Tutoriel : Créer et configurer un domaine managé Azure Active Directory Domain ServicesTutorial: Create and configure an Azure Active Directory Domain Services managed domain

Azure Active Directory Domain Services (Azure AD DS) fournit des services de domaine managés, comme la jonction de domaine, la stratégie de groupe, le protocole LDAP, et l’authentification Kerberos/NTLM entièrement compatible avec Windows Server Active Directory.Azure Active Directory Domain Services (Azure AD DS) provides managed domain services such as domain join, group policy, LDAP, Kerberos/NTLM authentication that is fully compatible with Windows Server Active Directory. Vous consommez ces services de domaine sans déployer, gérer et mettre à jour avec des correctifs les contrôleurs de domaine vous-même.You consume these domain services without deploying, managing, and patching domain controllers yourself. Azure AD DS s’intègre à votre locataire Azure AD existant.Azure AD DS integrates with your existing Azure AD tenant. Cette intégration permet aux utilisateurs de se connecter en utilisant leurs informations d’identification d’entreprise, et vous pouvez utiliser des groupes et des comptes d’utilisateur existants pour sécuriser l’accès aux ressources.This integration lets users sign in using their corporate credentials, and you can use existing groups and user accounts to secure access to resources.

Vous pouvez créer un domaine managé avec des options de configuration par défaut pour le réseau et la synchronisation, ou définir ces paramètres manuellement.You can create a managed domain using default configuration options for networking and synchronization, or manually define these settings. Ce tutoriel montre comment utiliser les options par défaut pour créer et configurer un domaine managé Azure AD DS avec le portail Azure.This tutorial shows you how to use default options to create and configure an Azure AD DS managed domain using the Azure portal.

Dans ce tutoriel, vous allez apprendre à :In this tutorial, you learn how to:

  • Comprendre les exigences DNS pour un domaine managéUnderstand DNS requirements for a managed domain
  • Créer un domaine managéCreate a managed domain
  • Activer la synchronisation de hachage de mot de passeEnable password hash synchronization

Si vous n’avez pas d’abonnement Azure, créez un compte avant de commencer.If you don't have an Azure subscription, create an account before you begin.

PrérequisPrerequisites

Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :To complete this tutorial, you need the following resources and privileges:

  • Un abonnement Azure actif.An active Azure subscription.
  • Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec un annuaire local ou un annuaire cloud uniquement.An Azure Active Directory tenant associated with your subscription, either synchronized with an on-premises directory or a cloud-only directory.
  • Vous devez disposer des privilèges d’Administrateur global dans votre locataire Azure AD pour activer Azure AD DS.You need global administrator privileges in your Azure AD tenant to enable Azure AD DS.
  • Vous avez besoin de privilèges de Contributeur dans votre abonnement Azure pour créer les ressources Azure AD DS nécessaires.You need Contributor privileges in your Azure subscription to create the required Azure AD DS resources.

Bien que ce ne soit pas obligatoire pour Azure AD DS, nous vous recommandons de configurer la réinitialisation de mot de passe en libre-service (SSPR) pour le locataire Azure AD.Although not required for Azure AD DS, it's recommended to configure self-service password reset (SSPR) for the Azure AD tenant. Les utilisateurs peuvent changer leur mot de passe sans SSPR, mais SSPR aide s’ils oublient leur mot de passe et doivent les réinitialiser.Users can change their password without SSPR, but SSPR helps if they forget their password and need to reset it.

Important

Une fois que vous avez créé un domaine managé, vous ne pouvez plus le déplacer vers un autre groupe de ressources, réseau virtuel, abonnement, etc. Veillez à sélectionner l’abonnement, le groupe de ressources, la région et le réseau virtuel les plus appropriés quand vous déployez le domaine managé.After you create a managed domain, you can't then move the managed domain to a different resource group, virtual network, subscription, etc. Take care to select the most appropriate subscription, resource group, region, and virtual network when you deploy the managed domain.

Connectez-vous au portail Azure.Sign in to the Azure portal

Dans ce tutoriel, vous créez et configurez le domaine managé avec le portail Azure.In this tutorial, you create and configure the managed domain using the Azure portal. Pour commencer, connectez-vous au portail Azure.To get started, first sign in to the Azure portal.

