Tutoriel : Créer une machine virtuelle de gestion pour configurer et administrer un domaine managé Microsoft Entra Domain Services

Microsoft Entra Domain Services fournit des services de domaine managés tels que la jonction de domaine, la stratégie de groupe, LDAP et l’authentification Kerberos/NTLM entièrement compatible avec Windows Server Active Directory. Vous administrez ce domaine managé à l’aide des mêmes outils d’administration de serveur distant (RSAT) qu’avec un domaine Active Directory Domain Services local. Comme Domain Services est un service managé, il existe certaines tâches d’administration que vous ne pouvez pas effectuer, telles que l’utilisation du protocole RDP (Remote Desktop Protocol) pour se connecter aux contrôleurs de domaine.

Ce tutoriel vous montre comment configurer une machine virtuelle Windows Server dans Azure et installer les outils nécessaires pour administrer un domaine managé Des services de domaine.

Dans ce tutoriel, vous allez apprendre à :

Si vous n’avez pas d’abonnement Azure, créez un compte avant de commencer.

Prerequisites

Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :

• Un abonnement Azure actif.
  • Si vous n’avez pas d’abonnement Azure, créez un compte.
• Un tenant Microsoft Entra associé à votre abonnement, soit synchronisé avec un annuaire local, soit uniquement avec un annuaire cloud.
  • Si nécessaire, créez un locataire Microsoft Entra ou associez un abonnement Azure à votre compte.
• Un domaine géré par Microsoft Entra Domain Services, activé et configuré dans le tenant de votre instance Microsoft Entra.
  • Si nécessaire, consultez le premier tutoriel pour créer et configurer un domaine managé Microsoft Entra Domain Services.
• Machine virtuelle Windows Server jointe au domaine managé.
  • Si nécessaire, consultez le tutoriel précédent pour créer une machine virtuelle Windows Server et la joindre à un domaine managé.
• Un compte d'utilisateur qui est membre du groupe Administrateurs Microsoft Entra DC dans votre locataire Microsoft Entra.
• Un hôte Azure Bastion déployé dans votre réseau virtuel Domain Services.
  • Si nécessaire, créez un hôte Azure Bastion.

Connectez-vous au Centre d’administration Microsoft Entra

Dans ce tutoriel, vous allez créer et configurer une machine virtuelle de gestion à l’aide du Centre d’administration Microsoft Entra. Pour commencer, connectez-vous d’abord au Centre d’administration Microsoft Entra.

Tâches d’administration disponibles dans Les services de domaine

Domain Services fournit un domaine managé pour vos utilisateurs, applications et services à consommer. Cette approche modifie certaines des tâches de gestion disponibles que vous pouvez effectuer et les privilèges dont vous disposez dans le domaine managé. Ces tâches et autorisations peuvent être différentes de celles que vous rencontrez avec un environnement Active Directory Domain Services local standard. Vous ne pouvez pas également vous connecter aux contrôleurs de domaine sur le domaine managé à l’aide du Bureau à distance.

Tâches d’administration que vous pouvez effectuer sur un domaine managé

Les membres du groupe Administrateurs du contrôleur de domaine AAD reçoivent des privilèges sur le domaine géré qui leur permettent d’effectuer différentes tâches telles que :

• Configurez l’objet de stratégie de groupe intégré (GPO) pour les conteneurs Ordinateurs AADDC et Utilisateurs AADDC dans le domaine managé.
• Administrer DNS sur le domaine managé.
• Créez et administrez des unités d’organisation personnalisées sur le domaine managé.
• Bénéficiez d’un accès administratif aux ordinateurs joints au domaine managé.

Privilèges d’administration que vous n’avez pas sur un domaine managé

Le domaine managé est verrouillé. Vous n’avez donc pas de privilèges pour effectuer certaines tâches administratives sur le domaine. Voici quelques exemples de tâches que vous ne pouvez pas effectuer :

• Étendez le schéma du domaine managé.
• Connectez-vous aux contrôleurs de domaine pour le domaine managé à l’aide du Bureau à distance.
• Ajoutez des contrôleurs de domaine au domaine managé.
• Vous n’avez pas de privilèges d’administrateur de domaine ou d’administrateur d’entreprise pour le domaine managé.

Se connecter à la machine virtuelle Windows Server

Dans le tutoriel précédent, une machine virtuelle Windows Server a été créée et jointe au domaine managé. Utilisez cette machine virtuelle pour installer les outils de gestion. Si nécessaire, suivez les étapes du didacticiel pour créer et joindre une machine virtuelle Windows Server à un domaine managé.

Pour commencer, connectez-vous à la machine virtuelle Windows Server comme suit :

1. Dans le Centre d’administration Microsoft Entra, sélectionnez Groupes de ressources sur le côté gauche. Choisissez le groupe de ressources où votre machine virtuelle a été créée, par exemple myResourceGroup, puis sélectionnez la machine virtuelle, telle que myVM.

