{"id":9046,"date":"2025-09-26T14:13:47","date_gmt":"2025-09-26T14:13:47","guid":{"rendered":"https:\/\/techhub.saworks.io\/docs\/preparation-de-certifications\/certification-azure\/implementer-une-identite-hybride-avec-windows-server\/decrire-microsoft-entra-domain-services\/"},"modified":"2025-09-26T14:16:30","modified_gmt":"2025-09-26T14:16:30","slug":"decrire-microsoft-entra-domain-services","status":"publish","type":"docs","link":"https:\/\/techhub.saworks.io\/fr\/docs\/preparation-de-certifications\/certification-azure\/implementer-une-identite-hybride-avec-windows-server\/decrire-microsoft-entra-domain-services\/","title":{"rendered":"D\u00e9crire Microsoft Entra Domain Services"},"content":{"rendered":"\n<div class=\"wp-block-group is-layout-constrained wp-block-group-is-layout-constrained\">\n<p>L\u2019\u00e9quipe informatique de Contoso d\u00e9ploie plusieurs <strong>applications m\u00e9tier (LOB)<\/strong> sur des ordinateurs et appareils <strong>membres d\u2019un domaine<\/strong>. Contoso utilise des <strong>identifiants bas\u00e9s sur AD DS<\/strong> pour l\u2019authentification, et des <strong>GPO<\/strong> pour g\u00e9rer ces appareils et applications. Elle envisage maintenant de <strong>migrer ces applications vers Azure<\/strong>. Une question cl\u00e9 est de savoir <strong>comment fournir des services d\u2019authentification \u00e0 ces applications<\/strong>.<\/p>\n\n\n\n<p>Pour r\u00e9pondre \u00e0 ce besoin, l\u2019\u00e9quipe informatique de Contoso peut choisir de :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Mettre en \u0153uvre un <strong>r\u00e9seau priv\u00e9 virtuel (VPN) site-\u00e0-site<\/strong> entre l\u2019infrastructure locale et Azure IaaS.<\/li>\n\n\n\n<li>D\u00e9ployer des <strong>contr\u00f4leurs de domaine r\u00e9pliqu\u00e9s<\/strong> depuis AD DS local sous forme de <strong>VM dans Azure<\/strong>.<\/li>\n<\/ul>\n\n\n\n<p>Cependant, ces approches peuvent entra\u00eener <strong>des co\u00fbts suppl\u00e9mentaires<\/strong> et <strong>des efforts administratifs<\/strong>.<br>La diff\u00e9rence entre les deux approches est la suivante :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Dans la <strong>premi\u00e8re option<\/strong>, le <strong>trafic d\u2019authentification traverse le VPN<\/strong>.<\/li>\n\n\n\n<li>Dans la <strong>deuxi\u00e8me option<\/strong>, le <strong>trafic de r\u00e9plication traverse le VPN<\/strong>, mais le <strong>trafic d\u2019authentification reste dans le cloud<\/strong>.<\/li>\n<\/ul>\n\n\n\n<p><strong>Microsoft propose Microsoft Entra Domain Services<\/strong> comme <strong>alternative<\/strong> \u00e0 ces approches.<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Qu\u2019est-ce que Microsoft Entra Domain Services ?<\/strong><\/h3>\n\n\n\n<p><strong>Microsoft Entra Domain Services<\/strong>, qui fonctionne dans les niveaux <strong>Microsoft Entra ID P1 ou P2<\/strong>, fournit des <strong>services de domaine<\/strong> tels que :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>La <strong>gestion des strat\u00e9gies de groupe (GPO)<\/strong><\/li>\n\n\n\n<li>La <strong>jointure au domaine<\/strong><\/li>\n\n\n\n<li>L\u2019<strong>authentification Kerberos<\/strong> pour votre locataire Microsoft Entra<\/li>\n<\/ul>\n\n\n\n<p>Ces services sont <strong>enti\u00e8rement compatibles avec AD DS local<\/strong>, ce qui permet de les utiliser <strong>sans d\u00e9ployer ni g\u00e9rer de contr\u00f4leurs de domaine suppl\u00e9mentaires dans le cloud<\/strong>.