Conditions préalables pour Azure AD ConnectPrerequisites for Azure AD Connect

Cette rubrique décrit les conditions préalables et la configuration matérielle requise pour Azure AD Connect.This topic describes the pre-requisites and the hardware requirements for Azure AD Connect.

Avant d’installer Azure AD ConnectBefore you install Azure AD Connect

Avant d’installer Azure AD Connect, voici ce dont vous avez besoin.Before you install Azure AD Connect, there are a few things that you need.

Azure ADAzure AD

  • Un locataire Azure AD.An Azure AD tenant. Vous pouvez en obtenir un avec un essai gratuit Azure.You get one with an Azure free trial. Vous pouvez utiliser un des portails suivants pour gérer Azure AD Connect :You can use one of the following portals to manage Azure AD Connect:
  • Ajoutez et vérifiez le domaine que vous prévoyez d’utiliser dans Azure AD.Add and verify the domain you plan to use in Azure AD. Par exemple, si vous envisagez d’utiliser contoso.com pour vos utilisateurs, vérifiez que ce domaine a été vérifié et que vous n’utilisez pas uniquement le domaine par défaut contoso.onmicrosoft.com.For example, if you plan to use contoso.com for your users then make sure this domain has been verified and you are not only using the contoso.onmicrosoft.com default domain.
  • Un client Azure AD prend en charge 50 000 objets par défaut.An Azure AD tenant allows by default 50k objects. Si vous vérifiez votre domaine, la limite passe à 300 000 objets.When you verify your domain, the limit is increased to 300k objects. Si vous avez besoin de davantage d’objets dans Azure AD, vous devez ouvrir une demande de support pour que la limite soit relevée en conséquence.If you need even more objects in Azure AD, then you need to open a support case to have the limit increased even further. Si vous avez besoin de plus de 500 000 objets, si vous avez besoin d’une licence comme Office 365, Azure AD Standard, Azure AD Premium ou Enterprise Mobility Suite.If you need more than 500k objects, then you need a license, such as Office 365, Azure AD Basic, Azure AD Premium, or Enterprise Mobility and Security.

Préparez vos données localesPrepare your on-premises data

Active Directory localOn-premises Active Directory

  • La version de schéma Active Directory et le niveau fonctionnel de forêt doivent être Windows Server 2003 ou version ultérieure.The AD schema version and forest functional level must be Windows Server 2003 or later. Les contrôleurs de domaine peuvent exécuter n’importe quelle version aussi longtemps que les exigences relatives au schéma et le niveau de forêt sont remplies.The domain controllers can run any version as long as the schema and forest level requirements are met.
  • Si vous prévoyez d’utiliser la fonctionnalité Réécriture du mot de passe, les contrôleurs de domaine doivent être exécutés sous Windows Server 2008 ou une version ultérieure.If you plan to use the feature password writeback, then the Domain Controllers must be on Windows Server 2008 R2 or later.
  • Le contrôleur de domaine utilisé par Azure AD doit être accessible en écriture.The domain controller used by Azure AD must be writable. L’utilisation d’un contrôleur de domaine en lecture seule (RODC) n’est pas prise en charge et Azure AD Connect ne suivra pas les redirections d’écriture.It is not supported to use a RODC (read-only domain controller) and Azure AD Connect does not follow any write redirects.
  • L’utilisation de forêts/domaines locaux utilisant des noms NetBios avec point (le nom contient un point ’.’) n’est pas prise en charge.It is not supported to use on-premises forests/domains using "dotted" (name contains a period ".") NetBios names.
  • Il est recommandé d’activer la Corbeille Active Directory.It is recommended to enable the Active Directory recycle bin.

