Tutoriel : utiliser la synchronisation du hachage de mot de passe pour l’identité hybride dans une seule forêt Active Directory

  • Article

Ce tutoriel vous montre comment créer un environnement d’identité hybride dans Azure à l’aide de la synchronisation du hachage de mot de passe et de Windows Server Active Directory (Windows Server AD). Vous pouvez utiliser l’environnement d’identité hybride que vous créez à des fins de test ou pour vous familiariser avec le fonctionnement de l’identité hybride.

Diagramme montrant comment créer un environnement d’identité hybride dans Azure à l’aide de la synchronisation du hachage de mot de passe.

Dans ce tutoriel, vous allez apprendre à :

  • Créez une machine virtuelle.
  • Créer un environnement Windows Server Active Directory.
  • Ajoutez un utilisateur Windows Server Active Directory.
  • Créer un locataire Microsoft Entra.
  • Créez un administrateur d’identité hybride dans Azure.
  • Configurer Microsoft Entra Connect.
  • Tester et vérifier que les utilisateurs sont synchronisés.

Prérequis

  • Un ordinateur où Hyper-V est installé. Nous vous suggérons d’installer Hyper-V sur un ordinateur Windows 10 ou Windows Server 2016.
  • Un abonnement Azure. Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.
  • Une carte réseau externe, pour que la machine virtuelle puisse se connecter à Internet.
  • Une copie de Windows Server 2016.

Notes

Ce tutoriel utilise des scripts PowerShell pour créer rapidement l’environnement du tutoriel. Chacun script utilise les variables déclarées au début du script. Veillez à modifier les variables pour refléter votre environnement.

Les scripts du tutoriel créent un environnement Windows Server Active Directory (Windows Server AD) général avant d’installer Microsoft Entra Connect. Les scripts sont également utilisés dans les tutoriels associés.

Les scripts PowerShell utilisés dans ce tutoriel sont disponibles sur GitHub.

Création d'une machine virtuelle

Pour créer un environnement d’identité hybride, la première tâche consiste à créer une machine virtuelle à utiliser comme serveur Windows Server AD local.

Notes

Si vous n’avez jamais exécuté de script dans PowerShell sur votre ordinateur hôte, avant d’exécuter des scripts, ouvrez Windows PowerShell ISE en tant qu’administrateur et exécutez Set-ExecutionPolicy remotesigned. Dans la boîte de dialogue Modification de la stratégie d’exécution, sélectionnez Oui.

Pour créer la machine virtuelle :

  1. Ouvrez Windows PowerShell ISE en tant qu’administrateur.

  2. Exécutez le script suivant :

    #Declare variables
$VMName = 'DC1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\DC1\DC1.vhdx'
$VHDSize = '64424509440'

#Create a new virtual machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add a DVD drive to the virtual machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount installation media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure the virtual machine to boot from the DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive

Installer le système d’exploitation

Pour terminer la création de la machine virtuelle, installez le système d’exploitation :

  1. Dans le Gestionnaire Hyper-V, cliquez deux fois sur la machine virtuelle.
  2. Sélectionnez Démarrer.
  3. À l’invite, appuyez sur n’importe quelle touche pour démarrer à partir d’un CD ou d’un DVD.
  4. Dans la fenêtre d’accueil de Windows Server, sélectionnez votre langue, puis Suivant.
  5. Sélectionnez Installer maintenant.
  6. Saisissez votre clé de licence et sélectionnez Suivant.
  7. Activez la case à cocher J’accepte les termes du contrat de licence et sélectionnez Suivant.
  8. Sélectionnez Personnalisé : installer Windows uniquement (avancé).
  9. Sélectionnez Suivant.
  10. Une fois l’installation terminée, redémarrez la machine virtuelle. Connectez-vous, puis vérifiez Windows Update. Installez les mises à jour pour vous assurer que la machine virtuelle est entièrement à jour.

Installer les prérequis Windows Server AD

Avant d’installer Windows Server AD, exécutez un script qui installe les prérequis :

  1. Ouvrez Windows PowerShell ISE en tant qu’administrateur.

  2. Exécutez Set-ExecutionPolicy remotesigned. Dans la boîte de dialogue Modification de la stratégie d’exécution, sélectionnez Oui pour tout.

  3. Exécutez le script suivant :

    #Declare variables
$ipaddress = "10.0.1.117" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.117"
$ipdns2 = "4.2.2.2" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "DC1"
$addsTools = "RSAT-AD-Tools" 

#Set a static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

# Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Créer un environnement Windows Server AD

Maintenant, installez et configurez les services de domaine Active Directory pour créer l’environnement :

  1. Ouvrez Windows PowerShell ISE en tant qu’administrateur.

  2. Exécutez le script suivant :

    #Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "contoso.com"
$DomainNetBIOSName = "CONTOSO"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install Active Directory Domain Services, DNS, and Group Policy Management Console 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create a new Windows Server AD forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Créer un utilisateur Windows Server AD

Ensuite, créez un compte d’utilisateur de test. Créez ce compte dans votre environnement Active Directory local. Le compte est ensuite synchronisé avec Microsoft Entra ID.

  1. Ouvrez Windows PowerShell ISE en tant qu’administrateur.

  2. Exécutez le script suivant :

    #Declare variables
$Givenname = "Allie"
$Surname = "McCray"
$Displayname = "Allie McCray"
$Name = "amccray"
$Password = "Pass1w0rd"
$Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Créer un locataire Microsoft Entra

Si vous n’en avez pas, suivez les étapes de l’article Créer un locataire dans Microsoft Entra ID pour créer un nouveau locataire.

Créer un administrateur d’identité hybride dans Microsoft Entra ID

La tâche suivante consiste à créer un compte d’administrateur d’identité hybride. Ce compte est utilisé pour créer le compte Microsoft Entra Connector lors de l’installation de Microsoft Entra Connect. Le compte Microsoft Entra Connector est utilisé pour écrire des informations dans Microsoft Entra ID.

Pour créer le compte Administrateur d’identité hybride :

  1. Connectez-vous au centre d’administration Microsoft Entra.
  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs
  3. Sélectionnez Nouvel utilisateur>Créer un nouvel utilisateur.
  4. Dans le volet Créer un nouvel utilisateur, entrez un Nom d’affichage et un Nom d’utilisateur principal pour le nouvel utilisateur. Vous créez votre compte Administrateur d’identité hybride pour le locataire. Vous pouvez afficher et copier le mot de passe temporaire.
    1. Sous Affectations, sélectionnez Ajouter un rôle, puis Administrateur d’identité hybride.
  5. Sélectionnez Vérifier + créer>Créer.
  6. Dans une nouvelle fenêtre de navigateur web, connectez-vous à myapps.microsoft.com en utilisant le nouveau compte Administrateur d’identité hybride et le mot de passe temporaire.

Télécharger et installer Microsoft Entra Connect

Le moment est maintenant venu de télécharger et d’installer Microsoft Entra Connect. Une fois installé, vous utiliserez l’installation Express.

  1. Télécharger Microsoft Entra Connect.

  2. Accédez à AzureADConnect.msi et double-cliquez pour ouvrir le fichier d’installation.

  3. Dans Bienvenue, cochez la case pour accepter les conditions de licence, puis sélectionnez Continuer.

  4. Dans Paramètres express, sélectionnez Utiliser les paramètres express.

  5. Dans Se connecter à Microsoft Entra ID, entrez le nom d’utilisateur et le mot de passe du compte d’administrateur d’identité hybride pour Microsoft Entra ID. Cliquez sur Suivant.

  6. Dans Connexion à AD DS, entrez le nom d’utilisateur et le mot de passe d’un compte d’administrateur d’entreprise. Sélectionnez Suivant.

  7. Dans Prêt à configurer, sélectionnez Installer.

  8. Une fois l’installation terminée, sélectionnez Quitter.

  9. Avant d’utiliser Synchronization Service Manager ou l’Éditeur de règles de synchronisation, déconnectez-vous, puis reconnectez-vous.

Rechercher des utilisateurs dans le portail

Vous allez maintenant vérifier que les utilisateurs de votre locataire Active Directory local ont été synchronisés et qu’ils figurent dans votre locataire Microsoft Entra. Cette section risque de prendre plusieurs heures.

Pour vérifier que les utilisateurs sont synchronisés :

  1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu'administrateur de sécurité.

  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs

  3. Vérifiez que les nouveaux utilisateurs apparaissent dans votre locataire.

    Capture d’écran montrant la vérification de la synchronisation des utilisateurs dans Microsoft Entra ID.

Se connecter avec un compte d’utilisateur pour tester la synchronisation

Pour vérifier si les utilisateurs de votre locataire Windows Server AD sont synchronisés avec votre locataire Microsoft Entra, connectez-vous en tant que l’un des utilisateurs :

  1. Accédez à https://myapps.microsoft.com.

  2. Connectez-vous avec un compte d’utilisateur créé dans votre nouveau locataire.

    Pour le nom d’utilisateur, utilisez le format user@domain.onmicrosoft.com. Utilisez le même mot de passe que celui utilisé par l’utilisateur pour se connecter à Active Directory local.

Vous avez configuré un environnement d’identité hybride que vous pouvez utiliser à des fins de test et pour vous familiariser avec les fonctionnalités Azure.

Étapes suivantes