Intégrer des domaines Active Directory locaux avec Azure Active DirectoryIntegrate on-premises Active Directory domains with Azure Active Directory

Azure Active Directory (Azure AD) est un service d'annuaire et d'identité mutualisé basé sur le cloud.Azure Active Directory (Azure AD) is a cloud-based multi-tenant directory and identity service. Cette architecture de référence présente les meilleures pratiques pour l’intégration des domaines Active Directory locaux avec Azure AD afin de fournir une authentification d’identité basée sur le cloud.This reference architecture shows best practices for integrating on-premises Active Directory domains with Azure AD to provide cloud-based identity authentication. Déployez cette solution.Deploy this solution.

Architecture d’identités cloud utilisant Azure Active Directory

Téléchargez un fichier Visio de cette architecture.Download a Visio file of this architecture.

Notes

Pour plus de simplicité, ce diagramme illustre uniquement les connexions directement liées à Azure AD. Il ne montre pas le trafic associé aux protocoles qui peut être observé dans le cadre de l’authentification et de la fédération des identités.For simplicity, this diagram only shows the connections directly related to Azure AD, and not protocol-related traffic that may occur as part of authentication and identity federation. Par exemple, une application web peut rediriger le navigateur web pour authentifier la requête via Azure AD.For example, a web application may redirect the web browser to authenticate the request through Azure AD. Une fois authentifiée, la requête peut être retransmise à l’application web avec les informations d’identité appropriées.Once authenticated, the request can be passed back to the web application, with the appropriate identity information.

Les utilisations courantes de cette architecture de référence incluent :Typical uses for this reference architecture include:

  • Les applications web déployées dans Azure qui fournissent un accès aux utilisateurs distants qui appartiennent à votre organisation.Web applications deployed in Azure that provide access to remote users who belong to your organization.
  • L’implémentation de fonctionnalités en libre-service pour les utilisateurs finals, telles que la réinitialisation de mot de passe, et la délégation de la gestion des groupes.Implementing self-service capabilities for end-users, such as resetting their passwords, and delegating group management. L'édition Azure AD Premium est requise.This requires Azure AD Premium edition.
  • Les architectures dans lesquelles le réseau local et le réseau virtuel Azure de l’application ne sont pas connectés à l’aide d’un tunnel VPN ou d’un circuit ExpressRoute.Architectures in which the on-premises network and the application's Azure VNet are not connected using a VPN tunnel or ExpressRoute circuit.

Notes

Azure AD peut authentifier l'identité des utilisateurs et des applications qui existent dans l'annuaire d'une organisation.Azure AD can authenticate the identity of users and applications that exist in an organization's directory. Un certain nombre d’applications et de services, tels que SQL Server, peuvent nécessiter l’authentification de l’ordinateur, auquel cas cette solution n’est pas adaptée.Some applications and services, such as SQL Server, may require computer authentication, in which case this solution is not appropriate.

Pour plus d'informations, consultez Choisir une solution pour intégrer l'environnement Active Directory local à Azure.For additional considerations, see Choose a solution for integrating on-premises Active Directory with Azure.

ArchitectureArchitecture

L’architecture possède les composants suivants :The architecture has the following components.

  • Locataire Azure AD.Azure AD tenant. Instance d'Azure AD créée par votre organisation.An instance of Azure AD created by your organization. Il joue le rôle de service d’annuaire pour les applications cloud en stockant les objets copiés à partir de l’annuaire Active Directory local et fournit des services d’identité.It acts as a directory service for cloud applications by storing objects copied from the on-premises Active Directory and provides identity services.

  • Sous-réseau de couche Web.Web tier subnet. Ce sous-réseau accueille les machines virtuelles qui exécutent une application web.This subnet holds VMs that run a web application. Azure AD peut jouer le rôle de service Broker pour les identités pour cette application.Azure AD can act as an identity broker for this application.

  • Serveur AD DS local.On-premises AD DS server. Service d'annuaire et d'identité local.An on-premises directory and identity service. L'annuaire AD DS peut être synchronisé avec Azure AD pour lui permettre d'authentifier les utilisateurs locaux.The AD DS directory can be synchronized with Azure AD to enable it to authenticate on-premises users.

  • Serveur de synchronisation Azure AD Connect.Azure AD Connect sync server. Ordinateur local qui exécute le service de synchronisation Azure AD Connect.An on-premises computer that runs the Azure AD Connect sync service. Ce service synchronise les informations stockées dans l’annuaire Active Directory local avec Azure AD.This service synchronizes information held in the on-premises Active Directory to Azure AD. Par exemple, si vous approvisionnez ou déprovisionnez des groupes et des utilisateurs localement, ces modifications se propagent à Azure AD.For example, if you provision or deprovision groups and users on-premises, these changes propagate to Azure AD.

