Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Machines virtuelles Azure
Réseau virtuel Azure
Microsoft Entra ID
Microsoft Entra ID est un service d’identité et d’annuaire basé sur le cloud. Cette architecture de référence présente les meilleures pratiques pour l’intégration des domaines Active Directory locaux avec Microsoft Entra ID afin de fournir une authentification d’identité informatique.
Architecture
Téléchargez un fichier Visio de cette architecture.
Note
Par souci de simplicité, ce diagramme affiche uniquement les connexions directement liées à l’ID Microsoft Entra et non au trafic lié au protocole qui peut se produire dans le cadre de l’authentification et de la fédération d’identité. Par exemple, une application web peut rediriger le navigateur web pour authentifier la demande via l’ID Microsoft Entra. Après l’authentification, la demande peut être renvoyée à l’application web, ainsi que les informations d’identité appropriées.
Components
Locataire Microsoft Entra : Instance de Microsoft Entra ID créé par votre organisation. Il joue le rôle de service d’annuaire pour les applications cloud en stockant les objets copiés à partir de l’annuaire Active Directory local et fournit des services d’identité.
Sous-réseau de couche Web : Ce sous-réseau héberge des machines virtuelles qui exécutent une application web. Microsoft Entra ID sert de répartiteur d’identité pour cette application.
Serveur Active Directory Domain Services (AD DS) local : Un service d’annuaire et d’identité local. Le répertoire AD DS peut être synchronisé avec Microsoft Entra ID pour lui permettre d’authentifier les utilisateurs locaux.
Serveur Microsoft Entra Connect Sync : Un ordinateur local qui exécute le service de synchronisation Microsoft Entra Connect . Ce service synchronise les informations stockées dans Active Directory local avec l’ID Microsoft Entra. Par exemple, l’approvisionnement ou le déprovisionnement des utilisateurs et des groupes locaux synchronise automatiquement ces modifications à l’ID Microsoft Entra.
Note
Pour des raisons de sécurité, Microsoft Entra ID stocke les mots de passe utilisateur comme hachages. Si un utilisateur nécessite une réinitialisation de mot de passe, la réinitialisation doit être effectuée localement et le hachage mis à jour doit être envoyé à l’ID Microsoft Entra. Les éditions P1 ou P2 d’ID Microsoft Entra incluent des fonctionnalités qui autorisent l’initialisé des modifications de mot de passe dans le cloud, puis réécrites dans ad DS local.
Machines virtuelles pour les applications multiniveau : Machines virtuelles qui prennent en charge des applications évolutives, résilientes et sécurisées en séparant les charges de travail en différents niveaux tels que le web, la logique métier et les données. Pour plus d’informations sur ces ressources, consultez l’architecture multiniveau sur les machines virtuelles.
Détails du scénario
Cas d’usage potentiels
Tenez compte des utilisations classiques suivantes pour cette architecture de référence :
Les applications web déployées dans Azure qui fournissent un accès aux utilisateurs distants qui appartiennent à votre organisation.
Implémentation de fonctionnalités en libre-service pour les clients, telles que la réinitialisation de leurs mots de passe et la délégation de la gestion des groupes. Cette fonctionnalité nécessite l’édition Microsoft Entra ID P1 ou P2.
Les architectures dans lesquelles le réseau local et le réseau virtuel Azure de l’application ne sont pas connectés à l’aide d’un tunnel VPN ou d’un circuit Azure ExpressRoute.
Note
Microsoft Entra ID peut authentifier l’identité des utilisateurs et des applications qui existent dans le répertoire d’une organisation. Certaines applications et services, tels que SQL Server, peuvent nécessiter une authentification par ordinateur, auquel cas cette solution n’est pas appropriée.
Recommendations
Vous pouvez appliquer les recommandations suivantes à la plupart des scénarios. Suivez ces recommandations, sauf si vous avez un besoin spécifique qui vous oblige à les ignorer.
