Administrer la stratégie de groupe sur un domaine géré par les services de domaine Azure Active DirectoryAdminister Group Policy on an Azure AD Domain Services managed domain

Azure Active Directory Domain Services inclut des objets de stratégie de groupe (GPO) intégrés pour les conteneurs « Utilisateurs AADDC » et « Ordinateurs AADDC ».Azure Active Directory Domain Services includes built-in Group Policy Objects (GPOs) for the 'AADDC Users' and 'AADDC Computers' containers. Vous pouvez personnaliser ces GPO pour configurer la stratégie de groupe sur le domaine géré.You can customize these built-in GPOs to configure Group Policy on the managed domain. De plus, les membres du groupe « AAD DC Administrators » peuvent créer leurs propres unités d’organisation personnalisées dans le domaine géré.Additionally, members of the 'AAD DC Administrators' group can create their own custom OUs in the managed domain. Ils peuvent également créer des GPO personnalisés et les lier à ces unités d’organisation personnalisées.They can also create custom GPOs and link them to these custom OUs. Les utilisateurs qui appartiennent au groupe « AAD DC Administrators » bénéficient de privilèges d’administration de stratégie de groupe sur le domaine géré.Users who belong to the 'AAD DC Administrators' group are granted Group Policy administration privileges on the managed domain.

Important

Activez la synchronisation du hachage de mot de passe avec Azure AD Domain Services avant d’effectuer les tâches de cet article.Enable password hash synchronization to Azure AD Domain Services, before you complete the tasks in this article.

Suivez les instructions ci-dessous qui varient selon le type d’utilisateur de votre annuaire Azure AD.Follow the instructions below, depending on the type of users in your Azure AD directory. Effectuez les deux ensembles d’instructions si vous disposez d’une combinaison de comptes d’utilisateurs uniquement cloud et synchronisés dans votre annuaire Azure AD.Complete both sets of instructions if you have a mix of cloud-only and synced user accounts in your Azure AD directory. Vous n’êtes peut-être pas en mesure d’effectuer les opérations suivantes dans le cas où vous essayez d’utiliser un compte invités de B2B (exemple, gmail ou MSA à partir d’un autre fournisseur d’identité qui nous autorisons), car nous n’avons pas le mot de passe pour ces utilisateurs synchronisés à un domaine géré en tant que ces sont des comptes d’invité dans le répertoire.You may not be able to carry out the following operations in case you are trying to use a B2B Guest account (example , your gmail or MSA from a different Identity provider which we allow) becasue we do not have the password for these users synced to managed domain as these are guest accounts in the directory. Les informations complètes sur ces comptes, y compris leurs mots de passe serait en dehors d’Azure AD et que cette information n’est pas dans Azure AD, par conséquent, il ne pas encore synchronisée avec le domaine géré.The complete information about these accounts including their passwords would be outside of Azure AD and as this information is not in Azure AD hence it does not even get synced to the managed domain.

Avant de commencerBefore you begin

Pour exécuter les tâches indiquées dans cet article, vous avez besoin des éléments suivants :To perform the tasks listed in this article, you need:

  1. Un abonnement Azurevalide.A valid Azure subscription.
  2. Un répertoire Azure AD , synchronisé avec un répertoire local ou un répertoire cloud uniquement.An Azure AD directory - either synchronized with an on-premises directory or a cloud-only directory.
  3. services de domaine Azure AD , qui doivent être activés pour le répertoire Azure AD.Azure AD Domain Services must be enabled for the Azure AD directory. Si ce n’est déjà fait, suivez l’ensemble des tâches décrites dans le Guide de mise en route.If you haven't done so, follow all the tasks outlined in the Getting Started guide.
  4. Une machine virtuelle jointe au domaine , qui vous permet d’administrer le domaine géré par les services de domaine Azure AD.A domain-joined virtual machine from which you administer the Azure AD Domain Services managed domain. Si vous ne disposez pas de cette machine, suivez toutes les tâches décrites dans l’article intitulé Joindre une machine virtuelle Windows Server à un domaine géré.If you don't have such a virtual machine, follow all the tasks outlined in the article titled Join a Windows virtual machine to a managed domain.
  5. Vous devez vous procurer les informations d’identification d’un compte d’utilisateur appartenant au groupe « AAD DC Administrators » dans votre répertoire, afin d’administrer la stratégie de groupe pour votre domaine géré.You need the credentials of a user account belonging to the 'AAD DC Administrators' group in your directory, to administer Group Policy for your managed domain.

