Synchronisation des objets et des informations d’identification dans un domaine managé Azure AD Domain ServicesHow objects and credentials are synchronized in an Azure AD Domain Services managed domain

Les objets et les informations d’identification d’un domaine managé Azure Active Directory Domain Services (AD DS) peuvent être créés localement dans le domaine ou synchronisés à partir d’un locataire Azure Active Directory (Azure AD).Objects and credentials in an Azure Active Directory Domain Services (AD DS) managed domain can either be created locally within the domain, or synchronized from an Azure Active Directory (Azure AD) tenant. Lorsque vous déployez Azure AD DS pour la première fois, une synchronisation automatique à sens unique est configurée et démarrée pour répliquer les objets à partir d’Azure AD.When you first deploy Azure AD DS, an automatic one-way synchronization is configured and started to replicate the objects from Azure AD. Cette synchronisation unidirectionnelle continue à s’exécuter en arrière-plan pour maintenir à jour le domaine managé Azure AD DS avec les modifications apportées par Azure AD.This one-way synchronization continues to run in the background to keep the Azure AD DS managed domain up-to-date with any changes from Azure AD. Aucune synchronisation n’est effectuée à partir d’Azure AD DS vers Azure AD.No synchronization occurs from Azure AD DS back to Azure AD.

Dans un environnement hybride, les objets et les informations d’identification d’un domaine AD DS local peuvent être synchronisés avec Azure AD à l’aide d’Azure AD Connect.In a hybrid environment, objects and credentials from an on-premises AD DS domain can be synchronized to Azure AD using Azure AD Connect. Une fois que ces objets sont synchronisés avec succès sur Azure AD, la synchronisation en arrière-plan automatique rend ces objets et informations d’identification disponibles pour les applications utilisant le domaine managé Azure AD DS.Once those objects are successfully synchronized to Azure AD, the automatic background sync then makes those objects and credentials available to applications using the Azure AD DS managed domain.

Le diagramme suivant illustre le fonctionnement de la synchronisation entre Azure AD DS, Azure AD et un environnement AD DS local facultatif :The following diagram illustrates how synchronization works between Azure AD DS, Azure AD, and an optional on-premises AD DS environment:

Vue d’ensemble de la synchronisation dans un domaine managé Azure AD Domain Services

Synchronisation à partir d’Azure AD vers Azure AD DSSynchronization from Azure AD to Azure AD DS

Les comptes d’utilisateur, les appartenances aux groupes et les hachages des informations d’identification sont synchronisés dans une direction, d’Azure AD à Azure AD DS.User accounts, group memberships, and credential hashes are synchronized one way from Azure AD to Azure AD DS. Ce processus de synchronisation est automatique.This synchronization process is automatic. Il est inutile de configurer, surveiller ou gérer le processus de synchronisation.You don't need to configure, monitor, or manage this synchronization process. La synchronisation initiale peut durer de quelques heures à quelques jours, en fonction du nombre d’objets contenus dans l’annuaire Azure AD.The initial synchronization may take a few hours to a couple of days, depending on the number of objects in the Azure AD directory. Une fois la synchronisation initiale terminée, les modifications apportées à Azure AD, telles que les modifications de mot de passe ou d’attribut, sont alors automatiquement synchronisées avec Azure AD DS.After the initial synchronization is complete, changes that are made in Azure AD, such as password or attribute changes, are then automatically synchronized to Azure AD DS.

Lorsqu’un utilisateur est créé dans Azure AD, il n’est pas synchronisé avec Azure AD DS tant qu’il n’a pas modifié son mot de passe dans Azure AD.When a user is created in Azure AD, they're not synchronized to Azure AD DS until they change their password in Azure AD. Ce processus de changement du mot de passe entraîne la génération et le stockage dans Azure AD des hachages de mot de passe pour l’authentification Kerberos et NTLM.This password change process causes the password hashes for Kerberos and NTLM authentication to be generated and stored in Azure AD. Les hachages de mot de passe sont nécessaires pour authentifier correctement un utilisateur dans Azure AD DS.The password hashes are needed to successfully authenticate a user in Azure AD DS.

