Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les objets et les informations d’identification d’un domaine managé Microsoft Entra Domain Services peuvent être créés localement dans le domaine ou synchronisés à partir d’un locataire Microsoft Entra. Lorsque vous déployez d’abord Domain Services, une synchronisation unidirectionnelle automatique est configurée et a commencé à répliquer les objets à partir de l’ID Microsoft Entra. Cette synchronisation unidirectionnelle continue à s’exécuter en arrière-plan pour maintenir à jour le domaine managé Domain Services avec les modifications apportées par Microsoft Entra ID. Aucune synchronisation ne se produit à partir des services de domaine vers l’ID Microsoft Entra.
Dans un environnement hybride, les objets et les informations d’identification d’un domaine AD DS local peuvent être synchronisés avec l’ID Microsoft Entra à l’aide de Microsoft Entra Connect. Une fois ces objets correctement synchronisés avec l’ID Microsoft Entra, la synchronisation automatique de l’arrière-plan rend ces objets et informations d’identification disponibles pour les applications à l’aide du domaine managé.
Le diagramme suivant illustre le fonctionnement de la synchronisation entre les services de domaine, l’ID Microsoft Entra et un environnement AD DS local facultatif :
Synchronisation de l’ID Microsoft Entra vers Domain Services
Les comptes d’utilisateur, les appartenances aux groupes et les hachages d’informations d’identification sont synchronisés de manière unique entre l’ID Microsoft Entra et les services de domaine. Ce processus de synchronisation est automatique. Vous n’avez pas besoin de configurer, surveiller ou gérer ce processus de synchronisation. La synchronisation initiale peut prendre quelques heures à quelques jours, en fonction du nombre d’objets dans le répertoire Microsoft Entra. Une fois la synchronisation initiale terminée, les modifications apportées dans l’ID Microsoft Entra, telles que les modifications de mot de passe ou d’attribut, sont automatiquement synchronisées avec les services de domaine.
Lorsqu’un utilisateur est créé dans l’ID Microsoft Entra, il n’est pas synchronisé avec les services de domaine tant qu’il n’a pas modifié son mot de passe dans l’ID Microsoft Entra. Ce processus de changement de mot de passe entraîne la génération et le stockage dans Microsoft Entra ID des codes de hachage de mot de passe pour les authentifications Kerberos et NTLM. Les hachages de mot de passe sont nécessaires pour authentifier correctement un utilisateur dans Domain Services.
Le processus de synchronisation est unidirectionnel par conception. Il n’existe aucune synchronisation inversée des modifications des services de domaine vers l’ID Microsoft Entra. Un domaine managé est en grande partie en lecture seule, à l’exception des unités d’organisation personnalisées que vous pouvez créer. Vous ne pouvez pas apporter de modifications aux attributs utilisateur, aux mots de passe utilisateur ou aux appartenances à un groupe au sein d’un domaine managé.
Synchronisation étendue et filtre de groupe
Vous pouvez limiter la synchronisation à des comptes d’utilisateur qui proviennent du cloud. Dans cette étendue de synchronisation, vous pouvez filtrer des groupes ou des utilisateurs spécifiques. Vous pouvez choisir entre les groupes cloud uniquement, les groupes locaux ou les deux. Pour plus d’informations sur la configuration de la synchronisation délimitée, consultez Configurer la synchronisation délimitée.
Synchronisation et mappage d’attributs à Domain Services
Le tableau suivant répertorie certains attributs courants et la façon dont ils sont synchronisés avec les services de domaine.
