Gérer les charges de travail Azure hybrides à l’aide de Windows Admin Center

Microsoft Entra ID
Azure Key Vault
Portail Azure
Machines virtuelles Azure

Cette architecture de référence illustre la manière de concevoir une solution Windows Admin Center hybride pour gérer les charges de travail hébergées localement et dans Microsoft Azure. Cette architecture comprend deux scénarios :

  • Windows Admin Center est déployé sur une machine virtuelle dans Azure.
  • Windows Admin Center est déployé sur un serveur (physique ou virtuel) local.

Architecture

Le premier diagramme illustre Windows Admin Center déployé sur une machine virtuelle dans Azure.

Deploy Windows Admin Center to a VM in Azure. Use VPN or ExpressRoute to manage on-premises VMs.

Le deuxième diagramme illustre Windows Admin Center déployé localement.

Deploy Windows Admin Center to a VM on-premises. Use Azure network adapter to integrate with resources in Azure.

Téléchargez un fichier Visio de tous les diagrammes d’architecture dans cet article.

Workflow

L'architecture se compose des éléments suivants :

  • Réseau d’entreprise local. Réseau local privé qui s’exécute au sein d’une organisation.
  • Pare-feu d’entreprise local. Pare-feu d’organisation configuré pour autoriser les utilisateurs à accéder à la passerelle Windows Admin Center lorsque la passerelle est déployée localement.
  • Machine virtuelle Windows. Machine virtuelle Windows installée avec la passerelle Windows Admin Center qui héberge les services web auxquels les utilisateurs peuvent se connecter.
  • Application Microsoft Entra. Application utilisée pour tous les points d’intégration d’Azure dans Windows Admin Center, y compris l’authentification Microsoft Entra auprès de la passerelle.
  • Nœuds gérés. Nœuds gérés par Windows Admin Center, qui peuvent inclure des serveurs physiques exécutant Azure Stack ou Windows Server ou des machines virtuelles exécutant Windows Server.
  • VPN ou ExpressRoute. VPN de site à site (S2S) ou ExpressRoute pour gérer des nœuds locaux lorsque Windows Admin Center est déployé dans Azure.
  • Carte réseau Azure. Adaptateur pour un VPN de point à site (P2S) vers Azure lorsque Windows Admin Center est déployé localement. Windows Admin Center peut déployer automatiquement l’adaptateur et créer une passerelle Azure.
  • DNS (Domain Name System) . Enregistrement DNS auquel les utilisateurs se réfèrent pour se connecter à la passerelle Windows Admin Center.

Composants

  • Windows Admin Center est un ensemble d’outils de gestion basés sur un navigateur avec lesquels vous pouvez contrôler tous les aspects de votre infrastructure de serveurs. Il s’avère particulièrement utile pour la gestion des serveurs dans les réseaux privés qui ne sont pas connectés à Internet. Il accède aux serveurs par le biais de la passerelle Windows Admin Center qui est installée sur une machine Windows Server ou une machine Windows 10 jointe au domaine. La passerelle peut être installée localement ou sur une machine virtuelle Azure qui exécute Windows.
  • Azure ExpressRoute crée des connexions privées entre les centres de données Azure et une infrastructure dans un environnement local ou de colocalisation.
  • Réseau virtuel Azure fournit une infrastructure réseau sécurisée dans le cloud.
  • Machines virtuelles Azure fournit des machines virtuelles Linux et Windows. Dans cette solution, vous pouvez l’utiliser pour fournir une machine virtuelle Windows sur laquelle exécuter Windows Admin Center.

Détails du scénario

Cas d’usage potentiels

Utilisations courantes de cette architecture :

  • Organisations qui souhaitent gérer des instances Windows Server individuelles, une infrastructure hyper-convergée ou des machines virtuelles Hyper-V qui s’exécutent localement et dans Microsoft Azure.
  • Organisations qui souhaitent gérer des instances Windows Server hébergées par d’autres fournisseurs de cloud.