Le processus de synchronisation est unidirectionnel par nature.The synchronization process is one way / unidirectional by design. Il n’existe aucune synchronisation inverse des modifications d’Azure AD DS vers Azure AD.There's no reverse synchronization of changes from Azure AD DS back to Azure AD. Un domaine managé Azure AD DS est en grande partie en lecture seule, à l’exception des unités d’organisation personnalisées que vous pouvez créer.An Azure AD DS managed domain is largely read-only except for custom OUs that you can create. Vous ne pouvez pas modifier les attributs utilisateur, les mots de passe utilisateur ou les appartenances aux groupes au sein d’un domaine géré Azure AD DS.You can't make changes to user attributes, user passwords, or group memberships within an Azure AD DS managed domain.

Synchronisation des attributs et mappage avec Azure AD DSAttribute synchronization and mapping to Azure AD DS

Le tableau suivant répertorie certains attributs courants et la façon dont ils sont synchronisés avec Azure AD DS.The following table lists some common attributes and how they're synchronized to Azure AD DS.

Attribut dans Azure AD DSAttribute in Azure AD DS SourceSource NotesNotes
UPNUPN Attribut UPN de l’utilisateur dans votre locataire Azure ADUser's UPN attribute in Azure AD tenant L’attribut UPN du locataire Azure AD est synchronisé tel quel pour Azure AD DS.The UPN attribute from the Azure AD tenant is synchronized as-is to Azure AD DS. La méthode la plus fiable pour se connecter à un domaine managé Azure AD DS consiste à utiliser l’UPN.The most reliable way to sign in to an Azure AD DS managed domain is using the UPN.
SAMAccountNameSAMAccountName Attribut mailNickname de l’utilisateur, dans le locataire Azure AD ou généré automatiquementUser's mailNickname attribute in Azure AD tenant or autogenerated L’attribut SAMAccountName provient de l’attribut mailNickname dans le locataire Azure AD.The SAMAccountName attribute is sourced from the mailNickname attribute in the Azure AD tenant. Si plusieurs comptes d’utilisateurs ont le même attribut mailNickname, SAMAccountName est généré automatiquement.If multiple user accounts have the same mailNickname attribute, the SAMAccountName is autogenerated. Si le paramètre mailNickname ou préfixe UPN dépasse 20 caractères, SAMAccountName est généré automatiquement pour répondre à la limite de 20 caractères sur les attributs SAMAccountName.If the user's mailNickname or UPN prefix is longer than 20 characters, the SAMAccountName is autogenerated to meet the 20 character limit on SAMAccountName attributes.
Mots de passePasswords Mot de passe utilisateur du locataire Azure ADUser's password from the Azure AD tenant Les hachages de mot de passe hérités requis pour l’authentification NTLM ou Kerberos sont synchronisés à partir du locataire Azure AD.Legacy password hashes required for NTLM or Kerberos authentication are synchronized from the Azure AD tenant. Si le locataire Azure AD est configuré pour la synchronisation hybride à l’aide d’Azure AD Connect, ces hachages de mot de passe proviennent de l’environnement AD DS local.If the Azure AD tenant is configured for hybrid synchronization using Azure AD Connect, these password hashes are sourced from the on-premises AD DS environment.
SID groupe/utilisateur principalPrimary user/group SID Généré automatiquementAutogenerated Le SID principal pour les comptes de groupe/d’utilisateur est généré automatiquement dans Azure AD DS.The primary SID for user/group accounts is autogenerated in Azure AD DS. Cet attribut ne correspond pas au SID de groupe/d’utilisateur principal de l’objet dans un environnement AD DS local.This attribute doesn't match the primary user/group SID of the object in an on-premises AD DS environment. Cette incompatibilité est due au fait que le domaine managé Azure AD DS a un espace de noms SID différent de celui du domaine AD DS local.This mismatch is because the Azure AD DS managed domain has a different SID namespace than the on-premises AD DS domain.
Historique des SID des utilisateurs et groupesSID history for users and groups SID d’utilisateur et de groupe principal localOn-premises primary user and group SID L'attribut SidHistory pour les utilisateurs et les groupes dans Azure AD DS est défini de sorte à correspondre au SID de groupe ou d’utilisateur principal correspondant dans un environnement AD DS local.The SidHistory attribute for users and groups in Azure AD DS is set to match the corresponding primary user or group SID in an on-premises AD DS environment. Cette fonctionnalité permet de faciliter la migration des applications sur site vers Azure AD DS, étant donné que vous n’avez pas besoin de redéfinir les ACL des ressources.This feature helps make lift-and-shift of on-premises applications to Azure AD DS easier as you don't need to re-ACL resources.