Créer un domaine managéCreate a managed domain

Pour lancer l’Assistant Activer Azure AD Domain Services, procédez comme suit :To launch the Enable Azure AD Domain Services wizard, complete the following steps:

  1. Dans le menu du Portail Azure ou dans la page Accueil, sélectionnez Créer une ressource.On the Azure portal menu or from the Home page, select Create a resource.
  2. Entrez Domain Services dans la barre de recherche, puis choisissez Azure AD Domain Services dans les suggestions de recherche.Enter Domain Services into the search bar, then choose Azure AD Domain Services from the search suggestions.
  3. Dans la page Azure AD Domain Services, cliquez sur le bouton Créer.On the Azure AD Domain Services page, select Create. L’Assistant Activer Azure AD Domain Services est lancé.The Enable Azure AD Domain Services wizard is launched.
  4. Sélectionnez l’Abonnement Azure dans lequel vous souhaitez créer le domaine managé.Select the Azure Subscription in which you would like to create the managed domain.
  5. Sélectionnez le Groupe de ressources auquel le domaine managé doit appartenir.Select the Resource group to which the managed domain should belong. Choisissez de Créer ou de sélectionner un groupe de ressources existant.Choose to Create new or select an existing resource group.

Quand vous créez un domaine managé, vous spécifiez un nom DNS.When you create a managed domain, you specify a DNS name. Voici quelques considérations liées au choix de ce nom DNS :There are some considerations when you choose this DNS name:

  • Nom de domaine intégré : Par défaut, le nom de domaine intégré de l’annuaire est utilisé (un suffixe .onmicrosoft.com).Built-in domain name: By default, the built-in domain name of the directory is used (a .onmicrosoft.com suffix). Si vous voulez activer l’accès LDAP sécurisé au domaine managé via Internet, vous ne pouvez pas créer un certificat numérique pour sécuriser la connexion avec ce domaine par défaut.If you wish to enable secure LDAP access to the managed domain over the internet, you can't create a digital certificate to secure the connection with this default domain. Microsoft détient le domaine .onmicrosoft.com : une autorité de certification n’émettra donc pas de certificat.Microsoft owns the .onmicrosoft.com domain, so a Certificate Authority (CA) won't issue a certificate.
  • Noms de domaine personnalisés : L’approche la plus courante consiste à spécifier un nom de domaine personnalisé, en général celui que vous possédez déjà et qui est routable.Custom domain names: The most common approach is to specify a custom domain name, typically one that you already own and is routable. Quand vous utilisez un domaine personnalisé routable, le trafic peut s’écouler correctement en fonction des besoins pour prendre en charge vos applications.When you use a routable, custom domain, traffic can correctly flow as needed to support your applications.
  • Suffixes de domaine non routables : D’une façon générale, nous vous recommandons d’éviter un suffixe de nom de domaine non routable, comme contoso.local.Non-routable domain suffixes: We generally recommend that you avoid a non-routable domain name suffix, such as contoso.local. Le suffixe .local n’est pas routable et peut entraîner des problèmes de résolution DNS.The .local suffix isn't routable and can cause issues with DNS resolution.

Conseil

Si vous créez un nom de domaine personnalisé, faites attention aux espaces de noms DNS existants.If you create a custom domain name, take care with existing DNS namespaces. Il est recommandé d’utiliser un nom de domaine distinct de tout espace de noms DNS local ou Azure existant.It's recommended to use a domain name separate from any existing Azure or on-premises DNS name space.

Par exemple, si vous disposez de l’espace de noms DNS existant contoso.com, créez un domaine managé avec le nom de domaine personnalisé aaddscontoso.com.For example, if you have an existing DNS name space of contoso.com, create a managed domain with the custom domain name of aaddscontoso.com. Si vous devez utiliser le protocole LDAP sécurisé, vous devez inscrire et avoir ce nom de domaine personnalisé pour générer les certificats requis.If you need to use secure LDAP, you must register and own this custom domain name to generate the required certificates.

