Tutoriel : Créer et configurer un domaine managé Azure Active Directory Domain Services avec des options de configuration avancéesTutorial: Create and configure an Azure Active Directory Domain Services managed domain with advanced configuration options

Azure Active Directory Domain Services (Azure AD DS) fournit des services de domaine managés, comme la jonction de domaine, la stratégie de groupe, le protocole LDAP, et l’authentification Kerberos/NTLM entièrement compatible avec Windows Server Active Directory.Azure Active Directory Domain Services (Azure AD DS) provides managed domain services such as domain join, group policy, LDAP, Kerberos/NTLM authentication that is fully compatible with Windows Server Active Directory. Vous consommez ces services de domaine sans déployer, gérer et mettre à jour avec des correctifs les contrôleurs de domaine vous-même.You consume these domain services without deploying, managing, and patching domain controllers yourself. Azure AD DS s’intègre à votre locataire Azure AD existant.Azure AD DS integrates with your existing Azure AD tenant. Cette intégration permet aux utilisateurs de se connecter en utilisant leurs informations d’identification d’entreprise, et vous pouvez utiliser des groupes et des comptes d’utilisateur existants pour sécuriser l’accès aux ressources.This integration lets users sign in using their corporate credentials, and you can use existing groups and user accounts to secure access to resources.

Vous pouvez créer un domaine managé avec des options de configuration par défaut pour la mise en réseau et la synchronisation, ou définir manuellement ces paramètres.You can create a managed domain using default configuration options for networking and synchronization, or manually define these settings. Ce tutoriel montre comment définir ces options de configuration avancées pour créer et configurer un domaine managé Azure AD DS avec le portail Azure.This tutorial shows you how to define those advanced configuration options to create and configure an Azure AD DS managed domain using the Azure portal.

Dans ce tutoriel, vous allez apprendre à :In this tutorial, you learn how to:

  • Configurer les paramètres de réseau virtuel et DNS pour un domaine managéConfigure DNS and virtual network settings for a managed domain
  • Créer un domaine managéCreate a managed domain
  • Ajouter des utilisateurs d’administration à la gestion du domaineAdd administrative users to domain management
  • Activer la synchronisation de hachage de mot de passeEnable password hash synchronization

Si vous n’avez pas d’abonnement Azure, créez un compte avant de commencer.If you don't have an Azure subscription, create an account before you begin.

PrérequisPrerequisites

Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :To complete this tutorial, you need the following resources and privileges:

  • Un abonnement Azure actif.An active Azure subscription.
  • Un locataire Azure Active Directory associé à votre abonnement, synchronisé avec un annuaire local ou un annuaire cloud uniquement.An Azure Active Directory tenant associated with your subscription, either synchronized with an on-premises directory or a cloud-only directory.
  • Vous devez disposer des privilèges d’Administrateur global dans votre locataire Azure AD pour activer Azure AD DS.You need global administrator privileges in your Azure AD tenant to enable Azure AD DS.
  • Vous avez besoin de privilèges de Contributeur dans votre abonnement Azure pour créer les ressources Azure AD DS nécessaires.You need Contributor privileges in your Azure subscription to create the required Azure AD DS resources.

Bien que ce ne soit pas obligatoire pour Azure AD DS, nous vous recommandons de configurer la réinitialisation de mot de passe en libre-service (SSPR) pour le locataire Azure AD.Although not required for Azure AD DS, it's recommended to configure self-service password reset (SSPR) for the Azure AD tenant. Les utilisateurs peuvent changer leur mot de passe sans SSPR, mais SSPR aide s’ils oublient leur mot de passe et doivent les réinitialiser.Users can change their password without SSPR, but SSPR helps if they forget their password and need to reset it.

Important

Une fois que vous avez créé un domaine managé, vous ne pouvez plus le déplacer vers un autre groupe de ressources, réseau virtuel, abonnement, etc. Veillez à sélectionner l’abonnement, le groupe de ressources, la région et le réseau virtuel les plus appropriés quand vous déployez le domaine managé.After you create a managed domain, you can't then move the managed domain to a different resource group, virtual network, subscription, etc. Take care to select the most appropriate subscription, resource group, region, and virtual network when you deploy the managed domain.

Connectez-vous au portail Azure.Sign in to the Azure portal

Dans ce tutoriel, vous créez et configurez le domaine managé avec le portail Azure.In this tutorial, you create and configure the managed domain using the Azure portal. Pour commencer, connectez-vous au portail Azure.To get started, first sign in to the Azure portal.