Conseil

Se connecter au domaine managé en utilisant le format UPN : l’attribut SAMAccountName, tel que AADDSCONTOSO\driley, peut être généré automatiquement pour certains comptes d’utilisateurs dans un domaine managé Azure AD DS.Sign in to the managed domain using the UPN format The SAMAccountName attribute, such as AADDSCONTOSO\driley, may be auto-generated for some user accounts in an Azure AD DS managed domain. La valeur de SAMAccountName générée automatiquement pour l’utilisateur peut différer du préfixe UPN de ce dernier, donc n’est pas toujours un moyen fiable de se connecter.Users' auto-generated SAMAccountName may differ from their UPN prefix, so isn't always a reliable way to sign in.

Par exemple, si plusieurs utilisateurs ont le même attribut mailNickname ou si des utilisateurs ont des préfixes UPN anormalement longs, la valeur SAMAccountName pour ces utilisateurs peut être générée automatiquement.For example, if multiple users have the same mailNickname attribute or users have overly long UPN prefixes, the SAMAccountName for these users may be auto-generated. Utilisez le format UPN, tel que driley@aaddscontoso.com, pour vous connecter de manière fiable à un domaine managé Azure AD DS.Use the UPN format, such as driley@aaddscontoso.com, to reliably sign in to an Azure AD DS managed domain.

Mappage d’attributs pour les comptes d’utilisateurAttribute mapping for user accounts

Le tableau suivant illustre la façon dont certains attributs pour les objets utilisateur dans Azure AD sont synchronisés avec les attributs correspondants dans Azure AD DS.The following table illustrates how specific attributes for user objects in Azure AD are synchronized to corresponding attributes in Azure AD DS.

Attribut utilisateur dans Azure ADUser attribute in Azure AD Attribut utilisateur dans Azure AD DSUser attribute in Azure AD DS
accountEnabledaccountEnabled userAccountControl (définit ou efface le bit ACCOUNT_DISABLED)userAccountControl (sets or clears the ACCOUNT_DISABLED bit)
citycity ll
countrycountry coco
departmentdepartment departmentdepartment
displayNamedisplayName displayNamedisplayName
facsimileTelephoneNumberfacsimileTelephoneNumber facsimileTelephoneNumberfacsimileTelephoneNumber
givenNamegivenName givenNamegivenName
jobTitlejobTitle titletitle
mailmail mailmail
mailNickNamemailNickname msDS-AzureADMailNicknamemsDS-AzureADMailNickname
mailNickNamemailNickname SAMAccountName (peut parfois être généré automatiquement)SAMAccountName (may sometimes be autogenerated)
mobilemobile mobilemobile
objectidobjectid msDS-AzureADObjectIdmsDS-AzureADObjectId
onPremiseSecurityIdentifieronPremiseSecurityIdentifier sidHistorysidHistory
passwordPoliciespasswordPolicies userAccountControl (définit ou efface le bit DONT_EXPIRE_PASSWORD)userAccountControl (sets or clears the DONT_EXPIRE_PASSWORD bit)
physicalDeliveryOfficeNamephysicalDeliveryOfficeName physicalDeliveryOfficeNamephysicalDeliveryOfficeName
postalCodepostalCode postalCodepostalCode
preferredLanguagepreferredLanguage preferredLanguagepreferredLanguage
statestate stst
streetAddressstreetAddress streetAddressstreetAddress
surnamesurname snsn
telephoneNumbertelephoneNumber telephoneNumbertelephoneNumber
userPrincipalNameuserPrincipalName userPrincipalNameuserPrincipalName

Mappage d’attributs pour les groupesAttribute mapping for groups

Le tableau suivant illustre la façon dont certains attributs pour les objets de groupe dans Azure AD sont synchronisés avec les attributs correspondants dans Azure AD DS.The following table illustrates how specific attributes for group objects in Azure AD are synchronized to corresponding attributes in Azure AD DS.

