Comment rejoindre des domaines Active Directory ou Azure AD : guide complet

 

L'association d'ordinateurs à un domaine, qu'il s'agisse d'un Active Directory local ou d'un domaine Azure (Microsoft Access ID), constitue la base de la centralisation des identités, de l'application des stratégies et de l'activation de l'authentification unique. Dans ce guide, nous avons rassemblé tout ce dont vous avez besoin dans une seule ressource : les options de jonction dans Windows 10/11, identité hybride avec Microsoft Entra Connect, Azure AD Domain Services, déploiements AD FS dans Azure, sécurité avec accès conditionnel et surveillance, et recommandations opérationnelles et financières.

L’objectif est de vous aider à choisir le meilleur chemin (AD DS classique, Azure AD/Entra ID, Azure AD DS ou fédération AD FS), à comprendre comment ils se connectent les uns aux autres et à exécuter les étapes correctes avec les meilleures pratiques. Vous verrez également comment préparer UPN et DNS pour les synchronisations avec Microsoft 365, comment mettre à l'échelle et rendre la synchronisation hautement disponible, et que vérifier en cas de problème, sans omettre les configurations réseau typiques dans Azure.

Options de jonction de domaine dans Windows 10 et 11

Aujourd’hui, il existe quatre scénarios principaux : la jonction AD DS sur site, la jonction Azure AD (Microsoft Entra ID), les appareils hybrides (jointure Azure AD hybride) et la jonction de domaine gérée avec Azure AD Domain Services. Chacun répond à des besoins différents en matière de gestion des identités, de compatibilité des applications ou de travail à distance.

Rejoindre Azure AD à partir de Windows 10/11 est simple depuis l'ordinateur lui-même : Paramètres > Comptes > Accéder au travail ou à l’école > Se connecter > Joignez cet appareil à Azure Active Directory, connectez-vous avec les informations d’identification Microsoft ID, redémarrez et reconnectez-vous avec votre utilisateur d’entreprise.

Après le démarrage initial, vous devrez souvent configurer MFA et Windows Hello (PIN) pour améliorer la sécurité et faciliter les connexions rapides. À partir de ce moment, le code PIN sera demandé à chaque connexion, conformément à l’authentification à deux facteurs exigée par de nombreuses organisations.

Si vous déployez un agent d'accès tel que Sophos ZTNA, n'oubliez pas que les serveurs d'applications (RDP, CIFS, SSH, etc.) doivent appartenir au même domaine que l'agent. Commencez par joindre l’ordinateur à Azure AD, puis installez l’agent afin qu’il hérite de l’identité et des chemins d’accès corrects.

Architecture d'identité avec Microsoft Azure AD

Microsoft Access ID est le service d’identité et d’annuaire basé sur le cloud qui centralise les applications, les utilisateurs et les appareils, et s’intègre à AD DS sur site via la synchronisation. Une référence typique inclut : un locataire Entra ID, un sous-réseau Web avec des machines virtuelles d’application, AD DS sur site, un serveur avec Microsoft Entra Connect pour la synchronisation et des machines virtuelles d’application avec séparation hiérarchique.

Cas d'utilisation courants : publier applications Web dans Azure pour les utilisateurs distants, activez le libre-service (par exemple, la réinitialisation du mot de passe, avec les licences P1/P2) et fonctionnez sans connectivité VPN/ExpressRoute entre le réseau local et le réseau virtuel Azure si la conception l'exige.

En termes de disponibilité, Microsoft Entra est distribué à l'échelle mondiale avec un basculement automatique entre les centres de données, garantissant l'accès aux données d'annuaire sur plusieurs emplacements géographiques. Cette conception minimise les interruptions et prend en charge les charges de travail distribuées.

Identité hybride avec Microsoft Entra Connect : synchronisation et SSO

Microsoft Entra Connect synchronise les identités AD DS avec Entra ID et vous permet de choisir la méthode d'authentification : synchronisation du hachage du mot de passe (par défaut), authentification directe ou fédération avec AD FS ou un autre IdP. Le choix dépend des politiques de sécurité, de l’expérience SSO souhaitée et des composants déjà déployés.

