Implémenter et configurer Microsoft Entra Domain Services
Les organisations qui utilisent uniquement Microsoft Entra ID dans le cloud peuvent activer Microsoft Entra Domain Services pour un réseau virtuel Azure (VNet), et ainsi obtenir un nouveau domaine géré.
Les utilisateurs et groupes présents dans Microsoft Entra ID sont disponibles dans le domaine nouvellement créé, qui offre des services d’annuaire similaires à AD DS local, incluant les stratégies de groupe (Group Policy), le protocole Kerberos, et la prise en charge de LDAP.
Vous pouvez joindre des machines virtuelles Azure exécutant Windows à ce domaine, et les gérer à l’aide de paramètres de stratégie de groupe de base.
En activant Microsoft Entra Domain Services, les hachages d’identifiants nécessaires à l’authentification NTLM et Kerberos sont stockés dans Microsoft Entra ID.
Cas hybride : Contoso
Contoso étant une organisation hybride, elle peut intégrer les identités de son AD DS local avec Microsoft Entra Domain Services via Microsoft Entra Connect.
Les utilisateurs dans une organisation hybride peuvent ainsi avoir la même expérience lorsqu’ils accèdent à des ressources basées sur le domaine, que ce soit dans l’infrastructure locale ou depuis des machines virtuelles dans Azure intégrées à Microsoft Entra Domain Services.
Implémentation de Microsoft Entra Domain Services
Pour implémenter, configurer et utiliser Microsoft Entra Domain Services, vous devez :
- Avoir un locataire Microsoft Entra créé sur un abonnement Microsoft Entra.
- Avoir la synchronisation de hachage de mot de passe déployée avec Microsoft Entra Connect, car Microsoft Entra Domain Services fournit l’authentification NTLM et Kerberos, nécessitant les identifiants des utilisateurs.
Lors de l’activation du service pour votre locataire, vous devez :
- Sélectionner le nom de domaine DNS que vous utiliserez.
- Choisir le domaine à synchroniser avec votre environnement local.
⚠️ Attention :
Il ne faut pas utiliser un espace de noms DNS existant d’Azure ou de votre environnement local.
Options de nom de domaine DNS disponibles
| Option | Description |
|---|---|
| Nom de domaine intégré | Par défaut, le domaine intégré du répertoire est utilisé (suffixe .onmicrosoft.com). Si vous souhaitez activer l’accès LDAP sécurisé via Internet, vous ne pouvez pas créer de certificat numérique pour sécuriser la connexion avec ce domaine par défaut. Microsoft possède le domaine .onmicrosoft.com, donc une autorité de certification (CA) ne délivrera pas de certificat. |
| Noms de domaine personnalisés | Approche la plus courante : spécifier un domaine personnalisé que vous possédez et qui est routable. Cela permet au trafic de circuler correctement pour prendre en charge vos applications. |
| Suffixes de domaine non routables | Il est généralement recommandé d’éviter les suffixes non routables comme contoso.local, car ils peuvent poser des problèmes de résolution DNS. |
💡 Astuce
Vous pourriez avoir besoin de créer des enregistrements DNS supplémentaires ou des redirecteurs DNS conditionnels entre les espaces de noms DNS existants.
Types de forêt à provisionner
Une forêt est une construction logique utilisée par AD DS pour regrouper un ou plusieurs domaines.
Deux types de forêts sont disponibles :
| Type de forêt | Description |
|---|---|
| Utilisateur | Synchronise tous les objets depuis Microsoft Entra ID, y compris les comptes utilisateurs créés dans AD DS local. |
| Ressource | Synchronise uniquement les utilisateurs et groupes créés directement dans Microsoft Entra ID. |
Ensuite, vous devez :
- Choisir la région Azure où le domaine géré sera créé.
Si la région prend en charge les zones de disponibilité, les ressources sont réparties pour plus de redondance.
ℹ️ Remarque :
Vous n’êtes pas obligé de configurer la distribution zonale. Azure gère automatiquement cette répartition.
- Sélectionner un réseau virtuel (VNet) auquel connecter le service.
Ce VNet doit permettre la connectivité entre votre environnement local et Azure.
Applications d’entreprise créées automatiquement
Lors du provisionnement, Microsoft Entra Domain Services crée deux applications d’entreprise dans votre locataire :
- Domain Controller Services
- AzureActiveDirectoryDomainControllerServices
⚠️ Ne supprimez pas ces applications, elles sont nécessaires au fonctionnement du domaine géré.
Configuration du VNet
Après le déploiement, vous devez configurer le VNet pour permettre aux autres machines virtuelles et applications connectées d’utiliser le domaine géré.
Cela implique de mettre à jour les paramètres du serveur DNS du VNet pour qu’ils pointent vers les adresses IP du domaine géré.
Authentification et hachage des mots de passe
Pour authentifier les utilisateurs, Microsoft Entra Domain Services a besoin de hachages de mot de passe compatibles avec NTLM et Kerberos.
Microsoft Entra ID ne génère ni ne stocke ces hachages tant que le service n’est pas activé.
🔐 Sécurité :
Microsoft Entra ID ne stocke jamais les mots de passe en clair.
Les hachages sont générés après activation du service et stockés dans le domaine géré.
Remarque
Si vous supprimez le domaine géré, les hachages de mot de passe sont également supprimés.
Vous devrez reconfigurer la synchronisation pour les générer à nouveau.
Différences selon le type de compte utilisateur
- Comptes cloud uniquement (créés dans Microsoft Entra ID via le portail Azure ou PowerShell)
➤ Les utilisateurs doivent changer leur mot de passe pour que les hachages NTLM/Kerberos soient générés et stockés. - Comptes synchronisés depuis AD DS local
➤ Les hachages sont générés via Microsoft Entra Connect.
💡 Astuce
Avant qu’un utilisateur puisse réinitialiser son mot de passe, vous devez activer la réinitialisation de mot de passe en libre-service dans le locataire Microsoft Entra.
📘 Lecture complémentaire :
- Tutoriel : Créer et configurer un domaine géré Microsoft Entra Domain Services avec des options avancées
- Tutoriel : Créer une relation d’approbation forestière sortante avec un domaine local (aperçu)
- Implémenter la synchronisation de hachage de mot de passe avec Microsoft Entra Connect Sync