Configurez le service de synchronisation Microsoft Entra Connect
Le service de synchronisation Microsoft Entra Connect garantit que les informations d’identité stockées dans le cloud sont cohérentes avec celles stockées localement. Vous installez ce service à l’aide du logiciel Microsoft Entra Connect.
Avant d’implémenter Microsoft Entra Connect Sync, déterminez les exigences de synchronisation de votre organisation. Par exemple, tenez compte des éléments à synchroniser, des domaines à inclure et de la fréquence à laquelle la synchronisation doit se produire.
Vous pouvez exécuter le service de synchronisation Microsoft Entra Connect sur une machine virtuelle ou un ordinateur hébergé localement. Selon la volatilité des informations stockées dans votre répertoire Microsoft Entra, la charge sur le service de synchronisation Azure AD Connect a peu de chances d’être élevée après la synchronisation initiale avec Microsoft Entra ID. L’exécution du service sur une machine virtuelle permet de mettre à l’échelle le serveur plus facilement si nécessaire. Surveillez l’activité sur la machine virtuelle, comme décrit dans la section Considérations relatives à la surveillance pour déterminer si la mise à l’échelle est nécessaire.
Si vous avez plusieurs domaines locaux dans une forêt, nous vous recommandons de stocker et de synchroniser des informations pour l’ensemble de la forêt sur un seul locataire Microsoft Entra. Filtrez les informations relatives aux identités qui se produisent dans plusieurs domaines afin que chaque identité apparaisse une seule fois dans l’ID Microsoft Entra au lieu d’être dupliquée. La duplication peut entraîner des incohérences lorsque les données sont synchronisées. Pour plus d’informations, consultez la section Valider la topologie de réseau .
Utilisez le filtrage afin de stocker uniquement les données nécessaires dans Microsoft Entra ID. Par exemple, votre organisation ne souhaite peut-être pas que les informations sur les comptes inactifs soient stockées dans Microsoft Entra ID. Le filtrage peut être effectué par groupe, par domaine, par unité d’organisation ou par attribut. Vous pouvez combiner des filtres pour créer des règles plus complexes. Par exemple, vous pouvez synchroniser des objets conservés dans un domaine qui ont une valeur spécifique dans un attribut sélectionné. Pour plus d’informations, consultez Microsoft Entra Connect Sync : Configurer le filtrage.
Pour implémenter la haute disponibilité pour le service de synchronisation Active Directory Connect, exécutez un serveur intermédiaire secondaire. Pour plus d’informations, consultez le mode intermédiaire.
Note
La synchronisation cloud Microsoft Entra est une offre de Microsoft conçue pour atteindre et atteindre vos objectifs d’identité hybride pour la synchronisation des utilisateurs, des groupes et des contacts avec Microsoft Entra ID. Avec la synchronisation cloud Microsoft Entra, l’approvisionnement d’Active Directory vers l’ID Microsoft Entra est orchestré dans Microsoft 365.
Valider la configuration et la stratégie de sécurité
Gestion des mots de passe utilisateur. Les éditions microsoft Entra ID P1 ou P2 prennent en charge l’écriture différée de mot de passe. Cette fonctionnalité permet à vos utilisateurs locaux d’effectuer des réinitialisations de mot de passe en libre-service à partir du portail Azure. Cette fonctionnalité ne doit être activée qu’après avoir examiné la stratégie de sécurité de mot de passe de votre organisation. Par exemple, vous pouvez restreindre les utilisateurs qui peuvent modifier leurs mots de passe et personnaliser l’expérience de gestion des mots de passe. Pour plus d’informations, consultez [Personnaliser l’expérience utilisateur pour la réinitialisation du mot de passe en libre-service Microsoft Entra].
Protéger les applications locales qui sont accessibles aux utilisateurs externes. Utilisez le proxy d’application Microsoft Entra ID afin de fournir un accès contrôlé aux applications web locales aux utilisateurs externes à votre réseau par le biais de Microsoft Entra ID. Seuls les utilisateurs disposant d’informations d’identification valides dans votre annuaire Azure sont autorisés à utiliser l’application. Pour plus d’informations, consultez Activer le proxy d’application dans l’ID Microsoft Entra.