• Topologies de synchronisation prises en charge : Une forêt unique pour un seul locataire ; plusieurs forêts pour un seul locataire (avec consolidation d'identité) ; plusieurs forêts indépendantes ; plusieurs répertoires Entra (avec des serveurs de synchronisation filtrant les ensembles d'objets exclusifs) ; et un serveur de préparation pour la haute disponibilité, les tests ou les migrations.
• Bonnes pratiques lors du déploiement d'Entra Connect : Définissez ce qu'il faut synchroniser, y compris les domaines et la fréquence ; filtrez (par groupes, domaines, unités d'organisation ou attributs) pour éviter de synchroniser les comptes inactifs ; et, s'il y a beaucoup d'objets, envisagez d'utiliser le serveur SQL complet au lieu de LocalDB et ajustez la capacité.
• Haute disponibilité: Utilisez un deuxième serveur en mode intermédiaire pour assumer le rôle actif si nécessaire ; si vous n'utilisez pas LocalDB, envisagez le clustering SQL pour votre base de données (la mise en miroir et AlwaysOn ne sont pas pris en charge pour Entra Connect) et planifiez la reprise après sinistre.

Configuration de la méthode d'authentification de l'utilisateur

Synchronisation du hachage du mot de passe : L'option par défaut est simple et suffisante pour de nombreuses organisations ; l'utilisateur s'authentifie avec le même mot de passe local, mais seul un hachage sécurisé voyage vers le cloud.

Authentification directe : Si votre politique interdit la synchronisation des hachages avec le cloud, les agents valident le mot de passe dans AD sur site sans stocker le hachage dans l'ID de connexion, en conservant l'authentification unique (SSO).

Fédération avec AD FS ou un autre fournisseur : Si vous disposez déjà d’AD FS ou d’un IdP non Microsoft, vous pouvez déléguer l’authentification et l’authentification unique à cette infrastructure, tout en conservant le contrôle et les personnalisations avancées.

Synchronisation des objets et des règles

La configuration Entra Connect par défaut applique des règles aux objets Utilisateur, Contact, Groupe, Ordinateur, etc., nécessitant des attributs tels que sourceAnchor ou sAMAccountName et évitant les préfixes réservés (par exemple, Azure AD_ ou MSOL_). Pour modifier les règles, utilisez l’éditeur de règles de synchronisation installé avec l’outil.

En plus du filtrage par domaine/UO, vous pouvez implémenter des filtres personnalisés plus complexes pour affiner l'ensemble synchronisé à ce qui est pertinent. De cette façon, vous améliorez les performances, la sécurité et les coûts d’administration.

Surveillance et santé de l'environnement d'identité

Microsoft Entra Connect Health fournit des agents pour surveiller la synchronisation, AD DS et AD FS, et expose des tableaux de bord dans le portail Azure pour examiner l’intégrité et les performances. Il est essentiel de détecter les incidents avant qu’ils n’affectent les utilisateurs.

En termes de protection, Identity Protection (P2) applique le ML et l'heuristique pour détecter les anomalies de connexion et les événements à risque (emplacements inhabituels, IP suspectes, appareils compromis), générer des alertes et des rapports exploitables.

Complétez avec un accès conditionnel pour déclencher l'authentification multifacteur dans des emplacements non approuvés, restreindre par état de plate-forme/appareil et utiliser l'appartenance à un groupe statique ou dynamique dans les décisions d'accès. Cela améliore considérablement votre niveau de sécurité.

Déploiement d'AD FS dans Azure : conception, mise en réseau et haute disponibilité

Pour les organisations optant pour la fédération, le déploiement d’AD FS sur Azure permet une haute disponibilité et une évolutivité, avec une géo-redondance et une gestion facile depuis le portail Azure. La topologie recommandée sépare AD FS et WAP, utilise DMZ pour WAP et des équilibreurs de charge (internes pour AD FS et publics pour WAP).