Recommandations

Les recommandations suivantes s’appliquent à la plupart des scénarios. Suivez ces recommandations, sauf si vous avez un besoin spécifique qui vous oblige à les ignorer.

Types d’installation

Vous avez plusieurs options lors du déploiement de Windows Admin Center, notamment l’installation sur un PC Windows 10, un serveur Windows ou une machine virtuelle Azure. Le type de déploiement que vous choisissez dépendra des besoins de votre entreprise.

Les types d’installation locale sont les suivants :

Installation types when deploying Windows Admin Center on-premises. Deployment options depend on your business requirements.

  • Option n°1 : Client local. Déployer Windows Admin Center sur un client Windows 10. Cette solution est idéale pour les déploiements rapides, les tests et les scénarios improvisés ou à petite échelle.
  • Option n°2 : Serveur de passerelle. Installer sur un serveur de passerelle désigné exécutant Windows Server 2016, Windows Server 2019 ou version ultérieure, ainsi qu’un accès à partir de n’importe quel navigateur client disposant d’une connectivité au serveur de passerelle.
  • Option 3 : Serveur géré. Installer directement sur un serveur géré exécutant Windows Server 2016, Windows Server 2019 ou version ultérieure pour permettre au serveur de se gérer lui-même ou de gérer un cluster dans lequel le serveur géré est un nœud membre. C’est parfait pour les scénarios de succursales distribuées.
  • Option 4 : Cluster de basculement. Déployer dans un cluster de basculement pour activer la haute disponibilité du service de passerelle. C’est idéal pour les environnements de production afin de garantir la résilience du service de gestion.

Étant donné que Windows Admin Center ne dépend pas des services cloud, certaines organisations peuvent choisir de déployer Windows Admin Center sur un système local pour la gestion des ordinateurs locaux, puis d’activer des services hybrides au fil du temps. Toutefois, de nombreuses organisations préfèrent tirer parti des offres de service dans Azure et d’autres plateformes cloud intégrées à Windows Admin Center.

Le déploiement de Windows Admin Center sur une machine virtuelle Azure fournit des fonctionnalités de passerelle similaires à celles de Windows Server 2016 et Windows Server 2019. Toutefois, Azure active également des fonctionnalités supplémentaires pour les machines virtuelles Azure. Pour plus d’informations sur les avantages du déploiement de Windows Admin Center sur des machines virtuelles Azure, consultez Fiabilité.

Déploiement automatisé

Microsoft fournit un fichier .msi que vous utilisez pour déployer Windows Admin Center sur une machine virtuelle locale. Le fichier .msi installe Windows Admin Center et génère automatiquement un certificat auto-signé ou associe un certificat existant selon vos préférences.

Conseil

Pour plus d’informations sur l’utilisation du fichier .msi pour déployer Windows Admin Center, consultez Installer Windows Admin Center.

Lors de l’implémentation de Windows Admin Center sur une machine virtuelle Azure, Microsoft fournit le script Deploy-Windows Admin CenterAzVM.ps1 pour déployer automatiquement toutes les ressources requises. Dans ce scénario, le script déploie une nouvelle machine virtuelle Azure avec Windows Admin Center installé et ouvre le port 443 sur l’IP publique. Le script peut également déployer Windows Admin Center sur une machine virtuelle Azure existante. Lors de l’exécution du script, vous pouvez utiliser des variables pour spécifier le groupe de ressources, le nom du réseau virtuel, le nom de la machine virtuelle, l’emplacement et bien d’autres options.

Important

Avant le déploiement, chargez le certificat dans un coffre de clés Azure. Vous pouvez également utiliser le portail Azure pour générer un certificat.

Conseil

Pour plus d’informations sur l’utilisation du script Deploy-Windows Admin CenterAzVM.ps1 pour déployer Windows Admin Center sur une machine virtuelle Azure, consultez Déployer Windows Admin Center dans Azure.