Serveur Azure AD ConnectAzure AD Connect server

Important

Le serveur Azure AD Connect contient des données d’identité critique et doit être traité comme un composant de niveau 0 comme expliqué dans le modèle de niveau administratif Active Directory.The Azure AD Connect server contains critical identity data and should be treated as a Tier 0 component as documented in the Active Directory administrative tier model

  • Vous ne pouvez pas installer Azure AD Connect sur Small Business Server ou Windows Server Essentials version antérieure à 2019 (Windows Server Essentials 2019 est pris en charge).Azure AD Connect cannot be installed on Small Business Server or Windows Server Essentials before 2019 (Windows Server Essentials 2019 is supported). Le serveur doit utiliser Windows Server Standard ou une version supérieure.The server must be using Windows Server standard or better.
  • L’installation d’Azure AD Connect sur un contrôleur de domaine n’est pas recommandée en raison des pratiques de sécurité et de paramètres plus restrictifs pouvant empêchant Azure AD Connect de s’installer correctement.Installing Azure AD Connect on a Domain Controller is not recommended due to security practices and more restrictive settings that can prevent Azure AD Connect from installing correctly.
  • Le serveur Azure AD Connect doit disposer d’une interface utilisateur graphique complète.The Azure AD Connect server must have a full GUI installed. Il ne peut pas être installé sur Server Core.It is not supported to install on server core.

Important

L’installation d’Azure AD Connect sur un petit serveur Business, Essentials ou Core n’est pas prise en charge.Installing Azure AD Connect on small business server, server essentials, or server core is not supported.

  • Azure Active Directory Connect doit être installé sur Windows Server 2008 R2 ou version ultérieure.Azure AD Connect must be installed on Windows Server 2008 R2 or later. Ce serveur doit être joint à un domaine et peut être un contrôleur de domaine ou un serveur membre.This server must be domain joined and may be a domain controller or a member server.

  • Si vous installez Azure AD Connect sous Windows Server 2008 R2, veillez à appliquer les derniers correctifs à partir de Windows Update.If you install Azure AD Connect on Windows Server 2008 R2, then make sure to apply the latest hotfixes from Windows Update. L’installation ne pourra pas démarrer sur un serveur non corrigé.The installation is not able to start with an unpatched server.

  • Si vous prévoyez d’utiliser la fonctionnalité Synchronisation de mot de passe, le serveur Azure AD Connect doit être exécuté sous Windows Server 2008 R2 SP1 ou une version ultérieure.If you plan to use the feature password synchronization, then the Azure AD Connect server must be on Windows Server 2008 R2 SP1 or later.

  • Si vous envisagez d’utiliser un compte de service administré de groupe, le serveur Azure AD Connect doit se trouver sur Windows Server 2012 ou version ultérieure.If you plan to use a group managed service account, then the Azure AD Connect server must be on Windows Server 2012 or later.

  • .NET Framework 4.5.1 (ou une version ultérieure) et Microsoft PowerShell 3.0 (ou une version ultérieure) doivent être installés sur le serveur Azure AD Connect.The Azure AD Connect server must have .NET Framework 4.5.1 or later and Microsoft PowerShell 3.0 or later installed.

  • La stratégie de groupe PowerShell Transcription ne doit pas être activée sur le serveur Azure AD Connect.The Azure AD Connect server must not have PowerShell Transcription Group Policy enabled.

  • Si les services de fédération Active Directory sont déployés, les serveurs sur lesquels ces services ou le proxy d’application web sont installés doivent être des serveurs Windows Server 2012 R2 ou version ultérieure.If Active Directory Federation Services is being deployed, the servers where AD FS or Web Application Proxy are installed must be Windows Server 2012 R2 or later. gestion à distance de Windows doit être activée sur ces serveurs pour l’installation à distance.Windows remote management must be enabled on these servers for remote installation.

  • Si Active Directory Federation Services est déployé, vous avez besoin de certificats SSL.If Active Directory Federation Services is being deployed, you need SSL Certificates.

  • Si des services ADFS sont déployés, vous devrez configurer une résolution de noms.If Active Directory Federation Services is being deployed, then you need to configure name resolution.

  • Si l’authentification MFA est activée pour vos administrateurs généraux, https://secure.aadcdn.microsoftonline-p.com doit figurer dans la liste des sites de confiance.If your global administrators have MFA enabled, then the URL https://secure.aadcdn.microsoftonline-p.com must be in the trusted sites list. Vous êtes invité à ajouter ce site à la liste des sites de confiance lorsque vous êtes invité à passer un test d’authentification MFA et qu’il n’a pas ajouté.You are prompted to add this site to the trusted sites list when you are prompted for an MFA challenge and it has not added before. Vous pouvez utiliser Internet Explorer pour l’ajouter à vos sites de confiance.You can use Internet Explorer to add it to your trusted sites.