Créer un domaine managé et configurer les paramètres de baseCreate a managed domain and configure basic settings

Pour lancer l’Assistant Activer Azure AD Domain Services, procédez comme suit :To launch the Enable Azure AD Domain Services wizard, complete the following steps:

  1. Dans le menu du Portail Azure ou dans la page Accueil, sélectionnez Créer une ressource.On the Azure portal menu or from the Home page, select Create a resource.
  2. Entrez Domain Services dans la barre de recherche, puis choisissez Azure AD Domain Services dans les suggestions de recherche.Enter Domain Services into the search bar, then choose Azure AD Domain Services from the search suggestions.
  3. Dans la page Azure AD Domain Services, cliquez sur le bouton Créer.On the Azure AD Domain Services page, select Create. L’Assistant Activer Azure AD Domain Services est lancé.The Enable Azure AD Domain Services wizard is launched.
  4. Sélectionnez l’Abonnement Azure dans lequel vous souhaitez créer le domaine managé.Select the Azure Subscription in which you would like to create the managed domain.
  5. Sélectionnez le Groupe de ressources auquel le domaine managé doit appartenir.Select the Resource group to which the managed domain should belong. Choisissez de Créer ou de sélectionner un groupe de ressources existant.Choose to Create new or select an existing resource group.

Quand vous créez un domaine managé, vous spécifiez un nom DNS.When you create a managed domain, you specify a DNS name. Voici quelques considérations liées au choix de ce nom DNS :There are some considerations when you choose this DNS name:

  • Nom de domaine intégré : Par défaut, le nom de domaine intégré de l’annuaire est utilisé (un suffixe .onmicrosoft.com).Built-in domain name: By default, the built-in domain name of the directory is used (a .onmicrosoft.com suffix). Si vous voulez activer l’accès LDAP sécurisé au domaine managé via Internet, vous ne pouvez pas créer un certificat numérique pour sécuriser la connexion avec ce domaine par défaut.If you wish to enable secure LDAP access to the managed domain over the internet, you can't create a digital certificate to secure the connection with this default domain. Microsoft détient le domaine .onmicrosoft.com : une autorité de certification n’émettra donc pas de certificat.Microsoft owns the .onmicrosoft.com domain, so a Certificate Authority (CA) won't issue a certificate.
  • Noms de domaine personnalisés : L’approche la plus courante consiste à spécifier un nom de domaine personnalisé, en général celui que vous possédez déjà et qui est routable.Custom domain names: The most common approach is to specify a custom domain name, typically one that you already own and is routable. Quand vous utilisez un domaine personnalisé routable, le trafic peut s’écouler correctement en fonction des besoins pour prendre en charge vos applications.When you use a routable, custom domain, traffic can correctly flow as needed to support your applications.
  • Suffixes de domaine non routables : D’une façon générale, nous vous recommandons d’éviter un suffixe de nom de domaine non routable, comme contoso.local.Non-routable domain suffixes: We generally recommend that you avoid a non-routable domain name suffix, such as contoso.local. Le suffixe .local n’est pas routable et peut entraîner des problèmes de résolution DNS.The .local suffix isn't routable and can cause issues with DNS resolution.

Conseil

Si vous créez un nom de domaine personnalisé, faites attention aux espaces de noms DNS existants.If you create a custom domain name, take care with existing DNS namespaces. Il est recommandé d’utiliser un nom de domaine distinct de tout espace de noms DNS local ou Azure existant.It's recommended to use a domain name separate from any existing Azure or on-premises DNS name space.

Par exemple, si vous disposez de l’espace de noms DNS existant contoso.com, créez un domaine managé avec le nom de domaine personnalisé aaddscontoso.com.For example, if you have an existing DNS name space of contoso.com, create a managed domain with the custom domain name of aaddscontoso.com. Si vous devez utiliser le protocole LDAP sécurisé, vous devez inscrire et avoir ce nom de domaine personnalisé pour générer les certificats requis.If you need to use secure LDAP, you must register and own this custom domain name to generate the required certificates.

Vous devrez peut-être créer des enregistrements DNS supplémentaires pour d’autres services dans votre environnement, ou des redirecteurs DNS conditionnels entre les espaces de noms DNS existants dans votre environnement.You may need to create some additional DNS records for other services in your environment, or conditional DNS forwarders between existing DNS name spaces in your environment. Par exemple, si vous exécutez un serveur web qui héberge un site à l’aide du nom DNS racine, il peut y avoir des conflits de nommage qui nécessitent des entrées DNS supplémentaires.For example, if you run a webserver that hosts a site using the root DNS name, there can be naming conflicts that require additional DNS entries.

Dans ces tutoriels et articles de guide pratique, le domaine personnalisé aaddscontoso.com est utilisé comme exemple simple.In these tutorials and how-to articles, the custom domain of aaddscontoso.com is used as a short example. Dans toutes les commandes, spécifiez votre propre nom de domaine.In all commands, specify your own domain name.