2. Dans le volet Vue d’ensemble de votre machine virtuelle, sélectionnez Se connecter, puis Bastion.

   

3. Entrez les informations d’identification de votre machine virtuelle, puis sélectionnez Se connecter.

   

Si nécessaire, autorisez votre navigateur web à ouvrir des fenêtres contextuelles pour que la connexion Bastion s’affiche. La connexion à votre machine virtuelle prend quelques secondes.

Installer les outils d’administration Active Directory

Vous utilisez les mêmes outils d’administration dans un domaine managé que les environnements AD DS locaux, tels que le Centre d’administration Active Directory (ADAC) ou AD PowerShell. Ces outils peuvent être installés dans le cadre de la fonctionnalité Outils d’administration de serveur distant (RSAT) sur les ordinateurs clients et Windows Server. Les membres du groupe Administrateurs AAD DC peuvent ensuite administrer des domaines managés à distance à l’aide de ces outils d’administration AD à partir d’un ordinateur joint au domaine managé.

Pour installer les outils d’administration Active Directory sur une machine virtuelle jointe à un domaine, procédez comme suit :

1. Si le Gestionnaire de serveur ne s’ouvre pas par défaut lorsque vous vous connectez à la machine virtuelle, sélectionnez le menu Démarrer , puis choisissez Gestionnaire de serveur.

2. Dans le volet Tableau de bord de la fenêtre Gestionnaire de serveur , sélectionnez Ajouter des rôles et des fonctionnalités.

3. Dans la page Avant de commencer de l’Assistant Ajout de rôles et de fonctionnalités, sélectionnez Suivant.

4. Pour le type d’installation, laissez l’option d’installation basée sur les rôles ou basée sur les fonctionnalités activée, puis sélectionnez Suivant.

5. Dans la page Sélection du serveur, choisissez la machine virtuelle active dans le pool de serveurs, par exemple myvm.aaddscontoso.com, puis sélectionnez Suivant.

6. Dans la page Rôles de serveur , cliquez sur Suivant.

7. Dans la page Fonctionnalités , développez le nœud Outils d’administration de serveur distant , puis développez le nœud Outils d’administration de rôle .

   Choisissez la fonctionnalité Outils AD DS et AD LDS dans la liste des outils d’administration de rôle, puis sélectionnez Suivant.

   

8. Dans la page Confirmation , sélectionnez Installer. L’installation des outils d’administration peut prendre une ou deux minutes.

9. Une fois l’installation des fonctionnalités terminée, sélectionnez Fermer pour quitter l’Assistant Ajout de rôles et de fonctionnalités .

Utiliser les outils d’administration Active Directory

Avec les outils d’administration installés, voyons comment les utiliser pour administrer le domaine managé. Vérifiez que vous êtes connecté à la machine virtuelle avec un compte d’utilisateur membre du groupe Administrateurs AAD DC .

1. Dans le menu Démarrer , sélectionnez Outils d’administration Windows. Les outils d’administration AD installés à l’étape précédente sont répertoriés.

   

2. Sélectionnez Centre d’administration Active Directory.

3. Pour explorer le domaine managé, choisissez le nom de domaine dans le volet gauche, par exemple aaddscontoso. Deux conteneurs nommés Ordinateurs AADDC et Utilisateurs AADDC se trouvent en haut de la liste.

   

4. Pour afficher les utilisateurs et les groupes qui appartiennent au domaine managé, sélectionnez le conteneur Utilisateurs AADDC . Les comptes d’utilisateur et les groupes de votre locataire Microsoft Entra sont répertoriés dans ce conteneur.

   Dans l’exemple de sortie suivant, un compte d’utilisateur nommé Contoso Admin et un groupe pour les administrateurs AAD DC sont affichés dans ce conteneur.

   

5. Pour afficher les ordinateurs joints au domaine managé, sélectionnez le conteneur Ordinateurs AADDC . Une entrée pour la machine virtuelle actuelle, telle que myVM, est répertoriée. Les comptes d’ordinateur pour tous les appareils joints au domaine managé sont stockés dans ce conteneur Ordinateurs AADDC .

Les actions courantes du Centre d’administration Active Directory, telles que la réinitialisation d’un mot de passe de compte d’utilisateur ou la gestion de l’appartenance au groupe, sont disponibles. Ces actions fonctionnent uniquement pour les utilisateurs et les groupes créés directement dans le domaine managé. Les informations d’identité se synchronisent uniquement de Microsoft Entra ID vers Domain Services. Il n’y a pas de synchronisation des données des services de domaine vers l'identifiant Microsoft Entra. Vous ne pouvez pas modifier les mots de passe ou l'appartenance à un groupe géré pour les utilisateurs synchronisés à partir de l'ID Microsoft Entra, et ces modifications ne peuvent pas être resynchronisées.

Vous pouvez également utiliser le module Active Directory pour Windows PowerShell, installé dans le cadre des outils d’administration, pour gérer les actions courantes dans votre domaine managé.

Étapes suivantes

Dans ce didacticiel, vous avez appris à :

Pour interagir en toute sécurité avec votre domaine managé à partir d’autres applications, activez le protocole LDAPS (Lightweight Directory Access Protocol).