Partager via


Authentification fédérée haute disponibilité, phase 1 : Configurer Azure

Au cours de cette phase, vous créez les groupes de ressources, le réseau virtuel (VNet) et les groupes à haute disponibilité dans Azure qui hébergeront les machines virtuelles dans les phases 2, 3 et 4. Vous devez effectuer cette phase avant de passer à la phase 2 : Configurer les contrôleurs de domaine. Consultez Déployer l’authentification fédérée à haute disponibilité pour Microsoft 365 dans Azure pour toutes les phases.

Azure doit être approvisionné avec les composants de base suivants :

  • Groupes de ressources

  • Un réseau virtuel Azure intersite avec des sous-réseaux pour l’hébergement des machines virtuelles Azure

  • Groupes de sécurité réseau pour effectuer l'isolation des sous-réseaux

  • Groupes à haute disponibilité

Configurer les composants Azure

Avant de commencer à configurer les composants Azure, renseignez les tableaux suivants. Pour vous aider dans les procédures de configuration Azure, imprimez cette section et notez les informations nécessaires ou copiez cette section dans un document et remplissez-le. Pour les paramètres du réseau virtuel, renseignez le tableau V.

Élément Paramètre de configuration Description Valeur
1.
Nom du réseau virtuel
Nom à attribuer au réseau virtuel (par exemple FedAuthNet).
Ligne.
2.
Emplacement du réseau virtuel
Centre de données Azure régional qui contiendra le réseau virtuel.
Ligne.
3.
Adresse IP du périphérique VPN
Adresse IPv4 publique de l'interface de votre périphérique VPN sur Internet.
Ligne.
4.
Espace d'adressage du réseau virtuel
Espace d'adressage du réseau virtuel. Renseignez-vous auprès de votre service informatique pour déterminer cet espace d'adressage.
Ligne.
5.
Clé partagée IPsec
Chaîne alphanumérique aléatoire de 32 caractères, utilisée pour authentifier les deux côtés de la connexion VPN de site à site. Renseignez-vous auprès de votre service informatique ou de sécurité pour déterminer cette valeur de clé. Vous pouvez également consulter la page relative à la création d'une chaîne aléatoire pour une clé prépartagée IPsec.
Ligne.

Tableau V : configuration de réseau virtuel entre différents locaux

Remplissez ensuite le Tableau S pour les sous-réseaux de cette solution. Tous les espaces d'adressage doivent être au format de routage CIDR (Classless Interdomain Routing), également appelé format de préfixe de réseau. Par exemple, 10.24.64.0/20.

Pour les trois premiers sous-réseaux, spécifiez un nom et un espace d’adressage IP unique en fonction de l’espace d’adressage du réseau virtuel. Pour le sous-réseau de passerelle, déterminez l’espace d’adressage 27 bits (avec une longueur de préfixe /27) pour le sous-réseau de passerelle Azure avec les éléments suivants :

  1. Définissez la variable bits de l'espace d'adressage du réseau virtuel sur 1, jusqu'aux bits utilisés par le sous-réseau de passerelle, puis définissez les autres sur 0.

  2. Convertissez les bits résultants en nombres décimaux et exprimez-les sous forme d'espace d'adressage, en définissant la longueur du préfixe sur une valeur équivalente à la taille du sous-réseau de passerelle.

Consultez Calculatrice d’espace d’adressage pour les sous-réseaux de passerelle Azure pour obtenir un bloc de commande PowerShell et une application console C# ou Python qui effectue ce calcul pour vous.

Renseignez-vous auprès de votre service informatique pour déterminer ces espaces d'adressage à partir de l'espace d'adressage de réseau virtuel.