    Notes

    Pour des raisons de sécurité, Azure AD stocke le mot de passe des utilisateurs sous forme de hachage.For security reasons, Azure AD stores user's passwords as a hash. Si un utilisateur requiert une réinitialisation de mot de passe, celle-ci doit être réalisée localement et le nouveau hachage doit être envoyé à Azure AD.If a user requires a password reset, this must be performed on-premises and the new hash must be sent to Azure AD. Les éditions Azure AD Premium incluent des fonctionnalités qui peuvent automatiser cette tâche pour permettre aux utilisateurs de réinitialiser eux-mêmes leur mot de passe.Azure AD Premium editions include features that can automate this task to enable users to reset their own passwords.

  • Machines virtuelles pour une application multiniveau.VMs for N-tier application. Le déploiement inclut l’infrastructure requise pour une application multiniveau.The deployment includes infrastructure for an N-tier application. Pour plus d'informations sur ces ressources, consultez Exécuter des machines virtuelles pour une architecture multiniveau.For more information about these resources, see Run VMs for an N-tier architecture.

RecommandationsRecommendations

Les recommandations suivantes s’appliquent à la plupart des scénarios.The following recommendations apply for most scenarios. Suivez ces recommandations, sauf si vous avez un besoin spécifique qui vous oblige à les ignorer.Follow these recommendations unless you have a specific requirement that overrides them.

Service de synchronisation Azure AD ConnectAzure AD Connect sync service

Le service de synchronisation Azure AD Connect garantit que les informations d’identité stockées dans le cloud sont identiques à celles stockées localement.The Azure AD Connect sync service ensures that identity information stored in the cloud is consistent with that held on-premises. Ce service peut être installé à l’aide du logiciel Azure AD Connect.You install this service using the Azure AD Connect software.

Avant d’implémenter la synchronisation Azure AD Connect, déterminez les exigences de synchronisation de votre organisation,Before implementing Azure AD Connect sync, determine the synchronization requirements of your organization. telles que les éléments à synchroniser, les domaines à partir desquels effectuer une synchronisation et la fréquence requise.For example, what to synchronize, from which domains, and how frequently. Pour plus d'informations, consultez Déterminer les exigences de synchronisation d'annuaires.For more information, see Determine directory synchronization requirements.

Vous pouvez exécuter le service de synchronisation Azure AD Connect sur une machine virtuelle ou un ordinateur hébergé localement.You can run the Azure AD Connect sync service on a VM or a computer hosted on-premises. Selon la volatilité des informations stockées dans votre annuaire Active directory, la charge sur le service de synchronisation Azure AD Connect a peu de chances d’être élevée après la synchronisation initiale avec Azure AD.Depending on the volatility of the information in your Active Directory directory, the load on the Azure AD Connect sync service is unlikely to be high after the initial synchronization with Azure AD. L’exécution du service sur une machine virtuelle permet de mettre à l’échelle le serveur plus facilement si nécessaire.Running the service on a VM makes it easier to scale the server if needed. Surveillez l’activité sur la machine virtuelle comme expliqué dans la section Surveillance pour déterminer si une mise à l’échelle est nécessaire.Monitor the activity on the VM as described in the Monitoring considerations section to determine whether scaling is necessary.

Si vous avez plusieurs domaines locaux dans une forêt, nous vous recommandons de stocker et de synchroniser les informations de l’ensemble de la forêt dans un locataire Azure AD unique.If you have multiple on-premises domains in a forest, we recommend storing and synchronizing information for the entire forest to a single Azure AD tenant. Filtrez les informations d’identités que l’on retrouve dans plusieurs domaines afin que chaque identité apparaisse une seule fois dans Azure AD au lieu d’être dupliquée.Filter information for identities that occur in more than one domain, so that each identity appears only once in Azure AD, rather than being duplicated. La duplication peut entraîner des incohérences lors de la synchronisation des données.Duplication can lead to inconsistencies when data is synchronized. Pour plus d’informations, consultez la section Recommandations en matière de topologie ci-dessous.For more information, see the Topology section below.

Utilisez le filtrage afin de stocker uniquement les données nécessaires dans Azure AD.Use filtering so that only necessary data is stored in Azure AD. Par exemple, votre organisation ne souhaite peut-être pas que les informations sur les comptes inactifs soient stockées dans Azure AD.For example, your organization might not want to store information about inactive accounts in Azure AD. Le filtrage peut être effectué par groupe, par domaine, par unité d’organisation ou par attribut.Filtering can be group-based, domain-based, organization unit (OU)-based, or attribute-based. Vous pouvez combiner des filtres pour créer des règles plus complexes.You can combine filters to generate more complex rules. Par exemple, vous pouvez synchroniser les objets stockés dans un domaine qui présentent une valeur d’attribut spécifique.For example, you could synchronize objects held in a domain that have a specific value in a selected attribute. Pour plus d’informations, consultez Azure AD Connect Sync : Configurer le filtrage.For detailed information, see Azure AD Connect sync: Configure Filtering.

Pour implémenter la haute disponibilité pour le service de synchronisation AD Connect, exécutez un serveur de préproduction secondaire.To implement high availability for the AD Connect sync service, run a secondary staging server. Pour plus d’informations, consultez la section Recommandations en matière de topologie.For more information, see the Topology recommendations section.

