Tutoriel : Créer une machine virtuelle de gestion pour configurer et administrer un domaine managé Azure Active Directory Domain ServicesTutorial: Create a management VM to configure and administer an Azure Active Directory Domain Services managed domain

Azure Active Directory Domain Services (Azure AD DS) fournit des services de domaines managés, comme la jonction de domaine, la stratégie de groupe, le protocole LDAP, et l’authentification Kerberos/NTLM entièrement compatible avec Windows Server Active Directory.Azure Active Directory Domain Services (Azure AD DS) provides managed domain services such as domain join, group policy, LDAP, and Kerberos/NTLM authentication that is fully compatible with Windows Server Active Directory. Vous administrez ce domaine managé avec les mêmes outils d’administration de serveur distant (RSAT, Remote Server Administration Tool) qu’avec un domaine Active Directory Domain Services local.You administer this managed domain using the same Remote Server Administration Tools (RSAT) as with an on-premises Active Directory Domain Services domain. Comme Azure AD DS est un service managé, vous ne pouvez pas effectuer certaines tâches d’administration, comme utiliser le protocole RDP (Remote Desktop Protocol) pour vous connecter aux contrôleurs de domaine.As Azure AD DS is a managed service, there are some administrative tasks that you can't perform, such as using remote desktop protocol (RDP) to connect to the domain controllers.

Ce tutoriel explique comment configurer une machine virtuelle Windows Server dans Azure et comment installer les outils nécessaires à l’administration d’un domaine Azure AD DS managé.This tutorial shows you how to configure a Windows Server VM in Azure and install the required tools to administer an Azure AD DS managed domain.

Dans ce tutoriel, vous allez apprendre à :In this tutorial, you learn how to:

  • Comprendre les tâches d’administration disponibles dans un domaine managéUnderstand the available administrative tasks in a managed domain
  • Installer les outils d’administration Active Directory sur une machine virtuelle Windows ServerInstall the Active Directory administrative tools on a Windows Server VM
  • Utiliser le Centre d’administration Active Directory pour effectuer des tâches courantesUse the Active Directory Administrative Center to perform common tasks

Si vous n’avez pas d’abonnement Azure, créez un compte avant de commencer.If you don't have an Azure subscription, create an account before you begin.

PrérequisPrerequisites

Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :To complete this tutorial, you need the following resources and privileges:

Connectez-vous au portail Azure.Sign in to the Azure portal

Dans ce tutoriel, vous créez et vous configurez une machine virtuelle de gestion avec le portail Azure.In this tutorial, you create and configure a management VM using the Azure portal. Pour commencer, connectez-vous au portail Azure.To get started, first sign in to the Azure portal.

Tâches d’administration disponibles dans Azure AD DSAvailable administrative tasks in Azure AD DS

Azure AD DS fournit un domaine managé que vos utilisateurs, vos applications et vos services vont utiliser.Azure AD DS provides a managed domain for your users, applications, and services to consume. Cette approche change certaines des tâches de gestion disponibles que vous pouvez effectuer, ainsi que les privilèges dont vous disposez dans le domaine managé.This approach changes some of the available management tasks you can do, and what privileges you have within the managed domain. Ces tâches et autorisations peuvent être différentes de celles que vous rencontrez avec un environnement Active Directory Domain Services local normal.These tasks and permissions may be different than what you experience with a regular on-premises Active Directory Domain Services environment. Vous ne pouvez pas vous connecter aux contrôleurs du domaine managé avec Bureau à distance.You also can't connect to domain controllers on the managed domain using Remote Desktop.

Tâches d’administration pouvant être effectuées sur un domaine géréAdministrative tasks you can perform on a managed domain

Les membres du groupe AAD DC Administrators bénéficient de privilèges leur permettant d’effectuer les tâches suivantes sur le domaine managé :Members of the AAD DC Administrators group are granted privileges on the managed domain that enables them to do tasks such as:

  • Configurer l’objet de stratégie de groupe intégré pour les conteneurs Ordinateurs AADDC et Utilisateurs AADDC dans le domaine managé.Configure the built-in group policy object (GPO) for the AADDC Computers and AADDC Users containers in the managed domain.
  • administrer le DNS sur le domaine géré ;Administer DNS on the managed domain.
  • Créer et administrer des unités d’organisation personnalisées dans le domaine managé.Create and administer custom organizational units (OUs) on the managed domain.
  • obtenir un accès d’administrateur aux ordinateurs joints au domaine géré ;Gain administrative access to computers joined to the managed domain.