• Réseau et sécurité : créer un réseau virtuel avec deux sous-réseaux (INT et DMZ), appliquer NSG par sous-réseau avec des règles telles que : autoriser HTTPS 443 de DMZ vers INT (par exemple 10.0.1.0/24 > 10.0.0.0/24, priorité 1010), refuser le trafic sortant vers Internet sauf ce qui est nécessaire (par exemple refuser 80 priorité sortante 100), et ouvrir uniquement ce qui est essentiel dans DMZ pour le trafic entrant.
• Connectivité sur site : Si vous devez atteindre les contrôleurs de domaine locaux, utilisez S2S VPN, P2S ou ExpressRoute (recommandé lorsque vous recherchez fiabilité, latence élevée et sécurité).
• Ensembles de disponibilité : Utilisez au moins deux machines virtuelles par rôle (AD FS et WAP) dans les ensembles de disponibilité ; laissez les valeurs par défaut (2 domaines d'erreur, 5 domaines de mise à jour) pour une maintenance ininterrompue.
• Équilibrage interne (ILB) pour AD FS : configure une adresse IP statique, un pool principal avec des serveurs AD FS et une sonde d'intégrité HTTP sur /adfs/probe sur le port 80 ; publie 443 sur le backend 443 et crée l'enregistrement DNS interne du service de fédération pointant vers l'ILB.

Tests WAP, équilibreur de charge public et AD FS

Les serveurs proxy d'application Web ne sont pas joints au domaine et résident dans la DMZ, publiant AD FS sur Internet via un équilibreur de charge public à 443 avec la sonde /adfs/probe. Attribue une étiquette DNS à l'adresse IP publique pour des résolutions conviviales.

• Mettre à jour DNS : Créez un A interne pour le service de fédération (par exemple, fs.company.com) pour l'ILB et hébergez les entrées dans WAP si vous devez résoudre en interne l'IP ILB en FQDN fédéré.
• Certificats: Utilisez un certificat de serveur avec un CN/SAN approprié (service de fédération, enregistrement d'entreprise, caractère générique le cas échéant) et exportez-le au format PFX pour l'installer dans AD FS et WAP.
• Test: activer la page initiée par l'IdP avec PowerShell Set-AdfsProperties -EnableIdPInitiatedSignOnPage $true et validez en naviguant vers https://tu-adfs/adfs/ls/IdpInitiatedSignon.aspx.

Modèle de déploiement AD FS et paramètres typiques

Il existe des modèles qui orchestrent six machines (deux DC, deux AD FS et deux WAP) et acceptent des paramètres pour la région, les comptes, stockage, réseau virtuel (existant ou nouveau), sous-réseaux INT/DMZ, adresses IP statiques des machines virtuelles et ILB, tailles des machines virtuelles et informations d'identification administratives. Les paramètres incluent : Emplacement, StorageAccountType, VirtualNetworkUsage/Name/AddressRange, noms et plages de sous-réseaux, adresses IP de carte réseau par machine virtuelle, ADFSLoadBalancerPrivateIPAddress, préfixes de nom pour chaque rôle, tailles de machine virtuelle et informations d'identification.

Cette approche accélère les déploiements cohérents et reproductibles, tout en documentant les configurations réseau et de sécurité. Ajustez toujours les plages pour éviter les chevauchements avec les réseaux existants.

Services de domaine Azure AD : joindre une machine virtuelle à un domaine géré

Azure AD Domain Services (AADD DS) propose une jonction de domaine gérée, LDAP et Kerberos/NTLM dans Azure, sans configurer vos propres contrôleurs de domaine. Utile lorsque vous avez besoin d’une prise en charge d’applications héritées pour l’authentification de domaine dans Azure.

