Vous êtes sur la page 1sur 355

Microsoft

Officiel
Cours

WS-012T00
Windows Server 2019
IaaS hybride et Azure
WS-012T00
Windows Server 2019 hybride
et Azure IaaS
II Avertissement

Les informations contenues dans ce document, y compris les URL et autres références de sites Web Internet, sont
susceptibles d'être modifiées sans préavis. Sauf indication contraire, les exemples de sociétés, organisations, produits, noms
de domaine, adresses e-mail, logos, personnes, lieux et événements décrits ici sont fictifs et ne sont associés à aucune
entreprise, organisation, produit, nom de domaine, e- adresse e-mail, logo, personne, lieu ou événement est prévu ou doit
être déduit. Le respect de toutes les lois applicables sur les droits d'auteur relève de la responsabilité de l'utilisateur. Sans
limiter les droits en vertu du droit d'auteur, aucune partie de ce document ne peut être reproduite, stockée ou introduite
dans un système d'extraction, ou transmise sous quelque forme ou par quelque moyen que ce soit (électronique,
mécanique, photocopie, enregistrement ou autre), ou pour tout but, sans l'autorisation écrite expresse de Microsoft
Corporation.

Microsoft peut détenir des brevets, des demandes de brevet, des marques, des droits d'auteur ou d'autres droits
de propriété intellectuelle couvrant le sujet de ce document. Sauf disposition expresse dans un accord de licence
écrit de Microsoft, la fourniture de ce document ne vous donne aucune licence sur ces brevets, marques, droits
d'auteur ou autres propriétés intellectuelles.

Les noms de fabricants, de produits ou d'URL sont fournis à titre informatif uniquement et Microsoft ne fait
aucune déclaration ni garantie, expresse, implicite ou légale, concernant ces fabricants ou l'utilisation des
produits avec les technologies Microsoft. L'inclusion d'un fabricant ou d'un produit n'implique pas
l'approbation par Microsoft du fabricant ou du produit. Des liens peuvent être fournis vers des sites tiers. Ces
sites ne sont pas sous le contrôle de Microsoft et Microsoft n'est pas responsable du contenu de tout site lié ou
de tout lien contenu dans un site lié, ou de toute modification ou mise à jour de ces sites. Microsoft n'est pas
responsable de la diffusion sur le Web ou de toute autre forme de transmission reçue d'un site lié. Microsoft
vous fournit ces liens uniquement pour votre commodité,

© 2019 Microsoft Corporation. Tous les droits sont réservés.

Microsoft et les marques commerciales répertoriées sur http://www.microsoft.com/trademarks 1 sont des marques commerciales
du groupe de sociétés Microsoft. Tous les autres marques appartiennent à leurs propriétaires respectifs.

1 http://www.microsoft.com/trademarks
CLUF III

TERMES DE LA LICENCE MICROSOFT

MATÉRIEL DE COURS À LED D'INSTRUCTEUR MICROSOFT

Ces conditions de licence constituent un accord entre Microsoft Corporation (ou basé sur votre lieu de résidence, l'un de ses affiliés) et
vous. Veuillez les lire. Ils s'appliquent à votre utilisation du contenu accompagnant cet accord qui comprend le support sur lequel vous
l'avez reçu, le cas échéant. Ces conditions de licence s'appliquent également au contenu du formateur et à toutes les mises à jour et
suppléments du contenu sous licence, sauf si d'autres conditions accompagnent ces éléments. Dans l'affirmative, ces termes
s'appliquent.

EN ACCÉDANT, TÉLÉCHARGANT OU EN UTILISANT LE CONTENU SOUS LICENCE, VOUS ACCEPTEZ CES CONDITIONS. SI VOUS NE
LES ACCEPTEZ PAS, N'ACCÉDEZ PAS, NE TÉLÉCHARGEZ PAS OU N'UTILISEZ PAS LE CONTENU SOUS LICENCE.

Si vous vous conformez à ces conditions de licence, vous disposez des droits ci-dessous pour chaque licence que vous acquérez.

1. DÉFINITIONS.

1. «Centre d'apprentissage autorisé» désigne un membre du programme Microsoft Imagine Academy (MSIA),
un membre Microsoft Learning Competency ou toute autre entité que Microsoft peut désigner de temps à
autre.

2. «Session de formation autorisée» désigne la classe de formation dirigée par un instructeur à l'aide du didacticiel dirigé
par un instructeur Microsoft et dirigée par un formateur dans ou via un centre de formation agréé.

3. «Dispositif de salle de classe» désigne un (1) ordinateur dédié et sécurisé qu'un centre de formation agréé
possède ou contrôle et qui se trouve dans les installations de formation d'un centre de formation agréé qui
atteint ou dépasse le niveau matériel spécifié pour le didacticiel donné par un instructeur Microsoft.

4. «Utilisateur final» désigne une personne qui est (i) dûment inscrite et participant à une session de formation
autorisée ou à une session de formation privée, (ii) un employé d'un membre MPN (défini ci-dessous), ou (iii) un
employé à plein temps de Microsoft , un membre du programme Microsoft Imagine Academy (MSIA) ou un
Microsoft Learn for Educators - Validated Educator.

5. «Contenu sous licence» désigne le contenu accompagnant cet accord qui peut inclure le
didacticiel ou le contenu du formateur Microsoft.

6. «Microsoft Certified Trainer» ou «MCT» désigne une personne qui (i) est engagée pour enseigner une session de formation
aux Utilisateurs Finaux au nom d'un Centre de Formation Autorisé ou d'un Membre MPN, et (ii) actuellement certifiée en tant
que Microsoft Certified Trainer dans le cadre du programme de certification Microsoft.

7. «Microsoft Instructor-Led Courseware» désigne le cours de formation dirigé par un instructeur de marque Microsoft qui
éduque les professionnels de l'informatique, les développeurs, les étudiants d'une institution universitaire et d'autres
apprenants sur les technologies Microsoft. Un titre de didacticiel dirigé par un instructeur Microsoft peut être marqué comme
didacticiel MOC, Microsoft Dynamics ou Microsoft Business Group.

8. «Membre du programme Microsoft Imagine Academy (MSIA)» désigne un membre actif du programme
Microsoft Imagine Academy.

9. «Microsoft Learn for Educators - Validated Educator» désigne un éducateur qui a été validé par le programme
Microsoft Learn for Educators en tant qu'éducateur actif dans un collège, une université, un collège
communautaire, une polytechnique ou une institution K-12.

10. «Membre Microsoft Learning Competency» désigne un membre actif du programme Microsoft
Partner Network en règle qui détient actuellement le statut Learning Competency.

11. «MOC» désigne le didacticiel dirigé par un instructeur «Official Microsoft Learning Product», connu sous le nom de
cours officiel Microsoft, qui forme les professionnels de l'informatique, les développeurs, les étudiants d'une
institution universitaire et les autres apprenants aux technologies Microsoft.

12. «Membre MPN» désigne un membre actif du programme Microsoft Partner Network en règle.
IV CLUF

13. «Appareil personnel» désigne un (1) ordinateur personnel, appareil, poste de travail ou autre appareil
électronique numérique que vous possédez ou contrôlez personnellement et qui atteint ou dépasse le niveau
matériel spécifié pour le didacticiel Microsoft particulier.

14. «Session de formation privée» désigne les cours de formation dispensés par un instructeur et dispensés par
les membres MPN aux entreprises clientes pour enseigner un objectif d'apprentissage prédéfini à l'aide du
didacticiel Microsoft. Ces cours ne sont ni annoncés ni promus auprès du grand public et la participation aux
cours est réservée aux personnes employées ou engagées par l'entreprise cliente.

15. «Formateur» désigne (i) un éducateur accrédité sur le plan académique engagé par un membre du programme Microsoft
Imagine Academy pour enseigner une session de formation autorisée, (ii) un éducateur accrédité sur le plan académique et
validé en tant que Microsoft Learn for Educators - Enseignant validé, et / ou ( iii) un MCT.

16. «Contenu du formateur» désigne la version formateur du didacticiel Microsoft Instructor et le contenu supplémentaire supplémentaire

destiné uniquement à l'usage des formateurs pour enseigner une session de formation à l'aide du didacticiel Microsoft Instructor-Led

Courseware. Le contenu du formateur peut inclure des présentations Microsoft PowerPoint, un guide de préparation du formateur, du

matériel de formation du formateur, des packs Microsoft One Note, un guide de configuration de la salle de classe et un formulaire de

commentaires sur le cours préliminaire. Pour clarifier, le contenu du formateur n'inclut aucun logiciel, disque dur virtuel ou machine

virtuelle.

2. UTILISER LES DROITS. Le contenu sous licence est concédé sous licence et non vendu. Le contenu sous licence est concédé sous licence sur un une

copie par utilisateur, de sorte que vous devez acquérir une licence pour chaque personne qui accède ou utilise le
contenu sous licence.

● 2.1 Vous trouverez ci-dessous cinq ensembles distincts de droits d'utilisation. Un seul ensemble de droits s'applique à vous.

1. Si vous êtes membre du programme Microsoft Imagine Academy (MSIA):

1. Chaque licence acquise en votre nom ne peut être utilisée que pour réviser un (1) exemplaire du didacticiel
Microsoft sous la forme qui vous a été fournie. Si le didacticiel dirigé par un instructeur Microsoft est au
format numérique, vous pouvez installer une (1) copie sur jusqu'à trois (3) appareils personnels. Vous ne
pouvez pas installer le didacticiel Microsoft sur un appareil que vous ne possédez pas ou ne contrôlez pas.

2. Pour chaque licence que vous acquérez au nom d'un utilisateur final ou d'un formateur, vous pouvez soit:

1. distribuer une (1) version papier du didacticiel Microsoft à un (1) utilisateur final inscrit à la
session de formation autorisée, et seulement immédiatement avant le début de la session de
formation autorisée qui fait l'objet de la Cours fournis par un instructeur Microsoft, ou alors

2. fournir à un (1) utilisateur final le code d'échange unique et des instructions sur la façon dont il
peut accéder à une (1) version numérique du didacticiel Microsoft Instructor, ou alors

3. fournir à un (1) formateur le code d'échange unique et des instructions sur la façon dont il peut
accéder à un (1) contenu du formateur.

3. Pour chaque licence que vous acquérez, vous devez respecter les conditions suivantes:

1. vous ne donnerez accès au contenu sous licence qu'aux personnes qui ont acquis une
licence valide sur le contenu sous licence,

2. vous vous assurerez que chaque utilisateur final participant à une session de formation autorisée
dispose de sa propre copie sous licence valide du didacticiel Microsoft instructeur faisant l'objet de la
session de formation autorisée,

3. vous vous assurerez que chaque utilisateur final qui reçoit la version papier du didacticiel
Microsoft Instructor-Led reçoit une copie de ce contrat et chaque fin
CLUF V

L'utilisateur acceptera que son utilisation du didacticiel Microsoft Instructor sera soumis aux
conditions de cet accord avant de lui fournir le didacticiel Microsoft Instructor-Led
Courseware. Chaque personne sera tenue d'indiquer son acceptation de cet accord d'une
manière qui est exécutoire en vertu de la loi locale avant d'accéder au didacticiel Micro-soft
dirigé par un instructeur,

4. vous vous assurerez que chaque formateur enseignant une session de formation autorisée dispose de sa
propre copie sous licence valide du contenu du formateur faisant l'objet de la session de formation autorisée,

5. vous n'utiliserez que des formateurs qualifiés ayant une connaissance et une expérience approfondies de
la technologie Microsoft faisant l'objet du didacticiel dirigé par un instructeur Microsoft enseigné pour
toutes vos sessions de formation autorisées,

6. vous ne dispenserez qu'un maximum de 15 heures de formation par semaine pour chaque session de
formation autorisée qui utilise un titre MOC, et

7. vous reconnaissez que les formateurs qui ne sont pas des MCT n'auront pas accès à toutes les
ressources du formateur pour les didacticiels Microsoft.

2. Si vous êtes membre de Microsoft Learning Competency:

1. Chaque acquisition de licence ne peut être utilisée que pour réviser une (1) copie du didacticiel dirigé par un
instructeur Microsoft dans le formulaire qui vous a été fourni. Si le cours dirigé par un instructeur Microsoft est au
format numérique, vous pouvez installer un (1) exemplaire sur trois (3) appareils personnels au maximum. Vous ne
pouvez pas installer le didacticiel Microsoft sur un appareil que vous ne possédez pas ou ne contrôlez pas.

2. Pour chaque licence que vous acquérez au nom d'un utilisateur final ou d'un MCT, vous pouvez:

1. distribuer une (1) version papier du didacticiel Microsoft à un (1) utilisateur final participant à
la session de formation autorisée et seulement immédiatement avant le début de la session
de formation autorisée qui fait l'objet de l'instructeur Microsoft. -Led Courseware fourni, ou
alors

2. fournir à un (1) utilisateur final participant à la session de formation autorisée le code d'échange
unique et des instructions sur la façon dont il peut accéder à une (1) version numérique du
didacticiel Microsoft, ou alors

3. vous fournirez à un (1) MCT le code d'échange unique et des instructions sur la façon dont il peut
accéder à un (1) contenu du formateur.

3. Pour chaque licence que vous acquérez, vous devez respecter les conditions suivantes:

1. vous ne donnerez accès au contenu sous licence qu'aux personnes qui ont acquis une
licence valide sur le contenu sous licence,

2. vous vous assurerez que chaque utilisateur final participant à une session de formation autorisée dispose
de sa propre copie sous licence valide du didacticiel Microsoft instructeur faisant l'objet de la session de
formation autorisée,

3. vous vous assurerez que chaque utilisateur final qui reçoit une version papier du didacticiel
Microsoft Instructor recevra une copie de ce contrat et chaque utilisateur final acceptera que
son utilisation du didacticiel Microsoft Instructor-Led Courseware soit soumise à les termes
de cet accord avant de leur fournir le didacticiel Microsoft. Chaque personne sera tenue
d'indiquer son acceptation de cet accord d'une manière qui est exécutoire en vertu de la loi
locale avant d'accéder au didacticiel Micro-soft dirigé par un instructeur,
VI CLUF

4. vous vous assurerez que chaque MCT enseignant une session de formation autorisée dispose de sa
propre copie sous licence valide du contenu du formateur faisant l'objet de la session de formation
autorisée,

5. vous n'utiliserez que des MCT qualifiés qui détiennent également les informations d'identification de
certification Microsoft applicables qui font l'objet du titre MOC enseigné pour toutes vos sessions de
formation autorisées utilisant MOC,

6. vous ne donnerez accès au didacticiel Microsoft aux utilisateurs finaux qu'aux utilisateurs finaux, et

7. vous ne donnerez accès au contenu du formateur qu'aux MCT.

3. Si vous êtes membre MPN:

1. Chaque licence acquise en votre nom ne peut être utilisée que pour réviser un (1) exemplaire du didacticiel
Microsoft sous la forme qui vous a été fournie. Si le didacticiel dirigé par un instructeur Microsoft est au
format numérique, vous pouvez installer une (1) copie sur jusqu'à trois (3) appareils personnels. Vous ne
pouvez pas installer le didacticiel Microsoft sur un appareil que vous ne possédez pas ou ne contrôlez pas.

2. Pour chaque licence que vous acquérez au nom d'un utilisateur final ou d'un formateur, vous pouvez soit:

1. distribuer une (1) version papier du didacticiel Microsoft à un (1) utilisateur final participant
à la session de formation privée, et seulement immédiatement avant le début de la session
de formation privée qui fait l'objet du micrologiciel Cours dispensés par un instructeur, ou
alors

2. fournir à un (1) utilisateur final qui participe à la session de formation privée le code
d'échange unique et des instructions sur la façon dont il peut accéder à une (1) version
numérique du didacticiel Microsoft, ou alors

3. vous fournirez à un (1) formateur qui enseigne la séance de formation privée le code
d'échange unique et des instructions sur la façon dont il peut accéder à un (1) contenu de
formateur.

