Articles

Qu’est-ce que les services de domaine Azure Active Directory ?

admin0
  • 01/20/2021
  • 5 minutes à lire
    • J
    • k
    • k
    • M
    • . i
    • +1

Azure Active Directory Domain Services (AD DS) fournit des services de domaine gérés tels que la jointure de domaine, la stratégie de groupe, le protocole d’accès aux annuaires légers (LDAP) et l’authentification Kerberos/NTLM. Vous utilisez ces services de domaine sans avoir besoin de déployer, de gérer et de mettre à jour les contrôleurs de domaine (DC) dans le cloud.

Un domaine géré Azure AD DS vous permet d’exécuter dans le cloud des applications héritées qui ne peuvent pas utiliser les méthodes d’authentification modernes, ou pour lesquelles vous ne voulez pas que les recherches d’annuaire reviennent toujours à un environnement AD DS sur site. Vous pouvez lever et déplacer ces applications héritées de votre environnement sur site vers un domaine géré, sans avoir besoin de gérer l’environnement AD DS dans le cloud.

Azure AD DS s’intègre à votre locataire Azure AD existant. Cette intégration permet aux utilisateurs de se connecter aux services et applications connectés au domaine géré en utilisant leurs informations d’identification existantes. Vous pouvez également utiliser les groupes et les comptes d’utilisateurs existants pour sécuriser l’accès aux ressources. Ces fonctionnalités permettent de lever et de transférer en douceur les ressources sur site vers Azure.

Regardez notre courte vidéo pour en savoir plus sur Azure AD DS.

Comment fonctionne Azure AD DS ?

Lorsque vous créez un domaine géré Azure AD DS, vous définissez un espace de noms unique. Cet espace de noms est le nom du domaine, tel que aaddscontoso.com. Deux contrôleurs de domaine (DC) Windows Server sont ensuite déployés dans la région Azure que vous avez sélectionnée. Ce déploiement de DC est connu sous le nom de replica set.

Vous n’avez pas besoin de gérer, configurer ou mettre à jour ces DC. La plateforme Azure gère les DC en tant que partie du domaine géré, y compris les sauvegardes et le chiffrement au repos à l’aide d’Azure Disk Encryption.

Un domaine géré est configuré pour effectuer une synchronisation unidirectionnelle à partir d’Azure AD afin de fournir un accès à un ensemble central d’utilisateurs, de groupes et d’informations d’identification. Vous pouvez créer des ressources directement dans le domaine géré, mais elles ne sont pas synchronisées en retour vers Azure AD. Les applications, les services et les VM d’Azure qui se connectent au domaine géré peuvent ensuite utiliser les fonctionnalités AD DS communes, telles que la jointure de domaines, la stratégie de groupe, LDAP et l’authentification Kerberos/NTLM.

Dans un environnement hybride avec un environnement AD DS sur site, Azure AD Connect synchronise les informations d’identité avec Azure AD, qui est ensuite synchronisé sur le domaine géré.

Azure AD DS réplique les informations d’identité à partir d’Azure AD, il fonctionne donc avec les locataires Azure AD qui sont en nuage uniquement, ou synchronisés avec un environnement AD DS sur site. Le même ensemble de fonctionnalités d’Azure AD DS existe pour les deux environnements.

  • Si vous disposez d’un environnement AD DS sur site existant, vous pouvez synchroniser les informations de compte utilisateur pour fournir une identité cohérente aux utilisateurs. Pour en savoir plus, consultez la section Comment les objets et les informations d’identification sont synchronisés dans un domaine géré.
  • Pour les environnements en nuage uniquement, vous n’avez pas besoin d’un environnement AD DS traditionnel sur site pour utiliser les services d’identité centralisés d’Azure AD DS.

Vous pouvez étendre un domaine géré pour avoir plus d’un ensemble de répliques par locataire Azure AD. Les ensembles de répliques peuvent être ajoutés à tout réseau virtuel pairé dans toute région Azure prenant en charge Azure AD DS. Des ensembles de répliques supplémentaires dans différentes régions Azure permettent une reprise après sinistre géographique pour les applications existantes si une région Azure est hors ligne. Les ensembles de répliques sont actuellement en phase de prévisualisation. Pour plus d’informations, voir Concepts et fonctionnalités des ensembles de répliques pour les domaines gérés.