Tâche 1 : configurer une machine virtuelle jointe au domaine afin d’administrer la stratégie de groupe à distance pour le domaine géréTask 1 - Provision a domain-joined virtual machine to remotely administer Group Policy for the managed domain

Vous pouvez administrer à distance les domaines gérés par les services de domaine Azure Active Directory (AD) par l’intermédiaire des outils d’administration familiers d’Active Directory, par exemple le Centre d’administration Active Directory (ADAC, Active Directory Administrative Center) ou AD PowerShell.Azure AD Domain Services managed domains can be managed remotely using familiar Active Directory administrative tools such as the Active Directory Administrative Center (ADAC) or AD PowerShell. De même, la stratégie de groupe du domaine géré peut être administrée à distance via les outils d’administration de la stratégie de groupe.Similarly, Group Policy for the managed domain can be administered remotely using the Group Policy administration tools.

Les administrateurs du répertoire Azure AD ne disposent pas des privilèges permettant la connexion aux contrôleurs de domaine sur le domaine géré, via le Bureau à distance.Administrators in your Azure AD directory do not have privileges to connect to domain controllers on the managed domain via Remote Desktop. Les membres du groupe « AAD DC Administrator  » peuvent administrer à distance la stratégie de groupe des domaines gérés.Members of the 'AAD DC Administrators' group can administer Group Policy for managed domains remotely. Ils peuvent utiliser des outils de stratégie de groupe sur un ordinateur Windows Server/Client joint au domaine géré.They can use Group Policy tools on a Windows Server/client computer joined to the managed domain. Il est possible d’installer des outils de stratégie de groupe dans le cadre de la fonctionnalité facultative de gestion de stratégie de groupe sur les machines Windows Server/Client jointes au domaine géré.Group Policy tools can be installed as part of the Group Policy Management optional feature on Windows Server and client machines joined to the managed domain.

La première tâche consiste à configurer une machine virtuelle Windows Server jointe au domaine géré.The first task is to provision a Windows Server virtual machine that is joined to the managed domain. Pour savoir comment procéder, consultez l’article Joindre une machine virtuelle Windows Server à un domaine géré par les services de domaine Azure AD.For instructions, refer to the article titled join a Windows Server virtual machine to an Azure AD Domain Services managed domain.

Tâche 2 : installer des outils de stratégie de groupe sur la machine virtuelleTask 2 - Install Group Policy tools on the virtual machine

Procédez comme suit pour installer les outils d’administration de stratégie de groupe sur la machine virtuelle jointe au domaine.Perform the following steps to install the Group Policy Administration tools on the domain joined virtual machine.

  1. Accédez au portail Azure.Navigate to the Azure portal. Cliquez sur Toutes les ressources dans le panneau gauche.Click All resources on the left-hand panel. Recherchez et cliquez sur la machine virtuelle que vous avez créée dans la tâche 1.Locate and click the virtual machine you created in Task 1.

  2. Cliquez sur le bouton Connecter sous l’onglet Vue d’ensemble. Un fichier de protocole Remote Desktop Protocol (.rdp) est créé et téléchargé.Click the Connect button on the Overview tab. A Remote Desktop Protocol (.rdp) file is created and downloaded.