Les restrictions de nom DNS suivantes s’appliquent également :The following DNS name restrictions also apply:

  • Restrictions de préfixe de domaine : Vous ne pouvez pas créer de domaine managé avec un préfixe de plus de 15 caractères.Domain prefix restrictions: You can't create a managed domain with a prefix longer than 15 characters. Le préfixe du nom de domaine spécifié (par exemple, aaddscontoso dans le nom de domaine aaddscontoso.com) doit contenir au maximum 15 caractères.The prefix of your specified domain name (such as aaddscontoso in the aaddscontoso.com domain name) must contain 15 or fewer characters.
  • Conflits de noms de réseau : Le nom de domaine DNS de votre domaine managé ne doit pas déjà exister dans le réseau virtuel.Network name conflicts: The DNS domain name for your managed domain shouldn't already exist in the virtual network. En particulier, recherchez les scénarios suivants, qui aboutiraient à un conflit de noms :Specifically, check for the following scenarios that would lead to a name conflict:
    • Si vous avec un domaine Active Directory avec le même nom de domaine DNS sur le réseau virtuel Azure.If you already have an Active Directory domain with the same DNS domain name on the Azure virtual network.
    • Si le réseau virtuel dans lequel vous envisagez d’activer le domaine managé a une connexion VPN avec votre réseau local.If the virtual network where you plan to enable the managed domain has a VPN connection with your on-premises network. Dans ce scénario, veillez à ne pas avoir de domaine portant le même nom de domaine DNS sur votre réseau local.In this scenario, ensure you don't have a domain with the same DNS domain name on your on-premises network.
    • Si vous avez un service cloud Azure avec ce nom sur le réseau virtuel Azure.If you have an existing Azure cloud service with that name on the Azure virtual network.

Renseignez les champs de la fenêtre De base du portail Azure pour créer un domaine managé :Complete the fields in the Basics window of the Azure portal to create a managed domain:

  1. Entrez un Nom de domaine DNS pour votre domaine managé, en tenant compte des points précédents.Enter a DNS domain name for your managed domain, taking into consideration the previous points.

  2. Choisissez l’Emplacement Azure dans lequel créer le domaine managé.Choose the Azure Location in which the managed domain should be created. Si vous choisissez une région qui prend en charge les Zones de disponibilité, les ressources Azure AD DS sont réparties entre les zones pour assurer une redondance supplémentaire.If you choose a region that supports Availability Zones, the Azure AD DS resources are distributed across zones for additional redundancy.

    Conseil

    Les Zones de disponibilité sont des emplacements physiques uniques au sein d’une région Azure.Availability Zones are unique physical locations within an Azure region. Chaque zone de disponibilité est composée d’un ou de plusieurs centres de données équipés d’une alimentation, d’un système de refroidissement et d’un réseau indépendants.Each zone is made up of one or more datacenters equipped with independent power, cooling, and networking. Pour garantir la résilience, un minimum de trois zones distinctes sont activées dans toutes les régions.To ensure resiliency, there's a minimum of three separate zones in all enabled regions.

    Vous ne devez rien configurer pour la répartition d’Azure AD DS entre les zones.There's nothing for you to configure for Azure AD DS to be distributed across zones. La plateforme Azure gère automatiquement la répartition de zone des ressources.The Azure platform automatically handles the zone distribution of resources. Pour plus d’informations et pour connaître la disponibilité régionale, consultez Que sont les zones de disponibilité dans Azure ?For more information and to see region availability, see What are Availability Zones in Azure?

  3. La référence SKU détermine les performances, la fréquence de sauvegarde et le nombre maximal d’approbations de forêt que vous pouvez créer.The SKU determines the performance, backup frequency, and maximum number of forest trusts you can create. Vous pouvez changer de référence SKU après la création du domaine managé en cas de changement des besoins métier.You can change the SKU after the managed domain has been created if your business demands or requirements change. Pour plus d’informations, consultez Concepts relatifs aux références SKU dans Azure AD DS.For more information, see Azure AD DS SKU concepts.

    Pour ce tutoriel, sélectionnez la référence SKU Standard.For this tutorial, select the Standard SKU.

  4. Une forêt est une construction logique utilisée par Active Directory Domain Services pour regrouper un ou plusieurs domaines.A forest is a logical construct used by Active Directory Domain Services to group one or more domains. Par défaut, un domaine managé est créé en tant que forêt d’utilisateurs.By default, a managed domain is created as a User forest. Ce type de forêt synchronise tous les objets d’Azure AD, notamment les comptes d’utilisateur créés dans un environnement AD DS local.This type of forest synchronizes all objects from Azure AD, including any user accounts created in an on-premises AD DS environment.