Conseil

Pour plus d’informations sur les étapes manuelles requises pour déployer Windows Admin Center sur une machine virtuelle Azure, consultez Déployer manuellement sur une machine virtuelle Azure existante.

Recommandations en matière de topologie

Bien que vous puissiez implémenter Windows Admin Center sur une machine virtuelle existante ou nouvelle qui est locale ou hébergée dans Azure, Microsoft recommande de déployer la passerelle Windows Admin Center sur une machine virtuelle Windows Server 2019 Azure. L’option de déploiement automatisé présentée précédemment vous permet d’implémenter Windows Admin Center sur une machine virtuelle Azure plus rapidement tout en protégeant votre environnement. Au lieu de déployer Windows Admin Center sur une machine virtuelle locale, vous pouvez minimiser les modifications de configuration requises pour un pare-feu et un réseau locaux.

Important

La gestion des nœuds localement nécessite une connexion (par exemple, VPN S2S ou ExpressRoute) d’Azure vers l’emplacement local.

En cas de déploiement local, vous pouvez utiliser Windows Admin Center pour créer la connexion hybride à Azure. La connexion hybride, appelée carte réseau Azure, est une connexion VPN P2S à Azure qui permet à Windows Admin Center d’accéder aux fonctionnalités de cloud hybride. Ce processus crée également automatiquement une passerelle Azure pour la connexion VPN. Pour plus d’informations, consultez À propos du VPN de point à site.

Important

Vous devez disposer d’un réseau virtuel Azure dans Azure avant de créer une carte réseau Azure.

Vous devez également configurer la passerelle Windows Admin Center pour la haute disponibilité. Cela permet de garantir la disponibilité de la gestion des systèmes et services en cas de défaillance imprévue. Azure fournit plusieurs offres de service pour ces scénarios, que la passerelle Windows Admin Center soit déployée sur une machine virtuelle locale ou Azure. Pour plus d’informations, consultez Considérations relatives à la disponibilité.

Recommandations relatives aux certificats

La passerelle Windows Admin Center est un outil web qui utilise un certificat SSL afin de chiffrer le trafic web pour les administrateurs qui utilisent la passerelle. Windows Admin Center vous permet d’utiliser un certificat SSL créé par une autorité de certification tierce de confiance à partir d’un certificat auto-signé. Si vous choisissez cette dernière option, vous recevrez un avertissement lorsque vous tenterez de vous connecter à partir d’un navigateur. Par conséquent, nous vous recommandons d’utiliser uniquement des certificats auto-signés pour les environnements de test.

Conseil

Pour savoir comment d’autres clients Microsoft ont utilisé Windows Admin Center pour améliorer leur productivité et réduire leurs coûts, consultez Études de cas Windows Admin Center.

Recommandations d’administration

Le déploiement de Windows Admin Center sur un client Windows 10 local est idéal pour les tests à démarrage rapide et les scénarios ad hoc ou à petite échelle. Toutefois, pour les scénarios de production avec plusieurs administrateurs, nous vous recommandons Windows Server. Une fois déployé sur Windows Server, Windows Admin Center fournit un hub de gestion centralisé pour votre environnement serveur avec des capacités supplémentaires, telles que l’authentification par carte à puce, l’accès conditionnel et l’authentification multifacteur. Pour plus d’informations sur le contrôle de l’accès à Windows Admin Center, consultez Options d’accès utilisateur avec Windows Admin Center.

Considérations

Ces considérations implémentent les piliers d’Azure Well-Architected Framework qui est un ensemble de principes directeurs qui permettent d’améliorer la qualité d’une charge de travail. Pour plus d'informations, consultez Microsoft Azure Well-Architected Framework.

Fiabilité

La fiabilité permet de s’assurer que votre application tient vos engagements auprès de vos clients. Pour plus d’informations, consultez la page Vue d’ensemble du pilier de fiabilité.