3. Pour chaque licence que vous acquérez, vous devez respecter les conditions suivantes:

1. vous ne donnerez accès au contenu sous licence qu'aux personnes qui ont acquis une
licence valide sur le contenu sous licence,

2. vous vous assurerez que chaque utilisateur final participant à une session de formation privée dispose
de sa propre copie sous licence valide du didacticiel Microsoft instructeur faisant l'objet de la session de
formation privée,

3. vous vous assurerez que chaque utilisateur final qui reçoit une version papier du didacticiel
Microsoft Instructor recevra une copie de cet accord et chaque utilisateur final acceptera que
son utilisation du didacticiel Microsoft Instructor-Led Courseware soit soumise au les termes
de cet accord avant de leur fournir le didacticiel Microsoft. Chaque personne sera tenue
d'indiquer son acceptation de cet accord d'une manière qui est exécutoire en vertu de la loi
locale avant d'accéder au didacticiel Micro-soft dirigé par un instructeur,

4. vous vous assurerez que chaque formateur enseignant une session de formation privée dispose de sa propre
copie sous licence valide du contenu du formateur faisant l'objet de la session de formation privée,
CLUF VII

5. vous n'utiliserez que des formateurs qualifiés qui détiennent les informations d'identification de certification
Microsoft applicables qui font l'objet du didacticiel dirigé par un instructeur Microsoft enseigné pour toutes
vos sessions de formation privées,

6. vous n'utiliserez que des MCT qualifiés qui détiennent le titre de certification Microsoft applicable
qui fait l'objet du titre MOC enseigné pour toutes vos sessions de formation privées utilisant MOC,

7. vous ne donnerez accès au didacticiel Microsoft aux utilisateurs finaux qu'aux utilisateurs finaux, et

8. vous ne donnerez accès au contenu du formateur qu'aux formateurs.

4. Si vous êtes un utilisateur final:

Pour chaque licence que vous acquérez, vous pouvez utiliser le didacticiel Microsoft Instructor uniquement à des
fins de formation personnelle. Si le didacticiel Microsoft Instructor est au format numérique, vous pouvez accéder
en ligne au Microsoft Instructor-Led Courseware en utilisant le code d'échange unique qui vous a été fourni par le
fournisseur de formation et installer et utiliser une (1) copie du didacticiel Microsoft Instructor-Led Courseware.
sur jusqu'à trois (3) appareils personnels. Vous pouvez également imprimer une (1) copie du didacticiel Microsoft.
Vous ne pouvez pas installer le didacticiel Microsoft sur un appareil que vous ne possédez pas ou ne contrôlez
pas.

5. Si vous êtes un formateur.

1. Pour chaque licence que vous acquérez, vous pouvez installer et utiliser une (1) copie du contenu du formateur sous la forme

qui vous est fournie sur un (1) appareil personnel uniquement pour préparer et offrir une session de formation autorisée ou

une session de formation privée, et installer une (1) copie supplémentaire sur un autre appareil personnel en tant que copie

de sauvegarde, qui ne peut être utilisée que pour réinstaller le contenu du formateur. Vous ne pouvez pas installer ou utiliser

une copie du Contenu du Formateur sur un appareil que vous ne possédez pas ou ne contrôlez pas. Vous pouvez également

imprimer une (1) copie du contenu du formateur uniquement pour préparer et offrir une session de formation autorisée ou

une session de formation privée.

2. Si vous êtes un MCT, vous pouvez personnaliser les parties écrites du Contenu du Formateur qui sont
logiquement associées à l'instruction d'une session de formation conformément à la version la plus
récente de l'accord MCT.

3. Si vous choisissez d'exercer les droits ci-dessus, vous acceptez de vous conformer à ce qui suit: (i) les personnalisations ne

peuvent être utilisées que pour l'enseignement des sessions de formation autorisées et des sessions de formation privées, et

(ii) toutes les personnalisations seront conformes à cet accord. Pour plus de clarté, toute utilisation de «personnaliser» se

réfère uniquement à la modification de l'ordre des diapositives et du contenu, et / ou à ne pas utiliser toutes les diapositives

ou le contenu, cela ne signifie pas changer ou modifier une diapositive ou un contenu.

● 2.2 Séparation des composants. Le contenu sous licence est concédé sous licence en une seule unité et vous
ne peuvent pas séparer leurs composants et les installer sur des appareils différents.

● 2,3 Redistribution du contenu sous licence. Sauf dans les cas expressément prévus dans les droits
d'utilisation ci-dessus, vous ne pouvez pas distribuer de contenu sous licence ou une partie de celui-ci (y compris les
modifications autorisées) à des tiers sans l'autorisation écrite expresse de Microsoft.

● 2,4 Avis de tiers. Le contenu sous licence peut inclure un code tiers que Micro-soft, et non le tiers,
vous concède sous licence en vertu de cet accord. Les avis, le cas échéant, pour le code tiers sont inclus
pour votre information uniquement.

● 2,5 Conditions supplémentaires. Certains contenus sous licence peuvent contenir des composants avec des
termes, conditions et licences supplémentaires concernant son utilisation. Toutes les conditions non contradictoires de ces
conditions et licences s'appliquent également à votre utilisation de ce composant respectif et complète les conditions
décrites dans cet accord.
VIII CLUF

3. CONTENU SOUS LICENCE BASÉ SUR LA TECHNOLOGIE DE PRÉ-LIBÉRATION. Si le sujet du contenu sous licence
matière est basée sur une version préliminaire de la technologie Microsoft (" Pré-version ”), Puis en plus des autres
dispositions de cet accord, ces conditions s'appliquent également:

1. Contenu sous licence pré-version. L'objet de ce contenu sous licence figure dans la version préliminaire
version de la technologie Microsoft. La technologie peut ne pas fonctionner comme une version finale de la
technologie et nous pouvons changer la technologie pour la version finale. Nous pouvons également ne pas
publier une version finale. Le contenu sous licence basé sur la version finale de la technologie peut ne pas
contenir les mêmes informations que le contenu sous licence basé sur la version préliminaire. Microsoft n'a
aucune obligation de vous fournir tout autre contenu, y compris tout contenu sous licence basé sur la version
finale de la technologie.

2. Retour. Si vous acceptez de faire part de vos commentaires sur le Contenu sous licence à Microsoft, soit directement, soit
par l'intermédiaire de son représentant tiers, vous accordez gratuitement à Microsoft le droit d'utiliser, de partager et de
commercialiser vos commentaires de quelque manière et à quelque fin que ce soit. Vous accordez également à des tiers,
sans frais, tous les droits de brevet nécessaires pour que leurs produits, technologies et services puissent utiliser ou
s'interfacer avec des parties spécifiques d'une technologie Microsoft, d'un produit ou d'un service Microsoft qui inclut les
commentaires. Vous ne donnerez pas de commentaires soumis à une licence qui oblige MicroSoft à concéder sa
technologie, ses technologies ou ses produits à des tiers parce que nous y incluons vos commentaires. Ces droits survivent
à cet accord.

3. Terme de pré-libération. Si vous êtes un membre du programme Microsoft Imagine Academy, un membre Microsoft
Learning Competency, un membre MPN, Microsoft Learn for Educators - Validated Educator ou un formateur, vous
cesserez d'utiliser toutes les copies du contenu sous licence sur la technologie de pré-version dès (i ) la date que
Microsoft vous informe est la date de fin d'utilisation du contenu sous licence sur la technologie de préversion, ou (ii)
soixante (60) jours après la sortie commerciale de la technologie faisant l'objet du contenu sous licence, selon la date
le plus tôt (" Terme de pré-libération ”). À l'expiration ou à la résiliation de la période de pré-libération, vous
supprimerez et détruirez irrémédiablement toutes les copies du contenu sous licence en votre possession ou sous
votre contrôle.

4. PORTÉE DE LA LICENCE. Le contenu sous licence est concédé sous licence et non vendu. Cet accord ne vous donne que certains droits

d'utilisation du contenu sous licence. Microsoft se réserve tous les autres droits. À moins que la loi applicable ne vous donne plus de droits

malgré cette limitation, vous ne pouvez utiliser le contenu sous licence que de la manière expressément autorisée dans cet accord. Ce

faisant, vous devez vous conformer à toutes les limitations techniques du Contenu sous licence qui ne vous permettent de l'utiliser que de

certaines manières. Sauf dans les cas expressément autorisés dans cet accord, vous ne pouvez pas:

● accéder ou permettre à tout individu d'accéder au contenu sous licence s'il n'a pas acquis une licence
valide pour le contenu sous licence,

● modifier, supprimer ou masquer tout droit d'auteur ou autre avis de protection (y compris les filigranes), la marque
ou les identifications contenues dans le contenu sous licence,

● modifier ou créer une œuvre dérivée de tout contenu sous licence,

● afficher publiquement ou rendre le contenu sous licence disponible pour que d'autres puissent y accéder ou l'utiliser,

● copier, imprimer, installer, vendre, publier, transmettre, prêter, adapter, réutiliser, créer un lien ou publier, mettre à
disposition ou distribuer le contenu sous licence à un tiers,

● contourner les limitations techniques du contenu sous licence, ou

● faire de l'ingénierie inverse, décompiler, supprimer ou contrecarrer toute protection ou désassembler le contenu
sous licence, sauf et uniquement dans la mesure où la loi applicable le permet expressément, malgré cette
limitation.

5. RESERVE DE DROITS ET DE PROPRIETE. Microsoft se réserve tous les droits qui ne vous sont pas expressément accordés
dans cet accord. Le contenu sous licence est protégé par le droit d'auteur et toute autre propriété intellectuelle
CLUF IX

lois et traités. Microsoft ou ses fournisseurs sont propriétaires du titre, des droits d'auteur et des autres droits de propriété
intellectuelle du Contenu sous licence.

6. RESTRICTIONS À L'EXPORTATION. Le contenu sous licence est soumis aux lois et réglementations des États-Unis sur l'exportation. Vous

devez vous conformer à toutes les lois et réglementations nationales et internationales en matière d'exportation qui s'appliquent au

contenu sous licence. Ces lois incluent des restrictions sur les destinations, les utilisateurs finaux et l'utilisation finale. Pour plus

d'informations, voir www.microsoft.com/exporting.

7. SERVICES DE SOUTIEN. Étant donné que le contenu sous licence est fourni «tel quel», nous ne sommes pas obligés de fournir des

services d'assistance pour celui-ci.

8. RÉSILIATION. Sans préjudice de tout autre droit, Microsoft peut résilier cet accord si vous ne respectez pas les
termes et conditions de cet accord. À la résiliation de cet accord pour quelque raison que ce soit, vous arrêterez
immédiatement toute utilisation et supprimerez et détruirez toutes les copies du contenu sous licence en votre
possession ou sous votre contrôle.

9. LIENS VERS DES SITES TIERS. Vous pouvez créer un lien vers des sites tiers en utilisant le contenu sous
licence. Les sites tiers ne sont pas sous le contrôle de Microsoft et Microsoft n'est pas responsable du
contenu des sites tiers, des liens contenus dans des sites tiers ou des modifications ou mises à jour de sites
tiers. Microsoft n'est pas responsable de la diffusion sur le Web ou de toute autre forme de transmission
reçue de sites tiers. Microsoft vous fournit ces liens vers des sites tiers uniquement à titre de commodité,
et l'inclusion de tout lien n'implique pas une approbation par Microsoft du site tiers.

dix. ACCORD COMPLET. Cet accord, et toutes les conditions supplémentaires pour le contenu du formateur, les mises à jour et
les suppléments constituent l'intégralité de l'accord pour le contenu sous licence, les mises à jour et les suppléments.

11. LOI APPLICABLE.

1. États-Unis. Si vous avez acquis le contenu sous licence aux États-Unis, la loi de l'État de Washington régit l'interprétation de cet accord

et s'applique aux réclamations pour violation de celui-ci, indépendamment des principes de conflit de lois. Les lois de l'État dans

lequel vous vivez régissent toutes les autres réclamations, y compris les réclamations en vertu des lois de l'État sur la protection des

consommateurs, des lois sur la concurrence déloyale et de la responsabilité délictuelle.

2. En dehors des États-Unis. Si vous avez acquis le contenu sous licence dans un autre pays, les lois de ce pays
s'appliquent.

12. EFFET JURIDIQUE. Cet accord décrit certains droits légaux. Vous pouvez avoir d'autres droits en vertu du
lois de votre pays. Vous pouvez également avoir des droits à l'égard de la partie auprès de laquelle vous
avez acquis le contenu sous licence. Cet accord ne modifie pas vos droits en vertu des lois de votre pays si
les lois de votre pays ne le permettent pas.

13. EXCLUSION DE GARANTIE. LE CONTENU SOUS LICENCE EST SOUS LICENCE "TEL QUEL" ET "TEL QUE DISPONIBLE-
BLE. "VOUS ASSUMEZ LE RISQUE DE L'UTILISER. MICROSOFT ET SES FILIALES RESPECTIVES NE
DONNENT AUCUNE GARANTIE, GARANTIE OU CONDITION EXPRESSE. LES LOIS LOCALES, MICROSOFT
ET SES FILIALES RESPECTIVES EXCLUENT TOUTE GARANTIE IMPLICITE DE QUALITÉ MARCHANDE,
D'ADAPTATION À UN USAGE PARTICULIER ET D'ABSENCE DE CONTREFAÇON.

14. LIMITATION ET EXCLUSION DE RECOURS ET DE DOMMAGES. VOUS POUVEZ RÉCUPÉRER DE


MICROSOFT, SES FILIALES RESPECTIVES ET SES FOURNISSEURS SEULEMENT DES DOMMAGES DIRECTS
JUSQU'À 5,00 $ US. VOUS NE POUVEZ RECUPERER TOUT AUTRE DOMMAGE, Y COMPRIS LES DOMMAGES
INDIRECTS, PERDUS, SPÉCIAUX, INDIRECTS OU ACCESSOIRES.
X CLUF

Cette limitation s'applique à

● tout ce qui concerne le contenu sous licence, les services, le contenu (y compris le code) sur des sites Internet
tiers ou des programmes tiers; et

● les réclamations pour rupture de contrat, rupture de garantie, garantie ou condition, responsabilité stricte,
négligence ou autre délit dans la mesure permise par la loi applicable.

Elle s'applique également même si Microsoft savait ou aurait dû connaître la possibilité des dommages. La
limitation ou l'exclusion ci-dessus peut ne pas s'appliquer à vous car votre pays peut ne pas autoriser l'exclusion
ou la limitation des dommages accessoires, consécutifs ou autres.

Veuillez noter: Étant donné que ce contenu sous licence est distribué au Québec, Canada, certaines des clauses de
cet accord sont fournies ci-dessous en français.

Remarque: Ce contenu sous licence étant distribué au Québec, Canada, certaines clauses dans ce
contrat sont fournies ci-dessous en français.

EXONÉRATION DE GARANTIE. Le contenu sous licence visé par une licence est offert «tel quel». Toute
utilisation de ce contenu sous licence est à votre seule risque et péril. Microsoft n'accorde aucune autre
garantie expresse. Vous pouvez bénéficier de droits supplémentaires en vertu du droit local sur la protection
des consommateurs, que ce contrat ne peut modifier. La ou elles sont permises par le droit local, les
garanties implicites de qualité marchande, l'adéquation à un usage particulier et l'absence de contre-façon
sont exclues.

