Tutoriel : créer et configurer un domaine managé Microsoft Entra Domain Services
Microsoft Entra Domain Services fournit des services de domaine managé tels que la jonction de domaine, la stratégie de groupe, le protocole LDAP, l’authentification Kerberos/NTLM, totalement compatibles avec Windows Server Active Directory. Vous consommez ces services de domaine sans déployer, gérer et mettre à jour avec des correctifs les contrôleurs de domaine vous-même. Domain Services s’intègre à votre tenant Microsoft Entra existant. Cette intégration permet aux utilisateurs de se connecter en utilisant leurs informations d’identification d’entreprise, et vous pouvez utiliser des groupes et des comptes d’utilisateur existants pour sécuriser l’accès aux ressources.
Vous pouvez créer un domaine managé avec des options de configuration par défaut pour le réseau et la synchronisation, ou définir ces paramètres manuellement. Ce tutoriel vous montre comment utiliser les options par défaut pour créer et configurer un domaine managé Domain Services en tirant parti du Centre d’administration Microsoft Entra.
Dans ce tutoriel, vous allez apprendre à :
- Comprendre les exigences DNS pour un domaine managé
- Créer un domaine managé
- Activer la synchronisation de hachage de mot de passe
Si vous n’avez pas d’abonnement Azure, créez un compte avant de commencer.
Prérequis
Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :
- Un abonnement Azure actif.
- Si vous n’avez pas d’abonnement Azure, créez un compte.
- Un client Microsoft Entra associé à votre abonnement, soit synchronisé avec un annuaire sur site, soit avec un annuaire cloud uniquement.
- Si nécessaire, créez un client Microsoft Entra ou associez un abonnement Azure à votre compte.
- Vous avez besoin des rôles Microsoft Entra Administrateur d’applications et Administrateur de groupes dans votre tenant pour activer Domain Services.
- Vous avez besoin du rôle Azure Contributeur de Domain Services pour créer les ressources Domain Services nécessaires.
- Vous avez besoin d’un réseau virtuel avec des serveurs DNS qui peuvent interroger l’infrastructure nécessaire, comme le stockage. Des serveurs DNS qui ne peuvent pas effectuer de requêtes Internet générales peuvent empêcher de créer un domaine managé.
Bien que ce ne soit pas obligatoire pour Domain Services, nous vous recommandons de configurer la réinitialisation de mot de passe en libre-service (SSPR) pour le tenant Microsoft Entra. Les utilisateurs peuvent changer leur mot de passe sans SSPR, mais SSPR aide s’ils oublient leur mot de passe et doivent les réinitialiser.
Important
Vous ne pouvez pas déplacer le domaine managé dans un autre abonnement, un autre groupe de ressources ou une autre région après l’avoir créé. Veillez à sélectionner l’abonnement, le groupe de ressources et la région les plus appropriés quand vous déployez le domaine managé.
Se connecter au centre d’administration Microsoft Entra
Dans ce tutoriel, vous allez créer et configurer un domaine managé à l’aide du centre d’administration Microsoft Entra. Pour commencer, connectez-vous d’abord au centre d’administration Microsoft Entra.
Créer un domaine managé
Pour lancer l’Assistant Activer Microsoft Entra Domain Services, procédez comme suit :
Dans le menu du Centre d’administration Microsoft Entra ou dans la page d’accueil, recherchez Services de domaine, puis choisissez Microsoft Entra Domain Services.
Sur la page Microsoft Entra Domain Services, sélectionnez Créer Microsoft Entra Domain Services.
Sélectionnez l’Abonnement Azure dans lequel vous souhaitez créer le domaine managé.
Sélectionnez le Groupe de ressources auquel le domaine managé doit appartenir. Choisissez de Créer ou de sélectionner un groupe de ressources existant.
Quand vous créez un domaine managé, vous spécifiez un nom DNS. Voici quelques considérations liées au choix de ce nom DNS :
- Nom de domaine intégré : Par défaut, le nom de domaine intégré de l’annuaire est utilisé (un suffixe .onmicrosoft.com). Si vous voulez activer l’accès LDAP sécurisé au domaine managé via Internet, vous ne pouvez pas créer un certificat numérique pour sécuriser la connexion avec ce domaine par défaut. Microsoft détient le domaine .onmicrosoft.com : une autorité de certification n’émettra donc pas de certificat.
- Noms de domaine personnalisés : L’approche la plus courante consiste à spécifier un nom de domaine personnalisé, en général celui que vous possédez déjà et qui est routable. Quand vous utilisez un domaine personnalisé routable, le trafic peut s’écouler correctement en fonction des besoins pour prendre en charge vos applications.
