Nouveautés des services Active Directory Domain Services (AD DS) pour Windows Server 2016What's new in Active Directory Domain Services for Windows Server 2016

S’applique à Windows Server 2016Applies To: Windows Server 2016

Les nouvelles fonctionnalités suivantes de Active Directory Domain Services (AD DS) améliorent la capacité des organisations à sécuriser les environnements Active Directory et à les aider à migrer vers des déploiements dans le Cloud uniquement et des déploiements hybrides, où certains services et applications sont hébergés dans le Cloud, et d’autres sont hébergés localement.The following new features in Active Directory Domain Services (AD DS) improve the ability for organizations to secure Active Directory environments and help them migrate to cloud-only deployments and hybrid deployments, where some applications and services are hosted in the cloud and others are hosted on premises. Les améliorations sont les suivantes :The improvements include:

Privileged Access ManagementPrivileged access management

Privileged Access Management (PAM) permet de limiter les problèmes de sécurité pour les environnements Active Directory qui sont causés par des techniques de vol d’informations d’identification telles que les attaques Pass-The-hash, les tentatives de hameçonnage et des types similaires d’attaques.Privileged access management (PAM) helps mitigate security concerns for Active Directory environments that are caused by credential theft techniques such pass-the-hash, spear phishing, and similar types of attacks. Il fournit une nouvelle solution d’accès administratif configurée à l’aide d’Microsoft Identity Manager (MIM).It provides a new administrative access solution that is configured by using Microsoft Identity Manager (MIM). PAM introduit les éléments suivants :PAM introduces:

  • Nouvelle forêt bastion Active Directory, approvisionnée par MIM.A new bastion Active Directory forest, which is provisioned by MIM. La forêt bastion a une approbation PAM spéciale avec une forêt existante.The bastion forest has a special PAM trust with an existing forest. Il fournit un nouvel environnement de Active Directory connu comme étant exempt de toute activité malveillante, et isolation d’une forêt existante pour l’utilisation de comptes privilégiés.It provides a new Active Directory environment that is known to be free of any malicious activity, and isolation from an existing forest for the use of privileged accounts.

  • Nouveaux processus dans MIM pour demander des privilèges d’administrateur, ainsi que de nouveaux flux de travail basés sur l’approbation des demandes.New processes in MIM to request administrative privileges, along with new workflows based on the approval of requests.

  • Nouveaux principaux de sécurité Shadow (groupes) approvisionnés dans la forêt bastion par MIM en réponse aux demandes de privilèges d’administration.New shadow security principals (groups) that are provisioned in the bastion forest by MIM in response to administrative privilege requests. Les principaux de sécurité Shadow ont un attribut qui fait référence au SID d’un groupe d’administration dans une forêt existante.The shadow security principals have an attribute that references the SID of an administrative group in an existing forest. Cela permet au groupe Shadow d’accéder aux ressources d’une forêt existante sans modifier les listes de contrôle d’accès (ACL).This allows the shadow group to access resources in an existing forest without changing any access control lists (ACLs).

  • Une fonctionnalité de liens arrivant à expiration, qui permet d’appartenir au temps dans un groupe Shadow.An expiring links feature, which enables time-bound membership in a shadow group. Un utilisateur peut être ajouté au groupe pour le temps nécessaire à l’exécution d’une tâche d’administration.A user can be added to the group for just enough time required to perform an administrative task. L’appartenance liée à la durée est exprimée par une valeur de durée de vie (TTL) qui est propagée à une durée de vie de ticket Kerberos.The time-bound membership is expressed by a time-to-live (TTL) value that is propagated to a Kerberos ticket lifetime.

    Notes

    Les liens arrivant à expiration sont disponibles sur tous les attributs liés.Expiring links are available on all linked attributes. Toutefois, la relation d’attribut lié membre/memberOf entre un groupe et un utilisateur est le seul exemple dans lequel une solution complète comme PAM est préconfigurée pour utiliser la fonctionnalité des liens arrivant à expiration.But the member/memberOf linked attribute relationship between a group and a user is the only example where a complete solution such as PAM is preconfigured to use the expiring links feature.