LIMITATION DES DOMMAGES-INTÉRÊTS ET EXCLUSION DE RESPONSABILITÉ POUR LES DOMMAG-ES. Vous


pouvez obtenir de Microsoft et de ses fournisseurs une indemnisation en cas de dommages directs
uniquement à hauteur de 5,00 $ US. Vous ne pouvez prétendre à aucune indemnisation pour les autres
dommages, y compris les dommages spéciaux, indirects ou accessoires et pertes de bénéfices.

Cette limitation concerne:

● tout ce qui est relié au contenu sous licence, aux services ou au contenu (y compris le code)
figurant sur des sites Internet tiers ou dans des programmes tiers; et.

● les réclamations au titre de violation de contrat ou de garantie, ou au titre de responsabilité stricte, de


négligence ou d'une autre faute dans la limite autorisée par la loi en vigueur.

Elle s'applique également, même si Microsoft connaissait ou devrait connaître l'éventualité d'un tel dommage.
Si votre pays n'autorise pas ou la limitation de responsabilité pour les dommages indirects, accessoires ou de
quelque nature que ce soit, il se peut que la limitation ou exclusion ci-dessus ne s'applique pas à votre respect .

EFFET JURIDIQUE. Le présent contrat décrit certains droits juridiques. Vous pourriez avoir d'autres droits
prévus par les lois de votre pays. Le présent contrat ne modifie pas les droits que vous conférez les lois de
votre pays si celles-ci le permettent pas.

Révisé en avril 2019


Contenu

■ Module 0 Introduction au cours ...................................................... 1


À propos de ce cours .................................................................... 1

■ Module 1 Présentation d'Azure hybride IaaS avec Windows Server 2019 ..................... 3
Vue d'ensemble d'Azure IaaS ............................................................... 3
Vue d'ensemble du modèle hybride Azure à l'aide .................................................... 14
d'outils d'administration hybrides .............................................................. 33
Revue du module 01 .................................................................... 43

■ Module 2 Implémentation de l'identité dans des scénarios hybrides .................................. 47


Implémentation d'AD DS sur Azure IaaS ..................................................... 47
Intégration d'AD DS avec Azure AD ....................................................... 55
Implémentation des environnements AD DS gérés Module ............................................ 78
02 Travaux pratiques et examen ............................................................. 86

■ Module 3 Faciliter la gestion hybride et la surveillance opérationnelle dans les scénarios hybrides 93
Centre d'administration Windows ............................................................... 93
Arc azur ................ .......................................................... 101
Moniteur Azure ............. .......................................................... 107
Automatisation Azure ......... .......................................................... 114
Laboratoire et revue du module 03 ... .......................................................... 122

■ Module 4 Implémentation de solutions de sécurité dans des scénarios hybrides ......................... 131
Centre de sécurité Azure ...... .......................................................... 131
Azure Sentinel ............. .......................................................... 135
Gérer les mises à jour Windows ........................................................... 142
Laboratoire et revue du module 04 ... .......................................................... 146

■ Module 5 Implémentation de services de fichiers dans des scénarios hybrides ............................... 151
Implémentation d'Azure Files ... .......................................................... 151
Mise en œuvre et examen du .......................................................... 161
laboratoire Azure File Sync Module 05. . . .......................................................... 171

■ Module 6 Déploiement et configuration des machines virtuelles Azure ..................................... 177


Déployer des machines virtuelles Azure. . . . . . .......................................................... 177
Configuration de la mise en réseau des machines ...................................................... 195
virtuelles Azure Configuration du stockage des ......................................................... 200
machines virtuelles Azure Configuration de la sécurité
. . . des
. . . .machines
. . . . . . . . .virtuelles
. . . . . . . . Azure
................................. 211
Laboratoire et revue du module 06 ............................................................. 224

■ Module 7 Gestion et maintenance des machines virtuelles Azure ..................................... 233


Gestion des machines virtuelles Azure exécutant Windows Server 2019 ....................................... 233
Maintenance des machines virtuelles Azure exécutant Windows Server 2019 ..................................... 256
Module 07 Lab et examen ............................................................. 264

■ Module 8 Planification et mise en œuvre de services de migration et de récupération dans des scénarios hybrides 269
Azure Migrate ....................................................................... 269
Service de migration de stockage ............................................................. 287
Récupération de site Azure .................................................................. 296
Réplique de stockage ...................................................................... 314
Sauvegarde Azure ....................................................................... 325
Laboratoire et revue du module 08 ............................................................. 337
Module 0 Introduction au cours

À propos de ce cours

À propos de ce cours
Bienvenue à la Windows Server 2019 hybride et Azure IaaS cours. Ce cours enseigne aux administrateurs
Windows Server et aux ingénieurs système comment utiliser Microsoft Azure pour passer des environnements sur
site aux environnements hybrides et cloud uniquement.

Niveau: Intermédiaire

Public
Ce cours est destiné aux professionnels de l'informatique qui gèrent des environnements Windows Server locaux et qui souhaitent utiliser

Azure pour gérer les charges de travail du serveur et aider à sécuriser les machines virtuelles qui s'exécutent sur Windows Server 2019.

Conditions préalables
Ce cours suppose que vous avez des compétences et de l'expérience avec les technologies et concepts suivants:

● Expérience de la gestion du système d'exploitation Windows Server et des charges de travail Windows Server
dans des scénarios sur site.

● Expérience de base de la mise en œuvre et de la gestion des services d'infrastructure en tant que service (IaaS) dans Azure.

● Connaissance de base d'Azure Active Directory (Azure AD).

● Connaissance de base des technologies de calcul et de stockage basées sur Windows Server sur site, telles que le clustering de
basculement et les espaces de stockage.

● Une connaissance des meilleures pratiques de sécurité de base et des technologies liées à la sécurité telles que les pare-feu, le
chiffrement, l'authentification multifacteur (MFA), la gestion des informations et des événements de sécurité (SIEM) et
l'orchestration, l'automatisation et la réponse de la sécurité (SOAR).

● Une compréhension des scripts PowerShell, de la haute disponibilité, de la reprise après sinistre, de l'automatisation et de la

surveillance.
2 Module 0 Introduction au cours

Laboratoires et démonstrations
Vous effectuerez des laboratoires et des démonstrations sur un environnement de laboratoire virtuel à partir d'un hébergeur de laboratoire autorisé.

Syllabus
Le contenu du cours comprend un mélange de contenu, de démonstrations, de laboratoires pratiques et de liens de référence.

Numéro de module Nom du module

0 Bienvenue au cours
1 Présentation d'Azure hybride IaaS avec Windows
Server 2019
2 Implémentation de l'identité dans des scénarios hybrides

3 Faciliter la gestion hybride et le suivi opérationnel


dans les scénarios hybrides
4 Implémentation de solutions de sécurité dans des scénarios

hybrides

5 Implémentation de services de fichiers dans des scénarios hybrides

6 Déployer et configurer des machines virtuelles Azure

7 Gestion et maintenance des machines virtuelles Azure

8 Planification et mise en œuvre de services de migration et

de récupération dans des scénarios hybrides

Ressources du cours
Il existe de nombreuses ressources qui peuvent vous aider à en savoir plus sur Windows Server. Nous vous recommandons d'ajouter

les sites Web suivants à vos favoris:

● Microsoft Learn: 1 Des parcours d'apprentissage gratuits basés sur les rôles et des expériences pratiques pour la pratique.

● Blog Microsoft Azure: 2 Restez au courant de ce qui se passe dans Azure, y compris ce qui est actuellement en préversion, généralement

disponible, les actualités et les mises à jour.

● Documentation Azure: 3 Restez informé des derniers produits, outils et fonctionnalités. Obtenez des informations sur les prix, les
partenaires, le support et les solutions.

1 https://aka.ms/Microsoft-learn-home-page
2 https://aka.ms/Microsoft-Azure-Blog
3 https://aka.ms/azure-documentation-browse
Module 1 Présentation d'Azure hybride IaaS avec
Windows Server 2019

Vue d'ensemble d'Azure IaaS

Aperçu de la leçon
Le cloud computing joue un rôle de plus en plus important dans l'infrastructure informatique, et les professionnels de l'informatique doivent

être conscients des concepts et techniques fondamentaux du cloud. Cette leçon présente certains de ces concepts et décrit les considérations

relatives à l'implémentation de services d'infrastructure basés sur le cloud, comme ceux pour le calcul, le stockage et la mise en réseau, dans

un environnement Microsoft Azure hybride.

Objectifs de la leçon
Après avoir terminé cette leçon, vous serez en mesure de:

● Décrivez certaines des options de calcul dans Azure.

● Décrivez les composants de stockage dans Azure.

● Expliquez les capacités et les caractéristiques de mise en réseau d'Azure.

Calcul Azure
L'infrastructure en tant que service (IaaS) dans Microsoft Azure fournit des composants d'infrastructure de serveur et de réseau
virtualisés que vous pouvez provisionner et mettre hors service selon vos besoins. En règle générale, vous gérez les installations IaaS
comme vous le feriez pour les infrastructures sur site. Les installations IaaS offrent un chemin de migration simplifié pour déplacer
les applications existantes vers le cloud.

Azure Compute est un service informatique à la demande permettant d'exécuter des applications basées sur le cloud. Le service fournit des

ressources informatiques, telles que des processeurs multicœurs, de la mémoire et du stockage. Il fournit également une informatique sans

serveur pour exécuter des applications sans nécessiter de configuration ou de configuration d'infrastructure. Bien que plusieurs options

existent pour exécuter des services de calcul dans Azure, cette leçon se concentre sur les machines virtuelles (VM).
4 Module 1 Présentation d'Azure hybride IaaS avec Windows Server 2019

Machines virtuelles Azure


Parmi les options de calcul disponibles, Azure Virtual Machines offre un degré élevé de flexibilité et de contrôle. En tant que solution IaaS, les machines

virtuelles Azure fonctionnent comme les machines virtuelles Microsoft Hyper-V sur Windows Server. Vous avez un contrôle complet sur la machine

virtuelle au niveau du système d'exploitation (OS). En conséquence, cependant, vous êtes également responsable de la maintenance de ce système

d'exploitation, y compris de l'installation de mises à jour et de la création de sauvegardes. Vous pouvez créer des machines virtuelles Windows et Linux à

partir de modèles prédéfinis ou déployer vos propres images de serveur personnalisées dans le cloud.

Contrairement aux applications Web App Service ou aux services cloud Azure, vous pouvez utiliser des images de système d'exploitation personnalisées. Les machines

virtuelles Azure sont les plus adaptées pour:

● Applications hautement personnalisées qui ont des exigences complexes en matière d'infrastructure ou de système d'exploitation.

● Hébergement d'applications et de services d'infrastructure Windows Server ou Linux, tels que les services de domaine Active
Directory (AD DS), le système de noms de domaine (DNS) ou un système de gestion de base de données (SGBD).

● Déploiements temporaires pour répondre aux besoins de validation de principe ou de développement.

Lorsque vous exécutez des machines virtuelles Azure, vous payez leurs ressources de calcul à la seconde. Le prix dépend de la taille
de la machine virtuelle, de la licence du système d'exploitation et de tout autre logiciel sous licence installé sur celui-ci, et de la
région Azure où réside la machine virtuelle. Une machine virtuelle en cours d'exécution nécessite en permanence des ressources
de calcul Azure. Pour éviter des frais pour ces ressources, vous devez donc placer les VM dans le Arrêté (désalloué) à chaque fois
que vous ne les utilisez pas.

Noter: Lorsque vous arrêtez une machine virtuelle via le portail Azure plutôt que via le système d'exploitation, Azure place la machine virtuelle

dans un Arrêté (désalloué) Etat. Comme mentionné précédemment, cela signifie que vous arrêterez de payer les coûts de calcul de la VM.

Cependant, l'arrêt d'une machine virtuelle Azure à partir du système d'exploitation entraînera uniquement le Arrêté état, qui continuera à

entraîner des frais de calcul VM.

Noter: Des frais supplémentaires liés à la machine virtuelle sont associés au coût de l'hébergement des fichiers de disque de machine virtuelle

Azure Storage. Ces frais s'appliquent quel que soit l'état de la VM.

Bien que vous ne disposiez pas d'un accès direct de la console aux machines virtuelles Azure, le portail Azure offre des fonctionnalités de

diagnostic de démarrage. Vous pouvez utiliser cette fonctionnalité pour consulter le journal de la console et sa capture d'écran. Azure propose

également la console série pour ses machines virtuelles, qui fournit un accès à la console en mode texte depuis le portail Azure vers les

machines virtuelles Windows et Linux Azure via le port série COM1, quel que soit l'état du système d'exploitation.

L'un des avantages des machines virtuelles Azure est leur compatibilité avec les machines virtuelles Hyper-V locales. Cela simplifie la migration

de vos charges de travail existantes basées sur Hyper-V vers le cloud. Pour ce faire, vous pouvez télécharger des fichiers de disque dur virtuel

sur site (fichiers .vhd) et créer des machines virtuelles Azure à l'aide des disques téléchargés. Vous pouvez également utiliser des solutions

telles qu'Azure Site Recovery, qui automatisent le téléchargement de fichiers disque et l'approvisionnement des machines virtuelles Azure. La

compatibilité entre les machines virtuelles Azure et les machines virtuelles Hyper-V locales simplifie également l'intégration des deux

environnements, faisant d'Azure une extension de votre centre de données existant.

Déployer des machines virtuelles Azure


Le déploiement de machines virtuelles Azure est différent de leur déploiement dans un environnement Hyper-V local. Lorsque vous gérez la

couche hyperviseur, vous pouvez configurer tous les paramètres de la VM comme vous le souhaitez. Dans Azure, vous sélectionnez parmi une

gamme d'options de configuration prédéfinies correspondant à différentes tailles de machine virtuelle. La taille de la machine virtuelle détermine

des caractéristiques telles que le nombre et la vitesse de ses processeurs, la quantité de mémoire, le nombre maximal de cartes réseau ou de

disques de données que vous pouvez y attacher et la taille maximale d'un disque temporaire.

Noter: Un disque temporaire d'une machine virtuelle dans Azure réside sur l'hôte sur lequel la machine virtuelle s'exécute. Son système d'exploitation et ses disques

de données résident dans le stockage Azure.


Vue d'ensemble d'Azure IaaS 5

Azure propose une large gamme de tailles de machines virtuelles pour répondre à presque toutes les exigences personnalisées. De
plus, vous pouvez passer à une configuration différente à tout moment, si votre configuration actuelle ne viole pas les contraintes
de la configuration souhaitée. Par exemple, vous devrez peut-être supprimer une carte réseau virtuelle supplémentaire ou un
disque de données attaché à votre machine virtuelle avant de le réduire à une taille plus petite.

Noter: La modification de la taille d'une machine virtuelle nécessite son redémarrage.

Outre la taille d'une machine virtuelle, ses performances et ses capacités dépendent également de son niveau. Il existe deux niveaux
de machines virtuelles Azure: de base et standard. Vous pouvez choisir le niveau de base pour toutes les charges de travail hors
production qui ne nécessitent pas de fonctionnalités telles que l'équilibrage de charge, l'autoscaling ou la haute disponibilité et pour
lesquelles vous êtes prêt à tolérer des E / S de disque dans une plage de 300 opérations d'E / S par seconde (IOPS) par disque. De
plus, les VM de niveau de base ne sont pas éligibles à des accords de niveau de service (SLA) relatifs à la disponibilité. Cependant, les
prix des machines virtuelles de niveau de base sont inférieurs à ceux des machines virtuelles de niveau standard. Le niveau De base
prend en charge un petit nombre de tailles de VM, allant de A0 à A4. La désignation Basic_A0 représente la plus petite taille du niveau
Basic. Il offre un seul cœur de processeur, 768 mégaoctets de mémoire, et un seul disque de données. La désignation Basic_A4
représente la plus grande machine virtuelle du niveau Basic, offrant 8 cœurs de processeur, 14 gigaoctets de mémoire et jusqu'à 16
disques de données.