Surveillez activement Microsoft Entra ID pour détecter tout signe d’activité suspecte. Envisagez d’utiliser l’édition Microsoft Entra ID P2, qui inclut Microsoft Entra ID Protection. ID Protection utilise des algorithmes d’apprentissage automatique adaptatifs et des heuristiques pour détecter les anomalies et les événements à risque susceptibles d’indiquer qu’une identité a été compromise. Par exemple, il peut détecter des activités potentiellement inhabituelles telles que des activités de connexion irrégulières, des connexions provenant de sources inconnues ou d’adresses IP avec une activité suspecte ou des connexions à partir d’appareils susceptibles d’être infectés. Identity Protection utilise ces données pour générer des rapports et des alertes qui vous permettent d’investiguer ces événements à risque et de prendre les mesures qui s’imposent. Pour plus d’informations, consultez Protection des ID.
Vous pouvez utiliser la fonctionnalité de création de rapports de Microsoft Entra ID dans le portail Azure pour surveiller les activités liées à la sécurité qui se produisent dans votre système. Pour plus d’informations sur l’utilisation de ces rapports, consultez Surveillance et intégrité de Microsoft Entra.
Valider la topologie de réseau
Configurez Microsoft Entra Connect de manière à implémenter une topologie correspondant le mieux aux exigences de votre organisation. Microsoft Entra Connect prend en charge les topologies suivantes :
Forêt unique, répertoire Microsoft Entra unique : Dans cette topologie, Microsoft Entra Connect synchronise les objets et les informations d’identité d’un ou de plusieurs domaines d’une forêt locale unique en un seul locataire Microsoft Entra. Cette topologie est l’implémentation par défaut effectuée par l’installation rapide de Microsoft Entra Connect.
Note
N’utilisez pas plusieurs serveurs Microsoft Entra Connect Sync pour connecter différents domaines dans la même forêt locale au même locataire Microsoft Entra. Cette configuration est appropriée uniquement si l’un des serveurs s’exécute en mode intermédiaire, comme décrit dans la section suivante.
Plusieurs forêts, répertoire Microsoft Entra unique : Dans cette topologie, Microsoft Entra Connect synchronise les objets et les informations d’identité de plusieurs forêts en un seul locataire Microsoft Entra. Utilisez cette topologie si votre organisation possède plusieurs forêts locales. Vous pouvez consolider les informations d’identité afin que chaque utilisateur unique soit représenté une fois dans le répertoire Microsoft Entra, même si l’utilisateur existe dans plusieurs forêts. Toutes les forêts utilisent le même serveur de synchronisation Microsoft Entra Connect. Le serveur Microsoft Entra Connect Sync doit être joint à un domaine et accessible à partir de toutes les forêts. Pour plus d’informations, consultez Conditions préalables pour Microsoft Entra Connect.
Note
Dans cette topologie, n’utilisez pas de serveurs de synchronisation Microsoft Entra Connect distincts pour connecter chaque forêt locale à un locataire Microsoft Entra unique. Cette configuration peut entraîner des informations d’identité dupliquées dans Microsoft Entra ID si les utilisateurs sont présents dans plusieurs forêts.
Plusieurs forêts, topologies distinctes : Cette topologie fusionne les informations d’identité des forêts distinctes dans un seul locataire Microsoft Entra et traite toutes les forêts comme des entités distinctes. Cette topologie est utile si vous combinez des forêts provenant de différentes organisations et que les informations d’identité de chaque utilisateur sont conservées dans une seule forêt.
Note
Si les listes d’adresses globales de chaque forêt sont synchronisées, un utilisateur d’une forêt peut être présent dans un autre en tant que contact. Ce comportement peut se produire si votre organisation a implémenté GALSync avec Forefront Identity Manager 2010 ou Microsoft Identity Manager 2016. Dans ce scénario, vous pouvez spécifier que les utilisateurs doivent être identifiés par leur attribut Courrier . Vous pouvez également faire correspondre les identités à l’aide des attributs ObjectSID et msExchMasterAccountSID . Cette approche est utile si vous avez une ou plusieurs forêts de ressources qui ont désactivé des comptes.