Privilèges d’administrateur dont vous ne disposez pas sur un domaine managéAdministrative privileges you don't have on a managed domain

Le domaine managé est verrouillé : vous ne disposez donc pas de privilèges permettant d’effectuer certaines tâches d’administration sur le domaine.The managed domain is locked down, so you don't have privileges to do certain administrative tasks on the domain. Voici quelques exemples de tâches que vous ne pouvez pas effectuer :Some of the following examples are tasks you can't do:

  • Étendre le schéma du domaine managé.Extend the schema of the managed domain.
  • Vous connecter aux contrôleurs de domaine du domaine managé avec Bureau à distance.Connect to domain controllers for the managed domain using Remote Desktop.
  • Ajouter des contrôleurs de domaine au domaine managé.Add domain controllers to the managed domain.
  • Vous ne disposez pas des privilèges Administrateur de domaine ou Administrateur d’entreprise pour le domaine managé.You don't have Domain Administrator or Enterprise Administrator privileges for the managed domain.

Se connecter à la machine virtuelle Windows ServerSign in to the Windows Server VM

Dans le tutoriel précédent, une machine virtuelle Windows Server a été créée et jointe au domaine managé.In the previous tutorial, a Windows Server VM was created and joined to the managed domain. Utilisez cette machine virtuelle pour installer les outils de gestion.Use that VM to install the management tools. Si nécessaire, suivez les étapes du tutoriel pour créer et joindre une machine virtuelle Windows Server à un domaine managé.If needed, follow the steps in the tutorial to create and join a Windows Server VM to a managed domain.

Nota

Dans ce tutoriel, vous utilisez une machine virtuelle Windows Server dans Azure qui est jointe au domaine managé.In this tutorial, you use a Windows Server VM in Azure that is joined to the managed domain. Vous pouvez également utiliser un client Windows, comme Windows 10, qui est joint au domaine managé.You can also use a Windows client, such as Windows 10, that is joined to the managed domain.

Pour plus d’informations sur l’installation des outils d’administration sur un client Windows, consultez Installer les outils d’administration de serveur distant.For more information on how to install the administrative tools on a Windows client, see install Remote Server Administration Tools (RSAT)

Pour commencer, connectez-vous à la machine virtuelle Windows Server comme suit :To get started, connect to the Windows Server VM as follows:

  1. Dans le portail Azure, sélectionnez Groupes de ressources sur le côté gauche.In the Azure portal, select Resource groups on the left-hand side. Choisissez le groupe de ressources où votre machine virtuelle a été créée, par exemple myResourceGroup, puis sélectionnez la machine virtuelle, par exemple myVM.Choose the resource group where your VM was created, such as myResourceGroup, then select the VM, such as myVM.

  2. Dans le volet Vue d’ensemble de votre machine virtuelle, sélectionnez Se connecter, puis Bastion.In the Overview pane for your VM, select Connect, then Bastion.

    Se connecter à une machine virtuelle Windows avec Bastion dans le portail Azure

  3. Entrez les informations d’identification pour votre machine virtuelle, puis sélectionnez Se connecter.Enter the credentials for your VM, then select Connect.

    Se connecter via l’hôte Bastion dans le portail Azure

Si nécessaire, autorisez votre navigateur web à ouvrir des fenêtres contextuelles pour afficher la connexion Bastion.If needed, allow your web browser to open pop-ups for the Bastion connection to be displayed. Il faut quelques secondes pour établir la connexion à votre machine virtuelle.It takes a few seconds to make the connection to your VM.