Recommandations de sécuritéSecurity recommendations

Gestion des mots de passe utilisateur.User password management. Les éditions Azure AD Premium prennent en charge la réécriture de mot de passe, permettant à vos utilisateurs locaux d’effectuer des réinitialisations de mot de passe en libre-service à partir du portail Azure.The Azure AD Premium editions support password writeback, enabling your on-premises users to perform self-service password resets from within the Azure portal. Cette fonctionnalité ne doit être activée qu'après avoir revu la stratégie de sécurité des mots de passe de votre organisation.This feature should be enabled only after reviewing your organization's password security policy. Par exemple, vous pouvez choisir d’autoriser seulement certains utilisateurs à modifier leur mot de passe et personnaliser l’expérience de gestion des mots de passe.For example, you can restrict which users can change their passwords, and you can tailor the password management experience. Pour plus d'informations, consultez Personnalisation de la gestion des mots de passe en fonction des besoins de votre organisation.For more information, see Customizing Password Management to fit your organization's needs.

Protéger les applications locales qui sont accessibles aux utilisateurs externes.Protect on-premises applications that can be accessed externally. Utilisez le proxy d’application Azure AD afin de mettre en œuvre un accès contrôlé aux applications web locales pour les utilisateurs externes via Azure AD.Use the Azure AD Application Proxy to provide controlled access to on-premises web applications for external users through Azure AD. Seuls les utilisateurs qui possèdent des informations d’identification valides dans votre annuaire Azure sont autorisés à utiliser l’application.Only users that have valid credentials in your Azure directory have permission to use the application. Pour plus d'informations, consultez Activer le proxy d'application sur le portail Azure.For more information, see the article Enable Application Proxy in the Azure portal.

Surveillez activement Azure AD pour détecter tout signe d’activité suspecte.Actively monitor Azure AD for signs of suspicious activity. Il peut être judicieux d’utiliser l’édition Azure AD Premium P2, qui inclut Azure AD Identity Protection.Consider using Azure AD Premium P2 edition, which includes Azure AD Identity Protection. Identity Protection s’appuie sur des algorithmes d’apprentissage automatique adaptatif et des règles heuristiques pour détecter les anomalies et les événements à risque susceptibles d’indiquer qu’une identité a été compromise.Identity Protection uses adaptive machine learning algorithms and heuristics to detect anomalies and risk events that may indicate that an identity has been compromised. Par exemple, ce service peut détecter les activités inhabituelles telles que les activités de connexion anormales, les connexions à partir de sources inconnues ou d’adresses IP présentant une activité suspecte, ou encore les connexions à partir d’appareils susceptibles d’être infectés.For example, it can detect potentially unusual activity such as irregular sign-in activities, sign-ins from unknown sources or from IP addresses with suspicious activity, or sign-ins from devices that may be infected. À l’aide de ces données, Identity Protection génère des rapports et des alertes qui vous permettent d’analyser ces événements à risque et de prendre les mesures qui s’imposent.Using this data, Identity Protection generates reports and alerts that enables you to investigate these risk events and take appropriate action. Pour plus d’informations, consultez Azure Active Directory Identity Protection.For more information, see Azure Active Directory Identity Protection.

Vous pouvez utiliser la fonctionnalité de création de rapports d’Azure AD dans le portail Azure pour surveiller les activités liées à la sécurité qui se produisent dans votre système.You can use the reporting feature of Azure AD in the Azure portal to monitor security-related activities occurring in your system. Pour plus d'informations sur l'utilisation de ces rapports, consultez le guide Création de rapports Active Directory.For more information about using these reports, see Azure Active Directory Reporting Guide.

Recommandations en matière de topologieTopology recommendations

Configurez Azure AD Connect de manière à implémenter une topologie correspondant le mieux aux exigences de votre organisation.Configure Azure AD Connect to implement a topology that most closely matches the requirements of your organization. Azure AD Connect prend notamment en charge les topologies suivantes :Topologies that Azure AD Connect supports include:

  • Une seule forêt, un seul annuaire Azure AD.Single forest, single Azure AD directory. Dans cette topologie, Azure AD Connect synchronise les objets et les informations d’identité à partir d’un ou plusieurs domaines d’une forêt locale unique dans un locataire Azure AD unique.In this topology, Azure AD Connect synchronizes objects and identity information from one or more domains in a single on-premises forest into a single Azure AD tenant. Il s’agit de la topologie par défaut implémentée par l’installation rapide d’Azure AD Connect.This is the default topology implemented by the express installation of Azure AD Connect.

    Notes

    N’utilisez pas plusieurs serveurs de synchronisation Azure AD Connect pour connecter des domaines différents de la même forêt locale au même locataire Azure AD, sauf si vous exécutez un serveur en mode de préproduction, comme décrit ci-dessous.Don't use multiple Azure AD Connect sync servers to connect different domains in the same on-premises forest to the same Azure AD tenant, unless you are running a server in staging mode, described below.