| Attribut dans les services de domaine | Origine | Remarques |
|---|---|---|
| UPN | Attribut UPN de l’utilisateur dans le tenant Microsoft Entra | L’attribut UPN du locataire Microsoft Entra est synchronisé tel quel vers les services de domaine. La façon la plus fiable de se connecter à un domaine managé consiste à utiliser l’UPN. |
| SAMAccountName | Attribut mailNickname de l’utilisateur, dans le locataire Microsoft Entra ou généré automatiquement | L’attribut SAMAccountName est dérivé de l’attribut mailNickname dans le locataire Microsoft Entra. Si plusieurs comptes d’utilisateur ont le même attribut mailNickname , samAccountName est généré automatiquement. Si le préfixe mailNickname ou UPN de l’utilisateur dépasse 20 caractères, samAccountName est généré automatiquement pour respecter la limite de 20 caractères sur les attributs SAMAccountName . |
| Mots de passe | Mot de passe de l'utilisateur pour le client Microsoft Entra | Les hachages de mot de passe hérités requis pour l’authentification NTLM ou Kerberos sont synchronisés à partir du locataire Microsoft Entra. Si le client Microsoft Entra est configuré pour la synchronisation hybride à l’aide de Microsoft Entra Connect, ces hachages de mot de passe proviennent de l’environnement AD DS sur site. |
| SID d’utilisateur/groupe principal | Généré automatiquement | Le SID principal pour les comptes d’utilisateur/de groupe est généré automatiquement dans Les services de domaine. Cet attribut ne correspond pas au SID d’utilisateur/groupe principal de l’objet dans un environnement AD DS local. Cette incompatibilité est due au fait que le domaine managé a un espace de noms SID différent du domaine AD DS local. |
| Historique des SID pour les utilisateurs et les groupes | SID d’utilisateur principal et de groupe local | L’attribut SidHistory pour les utilisateurs et les groupes dans Domain Services est défini pour correspondre au SID d’utilisateur principal ou de groupe correspondant dans un environnement AD DS local. Cette fonctionnalité facilite la migration des applications locales vers les Services de Domaine, car vous n’avez pas besoin de reconfigurer les ACL des ressources. |
Conseil / Astuce
Connectez-vous au domaine managé à l’aide du format UPN L’attribut SAMAccountName , tel que AADDSCONTOSO\driley, peut être généré automatiquement pour certains comptes d’utilisateur dans un domaine managé.
SamAccountName généré automatiquement par les utilisateurs peut différer de leur préfixe UPN. Il n’est donc pas toujours un moyen fiable de se connecter.
Par exemple, si plusieurs utilisateurs ont le même attribut mailNickname ou que les utilisateurs ont des préfixes UPN trop longs, samAccountName pour ces utilisateurs peuvent être générés automatiquement. Utilisez le format UPN, tel que driley@aaddscontoso.com, pour vous connecter de manière fiable à un domaine managé.
Mappage d’attributs pour les comptes d’utilisateur
Le tableau suivant montre comment des attributs spécifiques pour les objets utilisateur dans l’ID Microsoft Entra sont synchronisés avec les attributs correspondants dans Domain Services.
| Attribut utilisateur dans l’ID Microsoft Entra | Attribut utilisateur dans Domain Services |
|---|---|
| accountEnabled | userAccountControl (définit ou efface le bit ACCOUNT_DISABLED) |
| ville | l |
| nomDeSociété | nomDeSociété |
| pays | co |
| department | department |
| displayName | displayName |
| employeeId | employeeId |
| facsimileTelephoneNumber | facsimileTelephoneNumber |
| givenName | givenName |
| Intitulé du poste | titre |
| courriel | courriel |
| mailNickname | msDS-AzureADMailNickname |
| mailNickname | SAMAccountName (peut parfois être généré automatiquement) |
| gestionnaire | gestionnaire |
| téléphone mobile | téléphone mobile |
| objectid | msDS-aadObjectId |
| onPremiseSecurityIdentifier | sidHistory |
| politiques de mot de passe | userAccountControl (définit ou efface le bit DONT_EXPIRE_PASSWORD) |
| Nom du bureau de livraison physique | Nom du bureau de livraison physique |
| postalCode | postalCode |
| languePréférée | languePréférée |
| proxyAddresses | proxyAddresses |
| état | st |
| streetAddress | streetAddress |
| nom de famille | sn |
| telephoneNumber | telephoneNumber |
| Nom d'utilisateur principal | Nom d'utilisateur principal |
Mappage d’attributs pour les groupes
Le tableau suivant montre comment des attributs spécifiques pour les objets de groupe dans l’ID Microsoft Entra sont synchronisés avec les attributs correspondants dans Domain Services.