Installer les outils d’administration Active DirectoryInstall Active Directory administrative tools

Dans un domaine managé, vous utilisez les mêmes outils d’administration que dans les environnements AD DS locaux, comme le Centre d’administration Active Directory (ADAC) ou AD PowerShell.You use the same administrative tools in a managed domain as on-premises AD DS environments, such as the Active Directory Administrative Center (ADAC) or AD PowerShell. Ces outils peuvent être installés dans le cadre de la fonctionnalité Outils d’administration de serveur distant sur des ordinateurs Windows Server et des ordinateurs clients.These tools can be installed as part of the Remote Server Administration Tools (RSAT) feature on Windows Server and client computers. Les membres du groupe Administrateurs AAD DC peuvent administrer les domaines managés à distance en utilisant ces outils d’administration AD à partir d’un ordinateur joint au domaine managé.Members of the AAD DC Administrators group can then administer managed domains remotely using these AD administrative tools from a computer that is joined to the managed domain.

Pour installer les outils d’administration Active Directory sur une machine virtuelle jointe au domaine, effectuez les étapes suivantes :To install the Active Directory Administration tools on a domain-joined VM, complete the following steps:

  1. Si Gestionnaire de serveur ne s’ouvre pas par défaut lorsque vous vous connectez à la machine virtuelle, sélectionnez le menu Démarrer, puis choisissez Gestionnaire de serveur.If Server Manager doesn't open by default when you sign in to the VM, select the Start menu, then choose Server Manager.

  2. Dans le volet Tableau de bord de la fenêtre Gestionnaire de serveur, sélectionnez Ajouter des rôles et des fonctionnalités.In the Dashboard pane of the Server Manager window, select Add Roles and Features.

  3. Dans la page Avant de commencer de l’Assistant Ajout de rôles et de fonctionnalités, sélectionnez Suivant.On the Before You Begin page of the Add Roles and Features Wizard, select Next.

  4. Pour le Type d’installation, laissez l’option Installation basée sur un rôle ou une fonctionnalité cochée et sélectionnez Suivant.For the Installation Type, leave the Role-based or feature-based installation option checked and select Next.

  5. Dans la page Sélection du serveur, choisissez la machine virtuelle actuelle dans le pool de serveurs, par exemple myvm.aaddscontoso.com, puis sélectionnez Suivant.On the Server Selection page, choose the current VM from the server pool, such as myvm.aaddscontoso.com, then select Next.

  6. Sur la page Rôles de serveurs, cliquez sur Suivant.On the Server Roles page, click Next.

  7. Dans la page Fonctionnalités, développez le nœud Outils d’administration de serveur distant, puis développez le nœud Outils d’administration de rôles.On the Features page, expand the Remote Server Administration Tools node, then expand the Role Administration Tools node.

    Choisissez la fonctionnalité Outils AD DS et AD LDS dans la liste des outils d’administration de rôles, puis sélectionnez Suivant.Choose AD DS and AD LDS Tools feature from the list of role administration tools, then select Next.

    Installer les « Outils AD DS et AD LDS » à partir de la page Fonctionnalités

  8. Dans la page Confirmation, sélectionnez Installer.On the Confirmation page, select Install. L’installation des outils d’administration peut prendre une ou deux minutes.It may take a minute or two to install the administrative tools.

  9. Une fois l’installation de la fonctionnalité terminée, sélectionnez Fermer pour quitter l’Assistant Ajout de rôles et de fonctionnalités.When feature installation is complete, select Close to exit the Add Roles and Features wizard.

Utiliser les outils d’administration Active DirectoryUse Active Directory administrative tools

Une fois les outils d’administration installés, voyons comment les utiliser pour administrer le domaine managé.With the administrative tools installed, let's see how to use them to administer the managed domain. Vérifiez que vous êtes connecté à la machine virtuelle avec un compte d’utilisateur membre du groupe Administrateurs AAD DC.Make sure that you're signed in to the VM with a user account that's a member of the AAD DC Administrators group.

  1. Dans le menu Démarrer, sélectionnez Outils d’administration Windows.From the Start menu, select Windows Administrative Tools. Les outils d’administration Active Directory installés à l’étape précédente figurent dans la liste.The AD administrative tools installed in the previous step are listed.

    Liste des outils d’administration installés sur le serveur

  2. Sélectionnez Centre d’administration Active Directory.Select Active Directory Administrative Center.

  3. Pour explorer le domaine managé, choisissez le nom de domaine dans le volet gauche, par exemple aaddscontoso.To explore the managed domain, choose the domain name in the left pane, such as aaddscontoso. Deux conteneurs nommés Ordinateurs AADDC et Utilisateurs AADDC se trouvent en haut de la liste.Two containers named AADDC Computers and AADDC Users are at the top of the list.

    Lister les conteneurs disponibles faisant partie du domaine managé

  4. Pour voir les utilisateurs et les groupes appartenant au domaine managé, sélectionnez le conteneur Utilisateurs AADDC.To see the users and groups that belong to the managed domain, select the AADDC Users container. Les comptes d’utilisateur et les groupes de votre locataire Azure AD sont listés dans ce conteneur.The user accounts and groups from your Azure AD tenant are listed in this container.

    Dans l’exemple de sortie suivant, un compte d’utilisateur nommé Contoso Admin et un groupe pour Administrateurs AAD DC figurent dans ce conteneur.In the following example output, a user account named Contoso Admin and a group for AAD DC Administrators are shown in this container.

    Afficher la liste des utilisateurs du domaine Azure AD DS dans le Centre d’administration Active Directory

  5. Pour voir les ordinateurs qui sont joints au domaine managé, sélectionnez le conteneur Ordinateurs AADDC.To see the computers that are joined to the managed domain, select the AADDC Computers container. Une entrée pour la machine virtuelle actuelle, par exemple myVM figure dans la liste.An entry for the current virtual machine, such as myVM, is listed. Les comptes d’ordinateurs de tous les appareils joints au domaine managé sont stockés dans le conteneur Ordinateurs AADDC.Computer accounts for all devices that are joined to the managed domain are stored in this AADDC Computers container.

Les actions courantes du Centre d’administration Active Directory, comme la réinitialisation du mot de passe d’un compte d’utilisateur ou la gestion de l’appartenance à un groupe, sont disponibles.Common Active Directory Administrative Center actions such as resetting a user account password or managing group membership are available. Ces actions fonctionnent seulement pour les utilisateurs et les groupes créés directement dans le domaine managé.These actions only work for users and groups created directly in the managed domain. Les informations d’identité ne sont synchronisées que depuis Azure AD vers Azure AD DS.Identity information only synchronizes from Azure AD to Azure AD DS. Il n’y a pas de mise à jour depuis Azure AD DS vers Azure AD.There's no write back from Azure AD DS to Azure AD. Vous ne pouvez pas changer les mots de passe ou l’appartenance à un groupe managé pour les utilisateurs synchronisés à partir d’Azure AD et obtenir la synchronisation de ces modifications.You can't change passwords or managed group membership for users synchronized from Azure AD and have those changes synchronized back.

Vous pouvez également utiliser le Module Active Directory pour Windows PowerShell, qui est installé dans le cadre des outils d’administration, pour gérer les actions courantes dans votre domaine managé.You can also use the Active Directory Module for Windows PowerShell, installed as part of the administrative tools, to manage common actions in your managed domain.

Étapes suivantesNext steps

Dans ce didacticiel, vous avez appris à :In this tutorial, you learned how to:

  • Comprendre les tâches d’administration disponibles dans un domaine managéUnderstand the available administrative tasks in a managed domain
  • Installer les outils d’administration Active Directory sur une machine virtuelle Windows ServerInstall the Active Directory administrative tools on a Windows Server VM
  • Utiliser le Centre d’administration Active Directory pour effectuer des tâches courantesUse the Active Directory Administrative Center to perform common tasks

Pour interagir de façon sécurisée avec votre domaine managé à partir d’autres applications, activez le protocole LDAPS.To safely interact with your managed domain from other applications, enable secure Lightweight Directory Access Protocol (LDAPS).