Vous devrez peut-être créer des enregistrements DNS supplémentaires pour d’autres services dans votre environnement, ou des redirecteurs DNS conditionnels entre les espaces de noms DNS existants dans votre environnement.You may need to create some additional DNS records for other services in your environment, or conditional DNS forwarders between existing DNS name spaces in your environment. Par exemple, si vous exécutez un serveur web qui héberge un site à l’aide du nom DNS racine, il peut y avoir des conflits de nommage qui nécessitent des entrées DNS supplémentaires.For example, if you run a webserver that hosts a site using the root DNS name, there can be naming conflicts that require additional DNS entries.

Dans ces tutoriels et articles de guide pratique, le domaine personnalisé aaddscontoso.com est utilisé comme exemple simple.In these tutorials and how-to articles, the custom domain of aaddscontoso.com is used as a short example. Dans toutes les commandes, spécifiez votre propre nom de domaine.In all commands, specify your own domain name.

Les restrictions de nom DNS suivantes s’appliquent également :The following DNS name restrictions also apply:

  • Restrictions de préfixe de domaine : Vous ne pouvez pas créer de domaine managé avec un préfixe de plus de 15 caractères.Domain prefix restrictions: You can't create a managed domain with a prefix longer than 15 characters. Le préfixe du nom de domaine spécifié (par exemple, aaddscontoso dans le nom de domaine aaddscontoso.com) doit contenir au maximum 15 caractères.The prefix of your specified domain name (such as aaddscontoso in the aaddscontoso.com domain name) must contain 15 or fewer characters.
  • Conflits de noms de réseau : Le nom de domaine DNS de votre domaine managé ne doit pas déjà exister dans le réseau virtuel.Network name conflicts: The DNS domain name for your managed domain shouldn't already exist in the virtual network. En particulier, recherchez les scénarios suivants, qui aboutiraient à un conflit de noms :Specifically, check for the following scenarios that would lead to a name conflict:
    • Si vous avec un domaine Active Directory avec le même nom de domaine DNS sur le réseau virtuel Azure.If you already have an Active Directory domain with the same DNS domain name on the Azure virtual network.
    • Si le réseau virtuel dans lequel vous envisagez d’activer le domaine managé a une connexion VPN avec votre réseau local.If the virtual network where you plan to enable the managed domain has a VPN connection with your on-premises network. Dans ce scénario, veillez à ne pas avoir de domaine portant le même nom de domaine DNS sur votre réseau local.In this scenario, ensure you don't have a domain with the same DNS domain name on your on-premises network.
    • Si vous avez un service cloud Azure avec ce nom sur le réseau virtuel Azure.If you have an existing Azure cloud service with that name on the Azure virtual network.

Renseignez les champs de la fenêtre De base du portail Azure pour créer un domaine managé :Complete the fields in the Basics window of the Azure portal to create a managed domain:

  1. Entrez un Nom de domaine DNS pour votre domaine managé, en tenant compte des points précédents.Enter a DNS domain name for your managed domain, taking into consideration the previous points.

  2. Choisissez l’Emplacement Azure dans lequel créer le domaine managé.Choose the Azure Location in which the managed domain should be created. Si vous choisissez une région qui prend en charge les Zones de disponibilité Azure, les ressources Azure AD DS sont réparties entre les zones pour assurer une redondance supplémentaire.If you choose a region that supports Azure Availability Zones, the Azure AD DS resources are distributed across zones for additional redundancy.

    Conseil

    Les Zones de disponibilité sont des emplacements physiques uniques au sein d’une région Azure.Availability Zones are unique physical locations within an Azure region. Chaque zone de disponibilité est composée d’un ou de plusieurs centres de données équipés d’une alimentation, d’un système de refroidissement et d’un réseau indépendants.Each zone is made up of one or more datacenters equipped with independent power, cooling, and networking. Pour garantir la résilience, un minimum de trois zones distinctes sont activées dans toutes les régions.To ensure resiliency, there's a minimum of three separate zones in all enabled regions.

    Vous ne devez rien configurer pour la répartition d’Azure AD DS entre les zones.There's nothing for you to configure for Azure AD DS to be distributed across zones. La plateforme Azure gère automatiquement la répartition de zone des ressources.The Azure platform automatically handles the zone distribution of resources. Pour plus d’informations et pour connaître la disponibilité régionale, consultez Que sont les zones de disponibilité dans Azure ?For more information and to see region availability, see What are Availability Zones in Azure?