Attribut de groupe dans Azure ADGroup attribute in Azure AD Attribut de groupe dans Azure AD DSGroup attribute in Azure AD DS
displayNamedisplayName displayNamedisplayName
displayNamedisplayName SAMAccountName (peut parfois être généré automatiquement)SAMAccountName (may sometimes be autogenerated)
mailmail mailmail
mailNickNamemailNickname msDS-AzureADMailNicknamemsDS-AzureADMailNickname
objectidobjectid msDS-AzureADObjectIdmsDS-AzureADObjectId
onPremiseSecurityIdentifieronPremiseSecurityIdentifier sidHistorysidHistory
securityEnabledsecurityEnabled groupTypegroupType

Synchronisation d’AD DS local vers Azure AD et Azure AD DSSynchronization from on-premises AD DS to Azure AD and Azure AD DS

Azure AD Connect est utilisé pour synchroniser les comptes d’utilisateur, les appartenances aux groupes et les hachages d’informations d’identification à partir d’un environnement AD DS local vers Azure AD.Azure AD Connect is used to synchronize user accounts, group memberships, and credential hashes from an on-premises AD DS environment to Azure AD. Les attributs des comptes d’utilisateur tels que l’UPN et l’identificateur de sécurité (SID) sont synchronisés en local.Attributes of user accounts such as the UPN and on-premises security identifier (SID) are synchronized. Pour vous connecter à l’aide d'Azure AD DS, les hachages de mot de passe hérités requis pour l'authentification NTLM et Kerberos sont également synchronisés avec Azure AD.To sign in using Azure AD DS, legacy password hashes required for NTLM and Kerberos authentication are also synchronized to Azure AD.

Important

Azure AD Connect doit uniquement être installé et configuré pour la synchronisation avec des environnements AD DS locaux.Azure AD Connect should only be installed and configured for synchronization with on-premises AD DS environments. L’installation d’Azure AD Connect n’est pas prise en charge dans un domaine managé Azure AD DS pour resynchroniser des objets sur Azure AD.It's not supported to install Azure AD Connect in an Azure AD DS managed domain to synchronize objects back to Azure AD.

Si vous configurez l’écriture différée, les modifications d’Azure AD sont resynchronisées dans l’environnement AD DS local.If you configure write-back, changes from Azure AD are synchronized back to the on-premises AD DS environment. Par exemple, si un utilisateur modifie son mot de passe à l’aide de la gestion des mots de passe en libre-service d’Azure AD, le mot de passe est mis à jour dans l’environnement AD DS local.For example, if a user changes their password using Azure AD self-service password management, the password is updated back in the on-premises AD DS environment.

Notes

Utilisez toujours la version la plus récente d’Azure AD Connect pour vous assurer d'avoir les correctifs pour tous les bogues connus.Always use the latest version of Azure AD Connect to ensure you have fixes for all known bugs.

Synchronisation d’un environnement local à plusieurs forêtsSynchronization from a multi-forest on-premises environment

De nombreuses organisations disposent d’un environnement AD DS local relativement complexe qui comprend plusieurs forêts.Many organizations have a fairly complex on-premises AD DS environment that includes multiple forests. Azure AD Connect prend en charge la synchronisation des utilisateurs, groupes et hachages d’informations d’identification à partir d’environnements à plusieurs forêts vers Azure AD.Azure AD Connect supports synchronizing users, groups, and credential hashes from multi-forest environments to Azure AD.

Azure AD a un espace de noms bien plus simple et plat.Azure AD has a much simpler and flat namespace. Pour permettre aux utilisateurs d’accéder de manière fiable aux applications sécurisées par Azure AD, résolvez les conflits d’UPN entre comptes d’utilisateur dans des forêts différentes.To enable users to reliably access applications secured by Azure AD, resolve UPN conflicts across user accounts in different forests. Les domaines managés d’Azure AD DS utilisent une structure d’unité d’organisation plate, similaire à Azure AD.Azure AD DS managed domains use a flat OU structure, similar to Azure AD. Tous les comptes d’utilisateurs et les groupes sont stockés dans le conteneur Utilisateurs AADDC, en dépit de la synchronisation effectuée à partir de forêts ou de domaines locaux différents, même si vous avez configuré une structure d’unités d’organisation hiérarchique locale.All user accounts and groups are stored in the AADDC Users container, despite being synchronized from different on-premises domains or forests, even if you've configured a hierarchical OU structure on-premises. Le domaine managé Azure AD DS aplatit toutes les structures d’unités d’organisation hiérarchiques.The Azure AD DS managed domain flattens any hierarchical OU structures.

