Nouveautés des services de domaine Active Directory (AD DS) dans Windows Server 2016

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Les nouvelles fonctionnalités suivantes de Active Directory Domain Services (AD DS) améliorent la capacité des organisations à sécuriser les environnements Active Directory et leur permettent de migrer vers les déploiements de cloud uniquement et les déploiements hybrides, où certains services et applications sont hébergés dans le cloud et d'autres en local. Les améliorations incluent :

Gestion des accès privilégiés

La gestion des accès privilégiés (PAM) permet d’atténuer les problèmes de sécurité pour les environnements Active Directory qui sont causés par des techniques de vol d’informations d’identification telles que le hachage, le hameçonnage de lance et les types d’attaques similaires. Elle fournit une nouvelle solution d’accès administratif configurée à l’aide de Microsoft Identity Manager (MIM). PAM introduit :

  • Une nouvelle forêt bastion Active Directory, approvisionnée par MIM. La forêt bastion a une relation d'approbation spéciale PAM avec une forêt existante. Elle fournit un nouvel environnement Active Directory qui est connu pour être exempt de toute activité malveillante et l’isolation d’une forêt existante pour l’utilisation de comptes privilégiés.

  • Nouveaux processus dans MIM pour demander des privilèges d’administration, ainsi que de nouveaux flux de travail en fonction de l’approbation des demandes.

  • Nouveaux principaux de sécurité d’ombre (groupes) approvisionnés dans la forêt bastion par MIM en réponse aux demandes de privilèges d’administration. Les principaux de sécurité fantôme ont un attribut qui fait référence au SID d’un groupe d’administration dans une forêt existante. Cela permet au groupe d’ombres d’accéder aux ressources dans une forêt existante sans modifier les listes de contrôle d’accès.

  • Une fonctionnalité de liaisons arrivant à expiration, qui permet l’appartenance limitée dans le temps dans un groupe d’ombres. Un utilisateur peut être ajouté au groupe pendant suffisamment de temps pour effectuer une tâche d’administration. L’appartenance limitée au temps est exprimée par une valeur de durée de vie propagée à une durée de vie de ticket Kerberos.

    Notes

    Les liens arrivant à expiration sont disponibles sur tous les attributs liés. Toutefois, la relation d’attribut lié member/memberOf entre un groupe et un utilisateur est le seul exemple où une solution complète telle que PAM est préconfigurée pour utiliser la fonctionnalité de liens arrivant à expiration.

  • Les améliorations de KDC sont intégrées aux contrôleurs de domaine Active Directory pour limiter la durée de vie des tickets Kerberos à la valeur de durée de vie la plus faible possible dans les cas où un utilisateur a plusieurs appartenances limitées dans le temps dans des groupes d’administration. Par exemple, si vous êtes ajouté à un groupe lié au temps A, lorsque vous vous connectez, la durée de vie du ticket d’octroi de ticket Kerberos est égale à la durée de vie restante dans le groupe A. Si vous êtes également membre d’un autre groupe lié au temps B, qui a une durée de vie inférieure au groupe A, la durée de vie du TGT est égale à la durée de vie restante dans le groupe B.

  • Nouvelles fonctionnalités de supervision pour vous aider à identifier facilement les personnes qui ont demandé l’accès, l’accès accordé et les activités qui ont été effectuées.

Conditions requises pour la gestion des accès privilégiés

  • Gestionnaire d'identité Microsoft

  • Niveau fonctionnel de forêt Active Directory de Windows Server 2012 R2 ou supérieur.

Azure AD Join

Azure Active Directory Join améliore les expériences d’identité pour les clients d’entreprise, commerciaux et d’EDU, avec des fonctionnalités améliorées pour les appareils professionnels et personnels.

Avantages :

  • Disponibilité des paramètres modernes sur les appareils Windows appartenant à l’entreprise. Les services Oxygen n’ont plus besoin d’un compte Microsoft personnel : ils exécutent désormais les comptes professionnels existants des utilisateurs pour garantir la conformité. Oxygen Services fonctionne sur les PC joints à un domaine Windows local, ainsi que sur les PC et appareils « joints » à votre locataire Azure AD (« domaine cloud »). Ces paramètres incluent :

    • Itinérance ou personnalisation, paramètres d’accessibilité et informations d’identification
    • Sauvegarde et restauration
    • Accès au Microsoft Store avec un compte professionnel
    • Vignettes dynamiques et notifications
  • Accéder aux ressources de l’organisation sur des appareils mobiles (téléphones, tablettes) qui ne peuvent pas être joints à un domaine Windows, qu’ils appartiennent à l’entreprise ou qu’ils soient BYOD.