Serveur intermédiaire : Dans cette configuration, vous exécutez une deuxième instance du serveur Microsoft Entra Connect Sync en parallèle avec la première. Cette structure prend en charge les scénarios suivants :
Disponibilité élevée
Test et déploiement d’une nouvelle configuration du serveur Microsoft Entra Connect Sync
Présentation d’un nouveau serveur et désaffectation d’une ancienne configuration
Dans ces scénarios, la deuxième instance s’exécute en mode intermédiaire. Le serveur enregistre les objets importés et les données de synchronisation dans sa base de données, mais ne transmet pas les données à l’ID Microsoft Entra. Si vous désactivez le mode intermédiaire, le serveur commence à écrire des données dans l’ID Microsoft Entra. Il commence également à effectuer des réécritures de mot de passe dans les répertoires locaux, le cas échéant. Pour plus d’informations, consultez Synchronisation Microsoft Entra Connect : tâches et examen opérationnels.
Répertoires Microsoft Entra multiples : Vous créez généralement un seul annuaire Microsoft Entra pour une organisation. Toutefois, il peut y avoir des scénarios où vous devez partitionner des informations entre des répertoires Microsoft Entra distincts. Dans ce cas, évitez les problèmes de synchronisation et de réécriture de mot de passe en veillant à ce que chaque objet de la forêt locale apparaisse dans un seul répertoire Microsoft Entra. Pour implémenter ce scénario, configurez des serveurs de synchronisation Microsoft Entra Connect distincts pour chaque répertoire Microsoft Entra et utilisez le filtrage afin que chaque serveur de synchronisation Microsoft Entra Connect opère sur un ensemble d’objets mutuellement exclusifs.
Pour plus d’informations sur ces topologies, consultez Topologies relatives à Microsoft Entra Connect.
Configurer la méthode d’authentification utilisateur
Par défaut, le serveur de synchronisation Microsoft Entra Connect configure la synchronisation de hachage du mot de passe entre le domaine local et Microsoft Entra ID. Le service Microsoft Entra part du principe que les utilisateurs s’authentifient en fournissant le même mot de passe que celui qu’ils utilisent localement. Cette stratégie est adaptée à de nombreuses organisations, mais vous devez prendre en considération les stratégies et l’infrastructure existantes de votre organisation. Tenez compte des facteurs suivants :
La stratégie de sécurité de votre organisation peut interdire la synchronisation des hachages de mot de passe vers le cloud. Dans ce cas, votre organisation doit envisager l’authentification directe.
Vous pouvez avoir besoin que les utilisateurs bénéficient d’une authentification unique (SSO) transparente quand ils accèdent aux ressources cloud à partir de machines jointes au domaine sur le réseau d’entreprise.
Votre organisation peut déjà avoir des services de fédération Active Directory (AD FS) ou un fournisseur de fédération non-Microsoft déployé. Vous pouvez configurer Microsoft Entra ID pour utiliser cette infrastructure pour implémenter l’authentification et l’authentification unique au lieu d’utiliser des informations de mot de passe conservées dans le cloud.
Pour plus d’informations, consultez les options de connexion utilisateur Microsoft Entra Connect.
Configurer le proxy d’application Microsoft Entra
Utilisez Microsoft Entra ID pour fournir l’accès aux applications locales.
Exposez vos applications web locales à l’aide de connecteurs proxy d’application que le composant proxy d’application Microsoft Entra gère. Le connecteur de proxy d’application ouvre une connexion réseau sortante au proxy d’application Microsoft Entra. Les requêtes des utilisateurs distants sont routées de Microsoft Entra ID vers les applications web par le biais de cette connecteur de proxy. Cette configuration évite d’avoir à ouvrir des ports entrants sur le pare-feu local, et réduit la surface d’attaque exposée par votre organisation.