<\/p>\n\n\n\n<p>Gr\u00e2ce \u00e0 l\u2019int\u00e9gration de <strong>Microsoft Entra ID avec AD DS local<\/strong> via <strong>Microsoft Entra Connect<\/strong>, les utilisateurs peuvent utiliser leurs <strong>identifiants organisationnels<\/strong> \u00e0 la fois <strong>en local<\/strong> et dans <strong>Microsoft Entra Domain Services<\/strong>.<\/p>\n\n\n\n<p>M\u00eame sans AD DS local, vous pouvez utiliser <strong>Microsoft Entra Domain Services comme service cloud uniquement<\/strong>, offrant des fonctionnalit\u00e9s similaires \u00e0 AD DS <strong>sans d\u00e9ployer de contr\u00f4leur de domaine<\/strong>.<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Exemple d\u2019utilisation<\/strong><\/h3>\n\n\n\n<p>L\u2019\u00e9quipe informatique de Contoso peut :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Cr\u00e9er un <strong>locataire Microsoft Entra<\/strong><\/li>\n\n\n\n<li>Activer <strong>Microsoft Entra Domain Services<\/strong><\/li>\n\n\n\n<li>D\u00e9ployer un <strong>r\u00e9seau virtuel (VNet)<\/strong> entre les ressources locales et le locataire<\/li>\n\n\n\n<li>Activer Microsoft Entra Domain Services pour ce VNet afin que tous les utilisateurs et services locaux puissent utiliser les <strong>services de domaine de Microsoft Entra ID<\/strong><\/li>\n<\/ul>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Avantages de Microsoft Entra Domain Services<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les administrateurs <strong>n\u2019ont pas besoin de g\u00e9rer, mettre \u00e0 jour ou surveiller les contr\u00f4leurs de domaine<\/strong><\/li>\n\n\n\n<li>Pas besoin de <strong>r\u00e9pliquer Active Directory<\/strong><\/li>\n\n\n\n<li>Pas besoin de groupes <strong>Domain Admins<\/strong> ou <strong>Enterprise Admins<\/strong><\/li>\n<\/ul>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Limitations \u00e0 conna\u00eetre<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Seul l\u2019<strong>objet ordinateur de base<\/strong> d\u2019Active Directory est pris en charge<\/li>\n\n\n\n<li><strong>Impossible d\u2019\u00e9tendre le sch\u00e9ma<\/strong> du domaine Microsoft Entra Domain Services<\/li>\n\n\n\n<li>La structure des <strong>unit\u00e9s d\u2019organisation (OU)<\/strong> est <strong>plate<\/strong> (pas de OU imbriqu\u00e9es)<\/li>\n\n\n\n<li>Il existe des <strong>GPO int\u00e9gr\u00e9s<\/strong> pour les comptes utilisateurs et ordinateurs<\/li>\n\n\n\n<li><strong>Impossible de cibler les OU avec les GPO int\u00e9gr\u00e9s<\/strong>, ni d\u2019utiliser des <strong>filtres WMI<\/strong> ou des <strong>filtres par groupe de s\u00e9curit\u00e9<\/strong><\/li>\n<\/ul>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Applications compatibles<\/strong><\/h3>\n\n\n\n<p>Vous pouvez migrer librement des applications utilisant :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>LDAP<\/strong><\/li>\n\n\n\n<li><strong>NTLM<\/strong><\/li>\n\n\n\n<li><strong>Kerberos<\/strong><\/li>\n<\/ul>\n\n\n\n<p>Vers le cloud, sans avoir besoin de contr\u00f4leurs de domaine ou de VPN.<br>Exemples d\u2019applications compatibles :<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th><strong>Avantage<\/strong><\/th><th><strong>Description<\/strong><\/th><\/tr><\/thead><tbody><tr><th><strong>Administration s\u00e9curis\u00e9e des VM Azure<\/strong><\/th><td>Joindre les VM \u00e0 un domaine g\u00e9r\u00e9 par Microsoft Entra Domain Services pour utiliser un seul jeu d\u2019identifiants AD. Appliquer des <strong>strat\u00e9gies de s\u00e9curit\u00e9<\/strong> via GPO.<\/td><\/tr><tr><th><strong>Applications locales utilisant l\u2019authentification LDAP bind<\/strong><\/th><td>Permet aux applications de continuer \u00e0 authentifier les utilisateurs via LDAP sans modification.