Partager via


Concepts de gestion pour les comptes d’utilisateur, les mots de passe et l’administration dans Microsoft Entra Domain Services

Lorsque vous créez et exécutez un domaine managé Microsoft Entra Domain Services, il y a certaines différences de comportement par rapport à un environnement AD DS local traditionnel. Vous utilisez les mêmes outils d’administration dans Domain Services en tant que domaine automanagé, mais vous ne pouvez pas accéder directement aux contrôleurs de domaine (DC, domain controllers). Il existe également des différences de comportement pour les stratégies de mot de passe et les hachages de mot de passe en fonction de la source de la création du compte d’utilisateur.

Cet article conceptuel explique en détail comment administrer un domaine managé et le comportement différent des comptes d’utilisateur en fonction de la façon dont ils sont créés.

Gestion de domaine

Un domaine managé est un espace de noms DNS associé à un annuaire. Dans un domaine managé, les contrôleurs de domaine (DC) qui contiennent toutes les ressources telles que les utilisateurs et les groupes, les informations d’identification et les stratégies font partie du service managé. Pour la redondance, deux contrôleurs de domaine sont créés dans le cadre d’un domaine managé. Vous ne pouvez pas vous connecter à ces contrôleurs de domaine pour effectuer des tâches de gestion. Au lieu de cela, vous créez une machine virtuelle de gestion qui est jointe au domaine managé, puis vous installez vos outils de gestion AD DS standard. Vous pouvez utiliser les composants logiciels enfichables du Centre d’administration Active Directory ou de MMC (Microsoft Management Console) comme les objets DNS ou de stratégie de groupe.

Création d’un compte d'utilisateur

Les comptes d’utilisateurs peuvent être créés dans un domaine managé de plusieurs façons. La plupart des comptes d’utilisateurs sont synchronisés à partir de Microsoft Entra ID, qui peut également inclure un compte d’utilisateur synchronisé à partir d’un environnement AD DS local. Vous pouvez également créer manuellement des comptes directement dans un domaine managé. Certaines caractéristiques, telles que la synchronisation de mot de passe initiale ou la stratégie de mot de passe, se comportent différemment selon le mode et l’emplacement de création des comptes d’utilisateur.

  • Le compte d’utilisateur peut être synchronisé à partir de Microsoft Entra ID. Cela inclut les comptes d'utilisateurs uniquement sur le cloud créés directement dans Microsoft Entra ID, ainsi que des comptes d'utilisateurs hybrides synchronisés à partir d'un environnement AD DS local à l'aide de Microsoft Entra Connect.
    • La majorité des comptes d'utilisateurs dans un domaine managé sont créés via le processus de synchronisation à partir de Microsoft Entra ID.
  • Le compte d’utilisateur peut être créé manuellement dans un domaine managé et n’existe pas dans Microsoft Entra ID.
    • Si vous avez besoin de créer des comptes de service pour des applications qui s’exécutent uniquement dans un domaine managé, vous pouvez les créer manuellement dans le domaine managé. La synchronisation étant unidirectionnelle à partir de Microsoft Entra ID, les comptes d’utilisateurs créés dans le domaine managé ne sont pas resynchronisés vers Microsoft Entra ID.

Stratégie de mot de passe

Domain Services comprend une stratégie de mot de passe par défaut qui définit des paramètres pour les éléments tels que le verrouillage de compte, l’âge maximum du mot de passe et la complexité de mot de passe. Les paramètres tels que la stratégie de verrouillage de compte s’appliquent à tous les utilisateurs dans un domaine managé quelle que soit la façon dont l’utilisateur a été créé comme indiqué dans la section précédente. Certains paramètres, comme la longueur minimale et la complexité du mot de passe, s’appliquent uniquement aux utilisateurs créés directement dans un domaine managé.

Vous pouvez créer vos propres stratégies de mot de passe personnalisées pour remplacer la stratégie par défaut dans un domaine managé. Ces stratégies personnalisées peuvent ensuite être appliquées à des groupes d’utilisateurs spécifiques en fonction des besoins.

Pour plus d’informations sur les différences dans la façon dont les stratégies de mot de passe sont appliquées en fonction de la source de la création de l’utilisateur, consultez Stratégies de mot de passe et de verrouillage de compte sur les domaines managés.