  • Microsoft vous recommande de renforcer votre serveur Azure AD Connect afin de réduire la surface d’attaque de sécurité de ce composant essentiel de votre environnement informatique.Microsoft recommends hardening your Azure AD Connect server to decrease the security attack surface for this critical component of your IT environment. L’application des recommandations ci-après vous permettra de limiter les risques pour la sécurité dans votre organisation.Following the recommendations below will decrease the security risks to your organization.

  • Déployez Azure AD Connect sur un serveur joint au domaine et restreignez l’accès administratif aux administrateurs de domaine ou à d’autres groupes de sécurité étroitement contrôlés.Deploy Azure AD Connect on a domain joined server and restrict administrative access to domain administrators or other tightly controlled security groups.

Pour plus d'informations, consultez les rubriques suivantes :To learn more, see:

SQL Server utilisé par Azure AD ConnectSQL Server used by Azure AD Connect

  • Azure AD Connect nécessite une base de données SQL Server pour stocker les données d’identité.Azure AD Connect requires a SQL Server database to store identity data. Par défaut, une base de données SQL Server 2012 Express LocalDB (version légère de SQL Server Express) est installée.By default a SQL Server 2012 Express LocalDB (a light version of SQL Server Express) is installed. SQL Server Express a une limite de 10 Go qui vous permet de gérer environ 100 000 objets.SQL Server Express has a 10GB size limit that enables you to manage approximately 100,000 objects. Si vous avez besoin de gérer un volume plus important d’objets d’annuaire, vous devez pointer l’assistant d’installation vers une autre installation de SQL Server.If you need to manage a higher volume of directory objects, you need to point the installation wizard to a different installation of SQL Server. Le type d’installation de SQL Server peut impacter les performances d’Azure AD Connect.The type of SQL Server installation can impact the performance of Azure AD Connect.
  • Si vous utilisez une installation différente de SQL Server, ces conditions s’appliquent :If you use a different installation of SQL Server, then these requirements apply:
    • Azure AD Connect prend en charge toutes les versions de Microsoft SQL Server à partir de 2008 R2 (avec le dernier Service Pack) et jusqu’à SQL Server 2019.Azure AD Connect supports all versions of Microsoft SQL Server from 2008 R2 (with latest Service Pack) to SQL Server 2019. Microsoft Azure SQL Database n’est pas pris en charge comme base de données.Microsoft Azure SQL Database is not supported as a database.
    • Vous devez utiliser un classement SQL qui ne respecte pas la casse.You must use a case-insensitive SQL collation. Ces classements sont identifiés par un _CI_ dans leur nom.These collations are identified with a _CI_ in their name. L’utilisation d’un classement qui respecte la casse, identifié par _CS_ dans le nom, n’est pas prise en charge.It is not supported to use a case-sensitive collation, identified by _CS_ in their name.
    • Vous ne pouvez avoir qu’un seul moteur de synchronisation par instance SQL.You can only have one sync engine per SQL instance. Le partage de l’instance SQL avec FIM/MIM Sync, DirSync ou Azure AD Sync n’est pas pris en charge.It is not supported to share a SQL instance with FIM/MIM Sync, DirSync, or Azure AD Sync.

ComptesAccounts

  • Le compte d’administrateur global Azure AD du locataire Azure AD que vous souhaitez intégrer.An Azure AD Global Administrator account for the Azure AD tenant you wish to integrate with. Ce compte doit être un compte scolaire ou d’organisation et non d’un compte Microsoft.This account must be a school or organization account and cannot be a Microsoft account.
  • Si vous utilisez la configuration rapide ou effectuez une mise à niveau depuis DirSync, vous devez disposer d’un compte d’administrateur d’entreprise pour votre annuaire Active Directory local.If you use express settings or upgrade from DirSync, then you must have an Enterprise Administrator account for your on-premises Active Directory.
  • Des comptes dans Active Directory si vous utilisez le chemin d’installation des paramètres personnalisés ou un compte Administrateur d’entreprise pour votre annuaire Active Directory local.Accounts in Active Directory if you use the custom settings installation path or an Enterprise Administrator account for your on-premises Active Directory.