  • Les améliorations du KDC sont intégrées à Active Directory contrôleurs de domaine pour limiter la durée de vie des tickets Kerberos à la valeur de durée de vie (TTL) la plus basse possible dans les cas où un utilisateur dispose de plusieurs appartenances dans des groupes d’administration.KDC enhancements are built in to Active Directory domain controllers to restrict Kerberos ticket lifetime to the lowest possible time-to-live (TTL) value in cases where a user has multiple time-bound memberships in administrative groups. Par exemple, si vous êtes ajouté à un groupe de temps A, lorsque vous vous connectez, la durée de vie du ticket TGT (Ticket-Granting Ticket) Kerberos est égale à la durée restante dans le groupe A. Si vous êtes également membre d’un autre groupe B lié à la durée, qui a une durée de vie inférieure à celle du groupe A, la durée de vie du ticket TGT est égale au temps restant dans le groupe B.For example, if you are added to a time-bound group A, then when you log on, the Kerberos ticket-granting ticket (TGT) lifetime is equal to the time you have remaining in group A. If you are also a member of another time-bound group B, which has a lower TTL than group A, then the TGT lifetime is equal to the time you have remaining in group B.

  • Nouvelles fonctionnalités de surveillance pour vous aider à identifier facilement les personnes qui ont demandé l’accès, l’accès accordé et les activités qui ont été effectuées.New monitoring capabilities to help you easily identify who requested access, what access was granted, and what activities were performed.

Configuration requise pour Privileged Access ManagementRequirements for Privileged access management

  • Microsoft Identity ManagerMicrosoft Identity Manager

  • Active Directory niveau fonctionnel de la forêt de Windows Server 2012 R2 ou version ultérieure.Active Directory forest functional level of Windows Server 2012 R2 or higher.

Joindre Azure ADAzure AD Join

Azure Active Directory Join améliore les expériences d’identité pour les clients Enterprise, Business et EDU, avec des fonctionnalités améliorées pour les appareils d’entreprise et personnels.Azure Active Directory Join enhances identity experiences for enterprise, business and EDU customers- with improved capabilities for corporate and personal devices.

Avantages :Benefits:

  • Disponibilité des paramètres modernes sur les appareils Windows appartenant à l’entreprise.Availability of Modern Settings on corp-owned Windows devices. Les services d’oxygène n’ont plus besoin d’un compte Microsoft personnel : ils exécutent maintenant les comptes professionnels existants des utilisateurs pour garantir leur conformité.Oxygen Services no longer require a personal Microsoft account: they now run off users' existing work accounts to ensure compliance. Les services d’oxygène fonctionnent sur les PC qui sont joints à un domaine Windows local, ainsi que sur les PC et les appareils qui sont « joints » à votre locataire Azure AD (« domaine Cloud »).Oxygen Services will work on PCs that are joined to an on-premises Windows domain, and PCs and devices that are "joined" to your Azure AD tenant ("cloud domain"). Ces paramètres sont les suivants :These settings include:

    • Itinérance ou personnalisation, paramètres d’accessibilité et informations d’identificationRoaming or personalization, accessibility settings and credentials
    • Sauvegarde et restaurationBackup and Restore
    • Accès à Microsoft Store avec un compte professionnelAccess to Microsoft Store with work account
    • Vignettes et notifications dynamiquesLive tiles and notifications
  • Accédez aux ressources organisationnelles sur les appareils mobiles (téléphones, phablets) qui ne peuvent pas être joints à un domaine Windows, qu’ils appartiennent à l’entreprise ou à BYODAccess organizational resources on mobile devices (phones, phablets) that can't be joined to a Windows Domain, whether they are corp-owned or BYOD

  • Authentification unique sur Office 365 et d’autres applications organisationnelles, sites Web et ressources.Single-Sign On to Office 365 and other organizational apps, websites and resources.

  • Sur les appareils BYOD, ajoutez un compte professionnel (à partir d’un domaine local ou Azure AD) à un appareil personnel et profitez de l’authentification unique aux ressources de travail, via des applications et sur le Web, de manière à garantir la conformité avec les nouvelles fonctionnalités telles que le contrôle de compte conditionnel et l’attestation intégrité de l’appareil.On BYOD devices, add a work account (from an on-premises domain or Azure AD) to a personally-owned device and enjoy SSO to work resources, via apps and on the web, in a way that helps ensure compliance with new capabilities such as Conditional Account Control and Device Health attestation.

  • L' intégration MDM vous permet d’inscrire automatiquement des appareils à votre MDM (Intune ou tiers)MDM integration lets you auto-enroll devices to your MDM (Intune or third-party)

  • Configurer le mode plein écran et les appareils partagés pour plusieurs utilisateurs de votre organisationSet up "kiosk" mode and shared devices for multiple users in your organization

  • L' expérience des développeurs vous permet de créer des applications qui s’appuient sur des contextes d’entreprise et personnels avec une pile de programmation partagée.Developer experience lets you build apps that cater to both enterprise and personal contexts with a shared programing stack.

  • L’option d' acquisition d’images vous permet de choisir entre la création d’images et de permettre à vos utilisateurs de configurer des appareils d’entreprise directement lors de la première exécution.Imaging option lets you choose between imaging and allowing your users to configure corp-owned devices directly during the first-run experience.