  • Plusieurs forêts, un seul annuaire Azure AD.Multiple forests, single Azure AD directory. Dans cette topologie, Azure AD Connect synchronise les objets et les informations d’identité de plusieurs forêts dans un locataire Azure AD unique.In this topology, Azure AD Connect synchronizes objects and identity information from multiple forests into a single Azure AD tenant. Utilisez cette topologie si votre organisation possède plusieurs forêts locales.Use this topology if your organization has more than one on-premises forest. Vous pouvez consolider les informations d’identité afin que chaque utilisateur unique soit représenté une seule fois dans l’annuaire Azure AD, même si le même utilisateur existe dans plusieurs forêts.You can consolidate identity information so that each unique user is represented once in the Azure AD directory, even if the same user exists in more than one forest. Toutes les forêts utilisent le même serveur de synchronisation Azure AD Connect.All forests use the same Azure AD Connect sync server. Le serveur de synchronisation Azure AD Connect ne doit pas nécessairement faire partie d’un domaine, mais il doit être accessible à partir de toutes les forêts.The Azure AD Connect sync server does not have to be part of any domain, but it must be reachable from all forests.

    Notes

    Dans cette topologie, n’utilisez pas de serveurs de synchronisation Azure AD Connect distincts pour connecter chaque forêt locale à un locataire Azure AD unique.In this topology, don't use separate Azure AD Connect sync servers to connect each on-premises forest to a single Azure AD tenant. En effet, cela peut donner lieu à des informations d’identité dupliquées dans Azure AD si des utilisateurs sont présents dans plusieurs forêts.This can result in duplicated identity information in Azure AD if users are present in more than one forest.

  • Plusieurs forêts, topologies distinctes.Multiple forests, separate topologies. Cette topologie fusionne les informations d’identité de différentes forêts dans un locataire Azure AD unique, traitant toutes les forêts comme des entités distinctes.This topology merges identity information from separate forests into a single Azure AD tenant, treating all forests as separate entities. Cette topologie est utile si vous combinez des forêts de différentes organisations et que les informations d’identité de chaque utilisateur sont stockées dans une seule forêt.This topology is useful if you are combining forests from different organizations and the identity information for each user is held in only one forest.

    Notes

    Si les listes d’adresses globale de chaque forêt sont synchronisées, un utilisateur d’une forêt peut être présent dans une autre en tant que contact.If the global address lists (GAL) in each forest are synchronized, a user in one forest may be present in another as a contact. Cela peut se produire si votre organisation a implémenté GALSync avec Forefront Identity manager 2010 ou Microsoft Identity Manager 2016.This can occur if your organization has implemented GALSync with Forefront Identity manager 2010 or Microsoft Identity Manager 2016. Dans ce scénario, vous pouvez spécifier que les utilisateurs doivent être identifiés par leur attribut Mail.In this scenario, you can specify that users should be identified by their Mail attribute. Vous pouvez également effectuer l’identification à l’aide des attributs ObjectSID et msExchMasterAccountSID.You can also match identities using the ObjectSID and msExchMasterAccountSID attributes. Ce mode d’identification s’avère utilise si une ou plusieurs forêts comportent des comptes désactivés.This is useful if you have one or more resource forests with disabled accounts.

  • Serveur de préproduction.Staging server. Dans cette configuration, vous exécutez une deuxième instance du serveur de synchronisation Azure AD Connect parallèlement à la première instance.In this configuration, you run a second instance of the Azure AD Connect sync server in parallel with the first. Cette structure prend en charge des scénarios tels que :This structure supports scenarios such as:

    • Haute disponibilité :High availability.

    • Le test et le déploiement d’une nouvelle configuration du serveur de synchronisation Azure AD Connect.Testing and deploying a new configuration of the Azure AD Connect sync server.

    • La mise en place d’un nouveau serveur et la désaffectation d’une ancienne configuration.Introducing a new server and decommissioning an old configuration.

      Dans ces scénarios, la deuxième instance s’exécute en mode de préproduction.In these scenarios, the second instance runs in staging mode. Le serveur enregistre les objets importés et les données de synchronisation dans sa base de données, mais ne transmet pas les données à Azure AD.The server records imported objects and synchronization data in its database, but does not pass the data to Azure AD. Si vous désactivez le mode de préproduction, le serveur commence à écrire les données dans Azure AD, ainsi qu’à réécrire les mots de passe dans les annuaires locaux si nécessaire.If you disable staging mode, the server starts writing data to Azure AD, and also starts performing password write-backs into the on-premises directories where appropriate. Pour plus d’informations, consultez Azure Connect AD sync : tâches opérationnelles et examen.For more information, see Azure AD Connect sync: Operational tasks and considerations.

  • Plusieurs annuaires Azure AD.Multiple Azure AD directories. Il est recommandé de créer un annuaire Azure AD unique pour une organisation, mais il peut arriver que vous ayez besoin de partitionner les informations dans des annuaires Azure AD distincts.It is recommended that you create a single Azure AD directory for an organization, but there may be situations where you need to partition information across separate Azure AD directories. Dans ce cas, vous pouvez prévenir les problèmes de synchronisation et de réécriture de mots de passe en vous assurant que chaque objet de la forêt locale apparaît dans un seul annuaire Azure AD.In this case, avoid synchronization and password write-back issues by ensuring that each object from the on-premises forest appears in only one Azure AD directory. Pour implémenter ce scénario, configurez des serveurs de synchronisation Azure AD Connect distincts pour chaque annuaire Azure AD et utilisez le filtrage afin que chaque serveur de synchronisation Azure AD Connect opère sur un ensemble d’objets mutuellement exclusifs.To implement this scenario, configure separate Azure AD Connect sync servers for each Azure AD directory, and use filtering so that each Azure AD Connect sync server operates on a mutually exclusive set of objects.

