{"id":9050,"date":"2025-09-26T14:17:49","date_gmt":"2025-09-26T14:17:49","guid":{"rendered":"https:\/\/techhub.saworks.io\/docs\/preparation-de-certifications\/certification-azure\/implementer-une-identite-hybride-avec-windows-server\/implementer-et-configurer-microsoft-entra-domain-services\/"},"modified":"2025-09-26T14:29:04","modified_gmt":"2025-09-26T14:29:04","slug":"implementer-et-configurer-microsoft-entra-domain-services","status":"publish","type":"docs","link":"https:\/\/techhub.saworks.io\/fr\/docs\/preparation-de-certifications\/certification-azure\/implementer-une-identite-hybride-avec-windows-server\/implementer-et-configurer-microsoft-entra-domain-services\/","title":{"rendered":"Impl\u00e9menter et configurer Microsoft Entra Domain Services"},"content":{"rendered":"\n
\n

Les organisations qui utilisent uniquement Microsoft Entra ID dans le cloud<\/strong> peuvent activer Microsoft Entra Domain Services<\/strong> pour un r\u00e9seau virtuel Azure (VNet)<\/strong>, et ainsi obtenir un nouveau domaine g\u00e9r\u00e9<\/strong>.
Les utilisateurs et groupes<\/strong> pr\u00e9sents dans Microsoft Entra ID sont disponibles dans le domaine nouvellement cr\u00e9\u00e9, qui offre des services d\u2019annuaire similaires \u00e0 AD DS local<\/strong>, incluant les strat\u00e9gies de groupe (Group Policy)<\/strong>, le protocole Kerberos<\/strong>, et la prise en charge de LDAP<\/strong>.<\/p>\n\n\n\n

Vous pouvez joindre des machines virtuelles Azure ex\u00e9cutant Windows<\/strong> \u00e0 ce domaine, et les g\u00e9rer \u00e0 l\u2019aide de param\u00e8tres de strat\u00e9gie de groupe de base<\/strong>.
En activant Microsoft Entra Domain Services, les hachages d\u2019identifiants<\/strong> n\u00e9cessaires \u00e0 l\u2019authentification NTLM et Kerberos<\/strong> sont stock\u00e9s dans Microsoft Entra ID.<\/p>\n\n\n\n

<\/div>\n\n\n\n

Cas hybride : Contoso<\/strong><\/h3>\n\n\n\n

Contoso \u00e9tant une organisation hybride, elle peut int\u00e9grer les identit\u00e9s de son AD DS local<\/strong> avec Microsoft Entra Domain Services via Microsoft Entra Connect<\/strong>.
Les utilisateurs dans une organisation hybride peuvent ainsi avoir la m\u00eame exp\u00e9rience<\/strong> lorsqu\u2019ils acc\u00e8dent \u00e0 des ressources bas\u00e9es sur le domaine, que ce soit dans l\u2019infrastructure locale<\/strong> ou depuis des machines virtuelles dans Azure<\/strong> int\u00e9gr\u00e9es \u00e0 Microsoft Entra Domain Services.<\/p>\n\n\n\n

<\/div>\n\n\n\n

Impl\u00e9mentation de Microsoft Entra Domain Services<\/strong><\/h3>\n\n\n\n

Pour impl\u00e9menter, configurer et utiliser Microsoft Entra Domain Services, vous devez :<\/p>\n\n\n\n

    \n
  • Avoir un locataire Microsoft Entra<\/strong> cr\u00e9\u00e9 sur un abonnement Microsoft Entra<\/strong>.<\/li>\n\n\n\n
  • Avoir la synchronisation de hachage de mot de passe<\/strong> d\u00e9ploy\u00e9e avec Microsoft Entra Connect<\/strong>, car Microsoft Entra Domain Services fournit l\u2019authentification NTLM et Kerberos, n\u00e9cessitant les identifiants des utilisateurs.<\/li>\n<\/ul>\n\n\n\n

    Lors de l\u2019activation du service pour votre locataire, vous devez :<\/p>\n\n\n\n

      \n
    • S\u00e9lectionner le nom de domaine DNS<\/strong> que vous utiliserez.<\/li>\n\n\n\n
    • Choisir le domaine \u00e0 synchroniser<\/strong> avec votre environnement local.<\/li>\n<\/ul>\n\n\n\n
      <\/div>\n\n\n\n
      \n

      \u26a0\ufe0f Attention<\/strong> :<\/h3>\n\n\n\n


      Il ne faut pas utiliser un espace de noms DNS existant<\/strong> d\u2019Azure ou de votre environnement local.<\/p>\n<\/div>\n\n\n\n