Noter: La plupart des machines virtuelles Azure appartiennent à l'offre de niveau Standard. Le reste de cette rubrique se concentrera sur les

tailles de VM standard.

Plusieurs tailles de machine virtuelle standard prennent en charge le stockage Azure Premium. Azure Premium Storage est une offre haut de

gamme qui offre des performances équivalentes à celles des disques SSD. Vous pouvez facilement faire la distinction entre ces tailles de VM

car elles incluent la lettre «S» dans la désignation de la taille de VM. Toutes les tailles de machine virtuelle prennent en charge le stockage

standard Azure, qui offre des performances équivalentes à celles des disques magnétiques. Sur les machines virtuelles de niveau Standard, le

stockage standard fournit 500 IOPS par disque. Sur les machines virtuelles de niveau de base, le stockage standard fournit 300 IOPS par

disque.

Tailles de machine virtuelle dans Azure


Chaque taille de machine virtuelle est représentée par une combinaison d'une ou plusieurs lettres et chiffres. La première lettre (ou
dans certains cas, les premières lettres et un chiffre) désignent un ensemble de tailles de VM (appelées Série VM ou un Famille VM) qui
partagent des caractéristiques de configuration communes. Ces caractéristiques comprennent généralement:

● Le type de CPU

● Le rapport CPU / mémoire

● Basé sur SSD ou sur disque dur (HDD)

● Prise en charge du stockage Premium

Chaque série comprend plusieurs tailles de machine virtuelle, qui diffèrent par le nombre de cœurs de processeur, la quantité de mémoire, la

taille du disque temporaire et la limite supérieure du nombre de cartes réseau et de disques de données. Les tailles de VM qui prennent en

charge le stockage Premium diffèrent également en ce qui concerne leurs performances d'E / S de disque agrégées maximales.

Les tailles de VM sont regroupées dans les catégories suivantes:

● Usage général. Cette catégorie offre un rapport CPU / mémoire équilibré, ce qui la rend plus appropriée pour les tests, le développement

et l'hébergement de bases de données ou de serveurs Web de petite à moyenne taille. Cette catégorie comprend les tailles de machines

virtuelles des séries Av2, Dv2, Dv3, DSv2 et DSv3.

● Burstable. Cette catégorie offre une tarification considérablement réduite pour les charges de travail dont l'utilisation des ressources est

relativement faible, mais qui peuvent parfois nécessiter une augmentation des performances du processeur. La plateforme Azure limite les

performances du processeur pour les machines virtuelles Azure de cette catégorie à un seuil spécifique, qui varie en fonction de la taille de

la machine virtuelle. Toutefois, si l'utilisation du processeur reste inférieure à ce seuil, la machine virtuelle Azure accumule des crédits. La

plate-forme applique des crédits en fonction des demandes de traitement afin que Azure
6 Module 1 Présentation d'Azure hybride IaaS avec Windows Server 2019

La VM peut s'exécuter au-dessus du seuil pendant une durée limitée. Cette catégorie comprend les tailles de VM de la série B.

● Calcul optimisé. Cette catégorie offre un rapport CPU / mémoire élevé, ce qui la rend plus adaptée aux charges de travail
gourmandes en calcul et ne nécessitant pas de mémoire étendue. En règle générale, il s'agit de serveurs Web à trafic
moyen ou de serveurs d'applications, d'appareils réseau ou de serveurs gérant le traitement par lots. Cette catégorie
comprend les tailles de machines virtuelles des séries F, Fs et Fsv2.

● Mémoire optimisée. Cette catégorie offre un rapport mémoire / processeur élevé, ce qui la rend plus adaptée aux charges de travail

gourmandes en mémoire qui n'ont pas d'exigences de calcul importantes. En règle générale, il s'agit de charges de travail qui

conservent la majeure partie de leur contenu opérationnel en mémoire, comme les bases de données ou les serveurs de mise en

cache. Cette catégorie comprend les tailles de machines virtuelles des séries Dv2, DSv2, Ev3, Esv3, M, G et GS.

● Stockage optimisé. Cette catégorie offre des E / S de disque hautes performances, ce qui la rend plus adaptée au traitement de
Big Data qui utilise des SGBD SQL ou NoSQL. Cette catégorie comprend les tailles de machine virtuelle Ls.

● Unité de traitement graphique (GPU). Cette catégorie offre un support GPU en fournissant des milliers de cœurs de processeur, ce qui

est idéal pour implémenter des charges de travail telles que celles pour le rendu graphique, l'édition vidéo, les simulations de crash ou
l'apprentissage en profondeur. Cette catégorie comprend les tailles de machines virtuelles des séries NC, NCv2, NCv3, NV et ND.

● Calcul haute performance. Cette catégorie propose des machines virtuelles dotées des processeurs les plus rapides et des
interfaces réseau à accès direct à la mémoire à haut débit en option. Cette catégorie comprend les tailles de VM de la série H.

Vous pouvez également provisionner des machines virtuelles Azure de génération 2. Les machines virtuelles de génération 2 utilisent la nouvelle

architecture de démarrage basée sur une interface de micrologiciel extensible unifiée, par opposition à l'architecture basée sur le BIOS utilisée par les

machines virtuelles de génération 1. Avec ces VM, vous pourrez désormais:

● Créez des machines virtuelles plus volumineuses, jusqu'à 12 téraoctets (To).

● Provisionnez des tailles de disque de système d'exploitation supérieures à 2 To.

Lecture supplémentaire: Pour plus d'informations, reportez-vous à Tailles des machines virtuelles dans Azure 1 .

Lecture supplémentaire: Pour plus d'informations, reportez-vous à Générations précédentes de tailles de machines virtuelles 2 .

Disque temporaire
Les machines virtuelles que vous déployez dans Azure contiennent généralement un disque temporaire qui a une lettre de lecteur par défaut attribuée de

D. Le disque temporaire fournit un stockage à court terme pour les applications et les processus, et stocke des données telles que des fichiers de page ou

d'échange.

Noter: Vous pouvez configurer un disque temporaire avec une lettre de lecteur différente.

Comme son nom l'indique, les données d'un disque temporaire peuvent être perdues lors d'un événement de maintenance ou lorsque vous redéployez

une machine virtuelle. Cependant, lors d'un redémarrage standard réussi d'une machine virtuelle, les données sur son disque temporaire persisteront.

Vous pouvez supprimer un disque temporaire sur une machine virtuelle Azure. Cependant, vous devrez déplacer la page ou le fichier d'échange dans le

système d'exploitation avant de supprimer un disque temporaire. De plus, par défaut, certaines machines virtuelles Azure sont provisionnées sans disque

temporaire local.

1 https://aka.ms/AA2064n
2 https://aka.ms/AA1zyb1
Vue d'ensemble d'Azure IaaS 7

Ensembles d'échelle VM
Dans la plupart des environnements, vous distribuez généralement des applications sur plusieurs instances pour fournir une
redondance et des performances améliorées. Par exemple, les utilisateurs peuvent accéder à une application via un équilibreur de
charge qui distribue les demandes à l'une des instances d'application. À mesure que la demande sur l'application augmente, vous
devrez peut-être augmenter le nombre d'instances d'application qui exécutent l'application.

Vous pouvez utiliser des ensembles de machines virtuelles dans Azure pour créer et gérer un groupe de machines virtuelles identiques et à charge

équilibrée. En fait, le nombre d'instances de VM peut augmenter ou diminuer automatiquement en réponse à la demande ou à un calendrier défini. Les

ensembles d'échelle offrent une haute disponibilité à vos applications et vous pouvez gérer, configurer et mettre à jour de manière centralisée un grand

nombre de machines virtuelles. Avec les ensembles évolutifs de VM, vous pouvez créer des services à grande échelle pour des domaines tels que le calcul,

le Big Data et les charges de travail de conteneur.

Vous pouvez utiliser des ensembles de machines virtuelles à l'échelle Azure pour déployer des services complets plutôt que de dupliquer les mêmes

machines virtuelles. Par exemple, un ensemble d'échelle de machine virtuelle Azure pour un service d'application Web peut inclure des serveurs Web, des

serveurs d'applications, des serveurs de base de données, l'équilibrage de charge et d'autres fonctionnalités. Avec les ensembles évolutifs de VM, vous

pouvez déployer toutes ces instances en tant qu'unité, puis organiser et gérer les VM en tant que services de niveau supérieur, plutôt que de les gérer

ensemble en tant qu'instances individuelles.

Vous créez des ensembles d'échelle à partir de machines virtuelles. Avec les ensembles de mise à l'échelle, Azure fournit les couches de gestion et

d'automatisation pour exécuter et mettre à l'échelle vos applications. Vous pouvez à la place créer et gérer manuellement des machines virtuelles

individuelles ou intégrer des outils existants pour créer un niveau d'automatisation similaire. Le tableau suivant présente les avantages des ensembles

évolutifs par rapport à la gestion manuelle de plusieurs instances de VM.

Tableau 1: Avantages des jeux de balances

Scénario Groupe de VM géré Ensemble d'échelle VM

manuellement
Ajouter des instances de VM Vous utilisez un processus manuel pour Vous créez automatiquement des VM

créer, configurer et garantir la conformité à partir d'une configuration centrale.

des machines virtuelles.

Équilibrez et répartissez le trafic Vous utilisez un processus manuel pour Vous créez et intégrez automatiquement
créer et configurer Azure Load Balancer des machines virtuelles avec Azure Load
ou Application Gateway / Balancer ou Application Gateway.

Fournir une haute disponibilité et une Vous créez manuellement des ensembles de Vous distribuez automatiquement les

redondance disponibilité ou distribuez et suivez les machines instances de VM selon la disponibilité


virtuelles dans les zones de disponibilité. zones ou ensembles de disponibilité.

Mettre à l'échelle des machines virtuelles Vous surveillez manuellement les machines Vous utilisez la fonction de mise à l'échelle

virtuelles et utilisez Azure Automation. automatique en fonction des métriques d'hôte, des

métriques in-guest, de la fonction Application

Insights ou d'une planification.

Les jeux d'échelle n'entraînent aucun coût supplémentaire. Vous ne payez que pour les ressources de calcul sous-jacentes, telles que les

instances de VM, l'équilibreur de charge ou le stockage sur disque géré. Les fonctionnalités de gestion et d'automatisation, telles que

échelle automatique et la redondance, n'entraînent aucun coût supplémentaire au-delà de l'utilisation des VM.

Machines virtuelles capables de CPU virtuelles contraintes


Les tailles de VM optimisées pour la mémoire offrent un rapport mémoire / processeur élevé qui les rend adaptées aux serveurs de bases de données

relationnelles, car de nombreuses charges de travail de base de données ne sont pas gourmandes en CPU. Certaines charges de travail de base de

données, telles que Microsoft SQL Server, nécessitent une mémoire, un stockage et une bande passante d'E / S élevés, mais elles ne nécessitent pas un

nombre élevé de cœurs de processeur virtuel (vCPU). Pour les clients ayant ces exigences, Azure propose des tailles de machine virtuelle avec moins de

processeurs virtuels, ce qui réduit les coûts de licence logicielle tout en conservant la même mémoire, le même stockage et la même bande passante d'E / S.
8 Module 1 Présentation d'Azure hybride IaaS avec Windows Server 2019

Les tailles de VM uniques dans ces VM compatibles vCPU contraintes ont un suffixe qui spécifie le nombre de vCPU
actifs. Cela vous permet de les identifier plus facilement lorsque vous les achetez. Vous pouvez limiter le nombre
de processeurs virtuels sur ces VMS à la moitié ou au quart de la taille d'origine de la VM.

Par conséquent, les frais de licence facturés pour SQL Server sont limités au nouveau nombre de processeurs virtuels, ce qui entraîne une

augmentation de 50 à 75% du rapport entre les spécifications de VM et les processeurs virtuels actifs (facturables). Actuellement, le coût de

calcul, qui comprend les licences du système d'exploitation, reste le même que la taille d'origine.

Isolation de VM
Azure exécute la plupart des machines virtuelles sur une infrastructure physique partagée. Cependant, l'une des principales
motivations pour exécuter des applications dans un environnement cloud est que cela vous permet de répartir le coût des ressources
partagées entre plusieurs clients. Ce modèle améliore l'efficacité en répartissant les ressources, à moindre coût, entre différents
clients. Malheureusement, cela peut aussi introduire des risques.

L'isolation de VM dans Azure Compute offre des tailles de VM isolées sur un type de matériel spécifique et dédiées à un seul client.
Les tailles de VM isolées sont idéales pour les charges de travail qui nécessitent un degré élevé d'isolation par rapport aux charges de
travail des autres clients, par exemple pour répondre aux exigences de conformité et réglementaires. L'utilisation d'une taille isolée
permet de garantir que votre VM est la seule à s'exécuter sur une instance de serveur spécifique.

De plus, étant donné que les tailles de VM isolées sont importantes, les clients peuvent choisir de subdiviser les ressources de ces VM en utilisant la prise en

charge d'Azure pour les VM imbriquées. La virtualisation imbriquée vous permet de créer une machine virtuelle dans une machine virtuelle.

Les tailles de VM isolées fonctionnent sur une génération de matériel spécifique et sont obsolètes lorsque ce matériel
est retiré. Azure fournit des rappels 12 mois avant l'abandon officiel d'une taille de machine virtuelle, et les clients
peuvent déplacer leur charge de travail existante vers la prochaine version matérielle fournie par Azure.

Spot VMs
Vous pouvez utiliser des machines virtuelles ponctuelles dans Azure pour tirer parti de la capacité de réserve inutilisée et inactive dans une

autre région Azure. Azure fournit cette capacité inutilisée à un coût important. Cependant, lorsque Azure a besoin de récupérer la capacité,

l'infrastructure Azure expulse les machines virtuelles ponctuelles.

Les VM Spot sont idéales pour les charges de travail qui peuvent gérer des interruptions, et vous n'avez pas besoin de les terminer dans un délai

spécifique. Par exemple, les machines virtuelles ponctuelles sont idéales pour les types de charges de travail suivants:

● Scénarios de calcul haute performance, travaux de traitement par lots ou applications de rendu visuel.

● Environnements de développement ou de test, y compris l'intégration continue et les charges de travail de livraison continue.

● Applications sans état à grande échelle.

Les VM Spot offrent les mêmes caractéristiques que les VM payantes, avec des différences de prix et d'expulsions. Les prix des machines

virtuelles spot varient en fonction de la capacité de taille ou de SKU dans une région Azure. Les prix évolueront lentement pour assurer une
stabilisation, ce qui vous permet de mieux gérer les budgets. Dans le portail Azure, vous aurez accès aux prix spot actuels de la machine
virtuelle Azure pour déterminer facilement la région ou la taille de machine virtuelle qui correspond le mieux à vos besoins.

Noter: La tarification au comptant est disponible sur les machines virtuelles uniques et les ensembles d'évolutivité de machines virtuelles. Les prix au comptant sont

plafonnés aux tarifs à l'utilisation.

La quantité de capacité disponible peut varier en fonction de la taille, de la région et de l'heure de la journée. Lors du déploiement de machines virtuelles

Spot, Azure alloue les machines virtuelles s'il y a de la capacité disponible, mais il n'y a pas de contrat de niveau de service (SLA) pour ces machines

virtuelles.