Élément Nom du sous-réseau Espace d'adressage de sous-réseau Objectif
1.
Ligne.
Ligne.
Sous-réseau utilisé par le contrôleur de domaine services de domaine Active Directory (AD DS) et les machines virtuelles du serveur de synchronisation d’annuaires.
2.
Ligne.
Ligne.
Sous-réseau utilisé par les machines virtuelles AD FS.
3.
Ligne.
Ligne.
Sous-réseau utilisé par les machines virtuelles proxy d’application web.
4.
GatewaySubnet
Ligne.
Sous-réseau utilisé par les machines virtuelles de la passerelle Azure.

Tableau S : sous-réseaux dans le réseau virtuel

Ensuite, renseignez le Tableau I pour les adresses IP statiques affectées à des machines virtuelles et à des instances d'équilibreur de charge.

Élément Objectif Adresse IP sur le sous-réseau Valeur
1.
Adresse IP statique du premier contrôleur de domaine
La quatrième adresse IP possible pour l'espace d'adressage du sous-réseau défini dans l'Élément 1 du Tableau S.
Ligne.
2.
Adresse IP statique du deuxième contrôleur de domaine
La cinquième adresse IP possible pour l'espace d'adressage du sous-réseau défini dans l'Élément 1 du Tableau S.
Ligne.
3.
Adresse IP statique du serveur de synchronisation d’annuaires
Sixième adresse IP possible pour l’espace d’adressage du sous-réseau défini à l’élément 1 du tableau S.
Ligne.
4.
Adresse IP statique de l’équilibreur de charge interne pour les serveurs AD FS
La quatrième adresse IP possible pour l'espace d'adressage du sous-réseau défini dans l'Élément 2 du Tableau S.
Ligne.
5.
Adresse IP statique du premier serveur AD FS
La cinquième adresse IP possible pour l'espace d'adressage du sous-réseau défini dans l'Élément 2 du Tableau S.
Ligne.
6.
Adresse IP statique du deuxième serveur AD FS
La sixième adresse IP possible pour l'espace d'adressage du sous-réseau défini dans l'Élément 2 du Tableau S.
Ligne.
7.
Adresse IP statique du premier serveur proxy d’application web
La quatrième adresse IP possible pour l'espace d'adressage du sous-réseau défini dans l'Élément 3 du Tableau S.
Ligne.
8.
Adresse IP statique du deuxième serveur proxy d’application web
La cinquième adresse IP possible pour l'espace d'adressage du sous-réseau défini dans l'Élément 3 du Tableau S.
Ligne.

Tableau I : Adresses IP statiques dans le réseau virtuel

Pour deux serveurs DNS (Domain Name System) de votre réseau local que vous souhaitez utiliser lors de la configuration initiale des contrôleurs de domaine dans votre réseau virtuel, renseignez le tableau D. Contactez votre service informatique pour déterminer cette liste.

Élément Nom convivial du serveur DNS Adresse IP du serveur DNS
1.
Ligne.
Ligne.
2.
Ligne.
Ligne.

Tableau D : serveurs DNS locaux

Pour router les paquets du réseau intersite vers votre réseau organization via la connexion VPN de site à site, vous devez configurer le réseau virtuel avec un réseau local qui dispose d’une liste des espaces d’adressage (en notation CIDR) pour tous les emplacements accessibles sur le réseau local de votre organization. La liste des espaces d'adressage qui définissent votre réseau local doit être unique et ne doit pas se chevaucher avec l'espace d'adressage utilisé pour d'autres réseaux virtuels ou d'autres réseaux locaux.

Pour l’ensemble des espaces d’adressage du réseau local, remplissez le tableau L. Notez que le tableau comporte trois entrées vides, mais vous aurez généralement besoin d’en ajouter. Renseignez-vous auprès de votre service informatique pour déterminer cette liste d’espaces d’adressage.

Élément Espace d'adressage du réseau local
1.
Ligne.
2.
Ligne.
3.
Ligne.

Tableau L : préfixes d'adresse pour le réseau local

Commençons maintenant à créer l’infrastructure Azure pour héberger votre authentification fédérée pour Microsoft 365.