  • Vous pouvez contribuer à garantir la haute disponibilité du service de passerelle Windows Admin Center en le déployant dans un modèle actif/passif sur un cluster de basculement. Dans ce scénario, une seule instance du service de passerelle Windows Admin Center est active. Si l’un des nœuds du cluster échoue, le service de passerelle Windows Admin Center bascule en toute transparence vers un autre nœud.

    Attention

    Le déploiement de Windows Admin Center sur un ordinateur client Windows 10 ne fournit pas de haute disponibilité, car la fonctionnalité de passerelle n’est pas incluse dans le déploiement de Windows 10. Déployez la passerelle Windows Admin Center sur Windows Server 2016 ou Windows Server 2019.

  • Pour garantir la haute disponibilité des données de Windows Admin Center en cas de défaillance d’un nœud, configurez un volume partagé de cluster (CSV) dans lequel Windows Admin Center stocke les données persistantes auxquelles tous les nœuds du cluster ont accès. Vous pouvez déployer le cluster de basculement pour la passerelle Windows Admin Center à l’aide d’un script de déploiement automatisé. Le script Install-WindowsAdminCenterHA.ps1 déploie automatiquement le cluster de basculement, configure les adresses IP du service de cluster, installe la passerelle Windows Admin Center, configure le numéro de port pour le service de passerelle et configure le service web avec le certificat approprié.

    Conseil

    Pour plus d’informations sur l’utilisation du script de déploiement automatisé, consultez Déployer Windows Admin Center avec une haute disponibilité.

  • Le déploiement de la passerelle Windows Admin Center sur une machine virtuelle Azure fournit des options de haute disponibilité supplémentaires. Par exemple, en utilisant des groupes à haute disponibilité, vous pouvez fournir la redondance et la disponibilité des machines virtuelles au sein d’un centre de données Azure en répartissant les machines virtuelles sur plusieurs nœuds matériels. Vous pouvez également utiliser des zones de disponibilité dans Azure, qui fournissent la tolérance de panne des centres de données. Les zones de disponibilité sont des emplacements physiques uniques qui couvrent les centres de données au sein d’une région Azure. Cela permet de s’assurer que les machines virtuelles Azure ont une alimentation, une mise en réseau et un refroidissement indépendants. Pour plus d’informations sur la haute disponibilité, consultez Options de disponibilité pour les machines virtuelles dans Azure et Haute disponibilité et récupération d’urgence pour les applications IaaS.

Sécurité

La sécurité fournit des garanties contre les attaques délibérées, et contre l’utilisation abusive de vos données et systèmes importants. Pour plus d’informations, consultez Vue d’ensemble du pilier Sécurité.

  • Le déploiement de Windows Admin Center permet à votre organisation d’utiliser une interface de gestion centralisée pour votre environnement serveur. En contrôlant l’accès à Windows Admin Center, vous pouvez améliorer la sécurité de votre environnement de gestion.
  • Windows Admin Center fournit plusieurs fonctionnalités pour vous aider à sécuriser votre plateforme de gestion. Pour commencer, l’authentification de la passerelle Windows Admin Center peut utiliser des groupes locaux, Active Directory Domain Services (AD DS) et Microsoft Entra ID basé sur le cloud. Vous pouvez également appliquer l’authentification par carte à puce en spécifiant un groupe supplémentaire requis pour les groupes de sécurité basés sur une carte à puce. En exigeant l’authentification Microsoft Entra pour la passerelle, vous pouvez utiliser d’autres fonctionnalités de sécurité Microsoft Entra telles que l’accès conditionnel et l’authentification multifacteur Microsoft Entra.
  • L’accès à la passerelle Windows Admin Center n’implique pas l’accès aux serveurs cibles qui sont rendus visibles par la passerelle. Pour gérer un serveur cible, les utilisateurs doivent se connecter à l’aide d’informations d’identification qui accordent des privilèges d’administrateur sur les serveurs qu’ils souhaitent gérer. Toutefois, certains utilisateurs n’ont peut-être pas besoin d’un accès administratif pour exercer leurs responsabilités. Dans ce scénario, vous pouvez utiliser le contrôle d’accès en fonction du rôle (RBAC) dans Windows Admin Center pour fournir à ces utilisateurs un accès restreint aux serveurs au lieu de leur accorder un accès administratif complet.