Une VM spot n'offre aucune garantie de haute disponibilité. À tout moment, lorsqu'Azure a besoin de récupérer sa capacité, l'infrastructure Azure expulse

les machines virtuelles ponctuelles avec un préavis de 30 secondes. Basé sur la façon dont vous configurez une machine virtuelle ponctuelle
Vue d'ensemble d'Azure IaaS 9

lors de sa création, la politique d'éviction déterminera si les VM sont expulsées en fonction de la capacité ou du prix
maximum.

Lors de la création d'une machine virtuelle ponctuelle, vous pouvez définir la stratégie d'éviction sur Désallouer ( par défaut) ou Effacer.
le Deallo- cate la stratégie déplace votre VM vers le Arrêté-désalloué état, vous permettant de le redéployer plus tard. Cependant, il
n'y a aucune garantie que l'allocation réussira. Les VM désallouées seront comptabilisées dans votre quota et des frais de stockage
vous seront facturés pour les disques sous-jacents.

Si vous souhaitez que votre machine virtuelle soit supprimée lorsqu'elle est expulsée, vous pouvez définir la stratégie d'éviction sur Effacer.

Les VM expulsées sont supprimées avec leurs disques sous-jacents, de sorte que vous ne serez plus facturé pour le stockage.

Vous pouvez choisir de recevoir des notifications via Azure Scheduled Events, qui vous avertira si vos machines virtuelles sont en
cours d'expulsion. Vous aurez ensuite 30 secondes pour terminer les travaux et effectuer les tâches d'arrêt avant l'expulsion.

Stockage Azure
Microsoft Azure Storage fonctionne comme la base de nombreux services Azure. Vous pouvez l'utiliser pour stocker des informations sur les

performances, collecter des journaux de sites Web et stocker des machines virtuelles (VM). Vous pouvez provisionner le stockage Azure à l'aide

de comptes de stockage, ce qui est plus simple que d'utiliser le stockage classique dans un environnement sur site. Le stockage dans Azure est

élastique et ne vous oblige pas à l'attribuer à une machine virtuelle.

Bien qu'Azure Storage englobe plusieurs services, cette leçon se concentrera sur Disques gérés et Azure
Files.

Disques gérés
Disques gérés est la fonctionnalité de stockage sur disque recommandée à utiliser avec les machines virtuelles Azure. UNE disque géré est un

volume de stockage de niveau bloc qui fournit un stockage permanent des données. Un disque géré est comme un disque physique dans un

serveur sur site, mais il est virtualisé. Avec Disques gérés, tout ce que vous avez à faire est de spécifier la taille et le type de disque, puis de

provisionner le disque. Vous pouvez provisionner plusieurs disques gérés pour chaque machine virtuelle.

Disques gérés propose actuellement les quatre types de disques suivants, où chaque type vise des scénarios
client spécifiques:

● Stockage Ultra Disk

● SSD haut de gamme

● SSD standard

● Disque dur standard

Les avantages des disques gérés incluent:

● Haute durabilité et disponibilité. Déploiement

● de VM simple et évolutif. Intégration avec les

● ensembles de disponibilité. Intégration avec les

● zones de disponibilité. Prise en charge d'Azure

● Backup.

● Contrôle d'accès granulaire.

● Téléchargement du disque dur

● virtuel. Chiffrement.
dix Module 1 Présentation d'Azure hybride IaaS avec Windows Server 2019

● Instantanés.

● Images.

Fichiers Azure
Vous pouvez utiliser Azure Files pour créer des partages de fichiers dans le cloud, sans avoir à gérer la surcharge d'un serveur
physique, d'un appareil ou d'une appliance. Azure Files propose des partages de fichiers multiplateformes entièrement gérés
dans le cloud auxquels vous pouvez accéder à l'aide du protocole SMB (Server Message Block) standard de l'industrie.

En utilisant SMB, vous pouvez monter un partage de fichiers Azure directement sur Windows, Linux ou Mac OS (sur site ou
sur des machines virtuelles cloud) sans écrire de code ni attacher de pilotes spéciaux au système de fichiers. Vous pouvez
également utiliser des outils tels que Azure Storage Explorer pour accéder aux fichiers de votre partage de fichiers.

Vous souhaiterez peut-être utiliser un partage de fichiers Azure au lieu de disques gérés pour plusieurs raisons. Un disque géré dans Azure est simplement

un disque. Pour obtenir de la valeur à partir des disques gérés, vous devez attacher un disque à une machine virtuelle exécutée dans Azure. Vous pouvez

utiliser des disques gérés pour tout ce pour quoi vous utilisez des disques sur des serveurs locaux. Une utilisation intéressante des disques gérés consiste à

créer un serveur de fichiers dans le cloud à utiliser aux mêmes endroits où vous pourriez utiliser un partage de fichiers Azure. Le déploiement d'un serveur

de fichiers dans une machine virtuelle dans Azure est un moyen d'implémenter le partage de fichiers dans Azure lorsque vous avez besoin d'options de

déploiement que Azure Files ne prend actuellement pas en charge, telles que la prise en charge du système de fichiers réseau (NFS).

Cependant, l'exécution d'un serveur de fichiers qui utilise des disques gérés comme stockage principal s'avère généralement beaucoup plus

coûteuse que l'utilisation d'un partage de fichiers Azure pour trois raisons. Tout d'abord, en plus de payer pour le stockage sur disque, vous

paierez également les frais liés à l'exécution d'une ou plusieurs machines virtuelles Azure. Deuxièmement, vous devrez également gérer les

machines virtuelles qui exécutent le serveur de fichiers. Enfin, si vous avez finalement besoin de la mise en cache des données sur site, il vous

appartiendra de configurer et de gérer les technologies de réplication pour y parvenir.

Lecture supplémentaire: Pour plus d'informations, reportez-vous à Stockage sur disque 3 et Fichiers Azure 4 .

Réseau Azure
Les services de mise en réseau Microsoft Azure fournissent une connectivité aux ressources dans Azure, qui peuvent
exister entre les services dans Azure ou entre Azure et votre environnement local. Il existe plusieurs composants réseau
qui fournissent et aident à protéger les applications et qui améliorent la sécurité de votre réseau. Cette leçon se
concentrera sur la mise en réseau virtuelle associée à une machine virtuelle Azure (VM).

Réseaux virtuels Azure


Lorsque vous déployez des ordinateurs dans votre environnement sur site, vous les connectez généralement à un réseau afin qu'ils
puissent communiquer directement entre eux. Les réseaux virtuels Azure ont le même objectif de base. En plaçant une machine
virtuelle sur le même réseau virtuel que les autres machines virtuelles, vous fournissez une connectivité IP directe entre elles dans le
même espace d'adressage IP privé. Vous pouvez également connecter différents réseaux virtuels ensemble. De plus, il est possible
de connecter des réseaux virtuels dans Azure à vos réseaux locaux, faisant d'Azure une extension de votre propre centre de
données.

Un réseau virtuel Azure forme une limite logique définie par un espace d'adressage IP privé de votre choix. Vous divisez cet
espace d'adressage IP en un ou plusieurs sous-réseaux, comme vous le feriez dans un réseau sur site. Dans ce cas,
cependant, toutes les autres tâches de gestion de réseau sont plus simples. Par exemple, certaines fonctionnalités de mise
en réseau, telles que le routage entre les sous-réseaux sur le même réseau virtuel, sont automatiquement

3 https://aka.ms/disk-storage
4 https://aka.ms/storage-introduction-azure-files
Vue d'ensemble d'Azure IaaS 11

disponible. De même, par défaut, chaque machine virtuelle peut accéder à Internet, ce qui inclut la prise en charge des connexions

sortantes et la résolution de noms de système de noms de domaine.

La plupart des réseaux virtuels utilisent un espace d'adressage IP privé, selon Request For Comments (RFC) 1918. La RFC
définit trois espaces d'adressage IP pour un usage privé:

● 10.0.0.0–10.255.255.255 (10.0.0.0/8)

● 172.16.00–172.16.255.255 (172.16.0.0/12)

● 192.168.0.0 à 192.168.255.255 (192.168.0.0/16)

Vous pouvez également ajouter des adresses non RFC 1918, telles que des blocs d'adresses IP publiques, à un réseau virtuel. Il est important

d'utiliser des adresses non RFC 1918 uniquement pour les espaces d'adressage IP que vous possédez dans votre organisation.

Noter: Vous pouvez modifier la fonctionnalité de routage et de résolution de noms par défaut dans les réseaux virtuels Azure. Vous pouvez

également contrôler la connectivité réseau en bloquant de manière sélective la communication au niveau du sous-réseau ou de l'interface

réseau de la machine virtuelle Azure.

Interface réseau de machine virtuelle Azure


UNE interface réseau est l'interconnexion entre une VM et un réseau virtuel. Une machine virtuelle doit avoir au moins une interface réseau,

mais peut en avoir plusieurs, selon la taille de la machine virtuelle que vous créez. Vous pouvez créer une machine virtuelle qui possède

plusieurs interfaces réseau et vous pouvez ajouter ou supprimer des interfaces réseau tout au long du cycle de vie de la machine virtuelle. Avec

plusieurs interfaces réseau, une machine virtuelle peut se connecter à différents sous-réseaux et envoyer ou recevoir du trafic via l'interface la

plus appropriée. Les machines virtuelles qui ont un nombre quelconque d'interfaces réseau, jusqu'au nombre pris en charge par la taille de la

machine virtuelle, peuvent exister dans le même ensemble de disponibilité.

Chaque interface réseau attachée à une machine virtuelle doit exister au même emplacement et au même abonnement que la machine

virtuelle. Chaque interface réseau doit être connectée à un réseau virtuel qui existe dans le même emplacement Azure et le même abonnement

que l'interface réseau. Vous pouvez modifier le sous-réseau auquel une machine virtuelle se connecte après l'avoir créé, mais vous ne pouvez

pas modifier le réseau virtuel. Chaque interface réseau attachée à une machine virtuelle se voit attribuer une adresse MAC qui ne change pas

tant que vous ne supprimez pas la machine virtuelle.

Vous pouvez attribuer deux types d'adresses IP à une interface réseau dans Azure:

● Publique. Vous utilisez ce type d'adresse IP pour les communications réseau entrantes et sortantes qui n'utilisent pas la
traduction d'adresses réseau (NAT) avec Internet ou d'autres ressources Azure non connectées à un réseau virtuel.
L'attribution d'une adresse IP publique à une interface réseau est facultative. Les adresses IP publiques ont des frais
nominaux et un nombre maximum par abonnement existe.

● Privé. Vous utilisez ce type d'adresse IP pour les communications au sein d'un réseau virtuel, avec votre réseau sur site et
avec Internet via NAT. Vous devez attribuer au moins une adresse IP privée à une machine virtuelle. Pour en savoir plus
sur NAT dans Azure, reportez-vous à Connexions sortantes dans Azure 5 .

Vous pouvez attribuer des adresses IP publiques aux machines virtuelles ou aux équilibreurs de charge connectés à Internet. Vous pouvez attribuer des adresses IP

privées aux machines virtuelles et aux équilibreurs de charge internes. Vous attribuez des adresses IP à une machine virtuelle à l'aide d'une interface réseau.

Azure utilise l'une des deux méthodes pour allouer une adresse IP à une ressource: dynamique ou statique. La méthode d'allocation
par défaut est dynamique, ce qui signifie qu'Azure n'alloue pas d'adresse IP lorsque vous la créez. Au lieu de cela, il alloue l'adresse IP
lorsque vous créez une machine virtuelle ou démarrez une machine virtuelle arrêtée. Azure libère l'adresse IP lorsque vous arrêtez
ou supprimez la machine virtuelle.

5 https://aka.ms/load-balancer-outbound-connections
12 Module 1 Présentation d'Azure hybride IaaS avec Windows Server 2019

Pour vous assurer que l'adresse IP de la machine virtuelle reste la même, vous pouvez définir explicitement la méthode d'allocation sur

statique. Dans ce cas, Azure attribue immédiatement une adresse IP et la libère uniquement lorsque vous supprimez la machine virtuelle ou
modifiez sa méthode d'allocation en dynamique.

Lecture supplémentaire: Pour plus d'informations, reportez-vous à Réseaux virtuels et machines virtuelles dans Azure 6 .

Bande passante réseau


Azure propose différentes tailles et types de machines virtuelles, chacune ayant une combinaison différente de capacités de performances. Une capacité est

le débit du réseau (ou bande passante), qui est mesuré en mégabits par seconde (Mbps). Étant donné que le matériel partagé héberge des machines

virtuelles, Azure doit partager la capacité du réseau de manière équitable entre les machines virtuelles qui partagent le même matériel. Azure alloue donc

relativement plus de bande passante aux machines virtuelles plus grandes qu'aux machines virtuelles plus petites.

Azure mesure la bande passante réseau qu'il alloue à chaque machine virtuelle sur le trafic de sortie (sortant) de la machine
virtuelle. Il compte tout le trafic réseau quittant la machine virtuelle vers la limite allouée, quelle que soit la destination. Par
exemple, si une machine virtuelle a une limite de 1000 Mbps, cette limite s'applique que le trafic sortant soit destiné à une
autre machine virtuelle dans le même réseau virtuel ou en dehors d'Azure.

Azure ne mesure ni ne limite directement l'entrée. Cependant, d'autres facteurs existent, tels que les limites de processeur et de stockage, qui peuvent

affecter la capacité d'une machine virtuelle à traiter les données entrantes.

La mise en réseau accélérée est une fonctionnalité conçue pour améliorer les performances du réseau, notamment la latence, le débit et l'utilisation du

processeur. Bien qu'une mise en réseau accélérée puisse améliorer le débit d'une machine virtuelle, elle ne peut le faire que jusqu'à concurrence de la

bande passante allouée aux machines virtuelles. Pour en savoir plus sur la mise en réseau accélérée, reportez-vous à

Créer une machine virtuelle Windows avec mise en réseau accélérée à l'aide d'Azure PowerShell 7 ou alors Créer une
machine virtuelle Linux avec mise en réseau accélérée à l'aide d'Azure CLI 8 .

Les machines virtuelles Azure doivent avoir une (mais peuvent avoir plusieurs) interfaces réseau qui leur sont attachées. La bande passante

qu'Azure alloue à une machine virtuelle est égale à la somme de tout le trafic sortant sur toutes les interfaces réseau attachées à la machine

virtuelle. Autrement dit, la bande passante allouée est par VM, quel que soit le nombre d'interfaces réseau attachées à la VM. Pour savoir

combien d'interfaces réseau les différentes tailles de machine virtuelle Azure prennent en charge, reportez-vous à Tailles des machines

virtuelles dans Azure 9 .

Débit réseau attendu


Les tailles de machine virtuelle Windows et Linux pour Azure décrites dans les sites Web précédents détaillent le débit sortant
attendu et le nombre d'interfaces réseau prises en charge par chaque taille de machine virtuelle. Sur ces pages Web,
sélectionnez un type (tel que Usage général), puis sur la page résultante, sélectionnez une série de tailles (telle que Série
Dv2). Chaque série a un tableau qui fournit les spécifications de mise en réseau dans la dernière colonne, qui est le Interfaces
réseau maximales / performances réseau attendues (Mbps) colonne.

La limite de débit s'applique à la machine virtuelle. Le débit n'est pas affecté par les facteurs suivants:

● Le nombre d'interfaces réseau. La limite de bande passante est cumulative pour tout le trafic sortant de la machine virtuelle.

● Mise en réseau accélérée. Bien que cette fonctionnalité puisse s'avérer utile pour atteindre la limite publiée, elle
ne change pas la limite.

● La destination du trafic. Toutes les destinations sont prises en compte dans la limite de sortie.