<\/td><\/tr><tr><th><strong>Applications locales utilisant la lecture LDAP<\/strong><\/th><td>Permet aux applications de lire les attributs du domaine g\u00e9r\u00e9 sans r\u00e9\u00e9criture.<\/td><\/tr><tr><th><strong>Applications de service ou en arri\u00e8re-plan<\/strong><\/th><td>Permet l\u2019utilisation de <strong>comptes de service AD<\/strong> pour les appels authentifi\u00e9s entre couches applicatives.<\/td><\/tr><tr><th><strong>Services de bureau \u00e0 distance dans Azure<\/strong><\/th><td>Fournit des services de domaine g\u00e9r\u00e9s aux serveurs RDS d\u00e9ploy\u00e9s dans Azure.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Consid\u00e9rations de d\u00e9ploiement<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Structure OU <strong>plate par d\u00e9faut<\/strong> (toutes les VM dans une seule OU)<\/li>\n\n\n\n<li>GPO int\u00e9gr\u00e9s pour les conteneurs utilisateurs et ordinateurs<\/li>\n\n\n\n<li><strong>Impossible d\u2019\u00e9tendre le sch\u00e9ma<\/strong> des objets ordinateurs<\/li>\n\n\n\n<li>Les utilisateurs <strong>ne peuvent pas changer leur mot de passe directement<\/strong> dans le domaine g\u00e9r\u00e9<br>\u2192 Ils doivent le faire via <strong>Microsoft Entra ID<\/strong> ou <strong>AD DS local<\/strong>, puis la synchronisation s\u2019effectue automatiquement<\/li>\n<\/ul>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>\u00c0 v\u00e9rifier avant d\u00e9ploiement<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les applications <strong>ne doivent pas modifier\/\u00e9crire dans l\u2019annuaire LDAP<\/strong><\/li>\n\n\n\n<li>Les applications <strong>ne doivent pas n\u00e9cessiter un sch\u00e9ma AD personnalis\u00e9 ou \u00e9tendu<\/strong><\/li>\n\n\n\n<li>Les applications doivent utiliser <strong>nom d\u2019utilisateur + mot de passe<\/strong><br>\u2192 L\u2019<strong>authentification par certificat ou carte \u00e0 puce<\/strong> n\u2019est <strong>pas prise en charge<\/strong><\/li>\n<\/ul>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\">\ud83d\udccd <strong>Unit\u00e9 suivante<\/strong> : <strong>Impl\u00e9menter et configurer Microsoft Entra Domain Services<\/strong><\/h3>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>L\u2019\u00e9quipe informatique de Contoso d\u00e9ploie plusieurs applications m\u00e9tier (LOB) sur des ordinateurs et appareils membres d\u2019un domaine. Contoso utilise des identifiants bas\u00e9s sur [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"parent":8949,"menu_order":11,"comment_status":"closed","ping_status":"closed","template":"","doc_tag":[],"doc_badge":[],"class_list":["post-9046","docs","type-docs","status-publish","hentry"],"author_avatar":"https:\/\/secure.gravatar.com\/avatar\/6a70e7c73db9f245e650948d09d74f61?s=96&d=mm&r=g","author_name":"Annick N'dri","_links":{"self":[{"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/docs\/9046"}],"collection":[{"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/docs"}],"about":[{"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/types\/docs"}],"author":[{"embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/comments?post=9046"}],"version-history":[{"count":0,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/docs\/9046\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/docs\/8949"}],"wp:attachment":[{"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/media?parent=9046"}],"wp:term":[{"taxonomy":"doc_tag","embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/doc_tag?post=9046"},{"taxonomy":"doc_badge","embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/doc_badge?post=9046"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}