      <\/div>\n\n\n\n

      Options de nom de domaine DNS disponibles<\/strong><\/h3>\n\n\n\n
      Option<\/strong><\/th>Description<\/strong><\/th><\/tr><\/thead>
      Nom de domaine int\u00e9gr\u00e9<\/strong><\/th>Par d\u00e9faut, le domaine int\u00e9gr\u00e9 du r\u00e9pertoire est utilis\u00e9 (suffixe .onmicrosoft.com<\/code>). Si vous souhaitez activer l\u2019acc\u00e8s LDAP s\u00e9curis\u00e9 via Internet, vous ne pouvez pas cr\u00e9er de certificat num\u00e9rique pour s\u00e9curiser la connexion avec ce domaine par d\u00e9faut. Microsoft poss\u00e8de le domaine .onmicrosoft.com<\/code>, donc une autorit\u00e9 de certification (CA) ne d\u00e9livrera pas de certificat.<\/td><\/tr>
      Noms de domaine personnalis\u00e9s<\/strong><\/th>Approche la plus courante : sp\u00e9cifier un domaine personnalis\u00e9 que vous poss\u00e9dez et qui est routable. Cela permet au trafic de circuler correctement pour prendre en charge vos applications.<\/td><\/tr>
      Suffixes de domaine non routables<\/strong><\/th>Il est g\u00e9n\u00e9ralement recommand\u00e9 d\u2019\u00e9viter les suffixes non routables comme contoso.local<\/code>, car ils peuvent poser des probl\u00e8mes de r\u00e9solution DNS.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
      <\/div>\n\n\n\n
      \n

      \ud83d\udca1 Astuce<\/strong><\/h3>\n\n\n\n

      Vous pourriez avoir besoin de cr\u00e9er des enregistrements DNS suppl\u00e9mentaires<\/strong> ou des redirecteurs DNS conditionnels<\/strong> entre les espaces de noms DNS existants.<\/p>\n<\/div>\n\n\n\n

      <\/div>\n\n\n\n

      Types de for\u00eat \u00e0 provisionner<\/strong><\/h3>\n\n\n\n

      Une for\u00eat<\/strong> est une construction logique utilis\u00e9e par AD DS pour regrouper un ou plusieurs domaines.
      Deux types de for\u00eats sont disponibles :<\/p>\n\n\n\n

      Type de for\u00eat<\/strong><\/th>Description<\/strong><\/th><\/tr><\/thead>
      Utilisateur<\/strong><\/th>Synchronise tous les objets depuis Microsoft Entra ID, y compris les comptes utilisateurs cr\u00e9\u00e9s dans AD DS local.<\/td><\/tr>
      Ressource<\/strong><\/th>Synchronise uniquement les utilisateurs et groupes cr\u00e9\u00e9s directement dans Microsoft Entra ID.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
      <\/div>\n\n\n\n

      Ensuite, vous devez :<\/p>\n\n\n\n

        \n
      • Choisir la r\u00e9gion Azure<\/strong> o\u00f9 le domaine g\u00e9r\u00e9 sera cr\u00e9\u00e9.
        Si la r\u00e9gion prend en charge les zones de disponibilit\u00e9<\/strong>, les ressources sont r\u00e9parties pour plus de redondance.<\/li>\n<\/ul>\n\n\n\n
        <\/div>\n\n\n\n
        \n

        \u2139\ufe0f Remarque<\/strong> :<\/h3>\n\n\n\n


        Vous n\u2019\u00eates pas oblig\u00e9 de configurer la distribution zonale. Azure g\u00e8re automatiquement cette r\u00e9partition.<\/p>\n<\/div>\n\n\n\n

        <\/div>\n\n\n\n
          \n
        • S\u00e9lectionner un r\u00e9seau virtuel (VNet)<\/strong> auquel connecter le service.
          Ce VNet doit permettre la connectivit\u00e9 entre votre environnement local et Azure<\/strong>.<\/li>\n<\/ul>\n\n\n\n
          <\/div>\n\n\n\n

          Applications d\u2019entreprise cr\u00e9\u00e9es automatiquement<\/strong><\/h3>\n\n\n\n

          Lors du provisionnement, Microsoft Entra Domain Services cr\u00e9e deux applications d\u2019entreprise<\/strong> dans votre locataire :<\/p>\n\n\n\n

            \n
          • Domain Controller Services<\/strong><\/li>\n\n\n\n
          • AzureActiveDirectoryDomainControllerServices<\/strong><\/li>\n<\/ul>\n\n\n\n
            <\/div>\n\n\n\n
            \n

            \u26a0\ufe0f Ne supprimez pas ces applications<\/strong>, elles sont n\u00e9cessaires au fonctionnement du domaine g\u00e9r\u00e9.<\/p>\n<\/blockquote>\n\n\n\n

            <\/div>\n\n\n\n

            Configuration du VNet<\/strong><\/h3>\n\n\n\n

            Apr\u00e8s le d\u00e9ploiement, vous devez configurer le VNet<\/strong> pour permettre aux autres machines virtuelles et applications connect\u00e9es d\u2019utiliser le domaine g\u00e9r\u00e9.
            Cela implique de mettre \u00e0 jour les param\u00e8tres du serveur DNS<\/strong> du VNet pour qu\u2019ils pointent vers les adresses IP du domaine g\u00e9r\u00e9<\/strong>.<\/p>\n\n\n\n