    Se connecter à une machine virtuelle Windows

  3. Pour vous connecter à votre machine virtuelle, ouvrez le fichier RDP téléchargé.To connect to your VM, open the downloaded RDP file. À l’invite, cliquez sur Se connecter.If prompted, click Connect. À l’invite de connexion, utilisez les informations d’identification d’un utilisateur appartenant au groupe « AAD DC Administrators ».At the login prompt, use the credentials of a user belonging to the 'AAD DC Administrators' group. Par exemple, nous utilisons « bob@domainservicespreview.onmicrosoft.com » dans notre cas.For example, we use 'bob@domainservicespreview.onmicrosoft.com' in our case. Un avertissement de certificat peut s’afficher pendant le processus de connexion.You may receive a certificate warning during the sign-in process. Cliquez sur Oui ou Continuer pour poursuivre le processus de connexion.Click Yes or Continue to proceed with the connection.

  4. Dans l’écran d’accueil, ouvrez Gestionnaire de serveur.From the Start screen, open Server Manager. Dans le volet central de la fenêtre Gestionnaire de serveur, cliquez sur l’option Ajouter des rôles et fonctionnalités .Click Add Roles and Features in the central pane of the Server Manager window.

    Lancer le gestionnaire de serveur sur la machine virtuelle

  5. Sur la page Avant de commencer de l’Assistant Ajout de rôles et de fonctionnalités, cliquez sur Suivant.On the Before You Begin page of the Add Roles and Features Wizard, click Next.

    Page Avant de commencer

  6. Sur la page Type d’installation, laissez l’option Installation basée sur un rôle ou une fonctionnalité sélectionnée et cliquez sur Suivant.On the Installation Type page, leave the Role-based or feature-based installation option checked and click Next.

    Page Type d’installation

  7. Sur la page Sélection du serveur, choisissez la machine virtuelle actuelle dans le pool de serveurs, puis cliquez sur Suivant.On the Server Selection page, select the current virtual machine from the server pool, and click Next.

    Page Sélection du serveur

  8. Sur la page Rôles de serveurs, cliquez sur Suivant.On the Server Roles page, click Next. Nous allons ignorer cette page, car nous ne procédons pas à l’installation des rôles sur le serveur.We skip this page since we are not installing any roles on the server.

  9. Sur la page Fonctionnalités, sélectionnez la fonctionnalité Gestion des stratégies de groupe.On the Features page, select the Group Policy Management feature.

    Page Fonctionnalités

  10. Sur la page Confirmation, cliquez sur Installer pour installer la fonctionnalité Gestion des stratégies de groupe sur la machine virtuelle.On the Confirmation page, click Install to install the Group Policy Management feature on the virtual machine. Une fois l’installation de la fonctionnalité terminée, cliquez sur Fermer afin de fermer l’Assistant Ajout de rôles et de fonctionnalités.When feature installation completes successfully, click Close to exit the Add Roles and Features wizard.

    Page Confirmation

Tâche 3 : lancer la console de gestion de stratégie de groupe pour administrer la stratégie de groupeTask 3 - Launch the Group Policy management console to administer Group Policy

Vous pouvez utiliser la console de gestion de stratégie de groupe sur la machine virtuelle jointe au domaine pour administrer la stratégie de groupe sur le domaine géré.You can use the Group Policy management console on the domain-joined virtual machine to administer Group Policy on the managed domain.

Notes

Vous devez être membre du groupe « AAD DC Administrators » pour pouvoir administrer la stratégie de groupe dans le domaine géré.You need to be a member of the 'AAD DC Administrators' group, to administer Group Policy on the managed domain.

  1. Dans l’écran d’accueil, cliquez sur Outils d’administration.From the Start screen, click Administrative Tools. La Console de gestion des stratégies de groupe installée sur la machine virtuelle doit s’afficher.You should see the Group Policy Management console installed on the virtual machine.

    Lancer la gestion des stratégies de groupe

  2. Cliquez sur Gestion des stratégies de groupe pour lancer la console de gestion des stratégies de groupe.Click Group Policy Management to launch the Group Policy Management console.

    Console de stratégie de groupe

Tâche 4 : personnaliser les objets de stratégie de groupe intégrésTask 4 - Customize built-in Group Policy Objects

Il existe deux objets de stratégie de groupe (GPO) intégrés : un pour le conteneur « Ordinateurs AADDC » et un autre pour le conteneur « AADDC utilisateurs » dans votre domaine géré.There are two built-in Group Policy Objects (GPOs) - one each for the 'AADDC Computers' and 'AADDC Users' containers in your managed domain. Vous pouvez personnaliser ces objets de stratégie de groupe pour configurer la stratégie de groupe sur le domaine géré.You can customize these GPOs to configure group policy on the managed domain.

