Tutoriel : Créer et configurer un domaine managé Microsoft Entra Domain Services avec des options de configuration avancées

  • Article

Microsoft Entra Domain Services fournit des services de domaine managé tels que la jonction de domaine, la stratégie de groupe, le protocole LDAP, l’authentification Kerberos/NTLM, totalement compatibles avec Windows Server Active Directory. Vous consommez ces services de domaine sans déployer, gérer et mettre à jour avec des correctifs les contrôleurs de domaine vous-même. Domain Services s’intègre à votre tenant Microsoft Entra existant. Cette intégration permet aux utilisateurs de se connecter en utilisant leurs informations d’identification d’entreprise, et vous pouvez utiliser des groupes et des comptes d’utilisateur existants pour sécuriser l’accès aux ressources.

Vous pouvez créer un domaine managé avec des options de configuration par défaut pour le réseau et la synchronisation, ou définir ces paramètres manuellement. Ce tutoriel montre comment définir ces options de configuration avancées pour créer et configurer un domaine managé Domain Services avec le Centre d’administration Microsoft Entra.

Dans ce tutoriel, vous allez apprendre à :

  • Configurer les paramètres de réseau virtuel et DNS pour un domaine managé
  • Créer un domaine managé
  • Ajouter des utilisateurs d’administration à la gestion du domaine
  • Activer la synchronisation de hachage de mot de passe

Si vous n’avez pas d’abonnement Azure, créez un compte avant de commencer.

Prérequis

Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :

Bien que ce ne soit pas obligatoire pour Domain Services, nous vous recommandons de configurer la réinitialisation de mot de passe en libre-service (SSPR) pour le tenant Microsoft Entra. Les utilisateurs peuvent changer leur mot de passe sans SSPR, mais SSPR aide s’ils oublient leur mot de passe et doivent les réinitialiser.

Important

Une fois que vous avez créé un domaine managé, vous ne pouvez pas le déplacer dans un autre abonnement, groupe de ressources ou région. Veillez à sélectionner l’abonnement, le groupe de ressources et la région les plus appropriés quand vous déployez le domaine managé.

Se connecter au centre d’administration Microsoft Entra

Dans ce tutoriel, vous allez créer et configurer un domaine managé à l’aide du centre d’administration Microsoft Entra. Pour commencer, connectez-vous d’abord au centre d’administration Microsoft Entra.

Créer un domaine managé et configurer les paramètres de base

Pour lancer l’Assistant Activer Microsoft Entra Domain Services, procédez comme suit :

  1. Dans le menu du centre d’administration Microsoft Entra ou dans la page Accueil, sélectionnez Créer une ressource.
  2. Entrez Domain Services dans la barre de recherche, puis choisissez Microsoft Entra Domain Services dans les suggestions de recherche.
  3. Dans la page Microsoft Entra Domain Services, sélectionnez Créer. L’Assistant Activer Microsoft Entra Domain Services est lancé.
  4. Sélectionnez l’Abonnement Azure dans lequel vous souhaitez créer le domaine managé.
  5. Sélectionnez le Groupe de ressources auquel le domaine managé doit appartenir. Choisissez de Créer ou de sélectionner un groupe de ressources existant.

Quand vous créez un domaine managé, vous spécifiez un nom DNS. Voici quelques considérations liées au choix de ce nom DNS :

  • Nom de domaine intégré : Par défaut, le nom de domaine intégré de l’annuaire est utilisé (un suffixe .onmicrosoft.com). Si vous voulez activer l’accès LDAP sécurisé au domaine managé via Internet, vous ne pouvez pas créer un certificat numérique pour sécuriser la connexion avec ce domaine par défaut. Microsoft détient le domaine .onmicrosoft.com : une autorité de certification n’émettra donc pas de certificat.
  • Noms de domaine personnalisés : L’approche la plus courante consiste à spécifier un nom de domaine personnalisé, en général celui que vous possédez déjà et qui est routable. Quand vous utilisez un domaine personnalisé routable, le trafic peut s’écouler correctement en fonction des besoins pour prendre en charge vos applications.
  • Suffixes de domaine non routables : D’une façon générale, nous vous recommandons d’éviter un suffixe de nom de domaine non routable, comme contoso.local. Le suffixe .local n’est pas routable et peut entraîner des problèmes de résolution DNS.

Conseil

Si vous créez un nom de domaine personnalisé, faites attention aux espaces de noms DNS existants. Il est recommandé d’utiliser un nom de domaine distinct de tout espace de noms DNS local ou Azure existant.