ConnectivitéConnectivity

  • Le serveur Azure AD Connect nécessite une résolution DNS Intranet et Internet.The Azure AD Connect server needs DNS resolution for both intranet and internet. Le serveur DNS doit pouvoir résoudre des noms sur votre domaine Active Directory local et sur les points de terminaison Azure AD.The DNS server must be able to resolve names both to your on-premises Active Directory and the Azure AD endpoints.
  • Si vous disposez de pare-feu sur votre Intranet et que vous devez ouvrir des ports entre les serveurs Azure AD Connect et vos contrôleurs de domaine, consultez l’article Ports Azure AD Connect pour en savoir plus.If you have firewalls on your Intranet and you need to open ports between the Azure AD Connect servers and your domain controllers, then see Azure AD Connect Ports for more information.
  • Si votre proxy ou pare-feu limite les URL accessibles, les URL répertoriées dans URL et plages d’adresses IP Office 365 doivent être ouvertes.If your proxy or firewall limit which URLs can be accessed, then the URLs documented in Office 365 URLs and IP address ranges must be opened.
  • Azure AD Connect (version 1.1.614.0 et ultérieures) utilise TLS 1.2 par défaut pour le chiffrement de la communication entre le moteur de synchronisation et Azure AD.Azure AD Connect (version 1.1.614.0 and after) by default uses TLS 1.2 for encrypting communication between the sync engine and Azure AD. Si TLS 1.2 n’est pas disponible sur le système d’exploitation sous-jacent, Azure AD Connect revient de façon incrémentielle aux protocoles plus anciens (TLS 1.1 et TLS 1.0).If TLS 1.2 isn't available on the underlying operating system, Azure AD Connect incrementally falls back to older protocols (TLS 1.1 and TLS 1.0).
  • Avant la version 1.1.614.0, Azure AD Connect utilise TLS 1.0 par défaut pour le chiffrement de la communication entre le moteur de synchronisation et Azure AD.Prior to version 1.1.614.0, Azure AD Connect by default uses TLS 1.0 for encrypting communication between the sync engine and Azure AD. Pour utiliser TLS 1.2, suivez les étapes de l’article Activer TLS 1.2 pour Azure AD Connect.To change to TLS 1.2, follow the steps in Enable TLS 1.2 for Azure AD Connect.
  • Si vous utilisez un proxy sortant pour vous connecter à Internet, le paramètre suivant dans le fichier C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config doit être ajouté pour que l’Assistant Installation et Azure AD Connect Sync puissent se connecter à Internet et à Azure AD.If you are using an outbound proxy for connecting to the Internet, the following setting in the C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config file must be added for the installation wizard and Azure AD Connect sync to be able to connect to the Internet and Azure AD. Ce texte doit être entré en bas du fichier.This text must be entered at the bottom of the file. Dans ce code, <PROXYADDRESS> représente l’adresse IP réelle ou le nom d’hôte du proxy.In this code, <PROXYADDRESS> represents the actual proxy IP address or host name.
    <system.net>
        <defaultProxy>
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>
  • Si votre serveur proxy nécessite une authentification, le compte de service doit se trouver dans le domaine, et vous devez utiliser le chemin d’installation des paramètres personnalisés pour spécifier un compte de service personnalisé.If your proxy server requires authentication, then the service account must be located in the domain and you must use the customized settings installation path to specify a custom service account. Vous devez également modifier le fichier machine.config. Cette modification dans le fichier machine.config permet à l’Assistant d’installation et au moteur de synchronisation de répondre aux demandes d’authentification du serveur proxy.You also need a different change to machine.config. With this change in machine.config, the installation wizard and sync engine respond to authentication requests from the proxy server. Dans toutes les pages de l'Assistant d’installation, à l'exclusion de la page Configurer, les informations d'identification de l’utilisateur sont utilisées.In all installation wizard pages, excluding the Configure page, the signed in user's credentials are used. Dans la page Configurer à la fin de l’Assistant d’installation, le contexte bascule vers le compte de service que vous avez créé.On the Configure page at the end of the installation wizard, the context is switched to the service account that was created by you. La section machine.config doit ressembler à ceci.The machine.config section should look like this.
    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>
  • Lorsque Azure Connect AD envoie une requête web à Azure AD dans le cadre de la synchronisation d’annuaires, Azure AD peut mettre jusqu'à 5 minutes pour répondre.When Azure AD Connect sends a web request to Azure AD as part of directory synchronization, Azure AD can take up to 5 minutes to respond. Il est courant qu’un délai d’inactivité de la connexion soit configuré sur les serveurs proxy.It is common for proxy servers to have connection idle timeout configuration. Vérifiez que la configuration est définie sur au moins 6 minutes, voire plus.Please ensure the configuration is set to at least 6 minutes or more.

