Joindre une VM à votre domaine Azure Active Directory

Dans la prochaine série d’articles, nous allons voir comment utiliser Azure Active Directory pour gérer vos identités, serveurs et plein d’autres choses ! 😉

Introduction

Les entreprises qui se créent aujourd’hui vont vivre et évoluer avec le Cloud. C’est-à-dire qu’aujourd’hui une nouvelle startup va pouvoir en quelques clics disposer de services mails, de partage de fichiers, de calendriers… et bien d’autres services. Mais pour autant, l’entreprise n’aura aucun besoin d’investir dans une infrastructure Exchange ou SharePoint car ces composants sont disponibles en mode SaaS via Office 365 ou les alternatives équivalentes de GSuite (pour ne citer que ceux-là).

C’est le même principe pour la gestion de vos identités et des comptes que vos utilisateurs vont utiliser. Il y a 20 ans, vous auriez créé une infrastructure on-premise, monté une forêt avec un ou plusieurs domaines Active Directory et positionné plusieurs contrôleurs sur vos différents sites.

Mais aujourd’hui tous ces composants et ses briques de bases peuvent être déployées sans avoir à gérer les serveurs ou l’infrastructure associée ! Je vous propose de voir ce que l’on peut faire avec Microsoft et Azure Active Directory.

Création de votre Azure Active Directory

Vous disposez de votre première souscription Azure. Avant de créer vos machines virtuelles et tous vos services SaaS, je vous propose de créer un nouvel annuaire.

Cherchez le module Azure Active Directory et si ce n’est pas encore le cas, créez-vous un nouvel annuaire. Dans mon cas, j’ai choisi de l’appelé akril.

Vous voyez que globalement on devine un peu les fonctionnalités les plus classiques d’un Active Directory on-premise. On va pouvoir créer des utilisateurs, des groupes, et faire plein d’autres choses. Notez qu’il existe également plusieurs versions payantes de Azure Active Directory appelées Azure AD Premium P1 ou P2. Dans mon cas, tout ce que je vais décrire fonctionne avec la version gratuite. 😉

Par défaut, votre domaine Active Directory ne portera pas un nom personnalisé. Pour nommer votre domaine de manière personnalisée, je vous invite à consulter ce précédent article qui explique comment j’ai associé le nom akril.cloud à mon domaine Azure Active Directory.

Création d’un compte Azure AD

La plupart des entreprises qui existent depuis des années vont choisir de synchroniser leurs comptes locaux (venant de leur Active Directory on-premise) pour mieux remplir automatiquement leur Azure Active Directory dans le cloud (qui pourra être utilisé par Azure mais aussi dans votre tenant Office 365). Dans ce scénario, vous utiliserez probablement AAD Connect. Je vous en avais parlé en 2017 dans cet article.

Dans le cas présent, nous allons créé un compte “pure” cloud. Il n’existera que sur notre Active Directory dans Azure. Pour ce faire, dans All users, créez un nouvel utilisateur.

Dans mon cas, je l’ai ajouté dans le groupe AAD DC Administratorséquivalent de Domain Admins mais pour Azure AD – ainsi que Global Administrator. Notez le mot de passe temporaire, vous aurez à le changer tout de suite après lors de votre première connexion.

A partir de là, vous pouvez déjà ouvrir un nouveau navigateur en mode privé et tenter de vous connecter au portail Azure. Votre compte est déjà actif. Vous aurez simplement besoin de définir un véritable mot de passe.

Création d’un Azure AD Domain Services

Avant de pouvoir intégrer une VM dans votre Azure AD, vous devez créer un nouveau composant au sein votre infrastructure. Cherchez le composant Azure AD Domain Services. D’une certaine façon, c’est-ce qui va jouer le rôle de vos contrôleurs pour votre domain AD. C’est pour ça que vous devrez choisir un réseau où positionner ce composant.

Notez que la création de ce composant peut être un peu longue. Soyez donc patient, c’est tout à fait normal. 🙂

Notre domaine est prêt. Il nous reste à changer les DNS de notre Virtual Network afin que ceux-ci pointent bien sur notre nouveau domaine Active Directory. Rien de plus simple, cliquez simplement sur le bouton Configure et cela va se faire tout seul. 🙂

On peut même très facilement le vérifier dans la configuration de notre réseau en allant voir la partie DNS ainsi que la liste des composants associés à ce réseau (vous y verrez vos 2 nouveaux contrôleurs).

La première IP est ma VM de test et les 2 autres correspondant à mes 2 DC.

Cette fois-ci tout est bon. Nous allons pouvoir tester d’ajouter une nouvelle VM dans notre beau domaine Azure Active Directory. 😉

Joindre une VM à notre domaine Azure AD

Pour ce faire, je vous laisse le soin de créer une VM Windows dans Azure que vous allez positionner bien entendu dans le même réseau. Peu importe le reste de la configuration (RAM, CPU, etc.).

Et maintenant, il ne nous reste plus qu’à tenter d’ajouter notre VM dans notre domaine Azure… de la façon la plus standard qui soit. Vous pouvez déjà faire un ipconfig /all pour voir quels sont les DNS détectés ou même tenter de ping votre domaine… si tout correspond à ce que l’on vient de faire il y a forte chance que ça fonctionne ! 😉

Notre VM est désormais membre de notre Azure AD 🙂 ! Il ne nous reste plus qu’à nous connecter avec le compte que nous avions précédemment créé.

Evidemment, ça fonctionne parfaitement bien. 🙂

Pour aller plus loin

Une fois que vous avez ajouté votre première VM au sein de votre domaine. Ce qui peut être intéressant c’est d’installer les composants Active Directory pour voir à quoi ressemble un domain AD dans le cas où il est géré directement par Microsoft.

Azure Active Directory – On y retrouve des OU et des groupes spécifiques
Azure Active Directory – On y voit également nos DC même si on ne peut pas RDP sur les serveurs en question.

Enfin, si votre datacenter et Azure sont interconnectés avec un VPN S2S ou même une ExpressRoute, vous pouvez également ajouter vos VM encore dans votre datacenter à votre domaine Azure. 🙂

Plus d’informations sur Azure Active Directory.