    Une forêt de ressources synchronise uniquement les utilisateurs et les groupes créés directement dans Azure AD.A Resource forest only synchronizes users and groups created directly in Azure AD. Les hachages de mots de passe pour les utilisateurs locaux ne sont jamais synchronisés dans un domaine managé quand vous créez une forêt de ressources.Password hashes for on-premises users are never synchronized into a managed domain when you create a resource forest. Pour plus d’informations sur les forêts de ressources, notamment sur la raison pour laquelle vous pouvez en utiliser une et comment créer des approbations de forêts avec des domaines AD DS locaux, consultez Vue d’ensemble des forêts de ressources Azure AD DS.For more information on Resource forests, including why you may use one and how to create forest trusts with on-premises AD DS domains, see Azure AD DS resource forests overview.

    Pour ce tutoriel, choisissez de créer une forêt d’utilisateurs.For this tutorial, choose to create a User forest.

    Configurer les paramètres de base pour un domaine managé Azure AD Domain Services

  5. Pour configurer manuellement des options supplémentaires, choisissez Suivant - Réseau.To manually configure additional options, choose Next - Networking. Sinon, sélectionnez Vérifier + créer pour accepter les options de configuration par défaut, puis passez à la section Déployer votre domaine managé.Otherwise, select Review + create to accept the default configuration options, then skip to the section to Deploy your managed domain. Quand vous choisissez cette option de création, les paramètres par défaut suivants sont configurés :The following defaults are configured when you choose this create option:

    • Crée un réseau virtuel nommé aadds-vnet qui utilise la plage d’adresses IP 10.0.1.0/24.Creates a virtual network named aadds-vnet that uses the IP address range of 10.0.1.0/24.
    • Crée un sous-réseau appelé aadds-subnet qui utilise la plage d’adresses IP 10.0.1.0/24.Creates a subnet named aadds-subnet using the IP address range of 10.0.1.0/24.
    • Synchronise tous les utilisateurs entre Azure AD et le domaine managé.Synchronizes All users from Azure AD into the managed domain.

Créer et configurer le réseau virtuelCreate and configure the virtual network

Pour fournir une connectivité, un réseau virtuel Azure et un sous-réseau dédié sont nécessaires.To provide connectivity, an Azure virtual network and a dedicated subnet are needed. Azure AD DS est activé dans ce sous-réseau du réseau virtuel.Azure AD DS is enabled in this virtual network subnet. Dans ce tutoriel, vous créez un réseau virtuel, mais vous pouvez aussi choisir d’utiliser un réseau virtuel existant.In this tutorial, you create a virtual network, though you could instead choose to use an existing virtual network. Dans les deux approches, vous devez créer un sous-réseau dédié qui sera utilisé par Azure AD DS.In either approach, you must create a dedicated subnet for use by Azure AD DS.

Voici certains éléments à prendre en compte pour ce sous-réseau de réseau virtuel dédié :Some considerations for this dedicated virtual network subnet include the following areas:

  • Le sous-réseau doit avoir au moins 3 à 5 adresses IP disponibles dans sa plage d’adresses pour prendre en charge les ressources Azure AD DS.The subnet must have at least 3-5 available IP addresses in its address range to support the Azure AD DS resources.
  • Ne sélectionnez pas le sous-réseau de passerelle pour le déploiement d’Azure AD DS.Don't select the Gateway subnet for deploying Azure AD DS. Le déploiement d’Azure AD DS dans un sous-réseau de passerelle n’est pas pris en charge.It's not supported to deploy Azure AD DS into a Gateway subnet.
  • Ne déployez pas d’autres machines virtuelles sur le sous-réseau.Don't deploy any other virtual machines to the subnet. Les applications et les machines virtuelles utilisent souvent des groupes de sécurité réseau pour sécuriser la connectivité.Applications and VMs often use network security groups to secure connectivity. L’exécution de ces charges de travail dans un sous-réseau distinct vous permet d’appliquer ces groupes de sécurité réseau sans interrompre la connexion à votre domaine managé.Running these workloads in a separate subnet lets you apply those network security groups without disrupting connectivity to your managed domain.
  • Vous ne pouvez pas déplacer votre domaine managé vers un autre réseau virtuel une fois Azure AD DS activé.You can't move your managed domain to a different virtual network after you enable Azure AD DS.

Pour plus d’informations sur la planification et la configuration du réseau virtuel, consultez Considérations relatives au réseau pour Azure Active Directory Domain Services.For more information on how to plan and configure the virtual network, see networking considerations for Azure Active Directory Domain Services.

Renseignez les champs de la fenêtre Réseau comme suit :Complete the fields in the Network window as follows:

  1. Dans la page Réseau, choisissez un réseau virtuel où déployer Azure AD DS dans le menu déroulant, ou sélectionnez Créer.On the Network page, choose a virtual network to deploy Azure AD DS into from the drop-down menu, or select Create new.