    Notes

    Si vous avez déployé la solution LAPS (Local Administrator Password Solution) dans votre environnement, utilisez les informations d’identification LAPS via Windows Admin Center pour vous authentifier auprès d’un serveur cible.

  • Dans Windows Admin Center, RBAC fonctionne en configurant chaque serveur géré avec un point de terminaison JEA (Just Enough Administration) Windows PowerShell. Ce point de terminaison définit les rôles, y compris les parties du système que chaque rôle peut gérer et les utilisateurs qui sont affectés aux rôles. Lorsqu’un utilisateur se connecte au point de terminaison, RBAC crée un compte Administrateur local temporaire pour gérer le système en son nom et supprime automatiquement le compte lorsque l’utilisateur cesse de gérer le serveur par le biais de Windows Admin Center. Pour plus d’informations, consultez Just Enough Administration.
  • Windows Admin Center fournit également une visibilité sur les actions de gestion effectuées dans votre environnement. Windows Admin Center enregistre les événements en consignant les actions dans le canal d’événements Microsoft-ServerManagementExperience dans le journal des événements du serveur géré. Cela vous permet d’auditer les actions effectuées par les administrateurs, de résoudre les problèmes liés à Windows Admin Center et d’examiner les métriques d’utilisation. Pour plus d’informations sur l’audit, consultez Utiliser la journalisation des événements dans Windows Admin Center pour mieux comprendre les activités de gestion et suivre l’utilisation de la passerelle.

Optimisation des coûts

L’optimisation des coûts consiste à examiner les moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle. Pour plus d’informations, consultez Vue d’ensemble du pilier d’optimisation des coûts.

  • Pour les déploiements locaux, Windows Admin Center ne coûte rien au-delà du coût du système d’exploitation Windows, qui requiert des licences Windows Server ou Windows 10 valides.
  • Pour les déploiements Azure, planifiez les coûts associés au déploiement de Windows Admin Center sur une machine virtuelle Azure. Certains de ces coûts peuvent inclure la machine virtuelle, le stockage, les adresses IP statiques ou publiques (si elles sont activées), ainsi que les composants réseau nécessaires à l’intégration aux environnements locaux. En outre, vous devrez peut-être prévoir le coût d’achat de certificats d’autorité de certification non-Microsoft.

Excellence opérationnelle

L’excellence opérationnelle couvre les processus d’exploitation qui déploient une application et maintiennent son fonctionnement en production. Pour plus d’informations, consultez Vue d’ensemble du pilier Excellence opérationnelle.

Simplicité de gestion

  • L’accès à l’ensemble des outils de gestion de Windows Admin Center dépend du type d’installation. Par exemple, dans un scénario de client local, vous pouvez ouvrir Windows Admin Center à partir du menu Démarrer et vous y connecter à partir d’un navigateur web client en accédant à l’adresse https://localhost:6516. Dans d’autres scénarios où vous déployez la passerelle Windows Admin Center sur un serveur Windows, vous pouvez vous connecter à la passerelle Windows Admin Center à partir d’un navigateur web client en accédant à l’URL du nom du serveur, par exemple https://servername.contoso.com, ou à l’URL du nom du cluster.
  • Une fois déployé sur Windows Server, Windows Admin Center fournit un point de gestion centralisé pour votre environnement serveur. Windows Admin Center fournit des outils de gestion pour de nombreux scénarios et outils courants, notamment :
    • Gestion des certificats
    • Observateur d’événements
    • Explorateur de fichiers
    • Paramètres réseau
    • Connexion Bureau à distance
    • Windows PowerShell
    • Gestion de pare-feu
    • Modification du registre
    • Activation et désactivation de rôles et de fonctionnalités
    • Gestion des applications et des appareils installés
    • Gestion des tâches planifiées
    • Configuration des utilisateurs et groupes locaux
    • Gestion des services Windows
    • Gestion du stockage
    • Gestion de Windows Update

Pour obtenir la liste complète des capacités de gestion de serveur, consultez Gérer des serveurs à l’aide de Windows Admin Center.

