Gérer Windows Server 2019 dans un environnement Microsoft Entra Domain Services
Microsoft Entra Domain Services fournit un domaine managé que les utilisateurs, les applications et les services peuvent utiliser. Cette approche change certaines des tâches de gestion disponibles que vous pouvez effectuer, ainsi que les privilèges dont vous disposez dans le domaine managé. Ces tâches et autorisations peuvent différer de ce que vous rencontrez dans un environnement AD DS local classique.
Remarque
Vous ne pouvez pas vous connecter aux contrôleurs de domaines sur le domaine managé Microsoft Entra Domain Services à l’aide du Bureau à distance Microsoft.
Vue d’ensemble
Les membres du groupe administrateurs du contrôleur de domaine AAD bénéficient de privilèges sur le domaine managé Microsoft Entra Domain Services. Ainsi, ces administrateurs peuvent effectuer les tâches suivantes sur le domaine :
- Configurer l’objet GPO intégré pour les conteneurs Ordinateurs AADDC et Utilisateurs AADDC dans le domaine managé.
- administrer le DNS sur le domaine géré ;
- Créer et administrer des UO personnalisées dans le domaine managé.
- obtenir un accès d’administrateur aux ordinateurs joints au domaine géré ;
Toutefois, dans la mesure où le domaine managé Microsoft Entra Domain Services est verrouillé, vous ne disposez pas des privilèges nécessaires pour y effectuer certaines tâches d’administration. Voici certains exemples de tâches que vous ne pouvez pas effectuer :
- Étendre le schéma du domaine managé.
- Vous connecter aux contrôleurs de domaine du domaine managé avec Bureau à distance.
- Ajouter des contrôleurs de domaine au domaine managé.
- Utiliser les privilèges d’administrateur de domaine ou d’administrateur d’entreprise pour le domaine managé.
Après avoir créé une instance Microsoft Entra Domain Services, vous devez joindre un ordinateur à un domaine managé Microsoft Entra Domain Services. Cet ordinateur est connecté à un réseau virtuel Azure qui fournit une connectivité au domaine managé Microsoft Entra Domain Services. Le processus de jointure d’un domaine managé Microsoft Entra Domain Services est identique à celui d’un domaine AD DS local standard. Une fois l’ordinateur joint, vous devez installer les outils pour gérer l’instance Microsoft Entra Domain Services.
Conseil
Pour vous connecter de manière sécurisée à l’ordinateur, vous pouvez utiliser un hôte Azure Bastion. Avec Azure Bastion, un hôte managé est déployé sur votre réseau VNet et fournit les connexions web RDP (Remote Desktop Protocol) ou SSH (Secure Shell) aux machines virtuelles. Aucune adresse IP publique n’est requise pour les machines virtuelles et vous n’avez pas besoin d’ouvrir de règles de groupe de sécurité réseau pour le trafic distant externe. Vous vous connectez aux machines virtuelles par le portail Azure.
Vous gérez les domaines Microsoft Entra Domain Services avec les mêmes outils d’administration que ceux des environnements AD DS locaux, par exemple le Centre d’administration Active Directory (ADAC) ou Active Directory PowerShell. Vous pouvez installer ces outils dans le cadre de la fonctionnalité Outils d’administration de serveur distant sur Windows Server et les ordinateurs clients. Les membres du groupe administrateurs de contrôleur de domaine AAD peuvent ensuite administrer les domaines managés Microsoft Entra Domain Services à distance en utilisant ces outils d’administration Active Directory à partir d’un ordinateur joint au domaine managé.