- Suffixes de domaine non routables : D’une façon générale, nous vous recommandons d’éviter un suffixe de nom de domaine non routable, comme contoso.local. Le suffixe .local n’est pas routable et peut entraîner des problèmes de résolution DNS.
Conseil
Si vous créez un nom de domaine personnalisé, faites attention aux espaces de noms DNS existants. Bien qu’il soit pris en charge, il est recommandé d’utiliser un nom de domaine distinct de n’importe quel espace de noms DNS Azure ou local existant.
Par exemple, si vous disposez de l’espace de noms DNS existant contoso.com, créez un domaine managé avec le nom de domaine personnalisé dscontoso.com. Si vous devez utiliser le protocole LDAP sécurisé, vous devez inscrire et avoir ce nom de domaine personnalisé pour générer les certificats requis.
Vous devrez peut-être créer des enregistrements DNS supplémentaires pour d’autres services dans votre environnement, ou des redirecteurs DNS conditionnels entre les espaces de noms DNS existants dans votre environnement. Par exemple, si vous exécutez un serveur web qui héberge un site à l’aide du nom DNS racine, il peut y avoir des conflits de nommage qui nécessitent des entrées DNS supplémentaires.
Dans ces tutoriels et articles de guide pratique, le domaine personnalisé dscontoso.com est utilisé dans un petit exemple. Dans toutes les commandes, spécifiez votre propre nom de domaine.
Les restrictions de nom DNS suivantes s’appliquent également :
- Restrictions de préfixe de domaine : Vous ne pouvez pas créer de domaine managé avec un préfixe de plus de 15 caractères. Le préfixe du nom de domaine spécifié (par exemple, dscontoso dans le nom de domaine dscontoso.com) doit contenir au maximum 15 caractères.
- Conflits de noms de réseau : Le nom de domaine DNS de votre domaine managé ne doit pas déjà exister dans le réseau virtuel. En particulier, recherchez les scénarios suivants, qui aboutiraient à un conflit de noms :
- Si vous avec un domaine Active Directory avec le même nom de domaine DNS sur le réseau virtuel Azure.
- Si le réseau virtuel dans lequel vous envisagez d’activer le domaine managé a une connexion VPN avec votre réseau local. Dans ce scénario, veillez à ne pas avoir de domaine portant le même nom de domaine DNS sur votre réseau local.
- Si vous avez un service cloud Azure avec ce nom sur le réseau virtuel Azure.
Renseignez les champs de la fenêtre Informations de base du centre d’administration Microsoft Entra pour créer un domaine managé :
Entrez un Nom de domaine DNS pour votre domaine managé, en tenant compte des points précédents.
Choisissez la région Azure dans lequel créer le domaine managé. Si vous choisissez une région qui prend en charge Zones de disponibilité Azure, les ressources Domain Services sont réparties entre les zones pour une redondance supplémentaire.
Conseil
Les Zones de disponibilité sont des emplacements physiques uniques au sein d’une région Azure. Chaque zone de disponibilité est composée d’un ou de plusieurs centres de données équipés d’une alimentation, d’un système de refroidissement et d’un réseau indépendants. Pour garantir la résilience, un minimum de trois zones distinctes sont activées dans toutes les régions.
Vous ne devez rien configurer pour la répartition des ressources Domain Services entre les zones. La plateforme Azure gère automatiquement la répartition de zone des ressources. Pour plus d’informations et pour connaître la disponibilité régionale, voir Zones de disponibilité dans Azure.
La référence SKU détermine le niveau de performance et la fréquence de sauvegarde. Vous pouvez changer de référence SKU après la création du domaine managé en cas de changement des besoins métier. Pour obtenir plus d’informations, consultez Concepts de référence SKU dans Domain Services.
Pour ce tutoriel, sélectionnez la référence SKU Standard. La fenêtre de base doit ressembler à cette capture d’écran :
Pour créer rapidement un domaine managé, vous pouvez sélectionner Vérifier + créer afin d’accepter d’autres options de configuration par défaut. Quand vous choisissez cette option de création, les paramètres par défaut suivants sont configurés :
- Crée un réseau virtuel, nommé par défaut ds-vnet, qui utilise la plage d’adresses IP 10.0.1.0/24.
- Crée un sous-réseau appelé dds-subnet qui utilise la plage d’adresses IP 10.0.1.0/24.
- Permet de synchroniser tous les utilisateurs de Microsoft Entra ID dans le domaine managé.
Remarque
Vous ne devez pas utiliser d'adresses IP publiques pour les réseaux virtuels et leurs sous-réseaux en raison des problèmes suivants :
Rareté de l'adresse IP : Les adresses IP publiques IPv4 sont limitées, et leur demande dépasse souvent l'offre disponible. En outre, il existe un chevauchement potentiel d'adresses IP avec des points de terminaison publics.