Comme nous l’avons vu précédemment, il n’existe aucune synchronisation d’Azure AD DS vers Azure AD.As previously detailed, there's no synchronization from Azure AD DS back to Azure AD. Vous pouvez créer une unité d’organisation personnalisée dans Azure AD DS, puis des utilisateurs, des groupes ou des comptes de service au sein de ces unités d’organisation personnalisées.You can create a custom Organizational Unit (OU) in Azure AD DS and then users, groups, or service accounts within those custom OUs. Aucun des objets créés dans les unités d’organisation personnalisées n’est de nouveau synchronisé avec Azure AD.None of the objects created in custom OUs are synchronized back to Azure AD. Ces objets sont uniquement disponibles dans le domaine managé Azure AD DS et ne sont pas visibles à l'aide des cmdlets Azure AD PowerShell, de l'API Microsoft Graph ou de l'interface utilisateur de gestion Azure AD.These objects are available only within the Azure AD DS managed domain, and aren't visible using Azure AD PowerShell cmdlets, Microsoft Graph API, or using the Azure AD management UI.

Éléments qui ne sont pas synchronisés avec Azure AD DSWhat isn't synchronized to Azure AD DS

Les objets ou attributs suivants ne sont pas synchronisés à partir d’un environnement AD DS local vers Azure AD ou Azure AD DS :The following objects or attributes aren't synchronized from an on-premises AD DS environment to Azure AD or Azure AD DS:

  • Exlure les attributs : Vous pouvez choisir d’exclure certains attributs de la synchronisation avec Azure AD à partir d’un environnement AD DS local à l’aide d’Azure AD Connect.Excluded attributes: You can choose to exclude certain attributes from synchronizing to Azure AD from an on-premises AD DS environment using Azure AD Connect. Ces attributs exclus ne sont alors pas disponibles dans Azure AD DS.These excluded attributes aren't then available in Azure AD DS.
  • Stratégies de groupe : Les stratégies de groupe configurées dans un environnement AD DS local ne sont pas synchronisées avec Azure AD DS.Group Policies: Group Policies configured in an on-premises AD DS environment aren't synchronized to Azure AD DS.
  • Dossier Sysvol : Le contenu du dossier Sysvol dans un environnement AD DS local n’est pas synchronisé avec Azure AD DS.Sysvol folder: The contents of the Sysvol folder in an on-premises AD DS environment aren't synchronized to Azure AD DS.
  • Objets ordinateur : Les objets ordinateur pour les ordinateurs joints à un environnement AD DS local ne sont pas synchronisés avec Azure AD DS.Computer objects: Computer objects for computers joined to an on-premises AD DS environment aren't synchronized to Azure AD DS. Ces ordinateurs n’ont pas de relation d’approbation avec le domaine managé Azure AD DS et n’appartiennent qu’à l’environnement AD DS local.These computers don't have a trust relationship with the Azure AD DS managed domain and only belong to the on-premises AD DS environment. Dans Azure AD DS, seuls les objets ordinateur pour les ordinateurs que vous avez explicitement joints au domaine managé s’affichent.In Azure AD DS, only computer objects for computers that have explicitly domain-joined to the managed domain are shown.
  • Attributs SidHistory des utilisateurs et groupes : les SID de l’utilisateur principal et du groupe principal d’un environnement AD DS local sont synchronisés avec Azure AD DS.SidHistory attributes for users and groups: The primary user and primary group SIDs from an on-premises AD DS environment are synchronized to Azure AD DS. Toutefois, les attributs SidHistory existants pour les utilisateurs et les groupes ne sont pas synchronisés de l’environnement AD DS vers Azure AD DS.However, existing SidHistory attributes for users and groups aren't synchronized from the on-premises AD DS environment to Azure AD DS.
  • Structures d’unités d’organisation (OU) : Les unités d’organisation définies dans un environnement AD DS local ne sont pas synchronisées avec Azure AD DS.Organization Units (OU) structures: Organizational Units defined in an on-premises AD DS environment don't synchronize to Azure AD DS. Il existe deux unités d’organisation intégrées dans Azure AD DS : une pour les utilisateurs et une pour les ordinateurs.There are two built-in OUs in Azure AD DS - one for users, and one for computers. Le domaine managé Azure AD DS a une structure d’unité d’organisation plate.The Azure AD DS managed domain has a flat OU structure. Vous pouvez choisir de créer une unité d’organisation personnalisée dans votre domaine managé.You can choose to create a custom OU in your managed domain.