Pour plus d’informations, consultez Publier des applications à l’aide du proxy d’application Microsoft Entra.
Configurez la synchronisation d’objets Microsoft Entra
La configuration par défaut de Microsoft Entra Connect synchronise les objets à partir de votre annuaire Active Directory local en fonction des règles spécifiées dans Microsoft Entra Connect Sync : comprendre la configuration par défaut. Les objets qui répondent à ces règles sont synchronisés, tandis que tous les autres objets sont ignorés. Considérez les exemples de règles suivants :
Les objets utilisateur doivent avoir un attribut sourceAnchor unique et l’attribut accountEnabled doit être rempli.
Les objets utilisateur doivent avoir un attribut sAMAccountName et ne peuvent pas commencer par le texte azure AD_ ou MSOL_.
Microsoft Entra Connect applique plusieurs règles aux objets User, Contact, Group, ForeignSecurityPrincipal et Computer. Utilisez l’Éditeur de règles de synchronisation installé avec Microsoft Entra Connect si vous devez modifier l’ensemble de règles par défaut.
Vous pouvez également définir vos propres filtres pour limiter les objets à synchroniser par domaine ou unité d’organisation. Vous pouvez également implémenter un filtrage personnalisé plus complexe.
Configurer les agents de surveillance
Les agents suivants installés localement effectuent une surveillance de l’intégrité :
Microsoft Entra Connect installe un agent qui enregistre les informations sur les opérations de synchronisation. Utilisez le panneau Microsoft Entra Connect Health dans le portail Azure pour surveiller l’intégrité et le niveau de performance du service. Pour plus d’informations, consultez Utiliser Microsoft Entra Connect Health pour la synchronisation.
Pour surveiller l’intégrité des domaines et des répertoires AD DS à partir d’Azure, installez l’agent Microsoft Entra Connect Health pour AD DS sur une machine se trouvant dans le domaine local. Utilisez le panneau Microsoft Entra Connect Health dans le portail Azure pour la surveillance de l’intégrité. Pour plus d’informations, consultez Utiliser Microsoft Entra Connect Health avec AD DS.
Installez l’agent Microsoft Entra Connect Health pour AD FS pour surveiller l’intégrité des services qui s’exécutent localement et utilisez le panneau Microsoft Entra Connect Health dans le portail Azure pour surveiller AD FS. Pour plus d’informations, consultez Utiliser Microsoft Entra Connect Health avec AD FS.
Pour plus d’informations, consultez Installation de l’agent Microsoft Entra Connect Health.
Considerations
Ces considérations implémentent les piliers d’Azure Well-Architected Framework, un ensemble de principes directeurs que vous pouvez utiliser pour améliorer la qualité d’une charge de travail. Pour plus d’informations, consultez Well-Architected Framework.
Reliability
La fiabilité permet de s’assurer que votre application peut respecter les engagements que vous prenez à vos clients. Pour plus d’informations, consultez liste de vérification de la révision de conception pour lede fiabilité.
Le service Microsoft Entra est géodistribué et s’exécute dans plusieurs centres de données disséminés à travers le monde avec basculement automatisé. Si un centre de données devient indisponible, Microsoft Entra ID garantit que vos données d’annuaire sont disponibles pour l’accès par exemple dans un minimum de deux centres de données distribués géographiquement.
Note
Le contrat de niveau de service (SLA) pour le niveau Microsoft 365 Apps AD et les services Premium garantit au moins 99,9% disponibilité. Il n’existe aucun contrat SLA pour le niveau Gratuit de Microsoft Entra ID. Pour plus d’informations, consultez SLA pour Microsoft Entra ID.
Envisagez d’approvisionner une deuxième instance du serveur Microsoft Entra Connect Sync en mode intermédiaire pour augmenter la disponibilité.