Par exemple, si vous disposez de l’espace de noms DNS existant contoso.com, créez un domaine managé avec le nom de domaine personnalisé aaddscontoso.com. Si vous devez utiliser le protocole LDAP sécurisé, vous devez inscrire et avoir ce nom de domaine personnalisé pour générer les certificats requis.

Vous devrez peut-être créer des enregistrements DNS supplémentaires pour d’autres services dans votre environnement, ou des redirecteurs DNS conditionnels entre les espaces de noms DNS existants dans votre environnement. Par exemple, si vous exécutez un serveur web qui héberge un site à l’aide du nom DNS racine, il peut y avoir des conflits de nommage qui nécessitent des entrées DNS supplémentaires.

Dans ces tutoriels et articles de guide pratique, le domaine personnalisé aaddscontoso.com est utilisé comme exemple simple. Dans toutes les commandes, spécifiez votre propre nom de domaine.

Les restrictions de nom DNS suivantes s’appliquent également :

  • Restrictions de préfixe de domaine : Vous ne pouvez pas créer de domaine managé avec un préfixe de plus de 15 caractères. Le préfixe du nom de domaine spécifié (par exemple, aaddscontoso dans le nom de domaine aaddscontoso.com) doit contenir au maximum 15 caractères.
  • Conflits de noms de réseau : Le nom de domaine DNS de votre domaine managé ne doit pas déjà exister dans le réseau virtuel. En particulier, recherchez les scénarios suivants, qui aboutiraient à un conflit de noms :
    • Si vous avec un domaine Active Directory avec le même nom de domaine DNS sur le réseau virtuel Azure.
    • Si le réseau virtuel dans lequel vous envisagez d’activer le domaine managé a une connexion VPN avec votre réseau local. Dans ce scénario, veillez à ne pas avoir de domaine portant le même nom de domaine DNS sur votre réseau local.
    • Si vous avez un service cloud Azure avec ce nom sur le réseau virtuel Azure.

Renseignez les champs de la fenêtre Informations de base du centre d’administration Microsoft Entra pour créer un domaine managé :

  1. Entrez un Nom de domaine DNS pour votre domaine managé, en tenant compte des points précédents.

  2. Choisissez l’Emplacement Azure dans lequel créer le domaine managé. Si vous choisissez une région qui prend en charge les zones de disponibilité, les ressources Domain Services sont réparties entre les zones pour assurer une redondance supplémentaire.

    Conseil

    Les Zones de disponibilité sont des emplacements physiques uniques au sein d’une région Azure. Chaque zone de disponibilité est composée d’un ou de plusieurs centres de données équipés d’une alimentation, d’un système de refroidissement et d’un réseau indépendants. Pour garantir la résilience, un minimum de trois zones distinctes sont activées dans toutes les régions.

    Vous ne devez rien configurer pour la répartition des ressources Domain Services entre les zones. La plateforme Azure gère automatiquement la répartition de zone des ressources. Pour plus d’informations et pour connaître la disponibilité régionale, consultez Que sont les zones de disponibilité dans Azure ?

  3. La référence SKU détermine le niveau de performance et la fréquence de sauvegarde. Vous pouvez changer de référence SKU après la création du domaine managé en cas de changement des besoins métier. Pour obtenir plus d’informations, consultez Concepts de référence SKU dans Domain Services.

    Pour ce tutoriel, sélectionnez la référence SKU Standard.

  4. Une forêt est une construction logique utilisée par Active Directory Domain Services pour regrouper un ou plusieurs domaines.

    Configure basic settings for a Microsoft Entra Domain Services managed domain

  5. Pour configurer manuellement des options supplémentaires, choisissez Suivant - Réseau. Sinon, sélectionnez Vérifier + créer pour accepter les options de configuration par défaut, puis passez à la section Déployer votre domaine managé. Quand vous choisissez cette option de création, les paramètres par défaut suivants sont configurés :

    • Crée un réseau virtuel nommé aadds-vnet qui utilise la plage d’adresses IP 10.0.1.0/24.
    • Crée un sous-réseau appelé aadds-subnet qui utilise la plage d’adresses IP 10.0.1.0/24.
    • Synchronise tous les utilisateurs de Microsoft Entra ID dans le domaine managé.

Créer et configurer le réseau virtuel

Pour fournir une connectivité, un réseau virtuel Azure et un sous-réseau dédié sont nécessaires. Domain Services est activé dans ce sous-réseau du réseau virtuel. Dans ce tutoriel, vous créez un réseau virtuel, mais vous pouvez aussi choisir d’utiliser un réseau virtuel existant. Dans les deux approches, vous devez créer un sous-réseau dédié qui sera utilisé par Services de domaine.