Considérations relatives à la sécurité et à la synchronisation de hachage du mot de passePassword hash synchronization and security considerations

Lorsque vous activez Azure AD DS, les hachages de mot de passe hérités pour l’authentification NTLM + Kerberos sont requis.When you enable Azure AD DS, legacy password hashes for NTLM + Kerberos authentication are required. Azure AD ne stocke pas les mots de passe en texte clair. Par conséquent, ces hachages ne peuvent pas être générés automatiquement pour les comptes d'utilisateur existants.Azure AD doesn't store clear-text passwords, so these hashes can't be automatically generated for existing user accounts. Une fois générés et stockés, les hachages de mot de passe compatibles NTLM et Kerberos sont toujours stockés sous forme chiffrée dans Azure AD.Once generated and stored, NTLM and Kerberos compatible password hashes are always stored in an encrypted manner in Azure AD.

Les clés de chiffrement sont uniques pour chaque locataire Azure AD.The encryption keys are unique to each Azure AD tenant. Ces hachages sont chiffrés afin que seul Azure AD DS ait accès aux clés de déchiffrement.These hashes are encrypted such that only Azure AD DS has access to the decryption keys. Aucun autre service ni composant d’Azure AD n’a accès aux clés de déchiffrement.No other service or component in Azure AD has access to the decryption keys.

Les hachages de mot de passe hérités sont ensuite synchronisés à partir d’Azure AD dans les contrôleurs de domaine pour un domaine managé Azure AD DS.Legacy password hashes are then synchronized from Azure AD into the domain controllers for an Azure AD DS managed domain. Les disques de ces contrôleurs de domaine managé dans Azure AD DS sont chiffrés à l’arrêt.The disks for these managed domain controllers in Azure AD DS are encrypted at rest. Ces hachages de mot de passe sont stockés et sécurisés sur ces contrôleurs de domaine de la même manière que les mots de passe stockés et sécurisés dans un environnement AD DS local.These password hashes are stored and secured on these domain controllers similar to how passwords are stored and secured in an on-premises AD DS environment.

Pour les environnements Azure AD cloud uniquement, les utilisateurs doivent réinitialiser/modifier leur mot de passe afin que les hachages de mot de passe requis soient générés et stockés dans Azure AD.For cloud-only Azure AD environments, users must reset/change their password in order for the required password hashes to be generated and stored in Azure AD. Pour tout compte d’utilisateur cloud créé dans Azure AD après l’activation d’Azure AD Domain Services, les hachages de mot de passe sont générés et stockés dans des formats compatibles NTLM et Kerberos.For any cloud user account created in Azure AD after enabling Azure AD Domain Services, the password hashes are generated and stored in the NTLM and Kerberos compatible formats. Tous les comptes d’utilisateur cloud doivent modifier leur mot de passe pour pouvoir être synchronisés avec Azure AD DS.All cloud user accounts must change their password before they're synchronized to Azure AD DS.

Pour les comptes d’utilisateurs hybrides synchronisés à partir d’un environnement AD DS local à l’aide d’Azure AD Connect, vous devez configurer Azure AD Connect pour synchroniser les hachages de mot de passe dans des formats compatibles NTLM et Kerberos.For hybrid user accounts synced from on-premises AD DS environment using Azure AD Connect, you must configure Azure AD Connect to synchronize password hashes in the NTLM and Kerberos compatible formats.

Étapes suivantesNext steps

Pour plus d’informations sur les détails de la synchronisation de mot de passe, consultez Fonctionnement de la synchronisation de hachage du mot de passe avec Azure AD Connect.For more information on the specifics of password synchronization, see How password hash synchronization works with Azure AD Connect.

Pour commencer à utiliser Azure AD DS, créez un domaine managé.To get started with Azure AD DS, create a managed domain.