Décrire Microsoft Entra Domain Services
L’équipe informatique de Contoso déploie un certain nombre d’applications métier sur des ordinateurs et appareils membres de domaine. Contoso utilise des informations d’identification AD DS pour l’authentification ainsi que des objets GPO (objets de stratégie de groupe) pour gérer ces appareils et applications. À présent, l’équipe informatique envisage de déplacer ces applications pour qu’elles s’exécutent dans Azure. Le problème clé pour vous consiste à savoir comment fournir des services d’authentification à ces applications.
Pour répondre à ce besoin, l’équipe informatique de Contoso a le choix entre plusieurs possibilités :
- Implémenter un réseau privé virtuel (VPN) de site à site entre votre infrastructure locale et Azure IaaS.
- Déployer des contrôleurs de domaine de réplica à partir de votre service d’annuaire AD DS local sous forme de machines virtuelles dans Azure.
Toutefois, ces approches peuvent entraîner des coûts supplémentaires et des efforts d’administration. De plus, la différence entre ces deux approches est la suivante : avec la première option, le trafic d’authentification traverse le VPN, alors qu’avec la deuxième option, le trafic de réplication traverse le réseau VPN et le trafic d’authentification reste dans le cloud. Microsoft fournit Microsoft Entra Domain Services comme alternative à ces approches.
Qu’est-ce que Microsoft Entra Domain Services ?
Microsoft Entra Domain Services, qui s’exécute dans le cadre du niveau Microsoft Entra ID P1 ou P2, fournit des services de domaine comme la gestion des stratégies de groupe, la jonction de domaine et l’authentification Kerberos à votre locataire Microsoft Entra. Ces services sont entièrement compatibles avec le service d’annuaire AD DS local. Vous pouvez donc les utiliser sans déployer ni gérer de contrôleurs de domaine supplémentaires dans le cloud.
Comme Microsoft Entra ID peut s’intégrer à votre instance AD DS locale, quand vous implémentez Microsoft Entra Connect, les utilisateurs peuvent utiliser des informations d’identification de l’organisation aussi bien dans l’instance AD DS locale que dans Microsoft Entra Domain Services. Même si vous n’avez pas AD DS déployé localement, vous pouvez utiliser Microsoft Entra Domain Services comme service cloud uniquement. Cela vous permet d’avoir des fonctionnalités similaires à celles d’un service d’annuaire AD DS déployé localement sans avoir à déployer de contrôleur de domaine local ou dans le cloud.
Par exemple, le service informatique de Contoso peut choisir de créer un locataire Microsoft Entra et d’activer Microsoft Entra Domain Services, puis déployer un réseau virtuel (VNet) entre ses ressources locales et le locataire Microsoft Entra. Le service informatique de Contoso peut activer Microsoft Entra Domain Services pour ce VNet afin que tous les utilisateurs et services locaux puissent utiliser les services de domaine depuis Microsoft Entra ID.
Microsoft Entra Domain Services offre plusieurs avantages aux organisations, par exemple :
- Les administrateurs n’ont pas besoin de gérer, mettre à jour et superviser les contrôleurs de domaine.
- Les administrateurs n’ont pas besoin de déployer et gérer la réplication Active Directory.
- Il n’est pas nécessaire d’avoir des groupes Administrateurs de domaine ou Administrateurs d’entreprise pour les domaines managés par Microsoft Entra Domain Services.
Si vous choisissez d’implémenter Microsoft Entra Domain Services, vous devez comprendre les limitations actuelles du service. notamment :
- Seul l’objet Active Directory de l’ordinateur de base est pris en charge.
- Il n’est pas possible d’étendre le schéma pour le domaine Microsoft Entra Domain Services.
- La structure de l’UO (unité d’organisation) est plate, et les UO imbriquées ne sont pas prises en charge.
- Il existe un objet GPO (objet de stratégie de groupe) intégré pour les comptes d’ordinateur et d’utilisateur.
- Il est impossible de cibler des UO avec des objets GPO intégrés. De plus, vous ne pouvez pas utiliser de filtres WMI (Windows Management Instrumentation), ni de filtrage des groupes de sécurité.