Voici certains éléments à prendre en compte pour ce sous-réseau de réseau virtuel dédié :

  • Le sous-réseau doit avoir au moins 3 à 5 adresses IP disponibles dans sa plage d’adresses pour prendre en charge les ressources Services de domaine.
  • Ne sélectionnez pas le sous-réseau de Passerelle pour le déploiement de Domain Services. Le déploiement de Domain Services dans un sous-réseau de Passerelle n’est pas pris en charge.
  • Ne déployez pas d’autres machines virtuelles sur le sous-réseau. Les applications et les machines virtuelles utilisent souvent des groupes de sécurité réseau pour sécuriser la connectivité. L’exécution de ces charges de travail dans un sous-réseau distinct vous permet d’appliquer ces groupes de sécurité réseau sans interrompre la connexion à votre domaine managé.

Pour plus d’informations sur la planification et la configuration du réseau virtuel, consultez Considérations relatives au réseau pour Microsoft Entra Domain Services.

Renseignez les champs de la fenêtre Réseau comme suit :

  1. Dans la page Réseau, choisissez un réseau virtuel où déployer Domain Services dans le menu déroulant ou sélectionnez Créer.

    1. Si vous choisissez de créer un réseau virtuel, entrez un nom pour ce nouveau réseau, comme myVnet, puis spécifiez une plage d’adresses, par exemple 10.0.1.0/24.
    2. Créez un sous-réseau dédié avec un nom explicite, par exemple DomainServices. Spécifiez une plage d’adresses, par exemple 10.0.1.0/24.

    Create a virtual network and subnet for use with Microsoft Entra Domain Services

    Veillez à choisir une plage d’adresses qui se trouve dans votre plage d’adresses IP privée. Les plages d’adresses IP qui ne vous appartiennent pas et qui se trouvent dans l’espace d’adressage public provoquent des erreurs dans Domain Services.

  2. Sélectionnez un sous-réseau de réseau virtuel, par exemple DomainServices.

  3. Quand vous êtes prêt, choisissez Suivant - Administration.

Configurer le groupe d’administration

Un groupe d’administration spécial nommé Administrateurs AAD DC est utilisé pour la gestion du domaine Domain Services. Les membres de ce groupe bénéficient d’autorisations d’administration sur les machines virtuelles jointes au domaine managé. Sur les machines virtuelles jointes au domaine, ce groupe est ajouté au groupe des administrateurs locaux. Les membres de ce groupe peuvent aussi utiliser Bureau à distance pour se connecter à distance aux machines virtuelles jointes au domaine.

Important

Vous ne disposez pas des autorisations Administrateur de domaine ou Administrateur d’entreprise sur un domaine managé avec Domain Services. Ces autorisations sont réservées par le service et ne sont pas disponibles pour les utilisateurs au sein du locataire.

Au lieu de cela, le groupe Administrateurs AAD DC vous permet d’effectuer des opérations privilégiées. Ces opérations incluent l’appartenance au groupe d’administration sur les machines virtuelles jointes au domaine ainsi que la configuration de la stratégie de groupe.

L’Assistant crée automatiquement le groupe Administrateurs AAD DC dans votre annuaire Microsoft Entra. Si vous disposez d’un groupe du même nom dans votre répertoire Microsoft Entra, l’Assistant sélectionne ce groupe. Vous pouvez aussi choisir d’ajouter des utilisateurs supplémentaires à ce groupe Administrateurs AAD DC lors du processus de déploiement. Ces étapes peuvent être effectuées ultérieurement.

  1. Pour ajouter des utilisateurs supplémentaires à ce groupe Administrateurs AAD DC, sélectionnez Gérer l’appartenance au groupe.

    Configure group membership of the AAD DC Administrators group

  2. Sélectionnez le bouton Ajouter des membres, puis recherchez et sélectionnez les utilisateurs dans votre annuaire Microsoft Entra. Par exemple, recherchez votre propre compte, puis ajoutez-le au groupe Administrateurs AAD DC.

  3. Si vous le souhaitez, changez les destinataires ou ajoutez des destinataires supplémentaires auxquels doivent être envoyées les notifications des alertes générées dans le domaine managé qui nécessitent une attention particulière.

  4. Quand vous êtes prêt, choisissez Suivant - Synchronisation.

Configurer la synchronisation

Domain Services vous permet de synchroniser tous les utilisateurs et les groupes disponibles dans Microsoft Entra ID, ou d’effectuer une synchronisation limitée de groupes spécifiques uniquement. Vous pouvez modifier l’étendue de synchronisation maintenant, ou une fois que le domaine managé est déployé. Pour plus d’informations, consultez Synchronisation limitée de Microsoft Entra Domain Services.

