Modifier

Partager via


Questions fréquentes (FAQ) sur les services de domaine Microsoft Entra

Cette page répond aux questions fréquemment posées sur le proxy d’application des services de domaine Microsoft Entra.

Configuration

Puis-je créer plusieurs domaines managés pour un seul annuaire Microsoft Entra ?

Nombre Vous ne pouvez créer qu’un seul domaine managé pris en charge par les services de domaine Microsoft Entra par annuaire Microsoft Entra.

Puis-je activer les services de domaine Microsoft Entra dans un réseau virtuel Classic ?

Les réseaux virtuels classiques ne sont pas pris en charge.

Pour plus d’informations, consultez l’annonce de dépréciation officielle.

Puis-je activer les services de domaine Microsoft Entra dans un réseau virtuel Azure Resource Manager ?

Oui. Les services de domaine Microsoft Entra peuvent être activés dans un réseau virtuel Azure Resource Manager. Les réseaux virtuels Azure classiques ne sont plus disponibles quand vous créez un domaine managé.

Puis-je activer les services de domaine Microsoft Entra dans un abonnement Azure CSP (fournisseur de solutions de Cloud) ?

Puis-je rendre les services de domaine Microsoft Entra disponibles dans plusieurs réseaux virtuels au sein de mon abonnement ?

Le service lui-même ne prend pas directement en charge ce scénario. Votre domaine managé n’est disponible que dans un seul réseau virtuel à la fois. Toutefois, vous pouvez configurer la connectivité entre plusieurs réseaux virtuels afin d’exposer les services de domaine Microsoft Entra à d’autres réseaux virtuels. Pour plus d’informations, consultez connexion aux réseaux virtuels dans Azure à l’aide de passerelles VPNou homologation de réseaux virtuels.

Puis-je ajouter des contrôleurs de domaine à un domaine géré par les services de domaine Microsoft Entra ?

Non. Le domaine fourni par les services de domaine Microsoft Entra est un domaine managé. Vous n’avez pas besoin d’approvisionner, de configurer ou de gérer des contrôleurs de domaine pour ce domaine. Ces activités de gestion sont fournies en tant que service par Microsoft. Par conséquent, vous ne pouvez pas ajouter de contrôleurs de domaine supplémentaires (en lecture/écriture ou en lecture seule) pour le domaine géré.

Puis-je développer un domaine managé vers différentes régions Azure pour la récupération d’application si une région Azure est hors connexion ?

Oui. Vous pouvez créer des jeux de réplicas qui partagent le même espace de noms et la même configuration que votre domaine managé. Les jeux de réplicas peuvent être ajoutés à n’importe quel réseau virtuel appairé dans toute région Azure prenant en charge Domain Services.
Pour en savoir plus, consultez Concepts et fonctionnalités des jeux de réplicas pour Microsoft Entra Domain Services.

Puis-je activer Microsoft Entra Domain Services dans un répertoire Microsoft Entra fédéré sans synchronisation de hachage du mot de passe ?

Non. Les services de domaine Microsoft Entra ont besoin d’un accès aux hachages de mot de passe des comptes d’utilisateur afin d’authentifier les utilisateurs via NTLM ou Kerberos. Dans un répertoire fédéré, les hachages de mot de passe ne sont pas stockés dans l’annuaire Microsoft Entra. Par conséquent, les services de domaine Microsoft Entra ne fonctionnent pas avec ces annuaires Microsoft Entra.

Toutefois, si vous utilisez Microsoft Entra Connect pour la synchronisation du hachage du mot de passe, vous pouvez utiliser Microsoft Entra Domain Services, car les valeurs de hachage du mot de passe sont stockées dans Microsoft Entra ID.

Puis-je activer les services de domaine Microsoft Entra à l’aide de PowerShell ?

Puis-je activer les services de domaine Microsoft Entra à l’aide d’un modèle Resource Manager ?