Pour plus d'informations sur ces topologies, consultez Topologies relatives à Azure AD Connect.For more information about these topologies, see Topologies for Azure AD Connect.

Authentification utilisateurUser authentication

Par défaut, le serveur de synchronisation Azure AD Connect configure la synchronisation de mot de passe entre le domaine local et Azure AD, et le service Azure AD suppose que les utilisateurs s’authentifient en fournissant le même mot de passe que celui utilisé localement.By default, the Azure AD Connect sync server configures password hash synchronization between the on-premises domain and Azure AD, and the Azure AD service assumes that users authenticate by providing the same password that they use on-premises. Cela est adapté à de nombreuses organisations, mais vous devez prendre en considération les stratégies et l’infrastructure existantes de votre organisation.For many organizations, this is appropriate, but you should consider your organization's existing policies and infrastructure. Par exemple :For example:

  • Il se peut que la stratégie de sécurité de votre organisation empêche la synchronisation des hachages de mot de passe avec le cloud.The security policy of your organization may prohibit synchronizing password hashes to the cloud. Dans ce cas, votre organisation doit envisager d'utiliser l'authentification directe.In this case, your organization should consider pass-through authentication.
  • Vous pouvez avoir besoin que les utilisateurs bénéficient d’une authentification unique (SSO) transparente quand ils accèdent aux ressources cloud à partir de machines jointes au domaine sur le réseau d’entreprise.You might require that users experience seamless single sign-on (SSO) when accessing cloud resources from domain-joined machines on the corporate network.
  • Votre organisation a peut-être déjà déployé des services de fédération Active Directory (AD FS) ou un fournisseur de fédération tiers.Your organization might already have Active Directory Federation Services (AD FS) or a third-party federation provider deployed. Vous pouvez configurer Azure AD de manière à utiliser cette infrastructure pour implémenter l’authentification et l’authentification SSO plutôt que de faire appel aux informations de mot de passe stockées dans le cloud.You can configure Azure AD to use this infrastructure to implement authentication and SSO rather than by using password information held in the cloud.

Pour plus d'informations, consultez Options de connexion de l'utilisateur via Azure AD Connect.For more information, see Azure AD Connect User Sign-on options.

Proxy d’application Azure ADAzure AD application proxy

Utilisez Azure AD pour fournir l’accès aux applications locales.Use Azure AD to provide access to on-premises applications.

Exposez vos applications web locales à l’aide de connecteurs de proxy d’application gérés par le composant de proxy d’application Azure AD.Expose your on-premises web applications using application proxy connectors managed by the Azure AD application proxy component. Le connecteur de proxy d’application ouvre une connexion réseau sortante avec le proxy d’application Azure AD, et les requêtes des utilisateurs distants sont réacheminées d’Azure AD vers les applications web via cette connexion.The application proxy connector opens an outbound network connection to the Azure AD application proxy, and remote users' requests are routed back from Azure AD through this connection to the web apps. Cela évite d’avoir à ouvrir des ports entrants sur le pare-feu local et réduit la surface d’attaque exposée par votre organisation.This removes the need to open inbound ports in the on-premises firewall and reduces the attack surface exposed by your organization.

Pour plus d'informations, consultez Publier des applications à l'aide du proxy d'application Azure AD.For more information, see Publish applications using Azure AD Application proxy.

Synchronisation d’objetsObject synchronization

La configuration par défaut d'Azure AD Connect synchronise les objets de votre annuaire Active Directory local selon les règles exposées dans l'article Azure AD Connect Sync : présentation de la configuration par défaut.The default configuration for Azure AD Connect synchronizes objects from your local Active Directory directory based on the rules specified in the article Azure AD Connect sync: Understanding the default configuration. Les objets qui répondent à ces règles sont synchronisés, tandis que tous les autres objets sont ignorés.Objects that satisfy these rules are synchronized while all other objects are ignored. Quelques exemples de règles :Some example rules:

  • Les objets utilisateur doivent présenter un attribut sourceAnchor unique et l’attribut accountEnabled doit être renseigné.User objects must have a unique sourceAnchor attribute and the accountEnabled attribute must be populated.
  • Les objets utilisateur doivent présenter un attribut sAMAccountName et ne peuvent pas commencer par le texte Azure AD_ ou MSOL_ .User objects must have a sAMAccountName attribute and cannot start with the text Azure AD_ or MSOL_.

Azure AD Connect applique plusieurs règles aux objets utilisateur, contact, groupe, ForeignSecurityPrincipal et ordinateur.Azure AD Connect applies several rules to User, Contact, Group, ForeignSecurityPrincipal, and Computer objects. Si vous avez besoin de modifier l’ensemble de règles par défaut, utilisez l’Éditeur de règles de synchronisation installé avec Azure AD Connect.Use the Synchronization Rules Editor installed with Azure AD Connect if you need to modify the default set of rules. Pour plus d’informations, consultez Azure Connect AD sync : présentation de la configuration par défaut.For more information, see Azure AD Connect sync: Understanding the default configuration).