Hachages de mot de passe

Pour authentifier les utilisateurs sur le domaine managé, Domain Services exige des hachages de mot de passe dans un format adapté aux authentifications NT LAN Manager (NTLM) et Kerberos. Microsoft Entra ID ne génère et ne stocke pas les hachages de mot de passe au format nécessaire pour les authentifications NTLM ou Kerberos tant que vous n’activez pas Domain Services pour votre tenant. Pour des raisons de sécurité, Microsoft Entra ID ne stocke pas non plus d’informations d’identification de mot de passe sous forme de texte en clair. Par conséquent, Microsoft Entra ID ne peut pas générer automatiquement ces hachages de mot de passe NTLM ou Kerberos en fonction des informations d’identification existantes des utilisateurs.

Pour les comptes d’utilisateurs cloud uniquement, les utilisateurs doivent changer leur mot de passe avant de pouvoir utiliser le domaine managé. Ce processus de modification de mot de passe entraîne la génération et le stockage dans Microsoft Entra ID des hachages de mot de passe pour l’authentification Kerberos et NTLM. Le compte n’est pas synchronisé de Microsoft Entra ID à Domain Services tant que le mot de passe n’est pas modifié.

Pour les utilisateurs synchronisés à partir d’un environnement AD DS local à l’aide de Microsoft Entra Connect, activez la synchronisation des hachages de mot de passe .

Important

Microsoft Entra Connect synchronise uniquement les hachages de mot de passe hérités lorsque vous activez Domain Services pour votre locataire Microsoft Entra. Les hachages de mot de passe hérités ne sont pas utilisés si vous utilisez uniquement Microsoft Entra Connect pour synchroniser un environnement AD DS local avec Microsoft Entra ID.

Si vos applications héritées n’utilisent pas l’authentification NTLM ou les liaisons simples LDAP, nous vous recommandons de désactiver la synchronisation de hachage de mot de passe NTLM pour Domain Services. Pour plus d’informations, consultez Désactiver les suites de chiffrement faible et la synchronisation des hachages des informations d’identification NTLM.

Une fois configurés de façon appropriée, les hachages de mot de passe utilisables sont stockés dans le domaine managé. Si vous supprimez le domaine managé, tout hachage de mot de passe stocké à ce stade est également supprimé. Les informations d’identification synchronisées dans Microsoft Entra ID ne peuvent pas être réutilisées si vous créez par la suite un autre domaine managé. Vous devez reconfigurer la synchronisation de hachage de mot de passe pour stocker à nouveau les hachages de mot de passe. Les machines virtuelles ou les utilisateurs précédemment joints à un domaine ne peuvent pas s’authentifier immédiatement. Microsoft Entra ID doit générer et stocker les hachages de mot de passe dans le nouveau domaine managé. Pour plus d’informations, consultez Processus de synchronisation de hachage de mot de passe pour Domain Services et Microsoft Entra Connect.

Important

Microsoft Entra Connect doit uniquement être installé et configuré pour la synchronisation avec des environnements AD DS locaux. L’installation de Microsoft Entra Connect n’est pas prise en charge dans un domaine managé pour synchroniser les objets avec Microsoft Entra ID.

Forêts et approbations

Une forêt est une construction logique utilisée par Active Directory Domain Services (AD DS) pour regrouper un ou plusieurs domaines. Les domaines stockent alors les objets pour un utilisateur ou des groupes et fournissent des services d’authentification.

Dans Domain Services, la forêt ne contient qu’un seul domaine. Les forêts AD DS locales contiennent souvent de nombreux domaines. Dans les grandes organisations, en particulier après des fusions et acquisitions, vous pouvez vous retrouver avec plusieurs forêts locales qui contiennent chacune plusieurs domaines.

Un domaine managé synchronise par défaut tous les objets depuis Microsoft Entra ID, y compris les comptes d’utilisateurs créés dans un environnement AD DS local. Les comptes d’utilisateur peuvent directement s’authentifier auprès du domaine managé, par exemple pour se connecter à une machine virtuelle jointe à un domaine. Cette approche fonctionne lorsque les hachages de mot de passe peuvent être synchronisés et que les utilisateurs n’utilisent pas de méthode de connexion exclusive, comme l’authentification par carte à puce.