Oui, vous pouvez créer un domaine managé par les services de domaine Microsoft Entra à l'aide d'un modèle Resource Manager. Un principal de service et un groupe Microsoft Entra pour l’administration doivent être créés à l’aide du centre d’administration Microsoft Entra ou de PowerShell avant le déploiement du modèle. Lorsque vous créez un domaine managé par les services de domaine Microsoft Entra dans le Centre d’administration Microsoft Entra, vous avez aussi la possibilité d'exporter le modèle pour l'utiliser avec d’autres déploiements. Pour plus d’informations, consultez Créer un domaine managé par les services de domaine Microsoft Entra à l’aide d’un modèle Resource Manager.

Les utilisateurs invités dans mon annuaire peuvent-ils utiliser les services de domaine Microsoft Entra ?

Non. Les utilisateurs invités de votre annuaire Microsoft Entra qui utilisent le processus d’invitation Microsoft Entra B2B sont synchronisés avec votre domaine managé par les services de domaine Microsoft Entra. Toutefois, les mots de passe de ces utilisateurs ne sont pas stockés dans votre annuaire Microsoft Entra. C’est pourquoi les services de domaine Microsoft Entra n’ont aucun moyen de synchroniser les hachages NTLM et Kerberos pour ces utilisateurs dans votre domaine managé. De tels utilisateurs ne peuvent pas se connecter ou joindre des ordinateurs au domaine géré.

Une approbation de forêt bidirectionnelle peut-elle être créée entre les services de domaine et une forêt locale ?

Oui, vous pouvez créer une approbation bidirectionnelle. Vous pouvez également créer une approbation sortante unidirectionnelle ou une approbation entrante unidirectionnelle pour prendre en charge des scénarios différents pour l’authentification et l’accès des utilisateurs. Pour obtenir plus d’informations, consultez Créer une approbation de forêt.

Est-ce que Domain Services prend en charge la création d’approbations externes avec des domaines enfants locaux ?

Domain Services prend en charge uniquement l’approbation de forêt à l’heure actuelle et ne prend pas en charge les approbations de domaines externes.

Puis-je déplacer un domaine managé ?

Après avoir créé un domaine managé Domain Services, vous ne pouvez pas le déplacer vers un autre abonnement, groupe de ressources ou une autre région. Pour modifier la région, une solution de contournement possible consiste à déployer un nouveau jeu de réplicas dans la région vers laquelle vous souhaitez effectuer la migration. Une fois cette opération terminée, supprimez le jeu de réplicas dans la région que vous ne souhaitez plus. Pour résoudre ce problème pour le reste des paramètres, vous pouvez supprimer le domaine managé à l’aide de PowerShell ou du centre d’administration Microsoft Entra, et le recréer avec la configuration souhaitée. Aucune opération de restauration ne peut être fournie lors de la recréation du domaine managé.

Puis-je renommer un nom de domaine de services de domaine Microsoft Entra existant ?

Nombre Une fois que vous avez créé un domaine managé par les services de domaine Microsoft Entra, vous ne pouvez pas modifier le nom de domaine DNS. Choisissez le nom de domaine DNS avec précaution lorsque vous créez le domaine managé. Pour savoir quels éléments prendre en compte lorsque vous choisissez le nom de domaine DNS, consultez le tutoriel pour créer et configurer un domaine managé par les services de domaine Microsoft Entra.

Les services de domaine Microsoft Entra incluent-ils des options de haute disponibilité ?

Oui. Chaque domaine managé par les services de domaine Microsoft Entra comprend deux contrôleurs de domaine. Vous ne gérez pas ces contrôleurs de domaine et ne vous y connectez pas, car ils font partie du service géré. Si vous déployez les services de domaine Microsoft Entra dans une région qui prend en charge les Zones de disponibilité, les contrôleurs de domaine sont répartis entre les zones. Dans les régions qui ne prennent pas en charge les Zones de disponibilité, les contrôleurs de domaine sont distribués entre les Groupes à haute disponibilité. Vous ne disposez d’aucune option de configuration ou d’aucun contrôle de gestion sur cette distribution. Pour plus d’informations, voir Options de disponibilité pour les machines virtuelles dans Azure.

Administration et opérations

Puis-je me connecter au contrôleur de domaine de mon domaine géré à l’aide du Bureau à distance ?