            <\/div>\n\n\n\n

            Authentification et hachage des mots de passe<\/strong><\/h3>\n\n\n\n

            Pour authentifier les utilisateurs, Microsoft Entra Domain Services a besoin de hachages de mot de passe<\/strong> compatibles avec NTLM et Kerberos.
            Microsoft Entra ID ne g\u00e9n\u00e8re ni ne stocke ces hachages tant que le service n\u2019est pas activ\u00e9.<\/p>\n\n\n\n

            <\/div>\n\n\n\n
            \n

            \ud83d\udd10 S\u00e9curit\u00e9<\/strong> :
            Microsoft Entra ID ne stocke jamais les mots de passe en clair<\/strong>.
            Les hachages sont g\u00e9n\u00e9r\u00e9s apr\u00e8s activation<\/strong> du service et stock\u00e9s dans le domaine g\u00e9r\u00e9<\/strong>.<\/p>\n<\/blockquote>\n\n\n\n

            <\/div>\n\n\n\n
            \n

            Remarque<\/strong><\/h3>\n\n\n\n

            Si vous supprimez le domaine g\u00e9r\u00e9<\/strong>, les hachages de mot de passe sont \u00e9galement supprim\u00e9s.
            Vous devrez reconfigurer la synchronisation<\/strong> pour les g\u00e9n\u00e9rer \u00e0 nouveau.<\/p>\n<\/div>\n\n\n\n

            <\/div>\n\n\n\n

            Diff\u00e9rences selon le type de compte utilisateur<\/strong><\/h3>\n\n\n\n
              \n
            • Comptes cloud uniquement<\/strong> (cr\u00e9\u00e9s dans Microsoft Entra ID via le portail Azure ou PowerShell)
              \u27a4 Les utilisateurs doivent changer leur mot de passe<\/strong> pour que les hachages NTLM\/Kerberos soient g\u00e9n\u00e9r\u00e9s et stock\u00e9s.<\/li>\n\n\n\n
            • Comptes synchronis\u00e9s depuis AD DS local<\/strong>
              \u27a4 Les hachages sont g\u00e9n\u00e9r\u00e9s via Microsoft Entra Connect<\/strong>.<\/li>\n<\/ul>\n\n\n\n
              <\/div>\n\n\n\n
              \n

              \ud83d\udca1 Astuce<\/strong><\/h3>\n\n\n\n

              Avant qu\u2019un utilisateur puisse r\u00e9initialiser son mot de passe, vous devez activer la r\u00e9initialisation de mot de passe en libre-service<\/strong> dans le locataire Microsoft Entra.<\/p>\n<\/div>\n\n\n\n

              <\/div>\n\n\n\n

              \ud83d\udcd8 Lecture compl\u00e9mentaire<\/strong> :<\/h3>\n\n\n\n
                \n
              • Tutoriel : Cr\u00e9er et configurer un domaine g\u00e9r\u00e9 Microsoft Entra Domain Services avec des options avanc\u00e9es<\/li>\n\n\n\n
              • Tutoriel : Cr\u00e9er une relation d\u2019approbation foresti\u00e8re sortante avec un domaine local (aper\u00e7u)<\/li>\n\n\n\n
              • Impl\u00e9menter la synchronisation de hachage de mot de passe avec Microsoft Entra Connect Sync<\/li>\n<\/ul>\n\n\n\n
                <\/div>\n\n\n\n

                \ud83d\udccd Unit\u00e9 suivante<\/strong> : G\u00e9rer Windows Server dans un environnement Microsoft Entra Domain Services<\/strong><\/h3>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

                Les organisations qui utilisent uniquement Microsoft Entra ID dans le cloud peuvent activer Microsoft Entra Domain Services pour un r\u00e9seau virtuel Azure (VNet), […]<\/p>\n","protected":false},"author":2,"featured_media":0,"parent":8949,"menu_order":12,"comment_status":"closed","ping_status":"closed","template":"","doc_tag":[],"doc_badge":[],"class_list":["post-9050","docs","type-docs","status-publish","hentry"],"author_avatar":"https:\/\/secure.gravatar.com\/avatar\/6a70e7c73db9f245e650948d09d74f61?s=96&d=mm&r=g","author_name":"Annick N'dri","_links":{"self":[{"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/docs\/9050"}],"collection":[{"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/docs"}],"about":[{"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/types\/docs"}],"author":[{"embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/comments?post=9050"}],"version-history":[{"count":0,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/docs\/9050\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/docs\/8949"}],"wp:attachment":[{"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/media?parent=9050"}],"wp:term":[{"taxonomy":"doc_tag","embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/doc_tag?post=9050"},{"taxonomy":"doc_badge","embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/doc_badge?post=9050"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}