Remarque

[!REMARQUE] Les ensembles de commandes suivants utilisent la dernière version d'Azure PowerShell. Consultez Bien démarrer avec Azure PowerShell.

Tout d'abord, démarrez une invite PowerShell Azure et connectez-vous à votre compte.

Connect-AzAccount

Conseil

Pour générer des blocs de commandes PowerShell prêts à l’exécution en fonction de vos paramètres personnalisés, utilisez ce classeur de configuration Microsoft Excel.

Obtenez le nom de votre abonnement à l’aide de la commande suivante.

Get-AzSubscription | Sort Name | Select Name

Pour les versions antérieures de Azure PowerShell, utilisez cette commande à la place.

Get-AzSubscription | Sort Name | Select SubscriptionName

Définissez votre abonnement Azure. Remplacez tout le texte entre guillemets, y compris les caractères < et >, avec le nom correct.

$subscrName="<subscription name>"
Select-AzSubscription -SubscriptionName $subscrName

Ensuite, créez les groupes de ressources. Pour déterminer un ensemble unique de noms de groupes de ressources, utilisez cette commande pour répertorier vos groupes de ressources existants.

Get-AzResourceGroup | Sort ResourceGroupName | Select ResourceGroupName

Renseignez le tableau suivant pour l'ensemble unique de noms de groupes de ressources.

Élément Nom de groupe de ressources Objectif
1.
Ligne.
Contrôleurs de domaine
2.
Ligne.
Serveurs AD FS
3.
Ligne.
Serveurs proxy d’application web
4.
Ligne.
Éléments de l'infrastructure

Tableau R : Groupes de ressources

Créez vos nouveaux groupes de ressources avec ces commandes.

$locName="<an Azure location, such as West US>"
$rgName="<Table R - Item 1 - Name column>"
New-AzResourceGroup -Name $rgName -Location $locName
$rgName="<Table R - Item 2 - Name column>"
New-AzResourceGroup -Name $rgName -Location $locName
$rgName="<Table R - Item 3 - Name column>"
New-AzResourceGroup -Name $rgName -Location $locName
$rgName="<Table R - Item 4 - Name column>"
New-AzResourceGroup -Name $rgName -Location $locName

Ensuite, vous créez le réseau virtuel Azure et ses sous-réseaux.

$rgName="<Table R - Item 4 - Resource group name column>"
$locName="<your Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$vnetAddrPrefix="<Table V - Item 4 - Value column>"
$dnsServers=@( "<Table D - Item 1 - DNS server IP address column>", "<Table D - Item 2 - DNS server IP address column>" )
# Get the shortened version of the location
$locShortName=(Get-AzResourceGroup -Name $rgName).Location

# Create the subnets
$subnet1Name="<Table S - Item 1 - Subnet name column>"
$subnet1Prefix="<Table S - Item 1 - Subnet address space column>"
$subnet1=New-AzVirtualNetworkSubnetConfig -Name $subnet1Name -AddressPrefix $subnet1Prefix
$subnet2Name="<Table S - Item 2 - Subnet name column>"
$subnet2Prefix="<Table S - Item 2 - Subnet address space column>"
$subnet2=New-AzVirtualNetworkSubnetConfig -Name $subnet2Name -AddressPrefix $subnet2Prefix
$subnet3Name="<Table S - Item 3 - Subnet name column>"
$subnet3Prefix="<Table S - Item 3 - Subnet address space column>"
$subnet3=New-AzVirtualNetworkSubnetConfig -Name $subnet3Name -AddressPrefix $subnet3Prefix
$gwSubnet4Prefix="<Table S - Item 4 - Subnet address space column>"
$gwSubnet=New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix $gwSubnet4Prefix

# Create the virtual network
New-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName -Location $locName -AddressPrefix $vnetAddrPrefix -Subnet $gwSubnet,$subnet1,$subnet2,$subnet3 -DNSServer $dnsServers

Ensuite, vous créez des groupes de sécurité réseau pour chaque sous-réseau qui a des machines virtuelles. Pour isoler des sous-réseaux, vous pouvez ajouter des règles pour certains types de trafic autorisés ou refusés vers le groupe de sécurité d'un sous-réseau.