Non. Vous n’êtes pas autorisé à vous connecter aux contrôleurs de domaine pour le domaine géré, via le Bureau à distance. Les membres du groupe Administrateurs Microsoft Entra DC peuvent administrer le domaine géré à l’aide des outils d’administration AD, tels que le centre d’administration d’Active Directory (ADAC) ou AD PowerShell. Ces outils sont installés à l’aide de la fonctionnalité Outils d’administration de serveur distant sur un serveur Windows joint au domaine géré. Pour plus d’informations, consultez Créer une machine virtuelle de gestion pour configurer et administrer un domaine managé par les services de domaine Microsoft Entra.

J’ai activé les services de domaine Microsoft Entra. Quel compte d’utilisateur dois-je utiliser pour joindre des ordinateurs à ce domaine ?

Tout compte d’utilisateur faisant partie du domaine managé peut joindre une machine virtuelle. Les membres du groupe Administrateurs Microsoft Entra DC disposent d’un accès Bureau à distance aux machines qui ont été jointes au domaine managé.

Existe-t-il un quota pour le nombre de machines que je peux joindre au domaine ?

Il n’existe aucun quota dans les services de domaine pour les machines jointes à un domaine.

Comment l’heure est-elle synchronisée pour les machines virtuelles jointes à un domaine managé ?

Les machines virtuelles qui s’exécutent sur Azure sont synchronisées avec les hôtes Azure à une heure extrêmement précise. Les machines virtuelles non-Azure qui s’exécutent localement doivent avoir les services de temps Windows configurés pour une synchronisation avec une source d’heure NTP externe, tout comme les machines virtuelles jointes à un domaine. Pour plus d’informations, consultez Configurer le mécanisme de temps pour Machines virtuelles Windows Active Directory dans Azure.

Est-ce que je dispose des privilèges d’administrateur de domaine pour le domaine géré fourni par les services de domaine Microsoft Entra ?

Non. Vous ne disposez pas des privilèges d’administrateur sur le domaine géré. Les privilèges Administrateur de domaine et Administrateur d’entreprise ne sont pas disponibles pour vous dans le domaine. Les membres des groupes d’administrateurs de domaine ou d’administrateurs d’entreprise de votre instance Active Directory locale ne se voient accorder aucun privilège d’administrateur de domaine ou d’entreprise sur le domaine managé.

Puis-je modifier les appartenances aux groupes à l’aide de LDAP ou d’autres outils d’administration AD sur des domaines gérés ?

Les utilisateurs et les groupes qui sont synchronisés de Microsoft Entra ID vers les services de domaine Microsoft Entra ne peuvent pas être modifiés, car leur source d’origine est Microsoft Entra ID. Cela comprend le déplacement des utilisateurs ou des groupes de l’unité d’organisation managée Utilisateurs AADDC vers une unité d’organisation personnalisée. En revanche, tout utilisateur ou groupe provenant du domaine managé peut être modifié.

Puis-je autoriser un serveur DHCP dans un domaine managé ?

Non. L’appartenance aux administrateurs de domaine est requise pour autoriser un serveur DHCP, qui n’est pas disponible dans un domaine managé.

Combien de temps faut-il pour que les modifications que j’apporte à mon annuaire Microsoft Entra soient visibles dans mon domaine géré ?

Les modifications apportées à votre annuaire Microsoft Entra à l’aide de l’interface utilisateur de Microsoft Entra UI ou de PowerShell sont synchronisées automatiquement avec votre domaine géré. Ce processus de synchronisation se produit en arrière-plan. Il n’y a pas de période définie pour cette synchronisation pour effectuer toutes les modifications d’objets.

Puis-je étendre le schéma du domaine géré fourni par les services de domaine Microsoft Entra ?

Nombre Le schéma est administré par Microsoft pour le domaine géré. Les extensions de schéma ne sont pas prises en charge par les services de domaine Microsoft Entra.

Puis-je modifier ou ajouter des enregistrements DNS dans mon domaine géré ?

