape précédente figurent dans la liste.

    Liste des outils d’administration installés sur le serveur

  2. Sélectionnez Centre d’administration Active Directory.

  3. Pour explorer le domaine managé, choisissez le nom de domaine dans le volet gauche, par exemple aaddscontoso. Deux conteneurs nommés Ordinateurs AADDC et Utilisateurs AADDC se trouvent en haut de la liste.

    Lister les conteneurs disponibles faisant partie du domaine managé

  4. Pour voir les utilisateurs et les groupes appartenant au domaine managé, sélectionnez le conteneur Utilisateurs AADDC. Les comptes d’utilisateur et les groupes de votre locataire Azure AD sont listés dans ce conteneur.

    Dans l’exemple de sortie suivant, un compte d’utilisateur nommé Contoso Admin et un groupe pour Administrateurs AAD DC figurent dans ce conteneur.

    Afficher la liste des utilisateurs du domaine Azure AD DS dans le Centre d’administration Active Directory

  5. Pour voir les ordinateurs qui sont joints au domaine managé, sélectionnez le conteneur Ordinateurs AADDC. Une entrée pour la machine virtuelle actuelle, par exemple myVM figure dans la liste. Les comptes d’ordinateurs de tous les appareils joints au domaine managé sont stockés dans le conteneur Ordinateurs AADDC.

Les actions courantes du Centre d’administration Active Directory, comme la réinitialisation du mot de passe d’un compte d’utilisateur ou la gestion de l’appartenance à un groupe, sont disponibles. Ces actions fonctionnent seulement pour les utilisateurs et les groupes créés directement dans le domaine managé. Les informations d’identité ne sont synchronisées que depuis Azure AD vers Azure AD DS. Il n’y a pas de mise à jour depuis Azure AD DS vers Azure AD. Vous ne pouvez pas changer les mots de passe ou l’appartenance à un groupe managé pour les utilisateurs synchronisés à partir d’Azure AD et obtenir la synchronisation de ces modifications.

Vous pouvez également utiliser le Module Active Directory pour Windows PowerShell, qui est installé dans le cadre des outils d’administration, pour gérer les actions courantes dans votre domaine managé.

Étapes suivantes

Dans ce didacticiel, vous avez appris à :

  • Comprendre les tâches d’administration disponibles dans un domaine managé
  • Installer les outils d’administration Active Directory sur une machine virtuelle Windows Server
  • Utiliser le Centre d’administration Active Directory pour effectuer des tâches courantes

Pour interagir de façon sécurisée avec votre domaine managé à partir d’autres applications, activez le protocole LDAPS.