# Create network security groups
$vnet=Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName

New-AzNetworkSecurityGroup -Name $subnet1Name -ResourceGroupName $rgName -Location $locShortName
$nsg=Get-AzNetworkSecurityGroup -Name $subnet1Name -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnet1Name -AddressPrefix $subnet1Prefix -NetworkSecurityGroup $nsg

New-AzNetworkSecurityGroup -Name $subnet2Name -ResourceGroupName $rgName -Location $locShortName
$nsg=Get-AzNetworkSecurityGroup -Name $subnet2Name -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnet2Name -AddressPrefix $subnet2Prefix -NetworkSecurityGroup $nsg

New-AzNetworkSecurityGroup -Name $subnet3Name -ResourceGroupName $rgName -Location $locShortName
$nsg=Get-AzNetworkSecurityGroup -Name $subnet3Name -ResourceGroupName $rgName
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name $subnet3Name -AddressPrefix $subnet3Prefix -NetworkSecurityGroup $nsg
$vnet | Set-AzVirtualNetwork

Utilisez ces commandes pour créer les passerelles pour la connexion VPN de site à site.

$rgName="<Table R - Item 4 - Resource group name column>"
$locName="<Azure location>"
$vnetName="<Table V - Item 1 - Value column>"
$vnet=Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $rgName
$subnet=Get-AzVirtualNetworkSubnetConfig -VirtualNetwork $vnet -Name "GatewaySubnet"

# Attach a virtual network gateway to a public IP address and the gateway subnet
$publicGatewayVipName="PublicIPAddress"
$vnetGatewayIpConfigName="PublicIPConfig"
New-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName -Location $locName -AllocationMethod Dynamic
$publicGatewayVip=Get-AzPublicIpAddress -Name $vnetGatewayIpConfigName -ResourceGroupName $rgName
$vnetGatewayIpConfig=New-AzVirtualNetworkGatewayIpConfig -Name $vnetGatewayIpConfigName -PublicIpAddressId $publicGatewayVip.Id -Subnet $subnet

# Create the Azure gateway
$vnetGatewayName="AzureGateway"
$vnetGateway=New-AzVirtualNetworkGateway -Name $vnetGatewayName -ResourceGroupName $rgName -Location $locName -GatewayType Vpn -VpnType RouteBased -IpConfigurations $vnetGatewayIpConfig

# Create the gateway for the local network
$localGatewayName="LocalNetGateway"
$localGatewayIP="<Table V - Item 3 - Value column>"
$localNetworkPrefix=@( <comma-separated, double-quote enclosed list of the local network address prefixes from Table L, example: "10.1.0.0/24", "10.2.0.0/24"> )
$localGateway=New-AzLocalNetworkGateway -Name $localGatewayName -ResourceGroupName $rgName -Location $locName -GatewayIpAddress $localGatewayIP -AddressPrefix $localNetworkPrefix

# Define the Azure virtual network VPN connection
$vnetConnectionName="S2SConnection"
$vnetConnectionKey="<Table V - Item 5 - Value column>"
$vnetConnection=New-AzVirtualNetworkGatewayConnection -Name $vnetConnectionName -ResourceGroupName $rgName -Location $locName -ConnectionType IPsec -SharedKey $vnetConnectionKey -VirtualNetworkGateway1 $vnetGateway -LocalNetworkGateway2 $localGateway