Oui. Les membres du groupe Administrateurs Microsoft Entra DC bénéficient de privilèges Administrateur DNS, afin de modifier les enregistrements DNS sur le domaine managé. Ces utilisateurs peuvent utiliser la console du Gestionnaire DNS sur un ordinateur exécutant Windows Server joint au domaine managé afin de gérer le système DNS. Pour utiliser la console du Gestionnaire DNS, installez les outils de serveur DNS, qui font partie de la fonctionnalité facultative Outils d’administration de serveur distant sur le serveur. Pour plus d’informations, consultez Administrer les objets de stratégie de groupe sur un domaine managé par les services de domaine Microsoft Entra.

Quelle est la stratégie de durée de vie des mots de passe dans un domaine managé ?

Par défaut, la durée de vie des mots de passe dans un domaine managé par les services de domaine Microsoft Entra est de 90 jours. Cette durée de vie des mots de passe n’est pas synchronisée avec celle configurée dans Microsoft Entra ID. Par conséquent, il est possible qu’un mot de passe utilisateur expire dans votre domaine managé, mais soit toujours valide dans Microsoft Entra ID. Dans les scénarios comme celui-ci, les utilisateurs doivent modifier leur mot de passe dans Microsoft Entra. Le nouveau mot de passe est ensuite synchronisé avec votre domaine managé. Si vous souhaitez modifier la durée de vie par défaut d’un mot de passe dans un domaine managé, vous pouvez créer et configurer des stratégies de mot de passe personnalisées.

En outre, la stratégie de mot de passe Microsoft Entra pour DisablePasswordExpiration est synchronisée avec un domaine managé. Lorsque DisablePasswordExpiration est appliqué à un utilisateur dans Microsoft Entra ID, la valeur UserAccountControl pour l’utilisateur synchronisé dans le domaine managé a DONT_EXPIRE_PASSWORD appliqué.

Lorsque les utilisateurs réinitialisent leur mot de passe dans Microsoft Entra ID, l’attribut forceChangePasswordNextSignIn=True est appliqué. Un domaine managé synchronise cet attribut à partir de Microsoft Entra ID. Lorsque le domaine managé détecte que forceChangePasswordNextSignIn est défini pour un utilisateur synchronisé à partir de Microsoft Entra ID, l’attribut pwdLastSet dans le domaine managé est défini sur 0, ce qui invalide le mot de passe actuellement défini.

Les services de domaine Microsoft Entra assurent-t-ils une protection par verrouillage du compte AD ?

Oui. Cinq tentatives de saisie de mot de passe non valide en 2 minutes dans le domaine managé entraînent le verrouillage d’un compte d’utilisateur pendant 30 minutes. Après ces 30 minutes, le compte d’utilisateur est automatiquement déverrouillé. Les tentatives de saisie de mot de passe non valide dans le domaine managé ne verrouillent pas le compte d’utilisateur dans Microsoft Entra ID. Le compte d’utilisateur est verrouillé uniquement dans votre domaine managé par les services de domaine Microsoft Entra. Pour plus d'informations, consultez Stratégies de mot de passe et de verrouillage de compte sur les domaines managés.

Puis-je configurer le système de fichiers DFS et la réplication dans les services de domaine Microsoft Entra ?

Nombre Le système de fichiers DFS (Distributed File System) et la réplication ne sont pas disponibles lors de l’utilisation des services de domaine Microsoft Entra.

Comment les mises à jour Windows sont-elles appliquées dans Microsoft Entra Domain Services ?

Les contrôleurs de domaine dans un domaine managé appliquent automatiquement les mises à jour Windows requises. Il n’y a rien à configurer ni à administrer ici. Veillez à ne pas créer de règles de groupe de sécurité réseau qui bloquent le trafic sortant vers les mises à jour Windows. Pour vos propres machines virtuelles jointes au domaine géré, vous êtes responsable de la configuration et de l’application des mises à jour requises du système d’exploitation et des applications.

Dois-je supprimer les étiquettes AzureUpdateDelivery et AzureFrontDoor.FirstParty dans le groupe de sécurité réseau sortant (NSG) ?

Avec la dépréciation des balises AzureUpdateDelivery et AzureFrontDoor.FirstParty, Microsoft Entra Domain Services gère WindowsUpdate indépendamment, ce qui supprime la nécessité de ces balises. Les ajustements de NSG ne sont pas nécessaires, avec ou sans étiquettes déconseillées.