  1. Pour ce tutoriel, choisissez de synchroniser Tous les utilisateurs et groupes. Ce choix de synchronisation est l’option par défaut.

    Perform a full synchronization of users and groups from Microsoft Entra ID

  2. Sélectionnez Revoir + créer.

Déployer le domaine managé

Dans la page Résumé de l’Assistant, examinez les paramètres de configuration du domaine managé. Vous pouvez revenir à n’importe quelle étape de l’Assistant pour faire des modifications. Pour redéployer un domaine managé sur un autre tenant Microsoft Entra en utilisant ces mêmes options de configuration, vous pouvez également Télécharger un modèle pour l’automatisation.

  1. Pour créer le domaine managé, sélectionnez Créer. Une remarque s’affiche pour signaler que certaines options de configuration, comme le nom DNS ou le réseau virtuel, ne sont plus modifiables une fois que le Domain Services managé a été créé. Pour continuer, sélectionnez OK.

  2. Le processus d’approvisionnement de votre domaine managé peut prendre jusqu’à une heure. Une notification s’affiche dans le portail indiquant la progression de votre déploiement Domain Services. Sélectionnez la notification pour voir la progression détaillée du déploiement.

    Notification in the Microsoft Entra admin center of the deployment in progress

  3. Sélectionnez votre groupe de ressources, tel que myResourceGroup, puis choisissez votre domaine managé dans la liste des ressources Azure, par exemple aaddscontoso.com. L’onglet Vue d’ensemble montre que le domaine managé est actuellement en cours de Déploiement. Vous ne pouvez pas configurer le domaine managé tant qu’il n’est pas entièrement provisionné.

    Domain Services status during the provisioning state

  4. Lorsque le domaine managé est entièrement approvisionné, l’onglet Vue d’ensemble affiche l’état du domaine comme En cours d’exécution.

    Domain Services status once successfully provisioned

Important

Le domaine managé est associé à votre tenant Microsoft Entra. Pendant le processus d’approvisionnement, Domain Services crée deux applications d’entreprise nommées Domain Controller Services et AzureActiveDirectoryDomainControllerServices dans le tenant Microsoft Entra. Ces applications d’entreprise sont nécessaires pour entretenir votre domaine géré. Ne supprimez pas ces applications.

Mettre à jour les paramètres DNS pour le réseau virtuel Azure

Maintenant que Domain Services est correctement déployé, configurez le réseau virtuel pour permettre à d’autres machines virtuelles et applications connectées d’utiliser le domaine managé. Pour fournir cette connectivité, mettez à jour les paramètres du serveur DNS pour que votre réseau virtuel pointe vers les deux adresses IP où le domaine managé est déployé.

  1. L’onglet Vue d’ensemble pour votre domaine managé montre quelques Étapes de configuration obligatoires. La première étape de configuration est de mettre à jour les paramètres du serveur DNS pour votre réseau virtuel. Une fois les paramètres DNS correctement configurés, cette étape n’apparaît plus.

    Les adresses listées sont les contrôleurs de domaine à utiliser dans le réseau virtuel. Dans cet exemple, ces adresses sont 10.0.1.4 et 10.0.1.5. Vous pouvez trouver ultérieurement ces adresses IP sous l’onglet Propriétés.

    Configure DNS settings for your virtual network with the Microsoft Entra Domain Services IP addresses

  2. Pour mettre à jour les paramètres du serveur DNS pour le réseau virtuel, sélectionnez le bouton Configurer. Les paramètres DNS sont configurés automatiquement pour votre réseau virtuel.

Conseil

Si vous avez sélectionné un réseau virtuel existant au cours des étapes précédentes, les machines virtuelles connectées au réseau obtiennent les nouveaux paramètres DNS seulement après un redémarrage. Vous pouvez redémarrer des machines virtuelles en tirant parti du Centre d’administration Microsoft Entra, de Microsoft Graph PowerShell ou de l’interface Azure CLI.

Activer des comptes d’utilisateur pour Domain Services

Pour authentifier les utilisateurs sur le domaine managé, Domain Services exige des hachages de mot de passe dans un format adapté aux authentifications NT LAN Manager (NTLM) et Kerberos. Microsoft Entra ID ne génère et ne stocke pas les hachages de mot de passe au format nécessaire pour les authentifications NTLM ou Kerberos tant que vous n’activez pas Domain Services pour votre tenant. Pour des raisons de sécurité, Microsoft Entra ID ne stocke pas non plus d’informations d’identification de mot de passe sous forme de texte en clair. Par conséquent, Microsoft Entra ID ne peut pas générer automatiquement ces hachages de mot de passe NTLM ou Kerberos en fonction des informations d’identification existantes des utilisateurs.