6 https://aka.ms/network-overview
7 https://aka.ms/accelerated-networking-powershell
8 https://aka.ms/accelerated-networking-cli
9 https://aka.ms/azure-vm-linux-sizes
Vue d'ensemble d'Azure IaaS 13

● Le protocole. Tout le trafic sortant sur tous les protocoles compte dans la limite.

Lecture supplémentaire: Pour plus d'informations, reportez-vous à

Bande passante du réseau de la machine virtuelle dix .

Testez vos connaissances


Utilisez les questions suivantes pour vérifier ce que vous avez appris dans cette leçon.

question 1
Quels sont les services cloud proposés par une machine virtuelle (VM) dans Microsoft Azure? Choisis trois.

?? Calculer

?? Licence du système d'exploitation

?? Stockage

?? Comptes d'utilisateurs locaux

?? La mise en réseau

question 2
Quels sont les types de disques proposés par Azure pour les disques managés? Choisissez quatre.

?? Stockage Ultra Disk

?? SSD haut de gamme

?? Disque dur haut de gamme

?? SSD standard

?? Disque dur standard

dix https://aka.ms/vm-network-throughput
14 Module 1 Présentation d'Azure hybride IaaS avec Windows Server 2019

Vue d'ensemble du modèle hybride Azure

Aperçu de la leçon
Les environnements clients évoluent et deviennent de plus en plus complexes. Souvent, de nombreuses applications s'exécutent sur
différents composants matériels dans les centres de données sur site, dans plusieurs environnements cloud et sur le réseau
périphérique. La gestion de ces environnements disparates à grande échelle, contribuant à assurer la sécurité dans toute une
organisation, et permettant l'agilité et l'innovation des développeurs sont essentielles à la réussite. Par conséquent, un rôle de plus en
plus important dans l'infrastructure informatique est la connaissance des concepts et techniques fondamentaux du cloud.

Objectifs de la leçon
Après avoir terminé cette leçon, vous serez en mesure de:

● Répertoriez les modèles d'intégration pour Microsoft Azure.

● Décrivez les différentes options d'intégration réseau. Discutez

● des options d'intégration des services de fichiers.

● Décrivez les options de gestion de l'intégration avec Azure.

● Décrivez les choix de surveillance de l'intégration.

● Discutez des options d'intégration de sauvegarde et de reprise après sinistre. Répertoriez

● les autres outils d'intégration que vous pouvez utiliser avec Azure.

Modèles d'intégration
La plupart des solutions cloud reposent sur la technologie de virtualisation, qui fait abstraction du matériel physique comme une couche de ressources

virtualisées pour le traitement, la mémoire, le stockage et la mise en réseau. De nombreuses solutions cloud ajoutent des couches d'abstraction

supplémentaires pour définir des services spécifiques que vous pouvez fournir et utiliser.

Il existe trois principaux modèles de cloud computing: public, privé et hybride. Chacun de ces modèles offre une
gamme de services équivalente, mais chacun met en œuvre et fournit les services de manière unique.

Dans un cloud privé, une organisation possède et gère ses ressources informatiques. Cela garantit l'utilisation
exclusive par l'organisation des ressources de son propre centre de données, mais oblige l'organisation à la fois à
entretenir l'équipement et à gérer les frais généraux et les coûts associés au centre de données et à la propriété de
l'infrastructure.

Un cloud public se compose de l'infrastructure, de la plate-forme ou des services d'application qu'un fournisseur de
services cloud fournit pour l'accès et la consommation de plusieurs organisations. Lorsqu'une organisation utilise des
services de cloud public, l'organisation n'a pas la responsabilité de la charge de gestion requise par le modèle de
cloud privé. Cependant, cela signifie également que l'organisation a un contrôle limité sur l'infrastructure et les
services. En outre, le cloud public héberge l'infrastructure et les services de plusieurs organisations, ce qui introduit
des considérations de souveraineté des données relatives à plusieurs locataires.

Un cloud hybride consiste en un environnement informatique qui combine un cloud public et un cloud privé en leur permettant de
partager des données et des applications. Lorsque les demandes de calcul et de traitement fluctuent, le cloud computing hybride
donne aux entreprises la possibilité de faire évoluer de manière transparente leur infrastructure sur site jusqu'au cloud public pour
gérer tout débordement, tout en conservant les applications et les données stratégiques sur site, avec une sécurité renforcée derrière
une entreprise. pare-feu.

Un cloud hybride permet non seulement aux entreprises de faire évoluer les ressources informatiques, mais élimine également le besoin de

dépenses d'investissement massives pour gérer les pics de demande à court terme ou pour libérer des ressources locales pour
Vue d'ensemble du modèle hybride Azure 15

des données ou des applications plus sensibles lorsque l'entreprise en a besoin. Les entreprises ne paieront que les
ressources qu'elles utilisent temporairement au lieu d'avoir à acheter, programmer et entretenir des ressources et des
équipements supplémentaires qui pourraient rester inactifs pendant de longues périodes. Le cloud computing hybride
combine les avantages des deux autres modèles cloud en offrant tous les avantages du cloud computing (flexibilité,
évolutivité et rentabilité) avec le plus faible risque possible d'exposition des données.

Microsoft Azure propose plusieurs options d'hébergement de calcul pour intégrer des charges de travail locales dans Azure.
Cette rubrique se concentre sur les machines virtuelles (VM) Azure, car elles servent de base à la plupart des solutions
d'intégration décrites dans ce module.

Machines virtuelles Azure


Les machines virtuelles Azure offrent un degré élevé de contrôle sur la configuration du système d'exploitation (OS). Vous pouvez personnaliser les paramètres du

système d'exploitation et installer tous les composants logiciels. Chaque machine virtuelle possède au moins un disque de système d'exploitation et jusqu'à 64 disques de

données, sur lesquels le contenu persiste quel que soit l'état de la machine virtuelle.

Vous pouvez provisionner des machines virtuelles Azure à l'aide du modèle de déploiement classique ou Azure Resource Manager.
Lorsque vous utilisez le modèle de déploiement Azure Resource Manager, vous devez déployer les machines virtuelles dans un
réseau virtuel Azure.

Étant donné que vous avez un contrôle total sur la VM au niveau du système d'exploitation, vous avez la responsabilité de maintenir le système
d'exploitation. Cela comprend l'installation de mises à jour logicielles du fournisseur du système d'exploitation, l'exécution de sauvegardes et la
mise en œuvre de dispositions de résilience pour garantir un niveau suffisant de haute disponibilité et de continuité des activités.

Les machines virtuelles Azure sont les mieux adaptées pour l'hébergement:

● Serveurs d'infrastructure Windows Server ou Linux, tels que les contrôleurs de domaine Active Directory ou les serveurs de
système de noms de domaine.

● Serveurs d'applications hautement personnalisés pour lesquels la configuration implique une configuration complexe.

● Charges de travail avec état nécessitant un stockage persistant, telles que des serveurs de base de données.

Intégration réseau
La mise en réseau Microsoft Azure est un aspect critique de nombreux déploiements Azure. Avec les réseaux virtuels Azure, vous
pouvez établir une communication sécurisée et fiable entre les machines virtuelles Azure et entre ces machines virtuelles et d'autres
services Azure. Vous pouvez également les utiliser pour migrer ou étendre vos charges de travail sur site vers le cloud.

Azure implémente une configuration de routage par défaut qui facilite la connectivité de base, y compris la possibilité
d'accéder à Internet et de communiquer avec d'autres ressources sur les mêmes réseaux virtuels ou directement
connectés. Vous pouvez utiliser des routes pour personnaliser le flux de paquets par défaut. De cette façon, vous pouvez
contrôler le routage du trafic entrant provenant d'autres réseaux virtuels ou sur site.

Lors de l'implémentation de réseaux virtuels Azure, vous pouvez fournir une connectivité directe entre ces réseaux et votre environnement local. Pour ce faire, vous

pouvez utiliser l'une des quatre méthodes suivantes: un réseau privé virtuel (VPN) point à site (P2S), un VPN de site à site (S2S), Azure ExpressRoute ou un réseau étendu

virtuel (WAN) .To do this, you can use one of four methods: a point-to-site (P2S) virtual private network (VPN), a site-to-site (S2S) VPN, Azure ExpressRoute, or a virtual wide

area network (WAN ).

VPN point à site


Avec une connexion de passerelle VPN P2S, vous pouvez créer une connexion sécurisée à votre réseau virtuel à partir d'un
ordinateur client individuel exécutant Windows, Linux ou macOS. Vous établissez une connexion P2S en la démarrant à
partir de l'ordinateur client. Les télétravailleurs qui souhaitent se connecter aux réseaux virtuels Azure à partir d'un
emplacement distant, comme leur domicile ou une conférence, trouveront cette solution utile. Un P2S
16 Module 1 Présentation d'Azure hybride IaaS avec Windows Server 2019

Le VPN s'avérera également utile au lieu d'un VPN S2S lorsque vous n'avez que quelques clients qui doivent se connecter à
un réseau virtuel.

Un VPN P2S peut utiliser l'un des protocoles suivants:

● Le protocole OpenVPN, qui est un protocole VPN basé sur Secure Sockets Layer (SSL) / Transport
Layer Security (TLS).

● Secure Socket Tunneling Protocol (SSTP), qui est un protocole VPN propriétaire basé sur TLS.

● VPN Internet Key Exchange version 2 (IKEv2), qui est une solution VPN basée sur les normes de sécurité du protocole
Internet (IPsec).

Avant qu'Azure n'accepte une connexion VPN P2S, l'utilisateur doit être authentifié.

VPN de site à site


Vous utilisez une connexion de passerelle VPN S2S pour connecter votre réseau local à un réseau virtuel Azure. Ce type de
connexion nécessite un appareil VPN compatible situé sur site et doté d'une adresse IP publique attribuée et tournée vers
l'extérieur. Cette solution s'avère utile dans les environnements plus petits ou en tant qu'option de basculement pour
Azure ExpressRoute dans une situation de reprise après sinistre.
Lorsque vous créez cette configuration, vous devez spécifier les préfixes de plage d'adresses IP qu'Azure acheminera vers
votre environnement local. Les sous-réseaux de votre réseau local ne peuvent pas chevaucher les sous-réseaux de réseau
virtuel dans Azure. Une connexion VPN S2S utilise un tunnel IPsec / IKE-IKEv1 ou IPsec / IKEv2-VPN.

Lecture supplémentaire: Pour plus d'informations, reportez-vous à Appareils VPN validés et guides de configuration des
appareils 11 .

Azure ExpressRoute
Grâce à un fournisseur de connectivité, vous pouvez utiliser Azure ExpressRoute pour étendre vos réseaux locaux (ou
installations de colocation) aux services cloud Microsoft. Les connexions ExpressRoute ne traversent pas l'Internet public et
offrent une sécurité, une fiabilité et des vitesses supérieures avec des latences plus faibles que les connexions classiques
sur Internet.

Avec ExpressRoute, vous pouvez établir des connexions aux services cloud de Microsoft, tels qu'Azure et Micro- soft Office
365. Cette solution est idéale pour les environnements d'entreprise de toute taille. La connectivité peut provenir d'un réseau
any-to-any (IP VPN), d'un réseau Ethernet point à point ou d'une interconnexion virtuelle et passer par un fournisseur de
connectivité dans une colocation. Dans de nombreux cas, l'utilisation de connexions ExpressRoute pour transférer des
données entre des appareils locaux et Azure offre des avantages de coûts significatifs.

Noter: Les circuits ExpressRoute sont configurés pour que vous puissiez utiliser jusqu'à deux fois la limite de bande passante que vous avez

achetée en cycles courts sans frais supplémentaires. Vérifiez auprès de votre fournisseur de services s'il prend en charge cette

fonctionnalité.

Avec un circuit ExpressRoute, vous pouvez accéder simultanément aux services dans un réseau virtuel et dans d'autres
services Azure. Vous vous connectez aux réseaux virtuels et à d'autres services via le chemin d'appairage Microsoft
privé.

Lecture supplémentaire: Pour plus d'informations, reportez-vous à Partenaires de connectivité ExpressRoute et emplacements

d'appairage 12 .

Le tableau suivant présente les caractéristiques des options de connexion VPN.

Tableau 1: options de connexion VPN

11 https://aka.ms/vpn-gateway-about-vpn-devices#devicetable
12 https://aka.ms/expressroute-locations
Vue d'ensemble du modèle hybride Azure 17

Caractéristique P2S S2S ExpressRoute


Services qu'Azure Services cloud et VM Services cloud et VM Services cloud, VM,
les soutiens et l'appairage Microsoft
Bandes passantes typiques Basé sur le SKU de la Généralement moins de 10 50 mégabits par seconde
passerelle gigabits par seconde (Mbps), 100 Mbps, 200
(Gbps) agrégat Mbps, 500 Mbps, 1
Gbps, 2 Gbps, 5 Gbps,
Zone locale virtuelle 10 Gbit
Protocoles pris en charge SSTP, OpenVPN et IPsec Une connexion directe sur
IPsec / s et 100 Gbit / s
les réseaux et le
fournisseur de service réseau
les technologies VPN de er
(Étiquette multiprotocole
Commutation, virtuel
Service LAN privé, et
autres)
Routage Basé sur l'itinéraire (dynamique) Basé sur des règles (statique Passerelle frontalière

routage) et route Protocole


basé (routage dynamique
VPN)
Résilience de connexion Actif Passif Actif-passif ou Actif-actif
actif-actif
Cas d'utilisation typiques Prototypage et développement / Accès
Scénarios de développement / test / laboratoire à tout Azure
scénarios de test / laboratoire pour et la production à petite échelle services (via une liste
services cloud et VM charges de travail pour les services validée), classe entreprise
cloud et les machines virtuelles et critique
charges de travail, sauvegardes, gros

data et Azure en tant que

site de reprise après sinistre

Azure Virtual WAN


Azure Virtual WAN est un service de mise en réseau qui rassemble de nombreuses fonctionnalités de mise en réseau, de sécurité et de
routage pour offrir une interface opérationnelle unique. Ces fonctionnalités comprennent:

● Connectivité des succursales - via l'automatisation de la connectivité à partir des périphériques partenaires de Virtual
WAN, tels qu'un WAN défini par logiciel (SD-WAN) ou un équipement client VPN (CPE).

● Connectivité VPN S2S.

● Connectivité VPN utilisateur distant (P2S).

● Connectivité privée (ExpressRoute).

● Connectivité Intracloud (connectivité transitive pour les réseaux virtuels).

● Interconnectivité VPN ExpressRoute.

● Routage.

● Pare-feu Azure.

● Chiffrement pour la connectivité privée.


18 Module 1 Présentation d'Azure hybride IaaS avec Windows Server 2019

Vous n'êtes pas obligé de déployer tous ces cas d'utilisation pour commencer à utiliser Virtual WAN. Vous pouvez démarrer avec un seul cas d'utilisation et

ajuster votre réseau au fur et à mesure de son évolution.

Les avantages offerts par Virtual WAN incluent une solution de connectivité intégrée grâce à l'automatisation de la
configuration S2S et de la connectivité entre les sites locaux et un hub Azure. Virtual WAN offre également un
dépannage intuitif, qui fournit une prise de conscience du flux de bout en bout dans Azure. L'architecture Virtual
WAN est une architecture en étoile avec évolutivité et performances intégrées pour:

● Branches (appareils VPN et SD-WAN).

● Utilisateurs (clients Azure VPN, OpenVPN et IKEv2).

● Circuits ExpressRoute.

● Réseaux virtuels.

L'architecture Virtual WAN prend en charge l'architecture de réseau de transit global dans laquelle le concentrateur de réseau
hébergé dans le cloud permet une connectivité transitive entre les points de terminaison que vous pouvez distribuer sur différents
types de rayons.