Risques de sécurité : L'utilisation d'adresses IP publiques pour les réseaux virtuels expose vos appareils directement à Internet, ce qui augmente le risque d'accès non autorisé et d'attaques potentielles. Sans mesures de sécurité appropriées, vos appareils peuvent devenir vulnérables à diverses menaces.
Complexité : La gestion d'un réseau virtuel avec des adresses IP publiques peut être plus complexe que l'utilisation d'adresses IP privées, car cela nécessite de gérer des plages d'adresses IP externes et d'assurer une segmentation et une sécurité appropriées du réseau.
Il est fortement recommandé d'utiliser des adresses IP privées. Si vous utilisez une adresse IP publique, assurez-vous que vous êtes le propriétaire/utilisateur dédié des adresses IP choisies dans la plage publique que vous avez choisie.
Sélectionnez Vérifier + créer pour accepter ces options de configuration par défaut.
Déployer le domaine managé
Dans la page Résumé de l’Assistant, examinez les paramètres de configuration du domaine managé. Vous pouvez revenir à n’importe quelle étape de l’Assistant pour faire des modifications. Pour redéployer un domaine managé sur un autre tenant Microsoft Entra en utilisant ces mêmes options de configuration, vous pouvez également Télécharger un modèle pour l’automatisation.
Pour créer le domaine managé, sélectionnez Créer. Une remarque s’affiche pour signaler que certaines options de configuration, telles que le nom DNS ou le réseau virtuel, ne sont plus modifiables une fois le domaine managé Domain Services créé. Pour continuer, sélectionnez OK.
Le processus d’approvisionnement de votre domaine managé peut prendre jusqu’à une heure. Une notification s’affiche dans le portail indiquant la progression de votre déploiement Domain Services.
Lorsque le domaine managé est entièrement approvisionné, l’onglet Vue d’ensemble affiche l’état du domaine comme En cours d’exécution. Expans Détails du déploiement pour obtenir des liens vers des ressources telles que le réseau virtuel et le groupe de ressources réseau.
Important
Le domaine managé est associé à votre répertoire Microsoft Entra. Pendant le processus d’approvisionnement, Domain Services crée deux applications d’entreprise nommées Domain Controller Services et AzureActiveDirectoryDomainControllerServices dans le répertoire Microsoft Entra. Ces applications d’entreprise sont nécessaires pour entretenir votre domaine géré. Ne supprimez pas ces applications.
Mettre à jour les paramètres DNS pour le réseau virtuel Azure
Maintenant que Domain Services est correctement déployé, configurez le réseau virtuel pour permettre à d’autres machines virtuelles et applications connectées d’utiliser le domaine managé. Pour fournir cette connectivité, mettez à jour les paramètres du serveur DNS pour que votre réseau virtuel pointe vers les deux adresses IP où le domaine managé est déployé.
L’onglet Vue d’ensemble pour votre domaine managé montre quelques Étapes de configuration obligatoires. La première étape de configuration est de mettre à jour les paramètres du serveur DNS pour votre réseau virtuel. Une fois les paramètres DNS correctement configurés, cette étape n’apparaît plus.
Les adresses listées sont les contrôleurs de domaine à utiliser dans le réseau virtuel. Dans cet exemple, ces adresses sont 10.0.1.4 et 10.0.1.5. Vous pouvez trouver ultérieurement ces adresses IP sous l’onglet Propriétés.
Pour mettre à jour les paramètres du serveur DNS pour le réseau virtuel, sélectionnez le bouton Configurer. Les paramètres DNS sont configurés automatiquement pour votre réseau virtuel.
Conseil
Si vous avez sélectionné un réseau virtuel existant au cours des étapes précédentes, les machines virtuelles connectées au réseau obtiennent les nouveaux paramètres DNS seulement après un redémarrage. Vous pouvez redémarrer des machines virtuelles en tirant parti du Centre d’administration Microsoft Entra, de Microsoft Graph PowerShell ou de l’interface Azure CLI.
Activer des comptes d’utilisateur pour Domain Services
Pour authentifier les utilisateurs sur le domaine managé, Domain Services exige des hachages de mot de passe dans un format adapté aux authentifications NT LAN Manager (NTLM) et Kerberos. Microsoft Entra ID ne génère et ne stocke pas les hachages de mot de passe au format nécessaire pour les authentifications NTLM ou Kerberos tant que vous n’activez pas Domain Services pour votre tenant. Pour des raisons de sécurité, Microsoft Entra ID ne stocke pas non plus d’informations d’identification de mot de passe sous forme de texte en clair. Par conséquent, Microsoft Entra ID ne peut pas générer automatiquement ces hachages de mot de passe NTLM ou Kerberos en fonction des informations d’identification existantes des utilisateurs.