  • Authentification unique pour Office 365 et d’autres applications, sites web et ressources de l’organisation.

  • Sur les appareils BYOD, ajoutez un compte professionnel (à partir d’un domaine local ou d’Azure AD) à un appareil appartenant à l’utilisateur et profitez de l’authentification unique pour les ressources professionnelles, via les applications et sur le web, de manière à garantir la conformité avec les nouvelles fonctionnalités telles que le contrôle de compte conditionnel et l’attestation d’intégrité de l’appareil.

  • L’intégration GPM vous permet d’inscrire automatiquement des appareils à votre GPM (Intune ou tiers).

  • Configurer le mode « kiosque » et les appareils partagés pour plusieurs utilisateurs de votre organisation.

  • L’expérience des développeurs vous permet de créer des applications qui s’adressent aux contextes d’entreprise et personnels avec une pile de programmation partagée.

  • L’option d’acquisition d’images vous permet de choisir entre la création d’images et permettre à vos utilisateurs de configurer des appareils appartenant à l’entreprise directement pendant l’expérience de première exécution.

Pour plus d’informations, consultez Présentation de la gestion des appareils dans Azure Active Directory.

Windows Hello Entreprise

Windows Hello Entreprise est une approche d’authentification basée sur la clé pour les organisations et les consommateurs qui ne nécessite pas de passer par un mot de passe. Cette forme d’authentification repose sur les informations d’identification contre les violations, le vol et les hameçonnages.

L’utilisateur se connecte à l’appareil avec des informations d’ouverture de session biométriques ou de code confidentiel liées à un certificat ou à une paire de clés asymétriques. Les fournisseurs d’identité valident l’utilisateur en mappant sa clé publique à IDlocker et fournissent des informations de connexion via un mécanisme de notification tel que le mot de passe à usage unique ou téléphone, entre autres.

Pour plus d’informations, consultez Windows Hello Entreprise

Dépréciation des niveaux fonctionnels du service de réplication de fichiers (FRS) et de Windows Server 2003

Bien que le service de réplication de fichiers et les niveaux fonctionnels de Windows Server 2003 soient déconseillés dans les versions précédentes de Windows Server, il convient de répéter que le système d’exploitation Windows Server 2003 n’est plus pris en charge. Par conséquent, tous les contrôleurs de domaine qui exécutent Windows Server 2003 doivent être supprimés du domaine. Le niveau fonctionnel du domaine et de la forêt doit être porté au moins à Windows Server 2008 pour éviter qu’un contrôleur de domaine fonctionnant avec une version antérieure de Windows Server ne soit ajouté à l’environnement.

Aux niveaux fonctionnels de domaine Windows Server 2008 et supérieurs, la réplication DFS (Distributed File Service) est utilisée pour répliquer le contenu du dossier SYSVOL entre les contrôleurs de domaine. Si vous créez un domaine au niveau fonctionnel de domaine Windows Server 2008 ou supérieur, la réplication DFS est automatiquement utilisée pour répliquer le fichier SYSVOL. Si vous avez créé le domaine à un niveau fonctionnel inférieur, vous devez passer de l’utilisation de FRS à la réplication DFS pour le fichier SYSVOL. Pour connaître les étapes de migration, reportez-vous à ces étapes ou à l’ensemble de procédures simplifiées sur le blog Storage Team File Cabinet.

Les niveaux fonctionnels du domaine et de la forêt Windows Server 2003 continuent d’être pris en charge, mais les organisations doivent augmenter le niveau fonctionnel vers Windows Server 2008 (ou version ultérieure si possible) pour garantir la compatibilité et la prise en charge de la réplication SYSVOL à l’avenir. En outre, il existe de nombreux autres avantages et fonctionnalités disponibles aux niveaux fonctionnels supérieurs. Pour plus d’informations, consultez les ressources suivantes :