Vous pouvez choisir de vous connecter aux régions Azure qui servent de hubs. Tous les concentrateurs sont connectés dans un
réseau WAN virtuel standard (maillage complet), ce qui facilite l'accès à la dorsale Microsoft pour une connectivité any-to-any (en
étoile). Pour la connectivité en étoile avec les appareils SD-WAN / VPN, les utilisateurs peuvent déployer manuellement Azure Virtual
WAN ou utiliser la solution partenaire Virtual WAN CPE (SD-WAN / VPN) pour configurer la connectivité à Azure. Le tableau suivant
décrit les deux types de WAN virtuels.

Tableau 2: Types de WAN virtuels

Type de WAN virtuel Type de moyeu Configurations disponibles


De base De base VPN S2S
Standard Standard Expressroute, P2S VPN, S2S VPN et
transitions interhub et réseau
virtuel vers réseau virtuel
mise en service via le hub virtuel

Tunnel forcé
Tunnel forcé est un cas d'utilisation spécifique d'itinéraires définis par l'utilisateur qui s'applique aux scénarios hybrides. Dans
ce cas, vous définissez un itinéraire par défaut qui cible une connexion entre un réseau virtuel Azure et votre réseau local. Par
conséquent, tout le trafic lié à Internet suit l'itinéraire par défaut. Les organisations utilisent généralement le tunneling forcé
pour surveiller le trafic provenant de leurs machines virtuelles Azure à l'aide d'appliances de sécurité locales.

Intégration des services de fichiers


Microsoft Azure Storage propose quatre types de services de stockage, en fonction des caractéristiques des données qu'ils
stockent:

● Blobs. Ceux-ci représentent généralement des fichiers non structurés, tels que du contenu multimédia, des disques de machine virtuelle (VM), des

sauvegardes ou des journaux. Les objets blob facilitent les mécanismes de verrouillage, garantissant ainsi l'accès exclusif aux fichiers requis par les

disques VM d'infrastructure en tant que service (IaaS).

● Les tables. Ceux-ci hébergent du contenu non relationnel et semi-structuré qui se compose de plusieurs lignes de données. Dans le

contexte d'Azure Table Storage, vous faites référence à ces lignes comme entités. Les développeurs implémentent souvent le stockage de

table en tant que magasin de données backend pour Azure App Service ou Azure Cloud Services.
Vue d'ensemble du modèle hybride Azure 19

● Files d'attente. Ceux-ci offrent un stockage temporaire pour les messages que les composants des applications
distribuées utilisent pour communiquer de manière asynchrone les uns avec les autres. Par exemple, plutôt que
d'envoyer un message directement à un composant de destination, un composant source peut placer le message dans
une file d'attente. De cette façon, le composant de destination peut traiter tous les messages de la file d'attente selon sa
propre planification, sans forcer le composant source à attendre un accusé de réception. La communication asynchrone
minimise également la possibilité de perdre des messages en raison de l'indisponibilité temporaire du composant de
destination.

● Des dossiers. À l'instar des objets blob, ils fournissent un stockage pour les données non structurées. Cependant, leur mécanisme de

verrouillage permet le partage de fichiers d'une manière similaire à celle des partages de fichiers Windows locaux.

Noter: Pour utiliser Azure Storage, vous devez d'abord créer un compte de stockage.

Fichiers Azure
Comme indiqué précédemment dans ce module, Azure Files propose des partages de fichiers entièrement gérés dans le cloud qui sont

accessibles via le protocole SMB (Server Message Block). Vous pouvez utiliser Azure Files pour créer des partages de fichiers dans le cloud, sans
avoir à gérer la surcharge d'un serveur physique, d'un appareil ou d'une appliance. Cela signifie que vous n'avez pas besoin d'appliquer les mises

à jour du système d'exploitation ou de remplacer les disques défectueux.

Vous pouvez monter le partage de fichiers sur votre ordinateur local à l'aide du protocole SMB, ou vous pouvez utiliser des outils tels que Azure Storage

Explorer pour accéder aux fichiers de votre partage de fichiers. À partir de votre application, vous pouvez utiliser des bibliothèques clientes de stockage, des

API REST, PowerShell ou Azure CLI pour accéder à vos fichiers dans le partage de fichiers Azure. Azure Files prend également en charge le verrouillage de

fichiers de type SMB et Windows.

Vous pouvez déployer Azure Files à l'aide des types de compte de stockage suivants:

● Stockage localement redondant (LRS). Les mises à jour des données se répliquent de manière synchrone sur trois copies au sein d'une

seule installation dans une seule région. LRS aide à protéger vos données contre les pannes matérielles du serveur, mais pas contre une

panne de l'installation elle-même. C'est la seule option disponible pour les comptes de stockage Premium.

● Stockage redondant de zone (ZRS). Les mises à jour de données se répliquent de manière asynchrone sur trois copies qui résident dans des centres de

données distincts dans une ou deux régions Azure. ZRS offre plus de résilience que LRS. Cependant, il ne protège pas contre les pannes qui affectent

une région entière. Plus important encore, ZRS ne peut contenir que des objets blob de blocs, ce qui le rend inadapté à l'hébergement de fichiers de

disque, de tables, de files d'attente ou de partages de fichiers de machine virtuelle IaaS.

● Stockage géo-redondant (GRS). Les mises à jour des données sont d'abord répliquées de manière synchrone dans la même
région. Ensuite, une fois les mises à jour terminées, elles se répliquent de manière asynchrone à partir de la région principale vers
une région secondaire. L'appariement prédéfini entre les deux régions garantit que les données restent dans la même zone
géographique. Les données sont également répliquées de manière synchrone sur trois répliques dans chacune des régions, ce
qui donne six copies du contenu du compte de stockage. Si un échec se produit dans la région principale, le stockage Azure
bascule automatiquement vers la région secondaire. En effet, GRS offre une résilience améliorée par rapport à LRS et ZRS.

Azure Files prend en charge deux niveaux de stockage: premium et standard. Azure crée des partages de fichiers standard dans
des comptes de stockage à usage général, c'est-à-dire des comptes de stockage à usage général v1 (GPv1) ou à usage général
v2 (GPv2), et il crée des partages de fichiers premium dans les comptes de stockage FileStorage.

Lecture supplémentaire: Pour plus d'informations, reportez-vous à Créer un partage de fichiers Azure 13 .

Lecture supplémentaire: Pour plus d'informations, reportez-vous à Comment créer un partage de fichiers Azure Premium 14 .

Noter: Vous ne pouvez pas créer de partages de fichiers Azure à partir de comptes de stockage Blob ou de comptes de stockage premium GPv1

ou GPv2. Vous pouvez créer des partages de fichiers Azure standard uniquement à partir de comptes à usage général standard

13 https://aka.ms/create-azure-file-share
14 https://aka.ms/premium-azure-file-share
20 Module 1 Présentation d'Azure hybride IaaS avec Windows Server 2019

et les partages de fichiers Azure premium uniquement à partir des comptes de stockage FileStorage. Les comptes de stockage à usage général Premium

(GPv1 et GPv2) ne fonctionnent que pour les objets blob de page premium.

Synchronisation de fichiers Azure


En plus de monter des partages de fichiers Azure simultanément sur le cloud ou des déploiements locaux, vous pouvez également mettre en

cache les partages de fichiers Azure sur les ordinateurs exécutant Windows Server à l'aide de la fonctionnalité Azure File Sync, qui fournit un

accès rapide à proximité de l'endroit où les données sont accessibles. Avec Azure File Sync, vous pouvez centraliser les partages de fichiers de

votre organisation dans Azure Files tout en conservant la flexibilité, les performances et la compatibilité d'un serveur de fichiers local. Azure File

Sync transforme vos ordinateurs Windows Server en un cache rapide de votre partage de fichiers Azure. Vous pouvez utiliser n'importe quel

protocole mis à disposition par Windows Server, y compris SMB, le système de fichiers réseau (NFS) et le service de protocole de transfert de

fichiers (FTPS), pour accéder localement à vos données. Vous pouvez avoir autant de caches que nécessaire à travers le monde.

En plus d'utiliser des disques Azure comme stockage principal, vous pouvez tirer parti à la fois d'Azure Files et d'un serveur de fichiers hébergé

par Azure Virtual Machines en installant Azure File Sync sur un serveur de fichiers hébergé par une machine virtuelle cloud. Si le partage de
fichiers Azure réside dans la même région que votre serveur de fichiers, vous pouvez activer la hiérarchisation cloud et définir le volume du

pourcentage d'espace libre au maximum (99%). Cela garantit une duplication minimale des données. Vous pouvez également utiliser toutes les

applications de votre choix, telles que les applications qui nécessitent la prise en charge du protocole NFS, avec vos serveurs de fichiers.

Intégration de la gestion
Les environnements commerciaux évoluent et deviennent de plus en plus complexes. Souvent, de nombreuses applications
s'exécutent sur différents composants matériels dans les centres de données locaux, plusieurs environnements cloud et les réseaux
périphériques. La gestion de ces environnements disparates à grande échelle, contribuant à assurer la sécurité dans toute une
organisation, et permettant l'agilité et l'innovation des développeurs sont essentielles au succès. Heureusement, Microsoft Azure
propose des outils et des solutions qui vous donnent la flexibilité d'innover n'importe où dans votre environnement hybride tout en
fonctionnant de manière transparente et sécurisée.

Arc azur
Azure Arc se compose d'un ensemble de technologies pour les clients qui souhaitent simplifier les environnements
complexes et distribués dans les centres de données sur site, les réseaux périphériques et les environnements multi-cloud.
Azure Arc offre aux clients une approche centrale, unifiée et en libre-service pour gérer leurs serveurs Windows et Linux, leurs
clusters Kubernetes et leurs services de données Azure où qu'ils soient. Azure Arc étend également l'adoption de pratiques
cloud telles que DevOps et l'amélioration de la sécurité Azure dans les environnements sur site, multi-cloud et périphériques.
En plus d'étendre le plan de contrôle pour la gestion, Azure Arc permet aux clients d'exécuter des services de données Azure
n'importe où, que ce soit dans un centre de données sur site, dans Azure ou sur des plates-formes cloud tierces.

Microsoft a apporté des améliorations continues au plan de contrôle d'Azure, appelé contrôleur de fabric Azure. Ce plan de
contrôle a la responsabilité de gérer le cycle de vie des ressources telles que les machines virtuelles (VM), les instances de
base de données et d'autres clusters Big Data tiers ou open source. Par exemple, chaque fois que vous provisionnez,
mettez à l'échelle, arrêtez ou mettez fin à une ressource telle qu'une machine virtuelle, l'opération passe par le contrôleur
de structure Azure.
Entre le contrôleur de structure et les ressources, une autre couche, appelée Azure Resource Manager, automatise le cycle
de vie des ressources. Azure dispose de fournisseurs de ressources pour chacun des services exécutés dans Azure. Par
exemple, les machines virtuelles, Azure SQL Database et Azure Kubernetes Service fonctionnent comme des fournisseurs
de ressources. Les clients peuvent déclarer la configuration de ces ressources via un modèle Azure Resource Manager, un
simple fichier texte qui définit l'état souhaité d'une ressource.
Vue d'ensemble du modèle hybride Azure 21

Azure Arc étend la prise en charge d'Azure Resource Manager aux ressources exécutées en dehors d'Azure. Cela signifie qu'un serveur physique

exécuté dans un centre de données ressemble à une ressource de calcul pour le contrôleur de structure. Vous pouvez même enregistrer des

machines virtuelles s'exécutant sur d'autres plates-formes de cloud computing non Microsoft avec Azure Resource Manager. Vous pouvez

enregistrer n'importe quel serveur Windows ou Linux, même ceux exécutés derrière un pare-feu et un proxy, auprès d'Azure Resource

Manager. Les machines virtuelles externes exécutent un logiciel similaire à l'agent qui s'exécute dans les machines virtuelles Azure.

Par exemple, si vous déployez des machines virtuelles sur un réseau Windows Server, vous pouvez gérer les machines virtuelles à l'aide des

outils de gestion Microsoft Hyper-V et de la configuration du serveur et des applications qui s'exécutent sur celles-ci à l'aide d'Azure Arc.

Azure propose un DevOps cloud et une gestion de la configuration native du cloud à grande échelle pour toutes les ressources
Azure. Ces pratiques cloud sont optimisées pour les développeurs qui ont besoin d'un accès immédiat et par programme aux
ressources pour créer de nouvelles applications cloud natives. Azure Arc étend ces capacités à toute infrastructure dans les
environnements sur site, multi-cloud et périphériques. Les développeurs peuvent créer des applications conteneurisées à l'aide des
outils de leur choix, et les équipes informatiques peuvent utiliser la configuration sous forme de code pour déployer, configurer et
gouverner uniformément les applications via la gestion de la configuration basée sur GitOps dans des environnements locaux,
multi-cloud et périphériques.

Lecture supplémentaire: Pour plus d'informations, reportez-vous à Arc azur 15 .

Centre d'administration Windows


Windows Admin Center est une application basée sur un navigateur déployée localement pour gérer les serveurs Windows,
les clusters, l'infrastructure hyperconvergée et les ordinateurs Windows 10. Vous pouvez utiliser Windows Admin Center pour
gérer vos serveurs Windows sans dépendance à Azure ou à d'autres composants cloud. Windows Admin Center vous donne
également un contrôle total sur l'ensemble de votre infrastructure de serveurs et s'avère utile pour gérer les serveurs sur des
réseaux privés non connectés à Internet.

Vous pouvez utiliser Windows Admin Center pour gérer Windows Server 2019, Windows Server 2016, Windows Server 2012
R2, Windows Server 2012, Windows Server 2008 R2, Windows 10 et d'autres systèmes d'exploitation (OS). Le Centre
d'administration Windows utilise une passerelle installée sur un serveur Windows ou sur un ordinateur Windows 10 joint au
domaine. La passerelle gère les serveurs à l'aide de PowerShell à distance et de l'instrumentation de gestion Windows sur la
gestion à distance Windows. Les rubriques ultérieures de ce module couvrent la passerelle Windows Admin Center.

Voici quelques-uns des avantages de l’utilisation de Windows Admin Center:

● Facilité de déploiement. Vous pouvez installer Windows Admin Center sur un ordinateur Windows 10 ou sur un serveur
Windows Server faisant office de passerelle afin que toute votre organisation puisse gérer les ordinateurs à partir de son
navigateur Web.

● Intégration avec des solutions existantes. Windows Admin Center s'intègre à des solutions telles que Microsoft
System Center et Azure gestion et amélioration de la sécurité. Vous pouvez ainsi effectuer des tâches de gestion
détaillées sur un seul appareil.

● Accès de n'importe où. Vous pouvez publier le serveur de passerelle Windows Admin Center sur Internet
public. Vous pouvez ensuite gérer vos serveurs de n'importe où via un tunnel sécurisé.

● Sécurité renforcée. Avec le contrôle d'accès basé sur les rôles (RBAC), vous pouvez définir quels administrateurs ont
accès à quelles capacités de gestion. Les options d'authentification de passerelle incluent les groupes locaux, Active
Directory basé sur un domaine local et Azure Active Directory (Azure AD) basé sur le cloud. Le Centre d'administration
Windows vous permet également de connaître les actions de gestion que les utilisateurs exécutent dans votre
environnement.

15 https://aka.ms/preview-azure-arc
22 Module 1 Présentation d'Azure hybride IaaS avec Windows Server 2019

● Intégration Azure. Windows Admin Center s'intègre à plusieurs services Azure, notamment Azure AD, Azure
Backup et Azure Site Recovery.

● Gestion des clusters hyperconvergés. Vous pouvez utiliser Windows Admin Center pour gérer les clusters
hyperconvergés, y compris les composants virtualisés de calcul, de stockage et de mise en réseau.