    1. Si vous choisissez de créer un réseau virtuel, entrez un nom pour ce nouveau réseau, comme myVnet, puis spécifiez une plage d’adresses, par exemple 10.0.1.0/24.If you choose to create a virtual network, enter a name for the virtual network, such as myVnet, then provide an address range, such as 10.0.1.0/24.
    2. Créez un sous-réseau dédié avec un nom explicite, par exemple DomainServices.Create a dedicated subnet with a clear name, such as DomainServices. Spécifiez une plage d’adresses, par exemple 10.0.1.0/24.Provide an address range, such as 10.0.1.0/24.

    Créer un réseau virtuel et un sous-réseau pour une utilisation avec Azure AD Domain Services Create a virtual network and subnet for use with Azure AD Domain Services

    Veillez à choisir une plage d’adresses qui se trouve dans votre plage d’adresses IP privée.Make sure to pick an address range that is within your private IP address range. Les plages d’adresses IP qui ne vous appartiennent pas et qui se trouvent dans l’espace d’adressage public provoquent des erreurs dans Azure AD DS.IP address ranges you don't own that are in the public address space cause errors within Azure AD DS.

  2. Sélectionnez un sous-réseau de réseau virtuel, par exemple DomainServices.Select a virtual network subnet, such as DomainServices.

  3. Quand vous êtes prêt, choisissez Suivant - Administration.When ready, choose Next - Administration.

Configurer le groupe d’administrationConfigure an administrative group

Un groupe d’administration spécial nommé Administrateurs AAD DC est utilisé pour la gestion du domaine Azure AD DS.A special administrative group named AAD DC Administrators is used for management of the Azure AD DS domain. Les membres de ce groupe bénéficient d’autorisations d’administration sur les machines virtuelles jointes au domaine managé.Members of this group are granted administrative permissions on VMs that are domain-joined to the managed domain. Sur les machines virtuelles jointes au domaine, ce groupe est ajouté au groupe des administrateurs locaux.On domain-joined VMs, this group is added to the local administrators group. Les membres de ce groupe peuvent aussi utiliser Bureau à distance pour se connecter à distance aux machines virtuelles jointes au domaine.Members of this group can also use Remote Desktop to connect remotely to domain-joined VMs.

Important

Vous ne disposez pas des autorisations Administrateur de domaine ou Administrateur d’entreprise sur un domaine managé avec Azure AD DS.You don't have Domain Administrator or Enterprise Administrator permissions on a managed domain using Azure AD DS. Ces autorisations sont réservées par le service et ne sont pas disponibles pour les utilisateurs au sein du locataire.These permissions are reserved by the service and aren't made available to users within the tenant.

Au lieu de cela, le groupe Administrateurs AAD DC vous permet d’effectuer des opérations privilégiées.Instead, the AAD DC Administrators group lets you perform some privileged operations. Ces opérations incluent l’appartenance au groupe d’administration sur les machines virtuelles jointes au domaine ainsi que la configuration de la stratégie de groupe.These operations include belonging to the administration group on domain-joined VMs, and configuring Group Policy.

L’Assistant crée automatiquement le groupe Administrateurs AAD DC dans votre annuaire Azure AD.The wizard automatically creates the AAD DC Administrators group in your Azure AD directory. Si vous disposez d’un groupe du même nom dans votre répertoire Azure AD, l’Assistant sélectionne ce groupe.If you have an existing group with this name in your Azure AD directory, the wizard selects this group. Vous pouvez aussi choisir d’ajouter des utilisateurs supplémentaires à ce groupe Administrateurs AAD DC lors du processus de déploiement.You can optionally choose to add additional users to this AAD DC Administrators group during the deployment process. Ces étapes peuvent être effectuées ultérieurement.These steps can be completed later.

  1. Pour ajouter des utilisateurs supplémentaires à ce groupe Administrateurs AAD DC, sélectionnez Gérer l’appartenance au groupe.To add additional users to this AAD DC Administrators group, select Manage group membership.

    Configurer l’appartenance au groupe, du groupe Administrateurs AAD DC

  2. Sélectionnez le bouton Ajouter des membres, puis recherchez et sélectionnez les utilisateurs dans votre annuaire Azure AD.Select the Add members button, then search for and select users from your Azure AD directory. Par exemple, recherchez votre propre compte, puis ajoutez-le au groupe Administrateurs AAD DC.For example, search for your own account, and add it to the AAD DC Administrators group.

  3. Si vous le souhaitez, changez les destinataires ou ajoutez des destinataires supplémentaires auxquels doivent être envoyées les notifications des alertes générées dans le domaine managé qui nécessitent une attention particulière.If desired, change or add additional recipients for notifications when there are alerts in the managed domain that require attention.