  3. La référence SKU détermine les performances, la fréquence de sauvegarde et le nombre maximal d’approbations de forêt que vous pouvez créer.The SKU determines the performance, backup frequency, and maximum number of forest trusts you can create. Vous pouvez changer de référence SKU après la création du domaine managé en cas de changement des besoins métier.You can change the SKU after the managed domain has been created if your business demands or requirements change. Pour plus d’informations, consultez Concepts relatifs aux références SKU dans Azure AD DS.For more information, see Azure AD DS SKU concepts.

    Pour ce tutoriel, sélectionnez la référence SKU Standard.For this tutorial, select the Standard SKU.

  4. Une forêt est une construction logique utilisée par Active Directory Domain Services pour regrouper un ou plusieurs domaines.A forest is a logical construct used by Active Directory Domain Services to group one or more domains. Par défaut, un domaine managé est créé en tant que forêt d’utilisateurs.By default, a managed domain is created as a User forest. Ce type de forêt synchronise tous les objets d’Azure AD, notamment les comptes d’utilisateur créés dans un environnement AD DS local.This type of forest synchronizes all objects from Azure AD, including any user accounts created in an on-premises AD DS environment.

    Une forêt de ressources synchronise uniquement les utilisateurs et les groupes créés directement dans Azure AD.A Resource forest only synchronizes users and groups created directly in Azure AD. Pour plus d’informations sur les forêts de ressources, notamment sur la raison pour laquelle vous pouvez en utiliser une et comment créer des approbations de forêts avec des domaines AD DS locaux, consultez Vue d’ensemble des forêts de ressources Azure AD DS.For more information on Resource forests, including why you may use one and how to create forest trusts with on-premises AD DS domains, see Azure AD DS resource forests overview.

    Pour ce tutoriel, choisissez de créer une forêt d’utilisateurs.For this tutorial, choose to create a User forest.

    Configurer les paramètres de base pour un domaine managé Azure AD Domain Services

Pour créer rapidement un domaine managé, vous pouvez sélectionner Vérifier + créer afin d’accepter d’autres options de configuration par défaut.To quickly create a managed domain, you can select Review + create to accept additional default configuration options. Quand vous choisissez cette option de création, les paramètres par défaut suivants sont configurés :The following defaults are configured when you choose this create option:

  • Crée un réseau virtuel nommé aadds-vnet qui utilise la plage d’adresses IP 10.0.2.0/24.Creates a virtual network named aadds-vnet that uses the IP address range of 10.0.2.0/24.
  • Crée un sous-réseau appelé aadds-subnet qui utilise la plage d’adresses IP 10.0.2.0/24.Creates a subnet named aadds-subnet using the IP address range of 10.0.2.0/24.
  • Synchronise tous les utilisateurs entre Azure AD et le domaine managé.Synchronizes All users from Azure AD into the managed domain.

Sélectionnez Vérifier + créer pour accepter ces options de configuration par défaut.Select Review + create to accept these default configuration options.

Déployer le domaine managéDeploy the managed domain

Dans la page Résumé de l’Assistant, examinez les paramètres de configuration du domaine managé.On the Summary page of the wizard, review the configuration settings for your managed domain. Vous pouvez revenir à n’importe quelle étape de l’Assistant pour faire des modifications.You can go back to any step of the wizard to make changes. Pour redéployer un domaine managé sur un autre client Azure AD en utilisant ces mêmes options de configuration, vous pouvez également télécharger un modèle pour l’automatisation.To redeploy a managed domain to a different Azure AD tenant in a consistent way using these configuration options, you can also Download a template for automation.

  1. Pour créer le domaine managé, sélectionnez Créer.To create the managed domain, select Create. Une remarque s’affiche pour signaler que certaines options de configuration, telles que le nom DNS ou le réseau virtuel, ne sont plus modifiables une fois que le domaine managé Azure AD DS a été créé.A note is displayed that certain configuration options such as DNS name or virtual network can't be changed once the Azure AD DS managed has been created. Pour continuer, sélectionnez OK.To continue, select OK.