Remarque

L’authentification fédérée d’utilisateurs individuels n’utilise aucune ressource locale. Toutefois, si cette connexion VPN de site à site devient indisponible, les contrôleurs de domaine dans le réseau virtuel ne recevront pas les mises à jour des comptes d’utilisateur et des groupes effectués dans les services de domaine Active Directory local. Pour vous assurer que cela ne se produit pas, vous pouvez configurer la haute disponibilité pour votre connexion VPN de site à site. Pour plus d'informations, reportez-vous à l'article Configuration haute disponibilité pour la connectivité entre les réseaux locaux et la connectivité entre deux réseaux virtuels

Ensuite, enregistrez l'adresse IPv4 publique de la passerelle VPN Azure pour votre réseau virtuel à partir de l'affichage de cette commande :

Get-AzPublicIpAddress -Name $publicGatewayVipName -ResourceGroupName $rgName

Ensuite, configurez votre périphérique VPN local de sorte qu'il se connecte à la passerelle VPN Azure. Pour plus d'informations, reportez-vous à la rubrique À propos des périphériques VPN pour les connexions de la passerelle VPN de site à site.

Pour configurer votre périphérique VPN local, vous avez besoin des éléments suivants :

  • L'adresse IPv4 publique de la passerelle VPN Azure.

  • La clé prépartagée IPsec pour la connexion VPN de site à site (Tableau V - Élément 5 - colonne Valeur).

Ensuite, vérifiez que l'espace d'adressage du réseau virtuel est accessible à partir de votre réseau local. Pour cela, il convient généralement d'ajouter un chemin de routage correspondant à l'espace d'adressage du réseau virtuel à votre périphérique VPN puis d'annoncer ce chemin de routage au reste de l'infrastructure de routage du réseau de votre organisation. Renseignez-vous auprès de votre service informatique pour savoir comment procéder.

Ensuite, définissez les noms de trois groupes à haute disponibilité. Remplissez le Tableau A.

Élément Objectif Nom du groupe de disponibilité
1.
Contrôleurs de domaine
Ligne.
2.
Serveurs AD FS
Ligne.
3.
Serveurs proxy d’application web
Ligne.

Tableau A : Groupes de disponibilité

Vous aurez besoin de ces noms lorsque vous créerez les machines virtuelles aux phases 2, 3 et 4.

Créez les groupes à haute disponibilité avec ces commandes Azure PowerShell.

$locName="<the Azure location for your new resource group>"
$rgName="<Table R - Item 1 - Resource group name column>"
$avName="<Table A - Item 1 - Availability set name column>"
New-AzAvailabilitySet -ResourceGroupName $rgName -Name $avName -Location $locName -Sku Aligned  -PlatformUpdateDomainCount 5 -PlatformFaultDomainCount 2
$rgName="<Table R - Item 2 - Resource group name column>"
$avName="<Table A - Item 2 - Availability set name column>"
New-AzAvailabilitySet -ResourceGroupName $rgName -Name $avName -Location $locName -Sku Aligned  -PlatformUpdateDomainCount 5 -PlatformFaultDomainCount 2
$rgName="<Table R - Item 3 - Resource group name column>"
$avName="<Table A - Item 3 - Availability set name column>"
New-AzAvailabilitySet -ResourceGroupName $rgName -Name $avName -Location $locName -Sku Aligned  -PlatformUpdateDomainCount 5 -PlatformFaultDomainCount 2

Voici la configuration obtenue à la fin de cette phase.

Phase 1 : Infrastructure Azure pour l’authentification fédérée haute disponibilité pour Microsoft 365

Phase 1 de l’authentification fédérée Microsoft 365 à haute disponibilité dans Azure avec l’infrastructure Azure.

Étape suivante

Utilisez la phase 2 : Configurer les contrôleurs de domaine pour poursuivre la configuration de cette charge de travail.

Voir aussi

Déployer une authentification fédérée haute disponibilité pour Microsoft 365 dans Azure

Identité fédérée pour votre environnement de développement/test Microsoft 365

Centre de solutions et d'architecture Microsoft 365

Présentation des modèles d’identité Microsoft 365