Important

Windows Admin Center ne remplace pas tous les outils d’administration de serveur distant (RSAT), tels qu’Internet Information Services (IIS), car il n’existe aucune capacité de gestion équivalente dans Windows Admin Center.

Notes

Windows Admin Center fournit un sous-ensemble de fonctionnalités Gestionnaire de serveur pour la gestion des PC clients Windows 10.

  • Windows Admin Center prend en charge la gestion des clusters de basculement et des ressources de cluster, la gestion des machines virtuelles Hyper-V et des commutateurs virtuels, ainsi que la gestion du réplica de stockage Windows Server. En plus d’utiliser Windows Admin Center pour gérer et surveiller une infrastructure hyper-convergée existante, vous pouvez également utiliser Windows Admin Center pour déployer une nouvelle infrastructure hyper-convergée. À l’aide d’un workflow en plusieurs étapes, Windows Admin Center vous guide tout au long de l’installation des fonctionnalités, de la configuration de la mise en réseau, de la création d’un cluster, du déploiement d’espaces de stockage direct et de la mise en réseau à définition logicielle. Pour plus d’informations, consultez Gérer une infrastructure hyper-convergée à l’aide de Windows Admin Center.

    Notes

    Vous pouvez utiliser Windows Admin Center pour gérer Microsoft Hyper-V Server 2016 ou Microsoft Hyper-V Server 2019 (le produit de virtualisation Microsoft gratuit).

  • L’outil Services hybrides Azure de Windows Admin Center fournit un emplacement centralisé pour tous les services Azure intégrés. Vous pouvez utiliser les services hybrides Azure pour protéger les machines virtuelles dans Azure et localement avec une sauvegarde informatique et une récupération d’urgence. Vous pouvez également étendre la capacité locale avec le stockage et le calcul dans Azure, et vous pouvez simplifier la connectivité réseau à Azure. À l’aide des services de gestion Azure, vous pouvez centraliser la surveillance, la gouvernance, la configuration et la sécurité de vos applications, de votre réseau et de votre infrastructure.

Windows Admin Center provides a centralized location of all the integrated Azure services. You can use the Azure hybrid services tool to manage the hybrid features of VMs in Azure and on-premises.

Conseil

Pour plus d’informations sur l’intégration à Azure, consultez Connexion de Windows Server aux services hybrides Azure.

Important

L’application Microsoft Entra nécessite l’intégration d’Azure dans Windows Admin Center.

DevOps

  • Windows Admin Center a été conçu de façon à être extensible afin que Microsoft et d’autres développeurs puissent créer des outils et des solutions au-delà des offres actuelles. Windows Admin Center fournit une plateforme extensible dans laquelle chaque type de connexion et chaque outil est une extension que vous pouvez installer, désinstaller et mettre à jour individuellement. Microsoft propose un Kit de développement logiciel (SDK) qui permet aux développeurs de créer leurs propres outils pour Windows Admin Center.
  • Vous pouvez créer des extensions de Windows Admin Center à l’aide des technologies web modernes, notamment HTML5, CSS, Angular, TypeScript et jQuery, pour gérer les serveurs cibles via Windows PowerShell ou Windows Management Instrumentation. Vous pouvez également gérer les serveurs, services et appareils cibles sur différents protocoles, tels que Representational State Transfer (REST), en créant un plug-in de passerelle Windows Admin Center.

    Conseil

    Pour plus d’informations sur l’utilisation du Kit de développement logiciel (SDK) afin de développer des extensions pour Windows Admin Center, consultez Extensions pour Windows Admin Center.

Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Auteur principal :

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes

En savoir plus sur Azure Automation :