  2. Le processus d’approvisionnement de votre domaine managé peut prendre jusqu’à une heure.The process of provisioning your managed domain can take up to an hour. Vous voyez une notification dans le portail indiquant la progression de votre déploiement Azure AD DS.A notification is displayed in the portal that shows the progress of your Azure AD DS deployment. Sélectionnez la notification pour voir la progression détaillée du déploiement.Select the notification to see detailed progress for the deployment.

    Notification dans le portail Azure du déploiement en cours

  3. La page se charge avec les mises à jour du processus de déploiement, y compris la création de ressources dans votre annuaire.The page will load with updates on the deployment process, including the creation of new resources in your directory.

  4. Sélectionnez votre groupe de ressources, tel que myResourceGroup, puis choisissez votre domaine managé dans la liste des ressources Azure, par exemple aaddscontoso.com.Select your resource group, such as myResourceGroup, then choose your managed domain from the list of Azure resources, such as aaddscontoso.com. L’onglet Vue d’ensemble montre que le domaine managé est actuellement en cours de Déploiement.The Overview tab shows that the managed domain is currently Deploying. Vous ne pouvez pas configurer le domaine managé tant qu’il n’est pas entièrement provisionné.You can't configure the managed domain until it's fully provisioned.

    État des services de domaine pendant l’état Provisionnement

  5. Lorsque le domaine managé est entièrement approvisionné, l’onglet Vue d’ensemble affiche l’état du domaine comme En cours d’exécution.When the managed domain is fully provisioned, the Overview tab shows the domain status as Running.

    État des services de domaine une fois le provisionnement terminé

Important

Le domaine managé est associé à votre locataire Azure AD.The managed domain is associated with your Azure AD tenant. Pendant le processus d’approvisionnement, Azure AD DS crée deux applications d’entreprise nommées Services de contrôleur de domaine et AzureActiveDirectoryDomainControllerServices dans le locataire Azure AD.During the provisioning process, Azure AD DS creates two Enterprise Applications named Domain Controller Services and AzureActiveDirectoryDomainControllerServices in the Azure AD tenant. Ces applications d’entreprise sont nécessaires pour entretenir votre domaine géré.These Enterprise Applications are needed to service your managed domain. Ne supprimez pas ces applications.Don't delete these applications.

Mettre à jour les paramètres DNS pour le réseau virtuel AzureUpdate DNS settings for the Azure virtual network

Avec Azure AD DS correctement déployé, configurez maintenant le réseau virtuel pour permettre à d’autres machines virtuelles et applications connectées d’utiliser le domaine managé.With Azure AD DS successfully deployed, now configure the virtual network to allow other connected VMs and applications to use the managed domain. Pour fournir cette connectivité, mettez à jour les paramètres du serveur DNS pour que votre réseau virtuel pointe vers les deux adresses IP où le domaine managé est déployé.To provide this connectivity, update the DNS server settings for your virtual network to point to the two IP addresses where the managed domain is deployed.

  1. L’onglet Vue d’ensemble pour votre domaine managé montre quelques Étapes de configuration obligatoires.The Overview tab for your managed domain shows some Required configuration steps. La première étape de configuration est de mettre à jour les paramètres du serveur DNS pour votre réseau virtuel.The first configuration step is to update DNS server settings for your virtual network. Une fois les paramètres DNS correctement configurés, cette étape n’apparaît plus.Once the DNS settings are correctly configured, this step is no longer shown.

    Les adresses listées sont les contrôleurs de domaine à utiliser dans le réseau virtuel.The addresses listed are the domain controllers for use in the virtual network. Dans cet exemple, ces adresses sont 10.0.2.4 et 10.0.2.5.In this example, those addresses are 10.0.2.4 and 10.0.2.5. Vous pouvez trouver ultérieurement ces adresses IP sous l’onglet Propriétés.You can later find these IP addresses on the Properties tab.

    Configurer les paramètres DNS pour votre réseau virtuel avec les adresses IP d’Azure AD Domain Services

  2. Pour mettre à jour les paramètres du serveur DNS pour le réseau virtuel, sélectionnez le bouton Configurer.To update the DNS server settings for the virtual network, select the Configure button. Les paramètres DNS sont configurés automatiquement pour votre réseau virtuel.The DNS settings are automatically configured for your virtual network.