Avec Microsoft Entra Domain Services, vous pouvez migrer librement des applications utilisant les protocoles LDAP, NTLM (NT LAN Manager) ou Kerberos de votre infrastructure locale vers le cloud. Vous pouvez également utiliser des applications telles que Microsoft SQL Server ou SharePoint Server sur des machines virtuelles, ou les déployer sur Azure IaaS. Tout cela sans avoir besoin de contrôleurs de domaine dans le cloud ni d’un réseau VPN pour l’infrastructure locale. Le tableau suivant identifie certains scénarios courants qui utilisent Microsoft Entra Domain Services.
| Avantage | Description |
|---|---|
| Administration sécurisée des machines virtuelles Azure | Vous pouvez joindre des machines virtuelles Azure à un domaine managé par Microsoft Entra Domain Services, ce qui vous permet d’utiliser un seul ensemble d’informations d’identification Active Directory. Cette approche réduit les problèmes de gestion des informations d’identification, comme la maintenance des comptes administrateurs locaux sur chaque machine virtuelle ou des comptes et mots de passe distincts entre les environnements. Vous pouvez gérer et sécuriser des machines virtuelles que vous joignez à un domaine managé par Microsoft Entra Domain Services. Vous pouvez également appliquer les bases de référence de sécurité nécessaires aux machines virtuelles pour les verrouiller conformément aux directives de sécurité de l’entreprise. Par exemple, vous pouvez utiliser les fonctionnalités de gestion des stratégies de groupe pour restreindre les types d’application pouvant être lancés sur ces machines virtuelles. |
| Applications locales qui utilisent l’authentification des liaisons LDAP | Dans ce scénario, Microsoft Entra Domain Services permet aux applications d’effectuer des liaisons LDAP dans le cadre du processus d’authentification. Les applications locales héritées peuvent être faire l’objet d’un lift-and-shift vers Azure et continuer à authentifier en toute transparence les utilisateurs sans avoir besoin d’apporter des modifications à leur configuration ou expérience utilisateur. |
| Applications locales qui utilisent la lecture LDAP pour accéder à l’annuaire | Dans ce scénario, Microsoft Entra Domain Services permet aux applications d’effectuer des lectures LDAP sur le domaine managé afin de récupérer les informations d’attribut nécessaires. L’application n’a pas besoin d’être réécrite, si bien qu’un lift-and-shift sur Azure permet aux utilisateurs de continuer à l’utiliser sans même qu’ils ne se rendent compte que son emplacement d’exécution a changé. |
| Service local ou application démon | Certaines applications incluent plusieurs niveaux, dont l’un doit effectuer des appels authentifiés à un niveau back-end, tel qu’une base de données. Les comptes de service Active Directory sont couramment utilisés dans ces scénarios. Lorsque vous effectuez un lift-and-shift d’une application vers Azure, Microsoft Entra Domain Services vous permet de continuer à utiliser des comptes de service de la même façon. Vous pouvez utiliser le compte de service synchronisé à partir de votre annuaire local avec Microsoft Entra ID, ou créer une UO (unité d’organisation) personnalisée, puis créer un compte de service distinct dans cette UO. Quelle que soit l’approche, les applications continuent de fonctionner de la même façon pour effectuer des appels authentifiés à d’autres niveaux et services. |
| Services Bureau à distance dans Azure | Vous pouvez également utiliser Microsoft Entra Domain Services pour fournir des services de domaine managé aux serveurs Bureau à distance déployés dans Azure. |
À propos de l’installation
Durant l’implémentation des scénarios précédents, les considérations suivantes relatives au déploiement s’appliquent :
- Les domaines managés par Microsoft Entra Domain Services utilisent par défaut une unique structure d’unité d’organisation plate. Toutes les machines virtuelles jointes à un domaine se trouvent dans une seule unité d’organisation. Si vous le souhaitez, vous pouvez créer des unités d’organisation personnalisées.
- Microsoft Entra Domain Services utilise un objet de stratégie de groupe (GPO) intégré pour les conteneurs d’utilisateurs et d’ordinateurs. Pour plus de contrôle, vous pouvez créer des GPO personnalisés et les cibler vers des unités d’organisation personnalisées.
- Microsoft Entra Domain Services prend en charge le schéma de base de l’objet ordinateur Active Directory. Toutefois, vous ne pouvez pas étendre le schéma de l’objet ordinateur.
- Vous ne pouvez pas modifier les mots de passe directement dans un domaine managé par Microsoft Entra Domain Services. Les utilisateurs finaux peuvent modifier leur mot de passe à l’aide du mécanisme de modification de mot de passe en libre-service de Microsoft Entra ID ou depuis le répertoire local. Ces modifications sont ensuite automatiquement synchronisées et disponibles dans le domaine managé par Microsoft Entra Domain Services.
Vérifiez également les points suivants :
- Aucune application n’a besoin d’apporter des modifications/d’écrire dans l’annuaire LDAP. L’accès en écriture LDAP sur un domaine managé par Microsoft Entra Domain Services n’est pas pris en charge.
- L’application n’a pas besoin d’un schéma Active Directory personnalisé/étendu. Les extensions de schéma ne sont pas prises en charge dans Microsoft Entra Domain Services.
- Les applications utilisent un nom d’utilisateur et un mot de passe pour l’authentification. L’authentification par certificat ou carte à puce n’est pas prise en charge par Microsoft Entra Domain Services.