Vous pouvez également définir vos propres filtres pour limiter les objets à synchroniser par domaine ou unité d’organisation.You can also define your own filters to limit the objects to be synchronized by domain or OU. Vous pouvez également implémenter un filtrage personnalisé plus complexe, tel que celui décrit dans Azure AD Connect Sync : Configurer le filtrage.Alternatively, you can implement more complex custom filtering such as that described in Azure AD Connect sync: Configure Filtering.

SurveillanceMonitoring

La surveillance de l’intégrité est effectuée par les agents suivants installés localement :Health monitoring is performed by the following agents installed on-premises:

  • Azure AD Connect installe un agent qui enregistre les informations sur les opérations de synchronisation.Azure AD Connect installs an agent that captures information about synchronization operations. Utilisez le panneau Azure AD Connect Health dans le portail Azure pour surveiller l’intégrité et les performances du service.Use the Azure AD Connect Health blade in the Azure portal to monitor its health and performance. Pour plus d'informations, consultez Utilisation d'Azure AD Connect Health pour la synchronisation.For more information, see Using Azure AD Connect Health for sync.
  • Pour surveiller l’intégrité des domaines et des annuaires AD DS à partir d’Azure, installez l’agent Azure AD Connect Health pour AD DS sur une machine se trouvant dans le domaine local.To monitor the health of the AD DS domains and directories from Azure, install the Azure AD Connect Health for AD DS agent on a machine within the on-premises domain. Utilisez le panneau Azure Active Directory Connect Health dans le portail Azure pour la surveillance de l’intégrité.Use the Azure Active Directory Connect Health blade in the Azure portal for health monitoring. Pour plus d'informations, consultez Utilisation d'Azure AD Connect Health avec AD DS.For more information, see Using Azure AD Connect Health with AD DS
  • Installez l’agent Azure AD Connect Health pour AD FS pour surveiller l’intégrité des services exécutés localement, et utilisez le panneau Azure Active Directory Connect Health dans le portail Azure pour surveiller AD FS.Install the Azure AD Connect Health for AD FS agent to monitor the health of services running on on-premises, and use the Azure Active Directory Connect Health blade in the Azure portal to monitor AD FS. Pour plus d'informations, consultez Utilisation d'Azure AD Connect Health avec AD FS.For more information, see Using Azure AD Connect Health with AD FS

Pour plus d'informations sur l'installation des agents AD Connect Health et sur les exigences liées à ceux-ci, consultez Installation des agents Azure AD Connect Health.For more information on installing the AD Connect Health agents and their requirements, see Azure AD Connect Health Agent Installation.

Considérations relatives à l’extensibilitéScalability considerations

Le service Azure AD prend en charge l’extensibilité en s’appuyant sur des réplicas, avec un réplica principal unique qui gère les opérations d’écriture et plusieurs réplicas secondaires en lecture seule.The Azure AD service supports scalability based on replicas, with a single primary replica that handles write operations plus multiple read-only secondary replicas. Azure AD redirige de manière transparente les tentatives d’écriture sur les réplicas secondaires vers le réplica principal et fournit une cohérence éventuelle.Azure AD transparently redirects attempted writes made against secondary replicas to the primary replica and provides eventual consistency. Toutes les modifications apportées au réplica principal sont propagées aux réplicas secondaires.All changes made to the primary replica are propagated to the secondary replicas. Cette architecture offre une bonne extensibilité, car la plupart des opérations exécutées sur Azure AD sont des lectures plutôt que des écritures.This architecture scales well because most operations against Azure AD are reads rather than writes. Pour plus d’informations, consultez Azure AD : mécanique interne de notre annuaire cloud distribué géoredondant et hautement disponible.For more information, see Azure AD: Under the hood of our geo-redundant, highly available, distributed cloud directory.

Pour le serveur de synchronisation Azure AD Connect, déterminez le nombre d’objets de votre annuaire local que vous êtes susceptible de synchroniser.For the Azure AD Connect sync server, determine how many objects you are likely to synchronize from your local directory. Si vous avez moins de 100 000 objets, vous pouvez utiliser le logiciel Base de données locale SQL Server Express par défaut fourni avec Azure AD Connect.If you have less than 100,000 objects, you can use the default SQL Server Express LocalDB software provided with Azure AD Connect. Si ce nombre est supérieur, vous devez installer une version de production de SQL Server et effectuer une installation personnalisée d’Azure AD Connect, en spécifiant qu’il doit utiliser une instance existante de SQL Server.If you have a larger number of objects, you should install a production version of SQL Server and perform a custom installation of Azure AD Connect, specifying that it should use an existing instance of SQL Server.