La vidéo suivante donne un aperçu de la façon dont Azure AD DS s’intègre à vos applications et charges de travail pour fournir des services d’identité dans le cloud :

Pour voir les scénarios de déploiement d’Azure AD DS en action, vous pouvez explorer les exemples suivants :

  • Azure AD DS pour les organisations hybrides
  • Azure AD DS pour les organisations uniquement dans le cloud

Caractéristiques et avantages d’Azure AD DS

Pour fournir des services d’identité aux applications et aux VM dans le cloud, Azure AD DS est entièrement compatible avec un environnement AD DS traditionnel pour des opérations telles que la jonction de domaines, le LDAP sécurisé (LDAPS), la stratégie de groupe, la gestion du DNS et la prise en charge de la liaison et de la lecture LDAP. La prise en charge de l’écriture LDAP est disponible pour les objets créés dans le domaine géré, mais pas pour les ressources synchronisées depuis Azure AD.

Pour en savoir plus sur vos options d’identité, comparez Azure AD DS avec Azure AD, AD DS sur les VM Azure et AD DS sur site.

Les fonctionnalités suivantes d’Azure AD DS simplifient les opérations de déploiement et de gestion :

  • Expérience de déploiement simplifiée : Azure AD DS est activé pour votre locataire Azure AD à l’aide d’un seul assistant dans le portail Azure.
  • Intégré à Azure AD : Les comptes d’utilisateurs, les appartenances à des groupes et les informations d’identification sont automatiquement disponibles à partir de votre locataire Azure AD. Les nouveaux utilisateurs, groupes ou les modifications apportées aux attributs de votre locataire Azure AD ou de votre environnement AD DS sur site sont automatiquement synchronisés avec Azure AD DS.
    • Les comptes des répertoires externes liés à votre Azure AD ne sont pas disponibles dans Azure AD DS. Les informations d’identification ne sont pas disponibles pour ces annuaires externes et ne peuvent donc pas être synchronisées dans un domaine géré.
  • Utilisez les informations d’identification/mots de passe de votre entreprise : Les mots de passe des utilisateurs dans Azure AD DS sont les mêmes que dans votre locataire Azure AD. Les utilisateurs peuvent utiliser leurs informations d’identification d’entreprise pour joindre des machines au domaine, se connecter de manière interactive ou via un bureau à distance, et s’authentifier par rapport au domaine géré.
  • Authentification NTLM et Kerberos : Grâce à la prise en charge de l’authentification NTLM et Kerberos, vous pouvez déployer des applications qui reposent sur l’authentification intégrée à Windows.
  • Haute disponibilité : Azure AD DS comprend plusieurs contrôleurs de domaine, qui assurent une haute disponibilité pour votre domaine géré. Cette haute disponibilité garantit la disponibilité du service et la résilience aux pannes.
    • Dans les régions qui prennent en charge les zones de disponibilité Azure, ces contrôleurs de domaine sont également répartis entre les zones pour une résilience supplémentaire.
    • Les ensembles de répliques peuvent également être utilisés pour fournir une reprise après sinistre géographique pour les applications héritées si une région Azure se déconnecte.

Certains aspects clés d’un domaine géré sont les suivants :

  • Le domaine géré est un domaine autonome. Ce n’est pas une extension d’un domaine sur site.
    • Si nécessaire, vous pouvez créer des trusts de forêt sortants unidirectionnels d’Azure AD DS vers un environnement AD DS sur site. Pour plus d’informations, voir Concepts et fonctionnalités de la forêt de ressources pour Azure AD DS.
  • Votre équipe informatique n’a pas besoin de gérer, de patcher ou de surveiller les contrôleurs de domaine pour ce domaine géré.

Pour les environnements hybrides qui exécutent AD DS sur site, vous n’avez pas besoin de gérer la réplication AD vers le domaine géré. Les comptes d’utilisateur, les appartenances à un groupe et les informations d’identification de votre annuaire sur site sont synchronisés vers Azure AD via Azure AD Connect. Ces comptes d’utilisateur, adhésions de groupe et informations d’identification sont automatiquement disponibles au sein du domaine géré.

Pour en savoir plus sur la comparaison entre Azure AD DS et d’autres solutions d’identité et sur le fonctionnement de la synchronisation, consultez les articles suivants :

  • Comparer Azure AD DS avec Azure AD, les services de domaine Active Directory sur les VM Azure et les services de domaine Active Directory sur site
  • Apprendre comment les services de domaine Azure AD se synchronisent avec votre répertoire Azure AD
  • Pour savoir comment administrer un domaine géré, consultez les concepts de gestion pour les comptes d’utilisateur, les mots de passe et l’administration dans Azure AD DS.

Pour commencer, créez un domaine géré à l’aide du portail Azure.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.