Conseil

Si vous avez sélectionné un réseau virtuel existant au cours des étapes précédentes, les machines virtuelles connectées au réseau obtiennent les nouveaux paramètres DNS seulement après un redémarrage.If you selected an existing virtual network in the previous steps, any VMs connected to the network only get the new DNS settings after a restart. Vous pouvez redémarrer les machines virtuelles en utilisant le portail Azure, Azure PowerShell ou Azure CLI.You can restart VMs using the Azure portal, Azure PowerShell, or the Azure CLI.

Activer les comptes d’utilisateur pour Azure AD DSEnable user accounts for Azure AD DS

Pour authentifier les utilisateurs sur le domaine managé, Azure AD DS nécessite les hachages de mot de passe dans un format adapté à l’authentification NTLM (NT LAN Manager) et Kerberos.To authenticate users on the managed domain, Azure AD DS needs password hashes in a format that's suitable for NT LAN Manager (NTLM) and Kerberos authentication. Azure AD ne génère pas et ne stocke pas les hachages de mot de passe au format nécessaire pour l’authentification NTLM ou Kerberos tant que vous n’activez pas Azure AD DS pour votre locataire.Azure AD doesn't generate or store password hashes in the format that's required for NTLM or Kerberos authentication until you enable Azure AD DS for your tenant. Pour des raisons de sécurité, Azure AD ne stocke pas non plus d’informations d’identification de mot de passe sous forme de texte en clair.For security reasons, Azure AD also doesn't store any password credentials in clear-text form. Par conséquent, Azure AD ne peut pas générer automatiquement ces hachages de mot de passe NTLM ou Kerberos en fonction des informations d’identification existantes des utilisateurs.Therefore, Azure AD can't automatically generate these NTLM or Kerberos password hashes based on users' existing credentials.

Notes

Une fois configurés de façon appropriée, les hachages de mot de passe utilisables sont stockés dans le domaine managé.Once appropriately configured, the usable password hashes are stored in the managed domain. Si vous supprimez le domaine managé, tout hachage de mot de passe stocké à ce stade est également supprimé.If you delete the managed domain, any password hashes stored at that point are also deleted.

Les informations d’identification synchronisées dans Azure AD ne peuvent pas être réutilisées si vous créez par la suite un domaine managé : vous devez reconfigurer la synchronisation de hachage de mot de passe pour stocker à nouveau les hachages de mot de passe.Synchronized credential information in Azure AD can't be re-used if you later create a managed domain - you must reconfigure the password hash synchronization to store the password hashes again. Les machines virtuelles ou les utilisateurs auparavant joints à un domaine ne pourront pas s’authentifier immédiatement : Azure AD doit générer et stocker les hachages de mot de passe dans le nouveau domaine managé.Previously domain-joined VMs or users won't be able to immediately authenticate - Azure AD needs to generate and store the password hashes in the new managed domain.

Pour plus d’informations, consultez Processus de synchronisation du hachage de mot de passe pour Azure AD DS et Azure AD Connect.For more information, see Password hash sync process for Azure AD DS and Azure AD Connect.

Les étapes de génération et de stockage de ces hachages de mot de passe sont différentes pour les comptes d’utilisateur cloud uniquement créés dans Azure AD et pour les comptes d’utilisateur qui sont synchronisés à partir de votre annuaire local avec Azure AD Connect.The steps to generate and store these password hashes are different for cloud-only user accounts created in Azure AD versus user accounts that are synchronized from your on-premises directory using Azure AD Connect.

Un compte d’utilisateur uniquement dans le cloud est un compte qui a été créé dans votre répertoire Azure AD à l’aide du portail Azure ou d’applets de commande PowerShell Azure AD.A cloud-only user account is an account that was created in your Azure AD directory using either the Azure portal or Azure AD PowerShell cmdlets. Ces comptes d’utilisateurs ne sont pas synchronisés à partir d’un annuaire local.These user accounts aren't synchronized from an on-premises directory.