  1. Dans la console Gestion des stratégies de groupe, cliquez pour développer les nœuds Forest: contoso100.com et Domains afin d’afficher les stratégies de groupe de votre domaine géré.In the Group Policy Management console, click to expand the Forest: contoso100.com and Domains nodes to see the group policies for your managed domain.

    Objets de stratégie de groupe (GPO) intégrés

  2. Vous pouvez personnaliser ces GPO intégrés pour configurer des stratégies de groupe sur votre domaine géré.You can customize these built-in GPOs to configure group policies on your managed domain. Cliquez avec le bouton droit sur le GPO de votre choix, puis cliquez sur Modifier... pour personnaliser le GPO intégré.Right-click the GPO and click Edit... to customize the built-in GPO. L’outil Éditeur de la configuration de la stratégie de groupe vous permet de personnaliser le GPO.The Group Policy Configuration Editor tool enables you to customize the GPO.

    Modifier un GPO intégré

  3. Vous pouvez maintenant utiliser la console Éditeur de gestion de stratégie de groupe pour modifier les GPO intégrés.You can now use the Group Policy Management Editor console to edit the built-in GPO. Par exemple, la capture d’écran suivante illustre la personnalisation du GPO « Ordinateurs AADDC » intégré.For instance, the following screenshot shows how to customize the built-in 'AADDC Computers' GPO.

    Personnaliser un GPO

Tâche 5 : créer un objet de stratégie de groupe personnaliséTask 5 - Create a custom Group Policy Object (GPO)

Vous pouvez créer ou importer vos propres objets de stratégie de groupe.You can create or import your own custom group policy objects. Vous pouvez également lier des objets de stratégie de groupe personnalisés à une unité d’organisation personnalisée que vous avez créée dans votre domaine géré.You can also link custom GPOs to a custom OU you have created in your managed domain. Pour plus d’informations sur la création d’unités d’organisation personnalisées, consultez Créer une unité d’organisation personnalisée sur un domaine géré.For more information on creating custom organizational units, see create a custom OU on a managed domain.

Notes

Vous devez être membre du groupe « AAD DC Administrators » pour pouvoir administrer la stratégie de groupe dans le domaine géré.You need to be a member of the 'AAD DC Administrators' group, to administer Group Policy on the managed domain.

  1. Dans la console Gestion des stratégies de groupe, cliquez pour sélectionner votre unité d’organisation personnalisée.In the Group Policy Management console, click to select your custom organizational unit (OU). Cliquez avec le bouton droit sur l’unité d’organisation, puis cliquez sur Créer un objet GPO dans ce domaine, et le lier ici.Right-click the OU and click Create a GPO in this domain, and Link it here....

    Créer un objet de stratégie de groupe personnalisé

  2. Spécifiez un nom pour le nouvel objet de stratégie de groupe et cliquez sur OK.Specify a name for the new GPO and click OK.

    Spécifier un nom pour l’objet de stratégie de groupe

  3. Un objet de stratégie de groupe est créé et lié à votre unité d’organisation personnalisée.A new GPO is created and linked to your custom OU. Cliquez avec le bouton droit sur l’objet de stratégie de groupe et cliquez sur Modifier dans le menu.Right-click the GPO and click Edit... from the menu.

    Objet de stratégie de groupe nouvellement créé

  4. Vous pouvez personnaliser l’objet de stratégie de groupe nouvellement créé à l’aide de l’Éditeur de gestion des stratégies de groupe.You can customize the newly created GPO using the Group Policy Management Editor.

    Personnaliser le nouvel objet de stratégie de groupe

Pour plus d’informations sur l’utilisation de la Console de gestion de stratégie de groupe, consultez le site Technet.More information about using Group Policy Management Console is available on Technet.