Si vous n’utilisez pas l’instance Base de données locale SQL Server Express fournie avec Microsoft Entra Connect, utilisez le clustering SQL pour bénéficier d’une haute disponibilité. Microsoft Entra Connect ne prend pas en charge les solutions telles que la mise en miroir et Always On.
Pour obtenir d’autres considérations sur la haute disponibilité du serveur Microsoft Entra Connect Sync et sur la récupération après une défaillance, consultez Microsoft Entra Connect Sync : Tâches opérationnelles et considérations - Récupération d’urgence.
Security
La sécurité offre des garanties contre les attaques délibérées et l’utilisation abusive de vos données et systèmes précieux. Pour plus d’informations, consultez liste de vérification de la révision de conception pour security.
Utilisez le contrôle d’accès conditionnel Microsoft Entra pour refuser les demandes d’authentification provenant de sources inattendues :
Déclenchez l’authentification multifacteur Microsoft Entra (MFA) si un utilisateur tente de se connecter à partir d’un emplacement non approuvé, par exemple à partir d’internet au lieu d’un réseau approuvé.
Utilisez le type de plateforme d’appareil de l’utilisateur, comme iOS, Android ou Windows, pour déterminer la stratégie d’accès aux applications et fonctionnalités.
Enregistrez l’état activé ou désactivé des appareils des utilisateurs. Incorporez ces informations dans les vérifications de stratégie d’accès. Par exemple, si le téléphone d’un utilisateur est perdu ou volé, il doit être enregistré comme désactivé pour empêcher son utilisation pour obtenir l’accès.
Contrôlez l’accès des utilisateurs aux ressources en fonction de l’appartenance à un groupe. Utilisez les règles d’adhésion dynamique Microsoft Entra pour simplifier l’administration des groupes.
Utilisez des stratégies basées sur les risques d’accès conditionnel avec la protection d’ID pour fournir une protection avancée basée sur des activités de connexion inhabituelles ou d’autres événements.
Pour plus d’informations, consultez Stratégies d’accès basées sur les risques.
Optimisation des coûts
L’optimisation des coûts se concentre sur les moyens de réduire les dépenses inutiles et d’améliorer l’efficacité opérationnelle. Pour plus d’informations, consultez liste de vérification de la révision de conception pour l’optimisation des coûts.
Utiliser la calculatrice de prix Azure pour estimer les coûts.
Tenez compte des considérations de coût suivantes :
Microsoft Entra Connect : La fonctionnalité de synchronisation Microsoft Entra Connect est disponible dans toutes les éditions de Microsoft Entra ID.
Il n’existe aucune exigence de licence supplémentaire pour l’utilisation de Microsoft Entra Connect. Il est inclus dans votre abonnement Azure.
Pour plus d’informations sur les éditions de Microsoft Entra ID, consultez la tarification de Microsoft Entra.
Machines virtuelles pour l’application multiniveau : Pour plus d’informations sur ces ressources, consultez les meilleures pratiques d’architecture pour les machines virtuelles Azure et les groupes identiques.
Excellence opérationnelle
L’excellence opérationnelle couvre les processus d’exploitation qui déploient une application et la conservent en production. Pour plus d’informations, consultez liste de vérification de la révision de conception pour l’excellence opérationnelle.
Manageability
La gestion de Microsoft Entra ID comprend deux aspects :
- Administration de l’ID Microsoft Entra dans le cloud
- Gestion des serveurs Microsoft Entra Connect Sync
Microsoft Entra ID offre les options suivantes pour la gestion des domaines et des répertoires dans le cloud :
Le module Microsoft Graph PowerShell est utilisé pour scripter des tâches administratives Microsoft Entra courantes, telles que la gestion des utilisateurs, la gestion de domaine et la configuration de l’authentification unique.
Le panneau de gestion Microsoft Entra dans le portail Azure fournit une vue de gestion interactive du répertoire. Il vous permet également de contrôler et de configurer la plupart des aspects de Microsoft Entra ID.