| Attribut de groupe dans l’ID Microsoft Entra | Attribut de groupe dans Les services de domaine |
|---|---|
| displayName | displayName |
| displayName | SAMAccountName (peut parfois être généré automatiquement) |
| courriel | courriel |
| mailNickname | msDS-AzureADMailNickname |
| objectid | msDS-AzureADObjectId |
| onPremiseSecurityIdentifier | sidHistory |
| proxyAddresses | proxyAddresses |
| securityEnabled | type de groupe |
Synchronisation à partir d’AD DS local vers Microsoft Entra ID et Domain Services
Microsoft Entra Connect est utilisé pour synchroniser les comptes d’utilisateur, les appartenances aux groupes et les hachages d’informations d’identification d’un environnement AD DS local à l’ID Microsoft Entra. Les attributs des comptes d’utilisateur tels que l’UPN et l’identificateur de sécurité local (SID) sont synchronisés. Pour vous connecter à l’aide des services de domaine, les hachages de mot de passe hérités requis pour l’authentification NTLM et Kerberos sont également synchronisés avec l’ID Microsoft Entra.
Importante
Microsoft Entra Connect doit uniquement être installé et configuré pour la synchronisation avec des environnements AD DS locaux. L’installation de Microsoft Entra Connect n’est pas prise en charge dans un domaine managé pour resynchroniser des objets sur Microsoft Entra ID.
Si vous configurez l’écriture différée, les modifications apportées à l’ID Microsoft Entra sont synchronisées avec l’environnement AD DS local. Par exemple, si un utilisateur modifie son mot de passe à l’aide de la gestion des mots de passe en libre-service Microsoft Entra, le mot de passe est mis à jour dans l’environnement AD DS local.
Remarque
Utilisez toujours la dernière version de Microsoft Entra Connect pour vous assurer que vous disposez de correctifs pour tous les bogues connus.
Synchronisation à partir d’un environnement sur site multi-forêt
De nombreuses organisations ont un environnement AD DS local assez complexe qui inclut plusieurs forêts. Microsoft Entra Connect prend en charge la synchronisation des hachages d’utilisateurs, de groupes et d’informations d’identification à partir d’environnements multi-forêts vers l’ID Microsoft Entra.
Microsoft Entra ID a un espace de noms beaucoup plus simple et plat. Pour permettre aux utilisateurs d’accéder de manière fiable aux applications sécurisées par l’ID Microsoft Entra, résolvez les conflits UPN entre les comptes d’utilisateur dans différentes forêts. Les domaines gérés utilisent une structure d'OU plate, similaire à Microsoft Entra ID. Tous les comptes d’utilisateurs et les groupes sont stockés dans le conteneur Utilisateurs AADDC, en dépit de la synchronisation effectuée à partir de forêts ou de domaines locaux différents, même si vous avez configuré une structure d’unités d’organisation hiérarchique locale. Le domaine managé aplatit toutes les structures hiérarchiques d'unités d'organisation.
Comme indiqué précédemment, il n’existe aucune synchronisation des services de domaine vers l’ID Microsoft Entra. Vous pouvez créer une unité d’organisation personnalisée dans les services de domaine, puis les utilisateurs, les groupes ou les comptes de service au sein de ces unités d’organisation personnalisées. Aucun des objets créés dans des unités d’organisation personnalisées n’est synchronisé avec l’ID Microsoft Entra. Ces objets sont disponibles uniquement dans le domaine managé et ne sont pas visibles à l’aide d’applets de commande Microsoft Graph PowerShell, de l’API Microsoft Graph ou du Centre d’administration Microsoft Entra.
Ce qui n’est pas synchronisé avec les services de domaine
Les objets ou attributs suivants ne sont pas synchronisés à partir d’un environnement AD DS local vers Microsoft Entra ID ou Domain Services :
- Attributs exclus : Vous pouvez choisir d’exclure certains attributs de la synchronisation avec l’ID Microsoft Entra d’un environnement AD DS local à l’aide de Microsoft Entra Connect. Ces attributs exclus ne sont pas ensuite disponibles dans Domain Services.