• Conditions requises : Abonnement actif, saisissez l'ID du locataire (cloud uniquement ou synchronisé), domaine géré activé, compte d'utilisateur dans le domaine géré (avec hachage de mot de passe synchronisé ou SSPR) et Azure Bastion pour l'accès RDP sans IP publiques.
• Processus: Créez une machine virtuelle Windows Server dans un sous-réseau capable de communiquer avec le sous-réseau du domaine géré (de préférence dans un sous-réseau séparé), avec des ports distants fermés à Internet (utilisez Bastion) et rejoignez le domaine à partir des propriétés système en spécifiant le nom de domaine complet (par exemple, aaddscontoso.com).
• Identifiants: Utilisez le format UPN recommandé (utilisateur@domaine.onmicrosoft.com ou personnalisé) ou SAMAccountName, le cas échéant ; le compte doit appartenir au domaine géré ou au locataire. Saisissez l'ID.
• Solution de problèmes : S'il ne demande pas d'informations d'identification, le problème vient généralement de la connectivité/DNS : vérifiez le couplage réseau, envoyez une requête ping au FQDN ou aux IP du domaine géré et videz le cache DNS avec ipconfig /flushdns.

Si vous obtenez une erreur après avoir saisi les informations d'identification, vérifiez que le compte appartient au domaine géré, que la synchronisation des mots de passe est activée et que suffisamment de temps s'est écoulé après un changement de mot de passe pour que le hachage soit répliqué. Pour vous détacher, revenez à WORKGROUP puis supprimez la VM si vous ne continuez pas le didacticiel.

Préparez AD sur site et synchronisez-le avec Microsoft 365/Azure AD

Si vous utilisez déjà Microsoft 365, la synchronisation de votre AD sur site avec Entra ID unifie les informations d’identification cloud et sur site, avec des options hybrides généralisées. Assurez-vous que vos suffixes UPN locaux sont routables (pas .local/.test) et correspondent à vos domaines vérifiés dans Microsoft 365/ID de connexion.

Ajoutez un suffixe UPN dans les domaines et les approbations Active Directory et mettez à jour les utilisateurs dans ADUC ou via PowerShell pour passer de @domain.local à @domain.com en masse, par exemple avec : $LocalUsers = Get-ADUser -Filter "UserPrincipalName -like '*domain.local'" -Properties userPrincipalName -ResultSetSize $null y $LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("@domain.local","@domain.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}.

Pour Office 365, vérifiez les adresses proxy (SMTP majuscules pour le principal) dans l'éditeur d'attributs pour chaque utilisateur/groupe, Activation de la vue Fonctionnalités avancées dans ADUC pour modifier correctement la collection d'alias.

Installer Azure AD Connect : téléchargement officiel, choisissez Installation personnalisée, définissez la méthode de connexion (PHS, PTA ou Fédération), connectez-vous avec le compte administrateur global dans Enter ID/M365, ajoutez la forêt AD, sélectionnez userPrincipalName comme attribut de connexion et filtrez les domaines/OU si applicable.

Fonctionnalités optionnelles : Réécriture du mot de passe (P1/P2), modifications de règles et planificateur ; cochez « Démarrer la synchronisation une fois terminée » ou déclenchez-la manuellement si nécessaire.

Opération de synchronisation : commandes utiles et migration de configuration

Le module ADSync PowerShell vous permet d'interroger le planificateur et de forcer les cycles : Import-Module ADSync, Get-ADSyncScheduler, Start-ADSyncSyncCycle -PolicyType Delta o Initial, et ajustez l'intervalle avec Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:10:00.

La configuration Azure AD Connect est enregistrée au format JSON sous %ProgramData%\AADConnect ; vous pouvez l’exporter/l’importer pour cloner des déploiements. et utilisez également le scénario MigrateSettings.ps1 (dossier Outils) pour migrer d'un serveur à un autre.

N'oubliez pas que le timing n'est pas un système de sauvegarde: Certains attributs n'existent que dans le cloud (par exemple, les licences), et s'ils y sont supprimés, ils ne peuvent pas être récupérés par synchronisation. Pour la sauvegarde des données AD et Microsoft 365 sur site, tournez-vous vers des solutions dédiées.

Exigences et réseau : Windows Server 2012/2016/2019 avec interface graphique pour installer Entra Connect, .NET 4.5.1+, PowerShell 3.0+, TLS 1.2 activé et TCP 80/443 sortant vers les services Microsoft ; Essentials/Core ne sont pas pris en charge pour le serveur d'outils.