Remarque
Une fois configurés de façon appropriée, les hachages de mot de passe utilisables sont stockés dans le domaine managé. Si vous supprimez le domaine managé, tout hachage de mot de passe stocké à ce stade est également supprimé.
Les informations d’identification synchronisées dans Microsoft Entra ID ne peuvent pas être réutilisées si vous créez par la suite un domaine managé. Vous devez reconfigurer la synchronisation de hachage de mot de passe pour stocker à nouveau les hachages de mot de passe. Les machines virtuelles ou les utilisateurs précédemment joints à un domaine ne peuvent pas s’authentifier immédiatement. Microsoft Entra ID doit générer et stocker les hachages de mot de passe dans le nouveau domaine managé.
La synchronisation cloud Microsoft Entra Connect n'est pas prise en charge avec les services de domaine. Les utilisateurs locaux doivent être synchronisés en utilisant Microsoft Entra Connect pour pouvoir accéder aux machines virtuelles jointes à un domaine. Pour obtenir plus d’informations, consultez Processus de synchronisation de hachage de mot de passe pour Domain Services et Microsoft Entra Connect.
Les étapes de génération et de stockage de ces hachages de mot de passe sont différentes pour les comptes d’utilisateur cloud uniquement créés dans Microsoft Entra ID et pour les comptes d’utilisateur synchronisés à partir de votre répertoire local en tirant parti de Microsoft Entra Connect.
Un compte d’utilisateur uniquement dans le cloud est un compte créé dans votre répertoire Microsoft Entra en utilisant le Centre d’administration Microsoft Entra ou PowerShell. Ces comptes d’utilisateurs ne sont pas synchronisés à partir d’un annuaire local.
Dans ce tutoriel, nous utilisons un compte d’utilisateur de base cloud uniquement. Pour obtenir plus d’informations sur les étapes supplémentaires nécessaires pour utiliser Microsoft Entra Connect, consultez Synchroniser les hachages de mot de passe pour les comptes d’utilisateur synchronisés à partir de votre AD local vers votre domaine managé.
Conseil
Si votre répertoire Microsoft Entra comporte une combinaison d’utilisateurs synchronisés et d’utilisateurs dans le nuage, vous devez effectuer les deux séries d’étapes.
Pour les comptes d’utilisateurs cloud uniquement, les utilisateurs doivent changer leur mot de passe avant de pouvoir utiliser Domain Services. Ce processus de modification de mot de passe entraîne la génération et le stockage dans Microsoft Entra ID des hachages de mot de passe pour l’authentification Kerberos et NTLM. Le compte n’est pas synchronisé entre Microsoft Entra ID et Domain Services tant que le mot de passe n’est pas modifié. Vous pouvez soit faire expirer les mots de passe de tous les utilisateurs cloud du tenant qui doivent utiliser Domain Services, ce qui force la modification de mot de passe à la connexion suivante, soit demander aux utilisateurs cloud de modifier manuellement leur mot de passe. Pour ce tutoriel, nous changeons manuellement le mot de passe d’un utilisateur.
Pour qu’un utilisateur puisse réinitialiser son mot de passe, le tenant Microsoft Entra doit être configuré pour la réinitialisation du mot de passe en libre-service.
Pour changer le mot de passe d’un utilisateur cloud uniquement, l’utilisateur doit effectuer les étapes suivantes :
Accédez à la page du volet d’accès de Microsoft Entra ID à l’adresse https://myapps.microsoft.com.
En haut à droite, sélectionnez votre nom, puis choisissez Profil dans le menu déroulant.
Dans la page Profil, sélectionnez Changer le mot de passe.
Dans la page Changer le mot de passe, entrez votre mot de passe existant (l’ancien), puis entrez un nouveau mot de passe et confirmez-le.
Sélectionnez Soumettre.
Une fois que vous avez changé votre mot de passe, quelques minutes sont nécessaires pour que le nouveau mot de passe soit utilisable dans Domain Services et que vous puissiez vous connecter aux ordinateurs joints au domaine managé.
Étapes suivantes
Dans ce didacticiel, vous avez appris à :
- Comprendre les exigences DNS pour un domaine managé
- Créer un domaine managé
- Ajouter des utilisateurs d’administration à la gestion du domaine
- Activer les comptes d’utilisateur pour Domain Services et générer les hachages de mot de passe
Avant de joindre des machines virtuelles au domaine et de déployer des applications qui utilisent le domaine managé, configurez un réseau virtuel Azure pour les charges de travail des applications.