Microsoft Entra Connect installe les outils suivants pour gérer les services de synchronisation Microsoft Entra Connect à partir de vos machines locales :
La console Microsoft Entra Connect vous permet de modifier la configuration du serveur Microsoft Entra Connect Sync, de personnaliser la façon dont la synchronisation se produit, d’activer ou de désactiver le mode intermédiaire et de changer le mode de connexion utilisateur. Vous pouvez activer la connexion AD FS à l’aide de votre infrastructure locale.
Synchronization Service Manager utilise l’onglet Opérations de cet outil pour gérer le processus de synchronisation et détecter si des parties du processus ont échoué. Vous pouvez déclencher manuellement des synchronisations à l’aide de cet outil. L’onglet Connecteurs vous permet de contrôler les connexions pour les domaines auxquels le moteur de synchronisation est attaché.
L’éditeur de règles de synchronisation vous permet de personnaliser la façon dont les objets sont transformés lorsqu’ils sont copiés entre un répertoire local et l’ID Microsoft Entra. Cet outil vous permet de spécifier des attributs et des objets supplémentaires pour la synchronisation. Ensuite, il implémente des filtres pour déterminer quels objets doivent ou ne doivent pas être synchronisés. Pour plus d’informations, consultez Microsoft Entra Connect Sync : Comprendre la configuration par défaut et Microsoft Entra Connect Sync : Meilleures pratiques pour modifier la configuration par défaut.
DevOps
Pour plus d’informations sur DevOps, consultez Operational Excellence in Deploy AD DS dans un réseau virtuel Azure.
Efficacité des performances
L’efficacité des performances fait référence à la capacité de votre charge de travail à mettre à l’échelle pour répondre efficacement aux demandes des utilisateurs. Pour plus d’informations, consultez liste de vérification de la révision de conception pour l’efficacité des performances.
Le service Microsoft Entra prend en charge l’extensibilité en fonction des réplicas. Il dispose d’un seul réplica principal qui gère les opérations d’écriture et plusieurs réplicas secondaires en lecture seule. Microsoft Entra ID redirige de manière transparente les écritures effectuées sur les réplicas secondaires vers le réplica principal et maintient la cohérence éventuelle. Toutes les modifications apportées au réplica principal sont propagées aux réplicas secondaires. Cette architecture est mise à l’échelle efficacement, car la plupart des opérations effectuées sur l’ID Microsoft Entra sont des lectures au lieu d’écritures. Pour plus d’informations, consultez l’architecture De Microsoft Entra.
Pour le serveur de synchronisation Microsoft Entra Connect, déterminez le nombre d’objets de votre répertoire local que vous êtes susceptible de synchroniser. Si vous avez moins de 100 000 objets, vous pouvez utiliser le logiciel SQL Server Express LocalDB par défaut fourni avec Microsoft Entra Connect. Si vous avez un plus grand nombre d’objets, installez une version de production de SQL Server. Ensuite, effectuez une installation personnalisée de Microsoft Entra Connect et spécifiez qu’elle doit utiliser une instance SQL Server existante.
Contributors
Microsoft gère cet article. Les contributeurs suivants ont écrit cet article.
Auteur principal :
- Eric Woodruff | Spécialiste technique du produit
Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.
Étapes suivantes
- Passez en revue les topologies de Microsoft Entra Connect pour vous assurer que la topologie hybride de Microsoft Entra Connect est déployée dans une configuration prise en charge.
- Découvrez comment utiliser le déploiement d’accès conditionnel pour protéger l’accès à vos applications.
- Passez en revue Intégrer ad local à Microsoft Entra ID pour plus d’informations sur la fourniture d’AD DS dans Azure en tant qu’infrastructure.
- Passez en revue le proxy d’application Microsoft Entra si vous avez l’intention de fournir des intégrations Microsoft Entra avec une infrastructure locale ou cloud en tant qu’applications de service.
- Passez en revue les meilleures pratiques de gestion des identités , car l’identité est le nouveau plan de contrôle pour la sécurité.
- Passez en revue l’accès privilégié sécurisé , car le déploiement de cette solution nécessite des comptes hautement privilégiés.