Découvrez Microsoft Entra Domain Services

Effectué

Si vous devez déployer des charges de travail dépendantes d’AD DS dans Azure, et si vous souhaitez réduire la surcharge associée au déploiement et à la gestion des contrôleurs de domaine Active Directory hébergés sur les machines virtuelles Azure, vous devez implémenter Microsoft Entra Domain Services à la place. Microsoft Entra Domain Services est un service AD DS managé par Microsoft, qui fournit les fonctionnalités Active Directory standard telles que la stratégie de groupe, la jonction de domaine et la prise en charge de protocoles tels que Kerberos, NTLM et LDAP.

Le service se compose de deux contrôleurs de domaine Active Directory dans une nouvelle forêt à domaine unique. Quand vous provisionnez le service, la plateforme Azure déploie automatiquement ces deux contrôleurs de domaine sur un réseau virtuel Azure que vous désignez. De plus, le service AD DS managé synchronise automatiquement ses utilisateurs et ses groupes à partir du tenant (locataire) Microsoft Entra associé à l’abonnement Azure qui héberge le réseau virtuel. En fait, le domaine Microsoft Entra Domain Services contient les mêmes utilisateurs et groupes que son équivalent Microsoft Entra. Il fournit les fonctionnalités suivantes :

• Vous pouvez joindre des machines virtuelles Azure au domaine AD DS managé si elles résident sur le même réseau virtuel ou sur un autre réseau virtuel connecté à celui-ci.
• Les utilisateurs Microsoft Entra peuvent utiliser leurs informations d’identification existantes pour se connecter à ces machines virtuelles Azure.

Si vous disposez d’un domaine AD DS local qui se synchronise avec le même tenant Microsoft Entra, les utilisateurs AD DS locaux peuvent se connecter au domaine Microsoft Entra Domain Services à l’aide de leurs informations d’identification existantes.

Toutefois, dans ce scénario, le domaine Active Directory local est distinct du domaine Active Directory implémenté par Microsoft Entra Domain Services. Les deux domaines Active Directory ont des noms de domaine différents et des ensembles distincts d’objets utilisateur, groupe et ordinateur, bien que les objets utilisateur et groupe situés dans l’étendue de la synchronisation Microsoft Entra Connect aient des attributs correspondants.

Microsoft Entra Domain Services prend en charge le même ensemble de protocoles que le service AD DS local. Avec Microsoft Entra Domain Services, vous pouvez migrer des applications qui dépendent d’AD DS vers des machines virtuelles Azure sans avoir à déployer et à gérer des contrôleurs de domaine supplémentaires, ou à établir une connectivité avec l’infrastructure locale.

Il existe des différences importantes entre AD DS et Microsoft Entra Domain Services. Par exemple, Microsoft Entra Domain Services ne vous permet pas de créer des relations d’approbation ou d’étendre le schéma. Selon leur origine, il est parfois nécessaire de gérer les objets utilisateur et groupe localement ou dans le tenant Microsoft Entra correspondant. La prise en charge d’une stratégie de groupe est limitée, avec seulement deux objets de stratégie de groupe précédemment créés : l’un contenant les paramètres de l’ordinateur et l’autre contenant les paramètres de l’utilisateur. De plus, bien qu’il soit possible d’effectuer des liaisons LDAP et des lectures LDAP sur Microsoft Entra Domain Services, il n’existe aucune prise en charge des écritures LDAP.