Où Microsoft Entra Domain Services stocke-t-il les données client ?

Microsoft Entra Domain Services stocke les données client. Par défaut, les données client restent dans la région où l’instance de service est déployée. Les clients peuvent utiliser des jeux de réplicas pour stocker des données dans d’autres régions.

Comment la mise à jour corrective est-elle effectuée sur les contrôleurs de domaine qui font partie d’un domaine managé ?

Les correctifs sont installés dès qu’ils sont disponibles (un mardi sur deux). Ils sont installés en phases au cours de la semaine où ils sont disponibles, à partir du mardi.

Pourquoi les noms de mes contrôleurs de domaine changent-ils ?

Il est possible que, durant la maintenance des contrôleurs de domaine, les noms de ceux-ci changent. Pour éviter les problèmes liés à ce type de modification, il est recommandé de ne pas utiliser les noms des contrôleurs de domaine codés en dur dans des applications et/ou d’autres ressources de domaine, mais le nom de domaine complet (FQDN). De cette façon, quels que soient les noms des contrôleurs de domaine, vous n’aurez rien à reconfigurer après une modification de nom.

Le mot de passe du compte KRBTGT dans un domaine managé est-il régulièrement restauré ? Si c’est le cas, quelle est la fréquence ?

Le mot de passe du compte KRBTGT dans un domaine managé est restauré tous les sept (7) jours.

Facturation et disponibilité

Les services de domaine Microsoft Entra sont-ils payants ?

Oui. Pour plus d’informations, consultez la page relative aux prix appliqués.

Le service peut-il être essayé gratuitement ?

Les services de domaine Microsoft Entra sont inclus dans l’essai gratuit d’Azure. Vous pouvez vous inscrire pour bénéficier d’un essai gratuit d’un mois d’Azure.

Puis-je mettre en pause un domaine managé par les services de domaine Microsoft Entra ?

Nombre Une fois que vous avez activé un domaine géré par les services de domaine Microsoft Entras, le service est disponible dans votre réseau virtuel sélectionné jusqu’à ce que vous supprimiez le domaine géré. Il n’existe aucun moyen de suspendre le service. La facturation horaire se poursuivra jusqu’à ce que vous supprimiez le domaine managé.

Puis-je basculer les services de domaine Microsoft Entra vers une autre région pour un événement de récupération d’urgence ?

Oui, afin de fournir une résilience géographique pour un domaine managé, vous pouvez créer un jeu de réplicas supplémentaire sur un réseau virtuel appairé dans une région Azure qui prend en charge les service de domaine. Les jeux de réplicas partagent le même espace de noms et la même configuration que le domaine managé.

Puis-je obtenir les services de domaine Microsoft Entra dans le cadre d’Enterprise Mobility Suite (EMS) ? Ai-je besoin de Microsoft Entra ID P1 ou P2 pour utiliser les services de domaine Microsoft Entra ?

Nombre Les services de domaine Microsoft Entra constituent un service Azure avec paiement à l’utilisation et ne font pas partie d’EMS. Les services de domaine Microsoft Entra peuvent être utilisés avec toutes les éditions de Microsoft Entra ID (Gratuit et Premium). La facturation se fait à l’utilisation, sur une base horaire.

Puis-je créer un domaine enfant sous un domaine managé ?

Nombre Les services de domaine Microsoft Entra ont une conception à domaine unique et à forêt unique, et vous ne pouvez pas créer de domaines enfants.

Dans quelles régions Azure le service est-il disponible ?

Pour consulter une liste des régions Azure dans lesquelles les services de domaine Microsoft Entra sont disponibles, consultez la page Régions Azure.

Résolution des problèmes

Reportez-vous au Guide de résolution des problèmes pour trouver les solutions aux problèmes courants liés à la configuration ou à l’administration d’Azure AD Domain Services.

Étapes suivantes

Pour en savoir plus sur Microsoft Entra Domain Services, consultez Présentation de Microsoft Entra Domain Services.

Pour commencer, consultez Créer et configurer un domaine managé Microsoft Entra Domain Services.