Consultez MSDN pour plus d’informations sur l’élément proxy par défaut.For more information, see MSDN about the default proxy Element.
Pour plus d’informations lorsque vous avez des problèmes de connectivité, consultez Résoudre les problèmes de connectivité liés à Azure AD Connect.For more information when you have problems with connectivity, see Troubleshoot connectivity problems.

AutresOther

  • Facultatif : Un compte d’utilisateur test pour vérifier la synchronisation.Optional: A test user account to verify synchronization.

Configuration requise pour les composantsComponent prerequisites

PowerShell et .NET FrameworkPowerShell and .NET Framework

Azure AD Connect repose sur Microsoft PowerShell et le .NET Framework 4.5.1.Azure AD Connect depends on Microsoft PowerShell and .NET Framework 4.5.1. Cette version ou une version ultérieure doit être installée sur votre serveur.You need this version or a later version installed on your server. Selon votre version de Windows Server, procédez comme suit :Depending on your Windows Server version, do the following:

  • Windows Server 2012 R2Windows Server 2012R2
    • Microsoft PowerShell est installé par défaut.Microsoft PowerShell is installed by default. Aucune action n’est requise.No action is required.
    • Les versions .NET Framework 4.5.1 et ultérieures sont offertes par le biais de Windows Update..NET Framework 4.5.1 and later releases are offered through Windows Update. Assurez-vous que vous avez installé les dernières mises à jour de Windows Server dans le Panneau de configuration.Make sure you have installed the latest updates to Windows Server in the Control Panel.
  • Windows Server 2008 R2 et Windows Server 2012Windows Server 2008 R2 and Windows Server 2012

Activer TLS 1.2 pour Azure AD ConnectEnable TLS 1.2 for Azure AD Connect

Avant la version 1.1.614.0, Azure AD Connect utilise TLS 1.0 par défaut pour le chiffrement de la communication entre le serveur de moteur de synchronisation et Azure AD.Prior to version 1.1.614.0, Azure AD Connect by default uses TLS 1.0 for encrypting the communication between the sync engine server and Azure AD. Vous pouvez modifier ce comportement en configurant les applications .NET pour qu’elles utilisent TLS 1.2 par défaut sur le serveur.You can change this by configuring .NET applications to use TLS 1.2 by default on the server. Vous trouverez plus d’informations sur TLS 1.2 dans l’Avis de sécurité Microsoft 2960358.More information about TLS 1.2 can be found in Microsoft Security Advisory 2960358.