Considérations relatives à la disponibilitéAvailability considerations

Le service Azure AD est géodistribué et s'exécute dans plusieurs centres de données disséminés à travers le monde avec basculement automatisé.The Azure AD service is geo-distributed and runs in multiple datacenters spread around the world with automated failover. Si un centre de données devient indisponible, Azure AD vous donne l'assurance que vos données d'annuaire sont accessibles instantanément dans au moins deux autres centres de données.If a datacenter becomes unavailable, Azure AD ensures that your directory data is available for instance access in at least two more regionally dispersed datacenters.

Notes

Le contrat de niveau de service (SLA) pour les services de niveau AD et Premium des applications Office 365 garantit une disponibilité de 99,9 % minimum.The service level agreement (SLA) for the Office 365 Apps AD tier and Premium services guarantees at least 99.9% availability. Le niveau Gratuit d’Azure AD n’est assorti d’aucun contrat SLA.There is no SLA for the Free tier of Azure AD. Pour plus d'informations, consultez SLA d'Azure Active Directory.For more information, see SLA for Azure Active Directory.

Envisagez de provisionner une deuxième instance du serveur de synchronisation Azure AD Connect en mode de préproduction afin d’accroître la disponibilité, comme indiqué dans la section Recommandations en matière de topologie.Consider provisioning a second instance of Azure AD Connect sync server in staging mode to increase availability, as discussed in the topology recommendations section.

Si vous n’utilisez pas l’instance de Base de données locale SQL Server Express fournie avec Azure AD Connect, envisagez d’utiliser le clustering SQL pour bénéficier d’une haute disponibilité.If you are not using the SQL Server Express LocalDB instance that comes with Azure AD Connect, consider using SQL clustering to achieve high availability. Des solutions telles que la mise en miroir et Always On ne sont pas prises en charge par Azure AD Connect.Solutions such as mirroring and Always On are not supported by Azure AD Connect.

Pour plus d’informations sur la marche à suivre pour bénéficier de la haute disponibilité du serveur de synchronisation Azure AD Connect et sur la récupération après une défaillance, consultez Azure Connect AD sync : tâches opérationnelles et examen - Récupération d'urgence.For additional considerations about achieving high availability of the Azure AD Connect sync server and also how to recover after a failure, see Azure AD Connect sync: Operational tasks and considerations - Disaster Recovery.

Considérations relatives à la facilité de gestionManageability considerations

La gestion d’Azure AD comprend deux aspects :There are two aspects to managing Azure AD:

  • L’administration d’Azure AD dans le cloud.Administering Azure AD in the cloud.
  • La gestion des serveurs de synchronisation Azure AD Connect.Maintaining the Azure AD Connect sync servers.

Azure AD offre les options suivantes pour la gestion des domaines et des annuaires dans le cloud :Azure AD provides the following options for managing domains and directories in the cloud:

  • Module Azure Active Directory PowerShell.Azure Active Directory PowerShell Module. Utilisez ce module si vous avez besoin de créer des scripts pour des tâches d'administration Azure AD courantes telles que la gestion des utilisateurs, la gestion des domaines et la configuration de l'authentification unique.Use this module if you need to script common Azure AD administrative tasks such as user management, domain management, and configuring single sign-on.
  • Panneau de gestion Azure AD dans le portail Azure.Azure AD management blade in the Azure portal. Ce panneau fournit une vue de gestion interactive de l’annuaire et vous permet de contrôler et de configurer la plupart des aspects d’Azure AD.This blade provides an interactive management view of the directory, and enables you to control and configure most aspects of Azure AD.

Azure AD Connect installe les outils suivants pour gérer les services de synchronisation Azure AD Connect à partir de vos machines locales :Azure AD Connect installs the following tools to maintain Azure AD Connect sync services from your on-premises machines:

  • Console Microsoft Azure Active Directory Connect.Microsoft Azure Active Directory Connect console. Cet outil permet de modifier la configuration du serveur Azure AD Sync, de personnaliser la méthode de synchronisation, d’activer ou de désactiver le mode de préproduction et de changer de mode de connexion utilisateur.This tool enables you to modify the configuration of the Azure AD Sync server, customize how synchronization occurs, enable or disable staging mode, and switch the user sign-in mode. Vous pouvez activer la connexion Active Directory FS à l'aide de votre infrastructure locale.You can enable Active Directory FS sign-in using your on-premises infrastructure.
  • Synchronization Service Manager.Synchronization Service Manager. Utilisez l’onglet Opérations de cet outil pour gérer le processus de synchronisation et détecter si certaines parties du processus ont échoué.Use the Operations tab in this tool to manage the synchronization process and detect whether any parts of the process have failed. Vous pouvez déclencher des synchronisations manuellement à l’aide de cet outil.You can trigger synchronizations manually using this tool. L’onglet Connecteurs permet de contrôler les connexions pour les domaines auxquels le moteur de synchronisation est joint.The Connectors tab enables you to control the connections for the domains that the synchronization engine is attached to.
  • Éditeur de règles de synchronisation.Synchronization Rules Editor. Utilisez cet outil pour personnaliser la façon dont les objets sont transformés quand ils sont copiés entre un annuaire local et Azure AD.Use this tool to customize the way objects are transformed when they are copied between an on-premises directory and Azure AD. Cet outil permet de spécifier des attributs et des objets supplémentaires pour la synchronisation, puis exécute des filtres pour déterminer quels objets doivent ou ne doivent pas être synchronisés.This tool enables you to specify additional attributes and objects for synchronization, then executes filters to determine which objects should or should not be synchronized. Pour plus d’informations, consultez la section Éditeur de règles de synchronisation de l’article Azure AD Connect Sync : présentation de la configuration par défaut.For more information, see the Synchronization Rule Editor section in the document Azure AD Connect sync: Understanding the default configuration.