- Stratégies de groupe : Les stratégies de groupe configurées dans un environnement AD DS local ne sont pas synchronisées avec les services de domaine.
- Dossier Sysvol : Le contenu du dossier Sysvol dans un environnement AD DS local n’est pas synchronisé avec les services de domaine.
- Objets ordinateur : Les objets ordinateur pour les ordinateurs joints à un environnement AD DS local ne sont pas synchronisés avec les services de domaine. Ces ordinateurs n’ont pas de relation d’approbation avec le domaine managé et appartiennent uniquement à l’environnement AD DS local. Dans Domain Services, seuls les objets d'ordinateur pour les ordinateurs qui ont explicitement été rattachés au domaine géré sont affichés.
- Attributs SidHistory pour les utilisateurs et les groupes : Les SID d’utilisateur principal et de groupe principal d’un environnement AD DS local sont synchronisés avec les services de domaine. Toutefois, les attributs SidHistory existants pour les utilisateurs et les groupes ne sont pas synchronisés entre l’environnement AD DS local et les services de domaine.
- Structures d’unités d’organisation (UO) : Les unités organisationnelles définies dans un environnement AD DS local ne sont pas synchronisées avec les services de domaine. Il existe deux unités d’organisation intégrées dans les services de domaine : une pour les utilisateurs et une pour les ordinateurs. Le domaine managé a une structure d’unité d’organisation plate. Vous pouvez choisir de créer une unité d’organisation personnalisée dans votre domaine managé.
Considérations relatives à la synchronisation de hachage de mot de passe et à la sécurité
Lorsque vous activez Domain Services, les hachages de mot de passe hérités pour l’authentification NTLM et Kerberos sont requis. Microsoft Entra ID ne stocke pas les mots de passe en texte clair. Ces hachages ne peuvent donc pas être générés automatiquement pour les comptes d’utilisateur existants. Les hachages de mot de passe compatibles NTLM et Kerberos sont toujours stockés de manière chiffrée dans l’ID Microsoft Entra.
Les clés de chiffrement sont uniques pour chaque locataire Microsoft Entra. Ces hachages sont chiffrés de telle sorte que seuls les services de domaine ont accès aux clés de déchiffrement. Aucun autre service ou composant de Microsoft Entra ID n’a accès aux clés de déchiffrement.
Les hachages de mot de passe hérités sont ensuite synchronisés à partir de Microsoft Entra ID dans les contrôleurs de domaine d’un domaine managé. Les disques de ces contrôleurs de domaine gérés dans les services de domaine sont chiffrés lorsqu'ils sont inactifs. Ces hachages de mot de passe sont stockés et sécurisés sur ces contrôleurs de domaine comme la façon dont les mots de passe sont stockés et sécurisés dans un environnement AD DS local.
Pour les environnements Microsoft Entra cloud uniquement, les utilisateurs doivent réinitialiser/modifier leur mot de passe afin que les hachages de mot de passe requis soient générés et stockés dans l’ID Microsoft Entra. Pour tout compte d’utilisateur cloud créé dans Microsoft Entra ID après l’activation des services de domaine Microsoft Entra, les hachages de mot de passe sont générés et stockés dans les formats compatibles NTLM et Kerberos. Tous les comptes d’utilisateurs cloud doivent modifier leur mot de passe avant qu’ils ne soient synchronisés avec les services de domaine.
Pour les comptes d’utilisateurs hybrides synchronisés à partir d’un environnement AD DS local à l’aide de Microsoft Entra Connect, vous devez configurer Microsoft Entra Connect pour synchroniser les hachages de mot de passe dans les formats compatibles NTLM et Kerberos.
Étapes suivantes
Pour plus d’informations sur les spécificités de la synchronisation de mot de passe, consultez Le fonctionnement de la synchronisation de hachage de mot de passe avec Microsoft Entra Connect.
Pour commencer à utiliser Domain Services, créez un domaine managé.