Accès conditionnel, sécurité et gouvernement

Complétez la connexion avec des politiques d'accès conditionnel pour les sources inattendues, les plates-formes non conformes ou les appareils désactivés, et appuyez-vous sur des groupes (y compris dynamiques) pour segmenter l'accès. Voici comment mettre en œuvre Zero Trust avec un minimum de friction.

La protection de l'identité (P2) ajoute des politiques de risque de base qui réagissent aux signaux de connexion anormaux, et les rapports Entra aident à diagnostiquer et à auditer les activités pertinentes.

Connecte les agents Connect Health pour surveiller la synchronisation, AD DS et AD FS, en fournissant des métriques et un statut dans le portail Azure, étant l’un des piliers d’une gestion efficace.

Performances, coûts et opérabilité (Well-Architected)

• Performance: Entra ID s'appuie sur une réplique principale et des répliques secondaires en lecture seule, avec une cohérence et une évolutivité optimales, car il s'agit principalement d'une opération de lecture. Entra Connect adapte SQL à partir de 100.000 XNUMX objets environ.
• Coûts : Utilisez le calculateur Azure pour estimer ; optimisez en limitant la synchronisation à ce qui est nécessaire et en sélectionnant des méthodes d’authentification qui réduisent l’infrastructure (par exemple, sans AD FS si ce n’est pas essentiel).
• Fiabilité: Envisagez un deuxième serveur Entra Connect en phase de préproduction pour le basculement, la planification de la reprise après sinistre et prenez soin de la bases de données- Évitez les technologies non prises en charge telles que la mise en miroir ou AlwaysOn pour la synchronisation de la base de données.
• Opérabilité : Les outils Entra Connect (Console, Synchronization Service Manager et Rules Editor) vous permettent de maintenir et d'ajuster la synchronisation avec un contrôle et des diagnostics précis, essentiels dans des environnements complexes ou avec des règles personnalisées.

Intégration avec Citrix et SAML (SSO avec Azure AD)

Pour publier des postes de travail ou des applications avec Citrix et SSO via Azure AD, intégrez Citrix Gateway et StoreFront à l’aide de SAML 2.0 en tant qu’IdP Azure AD, afin que les utilisateurs joints à Azure AD puissent facilement se connecter à partir de myapps.microsoft.com. Dans Azure AD, créez une application d’entreprise, configurez SAML avec un identifiant et une URL de réponse comme /cgi/samlauth, téléchargez le certificat de signature, copiez les URL de connexion et de déconnexion, attribuez l’application aux utilisateurs et utilisez l’URL SSO dans les raccourcis.

Sur Citrix Gateway, importez le certificat, configurez la stratégie SAML, ajoutez l’IdP Azure avec les métadonnées et établissez un lien avec StoreFront (idéalement via HTTPS), en vérifiant que l’authentification fonctionne correctement et que les stratégies de confiance et STA sont appropriées. Si vous utilisez AD FS comme IdP intermédiaire, n'oubliez pas l'enregistrement CNAME pour la fédération (par exemple, enterpriseregistration. ) pour résoudre le flux de connexion à Azure AD, en garantissant également l'installation du certificat racine correspondant sur les ordinateurs.

À propos des plateformes : Consultez les ressources comme Reddit avec prudence, car leurs recommandations ne sont pas officielles, et vérifiez-les toujours par rapport à la documentation technique formelle avant d'appliquer les modifications.

Du niveau de base au niveau avancé, ce parcours couvre tout, des simples jonctions Azure AD aux architectures hybrides avec haute disponibilité, fédération et SSO pour les applications modernes et traditionnelles, avec des contrôles de sécurité sophistiqués et des opérations robustes. En planifiant correctement l'UPN et le DNS, en filtrant correctement les synchronisations et en mettant en œuvre des mesures de sécurité telles que MFA et l'accès conditionnel, la gestion des identités dans les téléchargements Windows 10/11 et Azure sera efficace, évolutive et facile à maintenir.