  4. Quand vous êtes prêt, choisissez Suivant - Synchronisation.When ready, choose Next - Synchronization.

Configurer la synchronisationConfigure synchronization

Azure AD DS vous permet de synchroniser tous les utilisateurs et les groupes disponibles dans Azure AD, ou d’effectuer une synchronisation limitée seulement à des groupes spécifiques.Azure AD DS lets you synchronize all users and groups available in Azure AD, or a scoped synchronization of only specific groups. Vous pouvez modifier l’étendue de synchronisation maintenant, ou une fois que le domaine managé est déployé.You can change the synchronize scope now, or once the managed domain is deployed. Pour plus d’informations, consultez Synchronisation limitée d’Azure AD Domain Services.For more information, see Azure AD Domain Services scoped synchronization.

  1. Pour ce tutoriel, choisissez de synchroniser Tous les utilisateurs et groupes.For this tutorial, choose to synchronize All users and groups. Ce choix de synchronisation est l’option par défaut.This synchronization choice is the default option.

    Effectuer une synchronisation complète des utilisateurs et des groupes à partir d’Azure AD

  2. Sélectionnez Revoir + créer.Select Review + create.

Déployer le domaine managéDeploy the managed domain

Dans la page Résumé de l’Assistant, examinez les paramètres de configuration du domaine managé.On the Summary page of the wizard, review the configuration settings for your managed domain. Vous pouvez revenir à n’importe quelle étape de l’Assistant pour faire des modifications.You can go back to any step of the wizard to make changes. Pour redéployer un domaine managé sur un autre client Azure AD en utilisant ces mêmes options de configuration, vous pouvez également télécharger un modèle pour l’automatisation.To redeploy a managed domain to a different Azure AD tenant in a consistent way using these configuration options, you can also Download a template for automation.

  1. Pour créer le domaine managé, sélectionnez Créer.To create the managed domain, select Create. Une remarque s’affiche pour signaler que certaines options de configuration, telles que le nom DNS ou le réseau virtuel, ne sont plus modifiables une fois que le domaine managé Azure AD DS a été créé.A note is displayed that certain configuration options like DNS name or virtual network can't be changed once the Azure AD DS managed has been created. Pour continuer, sélectionnez OK.To continue, select OK.

  2. Le processus d’approvisionnement de votre domaine managé peut prendre jusqu’à une heure.The process of provisioning your managed domain can take up to an hour. Vous voyez une notification dans le portail indiquant la progression de votre déploiement Azure AD DS.A notification is displayed in the portal that shows the progress of your Azure AD DS deployment. Sélectionnez la notification pour voir la progression détaillée du déploiement.Select the notification to see detailed progress for the deployment.

    Notification dans le portail Azure du déploiement en cours

  3. Sélectionnez votre groupe de ressources, tel que myResourceGroup, puis choisissez votre domaine managé dans la liste des ressources Azure, par exemple aaddscontoso.com.Select your resource group, such as myResourceGroup, then choose your managed domain from the list of Azure resources, such as aaddscontoso.com. L’onglet Vue d’ensemble montre que le domaine managé est actuellement en cours de Déploiement.The Overview tab shows that the managed domain is currently Deploying. Vous ne pouvez pas configurer le domaine managé tant qu’il n’est pas entièrement provisionné.You can't configure the managed domain until it's fully provisioned.

    État des services de domaine pendant l’état Provisionnement

  4. Lorsque le domaine managé est entièrement approvisionné, l’onglet Vue d’ensemble affiche l’état du domaine comme En cours d’exécution.When the managed domain is fully provisioned, the Overview tab shows the domain status as Running.

    État des services de domaine une fois le provisionnement terminé

Important

Le domaine managé est associé à votre locataire Azure AD.The managed domain is associated with your Azure AD tenant. Pendant le processus d’approvisionnement, Azure AD DS crée deux applications d’entreprise nommées Services de contrôleur de domaine et AzureActiveDirectoryDomainControllerServices dans le locataire Azure AD.During the provisioning process, Azure AD DS creates two Enterprise Applications named Domain Controller Services and AzureActiveDirectoryDomainControllerServices in the Azure AD tenant. Ces applications d’entreprise sont nécessaires pour entretenir votre domaine géré.These Enterprise Applications are needed to service your managed domain. Ne supprimez pas ces applications.Don't delete these applications.

Mettre à jour les paramètres DNS pour le réseau virtuel AzureUpdate DNS settings for the Azure virtual network

Avec Azure AD DS correctement déployé, configurez maintenant le réseau virtuel pour permettre à d’autres machines virtuelles et applications connectées d’utiliser le domaine managé.With Azure AD DS successfully deployed, now configure the virtual network to allow other connected VMs and applications to use the managed domain. Pour fournir cette connectivité, mettez à jour les paramètres du serveur DNS pour que votre réseau virtuel pointe vers les deux adresses IP où le domaine managé est déployé.To provide this connectivity, update the DNS server settings for your virtual network to point to the two IP addresses where the managed domain is deployed.

