Décrire Microsoft Entra Domain Services
L’équipe informatique de Contoso déploie plusieurs applications métier (LOB) sur des ordinateurs et appareils membres d’un domaine. Contoso utilise des identifiants basés sur AD DS pour l’authentification, et des GPO pour gérer ces appareils et applications. Elle envisage maintenant de migrer ces applications vers Azure. Une question clé est de savoir comment fournir des services d’authentification à ces applications.
Pour répondre à ce besoin, l’équipe informatique de Contoso peut choisir de :
- Mettre en œuvre un réseau privé virtuel (VPN) site-à-site entre l’infrastructure locale et Azure IaaS.
- Déployer des contrôleurs de domaine répliqués depuis AD DS local sous forme de VM dans Azure.
Cependant, ces approches peuvent entraîner des coûts supplémentaires et des efforts administratifs.
La différence entre les deux approches est la suivante :
- Dans la première option, le trafic d’authentification traverse le VPN.
- Dans la deuxième option, le trafic de réplication traverse le VPN, mais le trafic d’authentification reste dans le cloud.
Microsoft propose Microsoft Entra Domain Services comme alternative à ces approches.
Qu’est-ce que Microsoft Entra Domain Services ?
Microsoft Entra Domain Services, qui fonctionne dans les niveaux Microsoft Entra ID P1 ou P2, fournit des services de domaine tels que :
- La gestion des stratégies de groupe (GPO)
- La jointure au domaine
- L’authentification Kerberos pour votre locataire Microsoft Entra
Ces services sont entièrement compatibles avec AD DS local, ce qui permet de les utiliser sans déployer ni gérer de contrôleurs de domaine supplémentaires dans le cloud.
Grâce à l’intégration de Microsoft Entra ID avec AD DS local via Microsoft Entra Connect, les utilisateurs peuvent utiliser leurs identifiants organisationnels à la fois en local et dans Microsoft Entra Domain Services.
Même sans AD DS local, vous pouvez utiliser Microsoft Entra Domain Services comme service cloud uniquement, offrant des fonctionnalités similaires à AD DS sans déployer de contrôleur de domaine.
Exemple d’utilisation
L’équipe informatique de Contoso peut :
- Créer un locataire Microsoft Entra
- Activer Microsoft Entra Domain Services
- Déployer un réseau virtuel (VNet) entre les ressources locales et le locataire
- Activer Microsoft Entra Domain Services pour ce VNet afin que tous les utilisateurs et services locaux puissent utiliser les services de domaine de Microsoft Entra ID
Avantages de Microsoft Entra Domain Services
- Les administrateurs n’ont pas besoin de gérer, mettre à jour ou surveiller les contrôleurs de domaine
- Pas besoin de répliquer Active Directory
- Pas besoin de groupes Domain Admins ou Enterprise Admins
Limitations à connaître
- Seul l’objet ordinateur de base d’Active Directory est pris en charge
- Impossible d’étendre le schéma du domaine Microsoft Entra Domain Services
- La structure des unités d’organisation (OU) est plate (pas de OU imbriquées)
- Il existe des GPO intégrés pour les comptes utilisateurs et ordinateurs
- Impossible de cibler les OU avec les GPO intégrés, ni d’utiliser des filtres WMI ou des filtres par groupe de sécurité
Applications compatibles
Vous pouvez migrer librement des applications utilisant :
- LDAP
- NTLM
- Kerberos
Vers le cloud, sans avoir besoin de contrôleurs de domaine ou de VPN.
Exemples d’applications compatibles :
| Avantage | Description |
|---|---|
| Administration sécurisée des VM Azure | Joindre les VM à un domaine géré par Microsoft Entra Domain Services pour utiliser un seul jeu d’identifiants AD. Appliquer des stratégies de sécurité via GPO. |
| Applications locales utilisant l’authentification LDAP bind | Permet aux applications de continuer à authentifier les utilisateurs via LDAP sans modification. |
| Applications locales utilisant la lecture LDAP | Permet aux applications de lire les attributs du domaine géré sans réécriture. |
| Applications de service ou en arrière-plan | Permet l’utilisation de comptes de service AD pour les appels authentifiés entre couches applicatives. |
| Services de bureau à distance dans Azure | Fournit des services de domaine gérés aux serveurs RDS déployés dans Azure. |
Considérations de déploiement
- Structure OU plate par défaut (toutes les VM dans une seule OU)
- GPO intégrés pour les conteneurs utilisateurs et ordinateurs
- Impossible d’étendre le schéma des objets ordinateurs
- Les utilisateurs ne peuvent pas changer leur mot de passe directement dans le domaine géré
→ Ils doivent le faire via Microsoft Entra ID ou AD DS local, puis la synchronisation s’effectue automatiquement
À vérifier avant déploiement
- Les applications ne doivent pas modifier/écrire dans l’annuaire LDAP
- Les applications ne doivent pas nécessiter un schéma AD personnalisé ou étendu
- Les applications doivent utiliser nom d’utilisateur + mot de passe
→ L’authentification par certificat ou carte à puce n’est pas prise en charge