  1. TLS 1.2 ne peut pas être activé sur les versions Windows Server 2008 R2 ou antérieures.TLS 1.2 cannot be enabled prior to Windows Server 2008 R2 or earlier. Vérifiez que le correctif .NET 4.5.1 est installé pour votre système d’exploitation. Consultez l’Avis de sécurité Microsoft 2960358.Make sure you have the .NET 4.5.1 hotfix installed for your operating system, see Microsoft Security Advisory 2960358. Il est possible que cette version du correctif ou une version ultérieure soit déjà installée sur votre serveur.You might have this hotfix or a later release installed on your server already.
  2. Si vous utilisez Windows Server 2008 R2, vérifiez que TLS 1.2 est activé.If you use Windows Server 2008 R2, then make sure TLS 1.2 is enabled. Sur le serveur Windows Server 2012 et les versions ultérieures, TLS 1.2 doit déjà être activé.On Windows Server 2012 server and later versions, TLS 1.2 should already be enabled.
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    
  3. Pour tous les systèmes d’exploitation, définissez cette clé de Registre et redémarrez le serveur.For all operating systems, set this registry key and restart the server.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    "SchUseStrongCrypto"=dword:00000001
    
  4. Si vous souhaitez également activer TLS 1.2 entre le serveur de moteur de synchronisation et un serveur SQL distant, vérifiez que vous disposez des versions requises pour la prise en charge de TLS 1.2 pour Microsoft SQL Server.If you also want to enable TLS 1.2 between the sync engine server and a remote SQL Server, then make sure you have the required versions installed for TLS 1.2 support for Microsoft SQL Server.

Configuration requise pour l'installation et la configuration de la fédérationPrerequisites for federation installation and configuration

gestion à distance de WindowsWindows Remote Management

Lorsque vous utilisez Azure AD Connect pour déployer Active Directory Federation Services ou le proxy d’application Web, vérifiez ces exigences :When using Azure AD Connect to deploy Active Directory Federation Services or the Web Application Proxy, check these requirements:

  • Si le serveur cible est joint à un domaine, assurez-vous que la gestion à distance Windows est activéeIf the target server is domain joined, then ensure that Windows Remote Managed is enabled
    • Dans une fenêtre de commandes PSH avec élévation de privilèges, utilisez la commande Enable-PSRemoting –forceIn an elevated PSH command window, use command Enable-PSRemoting –force
  • Si le serveur cible n’est pas un ordinateur WAP joint à un domaine, il existe quelques conditions requises supplémentairesIf the target server is a non-domain joined WAP machine, then there are a couple of additional requirements
    • Sur l'ordinateur cible (ordinateur WAP) :On the target machine (WAP machine):
      • Vérifiez que le service winrm (Windows Remote Management/WS-Management) s'exécute via le composant logiciel enfichable Services.Ensure the winrm (Windows Remote Management / WS-Management) service is running via the Services snap-in
      • Dans une fenêtre de commandes PSH avec élévation de privilèges, utilisez la commande Enable-PSRemoting –forceIn an elevated PSH command window, use command Enable-PSRemoting –force
    • Sur l'ordinateur sur lequel s'exécute l'Assistant (si l'ordinateur cible n’est pas joint à un domaine ou s’il est joint à un domaine non fiable) :On the machine on which the wizard is running (if the target machine is non-domain joined or untrusted domain):
      • Dans une fenêtre de commandes PSH avec élévation de privilèges, utilisez la commande Set-Item WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –ConcatenateIn an elevated PSH command window, use the command Set-Item WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate
      • Dans le Gestionnaire de serveur :In Server Manager:
        • Ajoutez un hôte WAP DMZ au pool d’ordinateurs (Gestionnaire de serveur -> Gérer -> Ajouter des serveurs... Onglet Utiliser DNS)add DMZ WAP host to machine pool (server manager -> Manage -> Add Servers...use DNS tab)
        • Onglet Gestionnaire de serveur, onglet Tous les serveurs : cliquez avec le bouton droit sur le serveur WAP et sélectionnez Gérer en tant que..., entrez des informations d'identification locales (et pas un domaine) pour l'ordinateur WAP.Server Manager All Servers tab: right click WAP server and choose Manage As..., enter local (not domain) creds for the WAP machine
        • Pour valider la connectivité à distance PSH, dans le Gestionnaire de serveur, onglet Tous les serveurs : cliquez avec le bouton droit sur le serveur WAP et choisissez Windows PowerShell.To validate remote PSH connectivity, in the Server Manager All Servers tab: right click WAP server and choose Windows PowerShell. Une session à distance PSH doit s’ouvrir pour garantir le fait que des sessions PowerShell distantes peuvent être établies.A remote PSH session should open to ensure remote PowerShell sessions can be established.

Configuration requise des certificats SSLSSL Certificate Requirements

  • Il est fortement recommandé d’utiliser le même certificat SSL sur tous les nœuds de votre batterie de serveurs AD FS, ainsi que sur tous les serveurs proxy d’application web.It’s strongly recommended to use the same SSL certificate across all nodes of your AD FS farm and all Web Application proxy servers.
  • Il doit s’agir d’un certificat X509.The certificate must be an X509 certificate.
  • Vous pouvez utiliser un certificat auto-signé sur les serveurs de fédération dans un environnement de laboratoire de test.You can use a self-signed certificate on federation servers in a test lab environment. Toutefois, pour un environnement de production, nous vous recommandons d'obtenir le certificat auprès d'une autorité de certification publique.However, for a production environment, we recommend that you obtain the certificate from a public CA.
    • Si vous utilisez un certificat qui n'est pas approuvé publiquement, assurez-vous que le certificat installé sur chaque serveur proxy d’application web est approuvé sur le serveur local et sur tous les serveurs de fédération.If using a certificate that is not publicly trusted, ensure that the certificate installed on each Web Application Proxy server is trusted on both the local server and on all federation servers
  • L’identité du certificat doit correspondre au nom du service de fédération (par exemple, sts.contoso.com).The identity of the certificate must match the federation service name (for example, sts.contoso.com).
    • L'identité est soit une extension autre nom de l’objet (SAN) de type dNSName, soit à défaut d'entrée SAN, le nom d’objet spécifié comme nom commun.The identity is either a subject alternative name (SAN) extension of type dNSName or, if there are no SAN entries, the subject name specified as a common name.
    • Le certificat peut contenir plusieurs entrées SAN, pour autant que l'une d'elles corresponde au nom de service de fédération.Multiple SAN entries can be present in the certificate, provided one of them matches the federation service name.
    • Si vous envisagez d'utiliser une jonction d'espace de travail, un autre nom d’objet supplémentaire est nécessaire avec la valeur enterpriseregistration.If you are planning to use Workplace Join, an additional SAN is required with the value enterpriseregistration. suivie du suffixe de nom d'utilisateur principal de votre organisation, par exemple, enterpriseregistration.contoso.com.followed by the User Principal Name (UPN) suffix of your organization, for example, enterpriseregistration.contoso.com.
  • Les certificats basés sur les clés CNG (CryptoAPI Next Generation) et les fournisseurs de stockage de clés ne sont pas pris en charge.Certificates based on CryptoAPI next generation (CNG) keys and key storage providers are not supported. Cela signifie que vous devez utiliser un certificat basé sur un fournisseur de services de chiffrement et non sur un fournisseur de stockage de clés.This means you must use a certificate based on a CSP (cryptographic service provider) and not a KSP (key storage provider).
  • Les certificats utilisant des caractères génériques sont pris en charge.Wild-card certificates are supported.

Résolution de noms pour les serveurs de fédérationName resolution for federation servers

  • Configurez les enregistrements DNS pour le nom de service de fédération AD FS (par exemple, sts.contoso.com) pour l’Intranet (votre serveur DNS interne) et l’extranet (le DNS public via votre bureau d’enregistrement de domaines).Set up DNS records for the AD FS federation service name (for example sts.contoso.com) for both the intranet (your internal DNS server) and the extranet (public DNS through your domain registrar). Pour l’enregistrement DNS intranet, vérifiez que vous utilisez des enregistrements A et non des enregistrements CNAME.For the intranet DNS record, ensure that you use A records and not CNAME records. Ceci est requis pour le bon fonctionnement de l’authentification Windows à partir de l’ordinateur associé à votre domaine.This is required for windows authentication to work correctly from your domain joined machine.
  • Si vous déployez plusieurs serveurs AD FS ou serveurs proxy d’application web, vérifiez que vous avez configuré votre équilibreur de charge et que les enregistrements DNS pour le nom de service de fédération AD FS (par ex., sts.contoso.com) pointent vers l’équilibreur de charge.If you are deploying more than one AD FS server or Web Application Proxy server, then ensure that you have configured your load balancer and that the DNS records for the AD FS federation service name (for example sts.contoso.com) point to the load balancer.
  • Pour que l’authentification Windows intégrée fonctionne avec les applications de navigateur utilisant Internet Explorer dans votre Intranet, vérifiez que le nom de service de fédération AD FS (par exemple, sts.contoso.com) est ajouté à la zone Intranet dans Internet Explorer.For windows integrated authentication to work for browser applications using Internet Explorer in your intranet, ensure that the AD FS federation service name (for example sts.contoso.com) is added to the intranet zone in IE. Vous pouvez vérifier cela par le biais de la stratégie de groupe, puis procéder au déploiement vers tous les ordinateurs associés à votre domaine.This can be controlled via group policy and deployed to all your domain joined computers.

Composants de prise en charge d’Azure AD ConnectAzure AD Connect supporting components

Voici une liste de composants qu’Azure AD Connect installe sur le serveur sur lequel il est installé.The following is a list of components that Azure AD Connect installs on the server where Azure AD Connect is installed. Cette liste est destinée à une installation Express de base.This list is for a basic Express installation. Si vous choisissez d’utiliser un autre serveur SQL Server dans la page d’installation des services de synchronisation, SQL Express LocalDB n’est pas installé localement.If you choose to use a different SQL Server on the Install synchronization services page, then SQL Express LocalDB is not installed locally.

  • Azure AD Connect HealthAzure AD Connect Health
  • Utilitaires de ligne de commande Microsoft SQL Server 2012Microsoft SQL Server 2012 Command Line Utilities
  • Base de données locale Microsoft SQL Server 2012 ExpressMicrosoft SQL Server 2012 Express LocalDB
  • Client natif Microsoft SQL Server 2012Microsoft SQL Server 2012 Native Client
  • Package de redistribution Microsoft Visual C++ 2013Microsoft Visual C++ 2013 Redistribution Package

Configuration matérielle requise pour Azure AD ConnectHardware requirements for Azure AD Connect

Le tableau ci-dessous présente la configuration minimale requise pour l’ordinateur de synchronisation Azure AD Connect.The table below shows the minimum requirements for the Azure AD Connect sync computer.

Nombre d’objets dans Active DirectoryNumber of objects in Active Directory UCCPU MémoireMemory Taille du disque durHard drive size
Moins de 10 000Fewer than 10,000 1,6 GHz1.6 GHz 4 Go4 GB 70 Go70 GB
Entre 10 000 et 50 00010,000–50,000 1,6 GHz1.6 GHz 4 Go4 GB 70 Go70 GB
Entre 50 000 et 100 00050,000–100,000 1,6 GHz1.6 GHz 16 Go16 GB 100 Go100 GB
Dans les systèmes comportant 100 000 objets ou plus, la version complète de SQL Server est requise.For 100,000 or more objects the full version of SQL Server is required
Entre 100 000 et 300 000100,000–300,000 1,6 GHz1.6 GHz 32 Go32 GB 300 Go300 GB
Entre 300 000 et 600 000300,000–600,000 1,6 GHz1.6 GHz 32 Go32 GB 450 Go450 GB
Plus de 600 000More than 600,000 1,6 GHz1.6 GHz 32 Go32 GB 500 Go500 GB

La configuration minimale requise pour les ordinateurs exécutant les services de fédération Active Directory ou les serveurs d’applications web est la suivante :The minimum requirements for computers running AD FS or Web Application Servers is the following:

  • Processeur : double cœur 1,6 GHz ou supérieurCPU: Dual core 1.6 GHz or higher
  • Mémoire : 2 Go ou plusMEMORY: 2 GB or higher
  • Machine virtuelle Azure : configuration A2 ou supérieureAzure VM: A2 configuration or higher

Étapes suivantesNext steps

En savoir plus sur l’ intégration de vos identités locales avec Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.