Les actions courantes du Centre d’administration Active Directory, par exemple la réinitialisation de mot de passe d’un compte d’utilisateur ou la gestion de l’appartenance aux groupes, sont disponibles. Toutefois, ces actions fonctionnent uniquement pour les utilisateurs et les groupes créés directement dans le domaine managé Microsoft Entra Domain Services. Les informations d’identité se synchronisent uniquement de Microsoft Entra ID vers Microsoft Entra Domain Services. Il n’existe aucune écriture différée de Microsoft Entra Domain Services vers Microsoft Entra ID. Vous ne pouvez donc pas changer les mots de passe ou l’appartenance aux groupes managés des utilisateurs synchronisés à partir de Microsoft Entra ID et obtenir la synchronisation de ces changements.
Vous pouvez également utiliser le module Active Directory pour Windows PowerShell, qui est installé dans le cadre des outils d’administration, afin de gérer les actions courantes dans votre domaine managé Microsoft Entra Domain Services.
Activer les comptes d’utilisateur pour Microsoft Entra Domain Services
Pour authentifier les utilisateurs sur le domaine managé, Microsoft Entra Domain Services nécessite que les codes de hachage de mot de passe soient dans un format adapté à l’authentification NTLM et Kerberos. Microsoft Entra ID ne génère pas et ne stocke pas les codes de hachage de mot de passe au format requis pour l’authentification NTLM ou Kerberos, à moins d’activer Microsoft Entra Domain Services pour votre locataire. Pour des raisons de sécurité, Microsoft Entra ID ne stocke pas non plus d’informations d’identification par mot de passe sous forme de texte en clair. Par conséquent, Microsoft Entra ID ne peut pas générer automatiquement ces codes de hachage de mot de passe NTLM ou Kerberos en fonction des informations d’identification existantes des utilisateurs.
Une fois correctement configurés, les codes de hachage de mot de passe utilisables sont stockés dans le domaine managé Microsoft Entra Domain Services.
Attention
Si vous supprimez ce domaine, tous les codes de hachage de mot de passe stockés à ce stade sont également supprimés.
Les informations d’identification synchronisées dans Microsoft Entra ID ne peuvent pas être réutilisées si vous créez ultérieurement un domaine managé Microsoft Entra Domain Services. Vous devez donc reconfigurer la synchronisation des codes de hachage de mot de passe pour stocker à nouveau les codes de hachage de mot de passe. Même ensuite, les machines virtuelles jointes à un domaine ou les utilisateurs ne pourront pas s’authentifier immédiatement, car Microsoft Entra ID doit générer et stocker les codes de hachage de mot de passe dans le nouveau domaine managé Microsoft Entra Domain Services.
Les étapes de génération et de stockage de ces codes de hachage de mot de passe diffèrent pour les comptes d’utilisateur cloud uniquement créés dans Microsoft Entra ID et pour les comptes d’utilisateur qui sont synchronisés à partir de votre répertoire local à l’aide de Microsoft Entra Connect. Un compte d’utilisateur cloud uniquement est un compte créé dans votre répertoire Microsoft Entra à l’aide du Portail Azure ou des cmdlets PowerShell Microsoft Graph. Ces comptes d’utilisateurs ne sont pas synchronisés à partir d’un annuaire local.
Pour les comptes d’utilisateur cloud uniquement, les utilisateurs doivent modifier leurs mots de passe avant de pouvoir utiliser Microsoft Entra Domain Services. Ce processus de changement de mot de passe entraîne la génération et le stockage dans Microsoft Entra ID de code de hachage de mot de passe pour les authentifications Kerberos et NTLM. Le compte n’est pas synchronisé de Microsoft Entra ID vers Microsoft Entra Domain Services tant que le mot de passe n’est pas modifié. Ainsi, vous avez deux options : faire expirer les mots de passe de tous les utilisateurs cloud du locataire qui ont besoin d’utiliser Microsoft Entra Domain Services, ce qui force le changement du mot de passe à la prochaine connexion, ou demander aux utilisateurs cloud de changer manuellement leur mot de passe. Toutefois, vous devrez peut-être activer la réinitialisation de mot de passe en libre-service pour que les utilisateurs cloud puissent réinitialiser leur mot de passe.