Pour plus d’informations, consultez Introduction à la gestion des appareils dans Azure Active Directory.For more information see, Introduction to device management in Azure Active Directory.

Windows Hello EntrepriseWindows Hello for Business

Windows Hello entreprise est une approche d’authentification basée sur les clés qui s’appuie sur les organisations et les consommateurs, qui vont au-delà des mots de passe.Windows Hello for Business is a key-based authentication approach organizations and consumers, that goes beyond passwords. Cette forme d’authentification s’appuie sur la violation, le vol et les informations d’identification résistantes au hameçonnage.This form of authentication relies on breach, theft, and phish-resistant credentials.

L’utilisateur se connecte à l’appareil avec des informations de connexion biométrique ou code confidentiel qui sont liées à un certificat ou à une paire de clés asymétriques.The user logs on to the device with a biometric or PIN log on information that is linked to a certificate or an asymmetrical key pair. Les fournisseurs d’identité (fournisseurs) valident l’utilisateur en mappant la clé publique de l’utilisateur à IDLocker et fournissent des informations de connexion via un mot de passe à usage unique (OTP), un téléphone ou un autre mécanisme de notification.The Identity Providers (IDPs) validate the user by mapping the public key of the user to IDLocker and provides log on information through One Time Password (OTP), Phone or a different notification mechanism.

Pour plus d’informations, consultez Windows Hello entrepriseFor more information see, Windows Hello for Business

Désapprobation des niveaux fonctionnels du service de réplication de fichiers (FRS) et de Windows Server 2003Deprecation of File Replication Service (FRS) and Windows Server 2003 functional levels

Bien que les niveaux fonctionnels du service de réplication de fichiers (FRS) et de Windows Server 2003 étaient déconseillés dans les versions précédentes de Windows Server, la répétition du fait que le système d’exploitation Windows Server 2003 n’est plus pris en charge.Although File Replication Service (FRS) and the Windows Server 2003 functional levels were deprecated in previous versions of Windows Server, it bears repeating that the Windows Server 2003 operating system is no longer supported. Par conséquent, tous les contrôleurs de domaine qui exécutent Windows Server 2003 doivent être supprimés du domaine.As a result, any domain controller that runs Windows Server 2003 should be removed from the domain. Le niveau fonctionnel du domaine et de la forêt doit atteindre au moins Windows Server 2008 pour empêcher l’ajout d’un contrôleur de domaine qui exécute une version antérieure de Windows Server à l’environnement.The domain and forest functional level should be raised to at least Windows Server 2008 to prevent a domain controller that runs an earlier version of Windows Server from being added to the environment.

Aux niveaux fonctionnels de domaine Windows Server 2008 et supérieurs, la réplication DFS (Distributed File Service) est utilisée pour répliquer le contenu du dossier SYSVOL entre les contrôleurs de domaine.At the Windows Server 2008 and higher domain functional levels, Distributed File Service (DFS) Replication is used to replicate SYSVOL folder contents between domain controllers. Si vous créez un domaine au niveau fonctionnel de domaine Windows Server 2008 ou supérieur, la réplication DFS est automatiquement utilisée pour répliquer SYSVOL.If you create a new domain at the Windows Server 2008 domain functional level or higher, DFS Replication is automatically used to replicate SYSVOL. Si vous avez créé le domaine à un niveau fonctionnel inférieur, vous devez passer de l’utilisation de FRS à la réplication DFS pour SYSVOL.If you created the domain at a lower functional level, you will need to migrate from using FRS to DFS replication for SYSVOL. Pour les étapes de migration, vous pouvez suivre ces étapes ou vous pouvez vous reporter à l' ensemble d’étapes rationalisé sur le blog de l’équipe de stockage file cabinet.For migration steps, you can either follow these steps or you can refer to the streamlined set of steps on the Storage Team File Cabinet blog.

Les niveaux fonctionnels de domaine et de forêt de Windows Server 2003 continuent d’être pris en charge, mais les organisations doivent élever le niveau fonctionnel à Windows Server 2008 (ou une version ultérieure si possible) pour garantir la compatibilité et la prise en charge de la réplication SYSVOL à l’avenir.The Windows Server 2003 domain and forest functional levels continue to be supported, but organizations should raise the functional level to Windows Server 2008 (or higher if possible) to ensure SYSVOL replication compatibility and support in the future. En outre, il existe de nombreux autres avantages et fonctionnalités disponibles à des niveaux fonctionnels plus élevés.In addition, there are many other benefits and features available at the higher functional levels higher. Pour plus d'informations, consultez les ressources suivantes :See the following resources for more information: