Azure Active Directory Domain Services ou Azure AD DS est un service PaaS permettant d’héberger ses contrôleurs de domaine et services liés (Authentification, GPO, LDAPS…) chez Microsoft Azure.
Azure AD DS permet de fournir des services d’authentification pour vos applications utilisant les mécanismes d’authentification traditionnels comme NTLM et Kerberos, le tout sans avoir à vous préoccuper de l’infrastructure sous-jacente et de sa sécurité. Cela est géré et imposé par Microsoft, sur la base des bonnes pratiques d’un environnement traditionnel que vous hébergeriez vous-même.
Les utilisateurs composant votre annuaire Azure AD DS sont synchronisés avec l’Azure AD. Cela permet d’avoir une cohérence entre votre tenant Azure AD et votre annuaire AD et de simplifier la charge d’administration.
Côté fonctionnalités, quelques restrictions sont présentes du fait que nous sommes sur un service PaaS et à responsabilité partagée (plus d’informations ici) :
- L’extension de schéma n’est pas possible.
- Les membres des groupes à privilèges « administrateurs d’entreprise » et « administrateurs de domaine » ne sont pas gérables.
- L’approbation de forêt sortante et unidirectionnelle est possible. Les autres scénarios d’approbation de forêt ne sont pas possibles.
Un déploiement Azure AD DS comprend 2 contrôleurs de domaine à minima. Leur déploiement est configurable via le portail Azure et est entièrement orchestré par Azure.
Une fois achevé, l’administration de l’annuaire s’effectuera au travers d’une machine virtuelle dédiée via Azure Bastion afin d’assurer la sécurité des connexions des administrateurs.
En effet, nous n’avons la main sur les contrôleurs de domaine uniquement au travers des Outils d’administration de serveur distant (RSAT) sur le serveur déployé à cet effet.
La gestion des administrateurs du service Azure AD DS se fait via le groupe de sécurité Azure AD « AAD DC Administrators ».
Enfin, Azure AD DS peut être utilisé pour avoir une seconde source d’authentification en plus de votre environnement AD DS sur site. Effectivement, comme le démontre l’illustration ci-dessous : l’annuaire AD DS sur site est synchronisé à l’Azure AD, lui même automatiquement synchronisé avec le service Azure AD DS sans action de votre part, de manière continu et en arrière plan.
Un article signé Clément Haurogné