Dans Domain Services, vous pouvez également créer une approbation de forêt avec un autre domaine pour permettre aux utilisateurs d’accéder aux ressources. Selon vos exigences d’accès, vous pouvez créer l’approbation de forêt dans différentes directions.

Direction de l’approbation Accès utilisateur
Bidirectionnel Permet aux utilisateurs du domaine managé et du domaine local d’accéder aux ressources dans l’un ou l’autre domaine.
Sortante unidirectionnelle Permet aux utilisateurs du domaine local d’accéder aux ressources du domaine managé, mais pas inversement.
Entrante unidirectionnelle Permet aux utilisateurs du domaine managé d’accéder aux ressources du domaine local.

Références SKU Domain Services

Dans Domain Services, les performances et fonctionnalités disponibles sont basées sur la référence SKU. Vous sélectionnez une référence SKU lorsque vous créez le domaine managé et pouvez changer de références SKU au fil des besoins de votre entreprise, une fois le domaine managé déployé. Le tableau suivant présente les références SKU disponibles ainsi que leurs différences :

Nom de la référence (SKU) Nombre maximal d'objets Fréquence de sauvegarde
Standard Illimité Tous les 5 jours
Entreprise Illimité Tous les 3 jours
Premium Illimité Quotidien

Avant ces références SKU Domain Services, un modèle de facturation basé sur le nombre d’objets (comptes d’utilisateurs et d’ordinateurs) dans le domaine managé était utilisé. Il n’existe plus de tarification variable en fonction du nombre d’objets du domaine managé.

Pour plus d’informations, consultez la page de tarification Domain Services.

Performances du domaine managé

Les performances du domaine varient selon la manière dont l’authentification est implémentée pour une application. Des ressources de calcul supplémentaires peuvent contribuer à améliorer le temps de réponse aux requêtes et réduire le délai des opérations de synchronisation. Plus le niveau de référence SKU augmente, plus les ressources de calcul disponibles pour le domaine managé augmentent aussi. Surveillez les performances de vos applications et planifiez les ressources requises.

Si les besoins de votre entreprise ou de vos applications évoluent et qu'il vous faut une puissance de calcul supplémentaire pour votre domaine managé, vous pouvez opter pour une autre référence SKU.

Fréquence de sauvegarde

La fréquence de sauvegarde détermine la fréquence de prise d'un instantané du domaine managé. Les sauvegardes relèvent d'un processus automatisé managé par la plateforme Azure. En cas de problème lié à votre domaine managé, le support Azure peut vous aider à procéder à une restauration à partir d'une sauvegarde. La synchronisation étant unidirectionnelle depuis Microsoft Entra ID, les problèmes survenant dans un domaine managé n’ont pas d’impact sur Microsoft Entra ID ou les environnements et fonctionnalités AD DS locaux.

Plus le niveau de référence SKU augmente, plus la fréquence de ces instantanés de sauvegarde augmente aussi. Examinez les besoins de votre entreprise et l’objectif de point de récupération afin de déterminer la fréquence de sauvegarde requise pour votre domaine managé. Si les besoins de votre entreprise ou de vos applications évoluent et que vous avez besoin de sauvegardes plus fréquentes, vous pouvez opter pour une autre référence SKU.

Domain Services fournit les conseils suivants pour les intervalles de temps de récupération pour différents types de problèmes :

  • L’objectif de point de récupération (RPO) est l’intervalle de temps maximal dans lequel il existe une perte potentielle de données ou de transactions à partir d’un incident.
  • L’objet de temps de récupération (RTO) est l’intervalle de temps ciblé qui se produit avant que les niveaux de service ne redeviennent opérationnels après un incident.
Problèmes RPO RTO
Problèmes causés par la perte ou la corruption de données des contrôleurs de domaine des services de domaine, des services dépendants, d’un exploit qui a compromis le domaine ou d’un autre incident qui nécessite la restauration d’un contrôleur de domaine. Cinq jours avant l’occurrence de l’événement Deux heures à quatre jours, selon la taille du locataire
Problèmes identifiés par nos diagnostics de domaine. Zéro (0 minutes) Deux heures à quatre jours, selon la taille du locataire

Étapes suivantes

Pour commencer, créez un domaine managé Domain Services.