Pour plus d’informations et des conseils sur la gestion d’Azure AD Connect, consultez Azure AD Connect Sync : bonnes pratiques pour changer la configuration par défaut.For more information and tips for managing Azure AD Connect, see Azure AD Connect sync: Best practices for changing the default configuration.

Considérations relatives à la sécuritéSecurity considerations

Utilisez le contrôle d’accès conditionnel pour refuser les requêtes d’authentification provenant de sources inconnues :Use conditional access control to deny authentication requests from unexpected sources:

  • Déclenchez le service Azure Multi-Factor Authentication (MFA) si un utilisateur tente de se connecter à partir d'un emplacement non approuvé, par exemple via Internet, au lieu d'un réseau approuvé.Trigger Azure Multi-Factor Authentication (MFA) if a user attempts to connect from a untrusted location such as across the Internet instead of a trusted network.

  • Utilisez le type de plateforme d’appareil (iOS, Android, Windows Mobile, Windows) pour déterminer la stratégie d’accès aux applications et aux fonctionnalités.Use the device platform type of the user (iOS, Android, Windows Mobile, Windows) to determine access policy to applications and features.

  • Enregistrez l’état activé/désactivé des appareils des utilisateurs et incorporez cette information dans les vérifications de stratégie d’accès.Record the enabled/disabled state of users' devices, and incorporate this information into the access policy checks. Par exemple, si le téléphone d’un utilisateur a été perdu ou volé, il doit être enregistré comme étant désactivé afin qu’il ne puisse plus être utilisé pour l’accès.For example, if a user's phone is lost or stolen it should be recorded as disabled to prevent it from being used to gain access.

  • Contrôlez l’accès des utilisateurs aux ressources en fonction de l’appartenance à un groupe.Control user access to resources based on group membership. Utilisez les règles d'appartenance dynamique Azure AD pour simplifier l'administration des groupes.Use Azure AD dynamic membership rules to simplify group administration. Pour une vue d'ensemble du fonctionnement de ces règles, consultez Présentation de l'appartenance dynamique à des groupes.For a brief overview of how this works, see Introduction to Dynamic Memberships for Groups.

  • Utilisez des stratégies de risque d’accès conditionnel avec Azure AD Identity Protection pour fournir une protection avancée basée sur les activités de connexion inhabituelles ou d’autres événements.Use conditional access risk policies with Azure AD Identity Protection to provide advanced protection based on unusual sign-in activities or other events.

Pour plus d'informations, consultez Accès conditionnel Azure Active Directory.For more information, see Azure Active Directory conditional access.

Considérations relatives à DevOpsDevOps considerations

Pour en savoir plus sur DevOps, consultez DevOps : Extension d'Active Directory Domain Services (AD DS) à Azure.For DevOps considerations, see DevOps: Extending Active Directory Domain Services (AD DS) to Azure.

Considérations relatives au coûtCost considerations

Utiliser la calculatrice de prix Azure pour estimer les coûts.Use the Azure pricing calculator to estimate costs. D'autres considérations sont décrites dans la section Coûts de Microsoft Azure Well-Architected Framework.Other considerations are described in the Cost section in Microsoft Azure Well-Architected Framework.

Les considérations de coûts suivantes s'appliquent aux services utilisés dans cette architecture.Here are cost considerations for the services used in this architecture.

Azure AD ConnectAzure AD Connect

Pour plus d'informations sur les éditions proposées par Azure Active Directory, consultez Tarification d'Azure AD.For information about the editions offered by Azure Active Directory, see Azure AD pricing. La fonctionnalité de synchronisation AD Connect est disponible dans toutes les éditions.The AD Connect sync feature is available in all editions.

Machines virtuelles pour une application multiniveauVMs for N-Tier application

Le déploiement inclut l’infrastructure requise pour une application multiniveau.The deployment includes infrastructure for an N-tier application. Pour plus d'informations sur ces ressources, consultez Exécuter des machines virtuelles pour une architecture multiniveau.For cost information about these resources, Run VMs for an N-tier architecture.

Déployer la solutionDeploy the solution

Un déploiement pour une architecture de référence implémentant ces recommandations et considérations est disponible sur GitHub.A deployment for a reference architecture that implements these recommendations and considerations is available on GitHub. Cette architecture de référence déploie un réseau local simulé dans Azure, que vous pouvez utiliser pour tester et expérimenter différents scénarios.This reference architecture deploys a simulated on-premises network in Azure that you can use to test and experiment. Pour déployer la solution, consultez le fichier readme sur GitHub.To deploy the solution, see the readme on GitHub.