  1. L’onglet Vue d’ensemble pour votre domaine managé montre quelques Étapes de configuration obligatoires.The Overview tab for your managed domain shows some Required configuration steps. La première étape de configuration est de mettre à jour les paramètres du serveur DNS pour votre réseau virtuel.The first configuration step is to update DNS server settings for your virtual network. Une fois les paramètres DNS correctement configurés, cette étape n’apparaît plus.Once the DNS settings are correctly configured, this step is no longer shown.

    Les adresses listées sont les contrôleurs de domaine à utiliser dans le réseau virtuel.The addresses listed are the domain controllers for use in the virtual network. Dans cet exemple, ces adresses sont 10.0.1.4 et 10.0.1.5.In this example, those addresses are 10.0.1.4 and 10.0.1.5. Vous pouvez trouver ultérieurement ces adresses IP sous l’onglet Propriétés.You can later find these IP addresses on the Properties tab.

    Configurer les paramètres DNS pour votre réseau virtuel avec les adresses IP d’Azure AD Domain Services

  2. Pour mettre à jour les paramètres du serveur DNS pour le réseau virtuel, sélectionnez le bouton Configurer.To update the DNS server settings for the virtual network, select the Configure button. Les paramètres DNS sont configurés automatiquement pour votre réseau virtuel.The DNS settings are automatically configured for your virtual network.

Conseil

Si vous avez sélectionné un réseau virtuel existant au cours des étapes précédentes, les machines virtuelles connectées au réseau obtiennent les nouveaux paramètres DNS seulement après un redémarrage.If you selected an existing virtual network in the previous steps, any VMs connected to the network only get the new DNS settings after a restart. Vous pouvez redémarrer les machines virtuelles en utilisant le portail Azure, Azure PowerShell ou Azure CLI.You can restart VMs using the Azure portal, Azure PowerShell, or the Azure CLI.

Activer les comptes d’utilisateur pour Azure AD DSEnable user accounts for Azure AD DS

Pour authentifier les utilisateurs sur le domaine managé, Azure AD DS nécessite les hachages de mot de passe dans un format adapté à l’authentification NTLM (NT LAN Manager) et Kerberos.To authenticate users on the managed domain, Azure AD DS needs password hashes in a format that's suitable for NT LAN Manager (NTLM) and Kerberos authentication. Azure AD ne génère pas et ne stocke pas les hachages de mot de passe au format nécessaire pour l’authentification NTLM ou Kerberos tant que vous n’activez pas Azure AD DS pour votre locataire.Azure AD doesn't generate or store password hashes in the format that's required for NTLM or Kerberos authentication until you enable Azure AD DS for your tenant. Pour des raisons de sécurité, Azure AD ne stocke pas non plus d’informations d’identification de mot de passe sous forme de texte en clair.For security reasons, Azure AD also doesn't store any password credentials in clear-text form. Par conséquent, Azure AD ne peut pas générer automatiquement ces hachages de mot de passe NTLM ou Kerberos en fonction des informations d’identification existantes des utilisateurs.Therefore, Azure AD can't automatically generate these NTLM or Kerberos password hashes based on users' existing credentials.

Notes

Une fois configurés de façon appropriée, les hachages de mot de passe utilisables sont stockés dans le domaine managé.Once appropriately configured, the usable password hashes are stored in the managed domain. Si vous supprimez le domaine managé, tout hachage de mot de passe stocké à ce stade est également supprimé.If you delete the managed domain, any password hashes stored at that point are also deleted.

Les informations d’identification synchronisées dans Azure AD ne peuvent pas être réutilisées si vous créez par la suite un domaine managé : vous devez reconfigurer la synchronisation de hachage de mot de passe pour stocker à nouveau les hachages de mot de passe.Synchronized credential information in Azure AD can't be re-used if you later create a managed domain - you must reconfigure the password hash synchronization to store the password hashes again. Les machines virtuelles ou les utilisateurs auparavant joints à un domaine ne pourront pas s’authentifier immédiatement : Azure AD doit générer et stocker les hachages de mot de passe dans le nouveau domaine managé.Previously domain-joined VMs or users won't be able to immediately authenticate - Azure AD needs to generate and store the password hashes in the new managed domain.

Pour plus d’informations, consultez Processus de synchronisation du hachage de mot de passe pour Azure AD DS et Azure AD Connect.For more information, see Password hash sync process for Azure AD DS and Azure AD Connect.

Les étapes de génération et de stockage de ces hachages de mot de passe sont différentes pour les comptes d’utilisateur cloud uniquement créés dans Azure AD et pour les comptes d’utilisateur qui sont synchronisés à partir de votre annuaire local avec Azure AD Connect.The steps to generate and store these password hashes are different for cloud-only user accounts created in Azure AD versus user accounts that are synchronized from your on-premises directory using Azure AD Connect.