Remarque

Une fois configurés de façon appropriée, les hachages de mot de passe utilisables sont stockés dans le domaine managé. Si vous supprimez le domaine managé, tout hachage de mot de passe stocké à ce stade est également supprimé.

Les informations d’identification synchronisées dans Microsoft Entra ID ne peuvent pas être réutilisées si vous créez par la suite un domaine managé. Vous devez reconfigurer la synchronisation de hachage de mot de passe pour stocker à nouveau les hachages de mot de passe. Les machines virtuelles ou les utilisateurs précédemment joints à un domaine ne peuvent pas s’authentifier immédiatement. Microsoft Entra ID doit générer et stocker les hachages de mot de passe dans le nouveau domaine managé.

Pour plus d’informations, consultez Processus de synchronisation de hachage de mot de passe pour Domain Services et Microsoft Entra Connect.

Les étapes de génération et de stockage de ces hachages de mot de passe sont différentes pour les comptes d’utilisateur cloud uniquement créés dans Microsoft Entra ID et pour les comptes d’utilisateur synchronisés à partir de votre répertoire local en tirant parti de Microsoft Entra Connect.

Un compte d’utilisateur cloud uniquement est un compte qui a été créé dans votre répertoire Microsoft Entra à l’aide du centre d’administration Microsoft Entra ou de cmdlets PowerShell Microsoft Graph. Ces comptes d’utilisateurs ne sont pas synchronisés à partir d’un annuaire local.

Dans ce tutoriel, nous utilisons un compte d’utilisateur de base cloud uniquement. Pour obtenir plus d’informations sur les étapes supplémentaires nécessaires pour utiliser Microsoft Entra Connect, consultez Synchroniser les hachages de mot de passe pour les comptes d’utilisateur synchronisés à partir de votre AD local vers votre domaine managé.

Conseil

Si votre tenant Microsoft Entra utilise une combinaison d’utilisateurs cloud uniquement et d’utilisateurs provenant de votre AD local, vous devez effectuer ces deux ensembles d’étapes.

Pour les comptes d’utilisateurs cloud uniquement, les utilisateurs doivent changer leur mot de passe avant de pouvoir utiliser Domain Services. Ce processus de modification de mot de passe entraîne la génération et le stockage dans Microsoft Entra ID des hachages de mot de passe pour l’authentification Kerberos et NTLM. Le compte n’est pas synchronisé entre Microsoft Entra ID et Domain Services tant que le mot de passe n’est pas modifié. Vous pouvez soit faire expirer les mots de passe de tous les utilisateurs cloud du tenant qui doivent utiliser Domain Services, ce qui force la modification de mot de passe à la connexion suivante, soit demander aux utilisateurs cloud de modifier manuellement leur mot de passe. Pour ce tutoriel, nous changeons manuellement le mot de passe d’un utilisateur.

Pour qu’un utilisateur puisse réinitialiser son mot de passe, le tenant Microsoft Entra doit être configuré pour la réinitialisation du mot de passe en libre-service.

Pour changer le mot de passe d’un utilisateur cloud uniquement, l’utilisateur doit effectuer les étapes suivantes :

  1. Accédez à la page du volet d’accès de Microsoft Entra ID à l’adresse https://myapps.microsoft.com.

  2. En haut à droite, sélectionnez votre nom, puis choisissez Profil dans le menu déroulant.

    Select profile

  3. Dans la page Profil, sélectionnez Changer le mot de passe.

  4. Dans la page Changer le mot de passe, entrez votre mot de passe existant (l’ancien), puis entrez un nouveau mot de passe et confirmez-le.

  5. Sélectionnez Soumettre.

Une fois que vous avez changé votre mot de passe, quelques minutes sont nécessaires pour que le nouveau mot de passe soit utilisable dans Domain Services et que vous puissiez vous connecter aux ordinateurs joints au domaine managé.

Étapes suivantes

Dans ce didacticiel, vous avez appris à :

  • Configurer les paramètres de réseau virtuel et DNS pour un domaine managé
  • Créer un domaine managé
  • Ajouter des utilisateurs d’administration à la gestion du domaine
  • Activer les comptes d’utilisateur pour Domain Services et générer les hachages de mot de passe

Pour voir ce domaine managé en action, créez et joignez une machine virtuelle au domaine.

Joindre une machine virtuelle Windows Server à votre domaine managé