Dans ce tutoriel, nous utilisons un compte d’utilisateur de base cloud uniquement.In this tutorial, let's work with a basic cloud-only user account. Pour plus d’informations sur les étapes supplémentaires nécessaires pour utiliser Azure AD Connect, consultez Synchroniser les hachages de mot de passe pour les comptes d’utilisateur synchronisés à partir de votre annuaire Active Directory local vers votre domaine managé.For more information on the additional steps required to use Azure AD Connect, see Synchronize password hashes for user accounts synced from your on-premises AD to your managed domain.

Conseil

Si votre locataire Azure AD utilise une combinaison d’utilisateurs cloud uniquement et d’utilisateurs provenant de votre annuaire Active Directory local, vous devez effectuer ces deux ensembles d’étapes.If your Azure AD tenant has a combination of cloud-only users and users from your on-premises AD, you need to complete both sets of steps.

Pour les comptes d’utilisateurs cloud uniquement, les utilisateurs doivent changer leur mot de passe avant de pouvoir utiliser Azure AD DS.For cloud-only user accounts, users must change their passwords before they can use Azure AD DS. Ce processus de changement du mot de passe entraîne la génération et le stockage dans Azure AD des hachages de mot de passe pour l’authentification Kerberos et NTLM.This password change process causes the password hashes for Kerberos and NTLM authentication to be generated and stored in Azure AD. Le compte n’est pas synchronisé entre Azure AD et Azure AD DS tant que le mot de passe n’a pas été changé.The account isn't synchronized from Azure AD to Azure AD DS until the password is changed. Vous pouvez faire expirer les mots de passe de tous les utilisateurs cloud du locataire qui doivent utiliser Azure AD DS, ce qui force le changement de mot de passe à la connexion suivante, ou demander aux utilisateurs cloud de changer manuellement leur mot de passe.Either expire the passwords for all cloud users in the tenant who need to use Azure AD DS, which forces a password change on next sign-in, or instruct cloud users to manually change their passwords. Pour ce tutoriel, nous changeons manuellement le mot de passe d’un utilisateur.For this tutorial, let's manually change a user password.

Pour qu’un utilisateur puisse réinitialiser son mot de passe, le locataire Azure AD doit être configuré pour la réinitialisation du mot de passe en libre-service.Before a user can reset their password, the Azure AD tenant must be configured for self-service password reset.

Pour changer le mot de passe d’un utilisateur cloud uniquement, l’utilisateur doit effectuer les étapes suivantes :To change the password for a cloud-only user, the user must complete the following steps:

  1. Accédez à la page Panneau d’accès Azure AD à l’adresse https://myapps.microsoft.com.Go to the Azure AD Access Panel page at https://myapps.microsoft.com.

  2. En haut à droite, sélectionnez votre nom, puis choisissez Profil dans le menu déroulant.In the top-right corner, select your name, then choose Profile from the drop-down menu.

    Sélectionner un profil

  3. Dans la page Profil, sélectionnez Changer le mot de passe.On the Profile page, select Change password.

  4. Dans la page Changer le mot de passe, entrez votre mot de passe existant (l’ancien), puis entrez un nouveau mot de passe et confirmez-le.On the Change password page, enter your existing (old) password, then enter and confirm a new password.

  5. Sélectionnez Envoyer.Select Submit.

Une fois que vous avez changé votre mot de passe, quelques minutes sont nécessaires pour que le nouveau mot de passe soit utilisable dans Azure AD DS et que vous puissiez vous connecter aux ordinateurs joints au domaine managé.It takes a few minutes after you've changed your password for the new password to be usable in Azure AD DS and to successfully sign in to computers joined to the managed domain.

Étapes suivantesNext steps

Dans ce didacticiel, vous avez appris à :In this tutorial, you learned how to:

  • Comprendre les exigences DNS pour un domaine managéUnderstand DNS requirements for a managed domain
  • Créer un domaine managéCreate a managed domain
  • Ajouter des utilisateurs d’administration à la gestion du domaineAdd administrative users to domain management
  • Activer les comptes d’utilisateur pour Azure AD DS et générer les hachages de mot de passeEnable user accounts for Azure AD DS and generate password hashes

Avant de joindre des machines virtuelles au domaine et de déployer des applications qui utilisent le domaine managé, configurez un réseau virtuel Azure pour les charges de travail des applications.Before you domain-join VMs and deploy applications that use the managed domain, configure an Azure virtual network for application workloads.