Un compte d’utilisateur uniquement dans le cloud est un compte qui a été créé dans votre répertoire Azure AD à l’aide du portail Azure ou d’applets de commande PowerShell Azure AD.A cloud-only user account is an account that was created in your Azure AD directory using either the Azure portal or Azure AD PowerShell cmdlets. Ces comptes d’utilisateurs ne sont pas synchronisés à partir d’un annuaire local.These user accounts aren't synchronized from an on-premises directory.

Dans ce tutoriel, nous utilisons un compte d’utilisateur de base cloud uniquement.In this tutorial, let's work with a basic cloud-only user account. Pour plus d’informations sur les étapes supplémentaires nécessaires pour utiliser Azure AD Connect, consultez Synchroniser les hachages de mot de passe pour les comptes d’utilisateur synchronisés à partir de votre annuaire Active Directory local vers votre domaine managé.For more information on the additional steps required to use Azure AD Connect, see Synchronize password hashes for user accounts synced from your on-premises AD to your managed domain.

Conseil

Si votre locataire Azure AD utilise une combinaison d’utilisateurs cloud uniquement et d’utilisateurs provenant de votre annuaire Active Directory local, vous devez effectuer ces deux ensembles d’étapes.If your Azure AD tenant has a combination of cloud-only users and users from your on-premises AD, you need to complete both sets of steps.

Pour les comptes d’utilisateurs cloud uniquement, les utilisateurs doivent changer leur mot de passe avant de pouvoir utiliser Azure AD DS.For cloud-only user accounts, users must change their passwords before they can use Azure AD DS. Ce processus de changement du mot de passe entraîne la génération et le stockage dans Azure AD des hachages de mot de passe pour l’authentification Kerberos et NTLM.This password change process causes the password hashes for Kerberos and NTLM authentication to be generated and stored in Azure AD. Le compte n’est pas synchronisé entre Azure AD et Azure AD DS tant que le mot de passe n’a pas été changé.The account isn't synchronized from Azure AD to Azure AD DS until the password is changed. Vous pouvez faire expirer les mots de passe de tous les utilisateurs cloud du locataire qui doivent utiliser Azure AD DS, ce qui force le changement de mot de passe à la connexion suivante, ou demander aux utilisateurs cloud de changer manuellement leur mot de passe.Either expire the passwords for all cloud users in the tenant who need to use Azure AD DS, which forces a password change on next sign-in, or instruct cloud users to manually change their passwords. Pour ce tutoriel, nous changeons manuellement le mot de passe d’un utilisateur.For this tutorial, let's manually change a user password.

Pour qu’un utilisateur puisse réinitialiser son mot de passe, le locataire Azure AD doit être configuré pour la réinitialisation du mot de passe en libre-service.Before a user can reset their password, the Azure AD tenant must be configured for self-service password reset.

Pour changer le mot de passe d’un utilisateur cloud uniquement, l’utilisateur doit effectuer les étapes suivantes :To change the password for a cloud-only user, the user must complete the following steps:

  1. Accédez à la page Panneau d’accès Azure AD à l’adresse https://myapps.microsoft.com.Go to the Azure AD Access Panel page at https://myapps.microsoft.com.

  2. En haut à droite, sélectionnez votre nom, puis choisissez Profil dans le menu déroulant.In the top-right corner, select your name, then choose Profile from the drop-down menu.

    Sélectionner un profil

  3. Dans la page Profil, sélectionnez Changer le mot de passe.On the Profile page, select Change password.

  4. Dans la page Changer le mot de passe, entrez votre mot de passe existant (l’ancien), puis entrez un nouveau mot de passe et confirmez-le.On the Change password page, enter your existing (old) password, then enter and confirm a new password.

  5. Sélectionnez Envoyer.Select Submit.

Une fois que vous avez changé votre mot de passe, quelques minutes sont nécessaires pour que le nouveau mot de passe soit utilisable dans Azure AD DS et que vous puissiez vous connecter aux ordinateurs joints au domaine managé.It takes a few minutes after you've changed your password for the new password to be usable in Azure AD DS and to successfully sign in to computers joined to the managed domain.

Étapes suivantesNext steps

Dans ce didacticiel, vous avez appris à :In this tutorial, you learned how to:

  • Configurer les paramètres de réseau virtuel et DNS pour un domaine managéConfigure DNS and virtual network settings for a managed domain
  • Créer un domaine managéCreate a managed domain
  • Ajouter des utilisateurs d’administration à la gestion du domaineAdd administrative users to domain management
  • Activer les comptes d’utilisateur pour Azure AD DS et générer les hachages de mot de passeEnable user accounts for Azure AD DS and generate password hashes

Pour voir ce domaine managé en action, créez et joignez une machine virtuelle au domaine.To see this managed domain in action, create and join a virtual machine to the domain.