● Extensibilité. Windows Admin Center fournit un SDK avec lequel vos développeurs peuvent créer des outils et des
solutions au-delà des offres actuelles.

Lecture supplémentaire: Pour plus d'informations, reportez-vous à Qu'est-ce que Windows Admin Center? 16 .

Automatisation Azure
Azure Automation est un service d'automatisation et de configuration basé sur le cloud qui prend en charge une gestion
cohérente dans vos environnements Azure et non Azure. Le service vous offre un contrôle total pendant le déploiement,
les opérations et la mise hors service des charges de travail et des ressources.

Azure Automation se compose de:

● Automatisation des processus. Avec Azure Automation, vous pouvez automatiser les tâches de gestion cloud fréquentes,
chronophages et sujettes aux erreurs. Ce service vous aide à vous concentrer sur le travail qui ajoute de la valeur commerciale.
En réduisant les erreurs et en augmentant l'efficacité, il contribue également à réduire vos coûts opérationnels. Avec ce service,
vous pouvez créer des runbooks graphiquement, dans PowerShell ou à l'aide de Python. En utilisant le Travailleur de Runbook
hybride , vous pouvez unifier la gestion en orchestrant les tâches dans les environnements sur site. Avec les webhooks, vous
pouvez répondre aux demandes et contribuer à assurer une livraison et des opérations continues en déclenchant
l'automatisation de la gestion des services informatiques, du DevOps et des systèmes de surveillance.

● Gestion de la configuration. La configuration de l'état est le service Azure Automation qui offre une solution basée sur le
cloud pour la configuration de l'état souhaité (DSC) dans PowerShell. Avec ce service, vous pouvez gérer vos ressources
DSC dans Azure Automation et appliquer des configurations à des machines virtuelles ou physiques à partir d'un serveur
d'extraction DSC dans Azure. Vous pouvez surveiller et mettre à jour automatiquement les configurations de machines
sur des machines physiques et virtuelles, sous Windows ou Linux, dans le cloud ou sur site. Avec la prise en charge de
l'inventaire, vous pouvez interroger les ressources internes pour connaître les applications installées et d'autres
éléments de configuration. Le service prend en charge le suivi des modifications entre les services, les démons, les
logiciels, le registre et les fichiers de votre environnement pour vous aider à diagnostiquer les modifications indésirables
et à déclencher des alertes. Une caractéristique connexe importante est le reportage des événements majeurs,

● Gestion des mises à jour. Azure Automation comprend la solution de gestion des mises à jour pour les systèmes Windows et
Linux dans les environnements hybrides. Cette solution vous permet de prendre conscience de la conformité des mises à jour
dans Azure, dans d'autres clouds et sur site. Vous pouvez utiliser Update Management pour créer des déploiements planifiés qui
orchestrent l'installation des mises à jour dans une fenêtre de maintenance définie. Si vous ne souhaitez pas qu'une mise à jour
soit installée sur une machine, vous pouvez utiliser Update Management pour l'exclure d'un déploiement.

● Capacités partagées. Azure Automation offre de nombreuses fonctionnalités partagées, notamment les ressources partagées,
RBAC, la planification flexible, l'intégration du contrôle de source, l'audit et le balisage.

● Caractéristiques hétérogènes. Azure Automation est conçu pour fonctionner dans votre environnement de cloud hybride et sur
vos systèmes Windows et Linux. Il offre un moyen cohérent d'automatiser et de configurer les charges de travail déployées et
leurs systèmes d'exploitation correspondants.

Lecture supplémentaire: Pour plus d'informations, reportez-vous à Une introduction à Azure Automation 17 .

16 https://aka.ms/windows-admin-center-what-is
17 https://aka.ms/azure-automation-intro
Vue d'ensemble du modèle hybride Azure 23

Intégration du moniteur
Microsoft Azure propose plusieurs services qui fournissent des fonctionnalités de surveillance complètes. Bien que la plupart d'entre eux ciblent

des environnements basés sur Azure, certains prennent également en charge les ressources locales, de sorte que vous pouvez implémenter un

modèle de prise en charge cohérent dans des scénarios hybrides. Vous pouvez bénéficier de ces services dans des scénarios d'entreprise tels que

le suivi, l'audit ou le dépannage d'événements passés; l'optimisation de l'administration de leurs déploiements existants; et la prévision et la

planification de la capacité des déploiements futurs.

Moniteur Azure
Azure Monitor est un composant essentiel de la stratégie Microsoft visant à étendre la fonctionnalité de surveillance complète
basée sur le cloud au-delà d'Azure aux centres de données locaux et aux fournisseurs de cloud non Microsoft. Les autres
fonctionnalités de gestion d'Azure qui font partie de cette stratégie incluent:

● Conseiller Azure. Utilise la télémétrie d'utilisation des ressources pour proposer des recommandations d'optimisation de la

configuration des ressources en termes de performances, de sécurité et de disponibilité.

● Azure Service Health. Signale les problèmes liés à la plate-forme susceptibles d'affecter vos ressources.

● Journal d'activité Azure. Suit les événements représentant les opérations qui modifient l'état de vos ressources, tels que les modifications

de configuration, les incidents d'intégrité de service et échelle automatique opérations.

Azure Monitor, Azure Advisor, Azure Service Health et le journal d'activité Azure complètent plusieurs autres services
qui offrent des capacités de surveillance plus ciblées et approfondies dans deux catégories:

● Surveillance approfondie de l'infrastructure. En plus de fournir une surveillance détaillée, les services de cette catégorie
fournissent des capacités d'analyse ciblant l'infrastructure Azure. Les principaux exemples incluent le Analyse des
journaux fonctionnalité combinée avec des solutions de gestion, telles que Container Monitoring ou Service Map, et des
outils de surveillance de réseau, tels que Network Watcher, Network Performance Monitor, ExpressRoute Monitor, DNS
Analytics et Service Endpoint Monitor.

● Surveillance approfondie des applications. Cette catégorie comprend Application Insights, qui facilite la surveillance des
performances, de la disponibilité et de l'utilisation des applications Web, quel que soit leur emplacement.

Les services de surveillance principaux et approfondis partagent plusieurs fonctionnalités qui offrent une approche cohérente de la

configuration des alertes. Avec les groupes d'actions courants, vous pouvez désigner des actions et des destinataires déclenchés par des

alertes, concevoir des tableaux de bord personnalisés et analyser des métriques à l'aide d'outils tels que Metrics Explorer ou Microsoft Power BI.

Comme décrit dans les modules précédents, vous pouvez configurer et examiner les paramètres liés aux performances, tels que
ceux pour la surveillance, les diagnostics et l'autoscaling, pour des ressources Azure individuelles directement à partir de leurs lames
respectives dans le portail Azure. Bien que cette approche soit simple, elle peut s'avérer inefficace pour un plus grand nombre de
ressources. Avec Azure Monitor, vous disposez d'un point de référence unique pour la plupart des paramètres de configuration et
des données de surveillance pertinents. Cela améliore non seulement l'expérience utilisateur, mais contribue également à maintenir
une configuration cohérente sur l'ensemble de votre abonnement.

Azure Monitor prend en charge la collecte et la surveillance des métriques, des journaux d'activité et de diagnostic, ainsi que des
événements à partir d'un large éventail de services Azure et d'ordinateurs résidant dans des centres de données locaux et des
fournisseurs de cloud non Microsoft. Il fournit un moyen rapide d'évaluer l'état de votre environnement dans le portail Azure. Il
présente un affichage récapitulatif des alertes déclenchées, des erreurs du journal d'activité, des événements Azure Service Health et
des données provenant d'Application Insights. Vous pouvez également accéder à ses données à l'aide d'Azure PowerShell, de
l'interface de ligne de commande Azure, des API REST et du kit de développement logiciel .NET. Avec Azure Monitor, vous pouvez
également archiver les données collectées dans le stockage Azure à des fins d'analyse historique ou de conformité ou les acheminer
vers Azure Stream Analytics ou des services non Microsoft via Azure Event Hubs.
24 Module 1 Présentation d'Azure hybride IaaS avec Windows Server 2019

Lecture supplémentaire: Pour plus d'informations, reportez-vous à Sources de données de surveillance pour Azure Monitor 18 .

Azure Monitor offre également une prise en charge complète des alertes. Vous pouvez configurer quatre types d'alertes:

● Alertes métriques classiques qui ont une fréquence minimale de cinq minutes.

● Alertes métriques en temps quasi réel qui ont une fréquence minimale d'une minute. Un changement de métrique qui satisfait
la condition d'alerte déclenchera une alerte basée sur une métrique dans un délai d'une minute. Cela rend l'approche basée sur
le moniteur adaptée aux scénarios à temps critique. Les métriques en temps quasi réel offrent plusieurs autres avantages:

● Prise en charge des groupes d'actions, qui sont des ensembles de paramètres qui désignent les destinataires des
notifications d'alerte et les actions de notification correspondantes. Les types d'action incluent le lancement d'un appel vocal
ou d'un texte, l'envoi d'un e-mail, l'appel d'un webhook, le transfert de données vers un outil de gestion des services
informatiques (ITSM), l'appel d'une application créée à l'aide d'App Service Web Apps ou l'appel d'un runbook Azure
Automation. En créant des groupes d'actions, vous pouvez réutiliser les mêmes paramètres de notification pour plusieurs
alertes.

● Alertes basées sur les conditions d'au moins deux métriques.

● Alertes multidimensionnelles basées sur des métriques avec lesquelles vous pouvez générer des alertes basées sur une ou

plusieurs dimensions d'une métrique. UNE dimension identifie un sous-ensemble de métriques associées sur la base d'une paire

clé-valeur. Par exemple, pour une instance Windows Server, la métrique Espace disque disponible peut avoir une dimension

nommée Conduire, qui a des valeurs représentant des lettres de lecteur individuelles.

● Alertes prenant en charge des conditions telles que moyenne et le total en plus des valeurs minimales et maximales, qui
sont disponibles avec les alertes métriques classiques.

● Les alertes du journal d'activité classique analysant les données du journal de diffusion en continu, répondant à des événements tels qu'un incident Azure

Service Health ou la suppression d'une machine virtuelle.

● Alertes de journal d'activité (en préversion), qui fonctionnent comme les alertes de journal d'activité classique mais prennent en charge la

configuration à l'aide de modèles Azure Resource Manager.

Lecture supplémentaire: Pour plus d'informations sur Azure Monitor, reportez-vous à Documentation Azure Monitor 19 .

Gestionnaire des opérations de System Center


Pour les clients ayant un investissement existant dans System Center Operations Manager qui souhaitent utiliser les fonctionnalités
étendues avec Azure Monitor, vous pouvez intégrer Operations Manager à votre Analyses de journaux espace de travail. Vous
pouvez ensuite utiliser les opportunités des journaux dans Azure Monitor tout en continuant à utiliser Operations Manager pour:

● Surveillez la santé de vos services informatiques avec Operations Manager.

● Maintenez l'intégration avec vos solutions ITSM prenant en charge la gestion des incidents et des problèmes.

● Gérez le cycle de vie des agents déployés sur l'infrastructure sur site et dans le cloud public en tant que machines virtuelles de
service que vous surveillez avec Operations Manager.

L'intégration à Operations Manager ajoute de la valeur à votre stratégie d'opérations de service en utilisant la vitesse et
l'efficacité d'Azure Monitor pour collecter, stocker et analyser les données de journal d'Operations Manager. Les requêtes de
journal Azure Monitor vous aident à mettre en corrélation et à rechercher les causes profondes des problèmes à l'appui de
votre processus de gestion des problèmes existant. Azure Monitor complète Operations Manag-

18 https://aka.ms/Wucvsw
19 https://aka.ms/azure_monitor
Vue d'ensemble du modèle hybride Azure 25

er en utilisant un moteur de requête flexible pour examiner les données de performances, d'événements et d'alertes et dispose de tableaux de bord et

de capacités de rapport pour exposer ces données.

Les agents relevant du groupe d'administration Operations Manager collectent les données de vos serveurs en fonction de la Analyse
des journaux les sources de données et les solutions que vous avez activées dans votre espace de travail. En fonction des
solutions activées, l'agent envoie les données soit directement d'un serveur de gestion Operations Manager au service, soit,
en raison du volume de données collectées sur le système géré par l'agent, directement de l'agent à un Analyse des
journaux espace de travail. Le serveur de gestion envoie les données directement au service; il n'écrit jamais les données
dans la base de données opérationnelle ou de l'entrepôt de données. Lorsqu'un serveur de gestion perd sa connectivité avec
Azure Monitor, il met en cache localement les données jusqu'à ce que la communication soit rétablie. Si le serveur de gestion
est hors ligne en raison d'une maintenance planifiée ou d'une panne non planifiée, un autre serveur de gestion du groupe
d'administration reprendra la connectivité avec Azure Monitor.

Noter: Si les politiques de sécurité informatique ne permettent pas aux ordinateurs de votre réseau de se connecter à Internet, vous pouvez

configurer les serveurs de gestion pour qu'ils se connectent au Analyse des journaux passerelle pour recevoir les informations de

configuration et envoyer les données collectées en fonction des solutions activées.

Lecture supplémentaire: Pour plus d'informations sur la configuration de votre groupe de gestion Operations Manager
pour communiquer via un Analyse des journaux passerelle vers Azure Monitor, reportez-vous à Configurez votre
système 20 .

Intégration de sauvegarde et de reprise après sinistre


Le maintien de la continuité des activités est l'un des principaux défis de toute organisation qui dépend des ressources informatiques
pour ses opérations. L'élaboration d'un plan de continuité des activités consiste à identifier les étapes nécessaires pour se remettre
d'une catastrophe qui affecte de manière significative la disponibilité de ces ressources. Les deux moyens les plus courants de
faciliter les besoins de continuité d’activité consistent à mettre en œuvre une stratégie de sauvegarde complète et une stratégie de
reprise après sinistre complète. Microsoft Azure propose des services dédiés qui non seulement simplifient considérablement les
deux tâches, mais minimisent également leur coût.

Sauvegarde Azure
Le service de sauvegarde Azure utilise les ressources Azure pour le stockage à court et à long terme afin de minimiser ou même
d'éliminer la nécessité de maintenir des supports de sauvegarde physiques, tels que des bandes, des disques durs et des DVD. Depuis
son introduction, le service a évolué de sa forme originale, qui reposait exclusivement sur un agent de sauvegarde que vous pouviez
télécharger à partir du portail Azure, vers une offre plus diversifiée.

Le service de sauvegarde Azure comprend:

● Sauvegardes des fichiers, des dossiers et de l'état du système du serveur et du client Windows 64 bits avec l'agent Azure
Recovery Services et le module d'intégration de la sauvegarde en ligne pour Windows Server Essentials.

● Stockage à long terme pour les sauvegardes avec System Center Data Protection Manager et l'agent
Recovery Services.

● Stockage à long terme pour les sauvegardes avec Azure Backup Server et l'agent Recovery Services.

● Sauvegardes de niveau de machine virtuelle (VM) Azure basées sur Windows et Linux avec les extensions de machine virtuelle Azure

(instantané de machine virtuelle et instantané de machine virtuelle Linux, respectivement).

Azure Backup offre plusieurs fonctionnalités facultatives qui fournissent une protection supplémentaire des données, notamment:

● Conservation des sauvegardes pendant 14 jours après leur suppression.

20 https://aka.ms/set-up-your-system
26 Module 1 Présentation d'Azure hybride IaaS avec Windows Server 2019

● Un code PIN personnalisé, dont vous avez besoin pour modifier une phrase secrète existante ou pour arrêter la protection et supprimer les

données de sauvegarde.

● Alertes par e-mail d'administration que des événements, tels que la désactivation ou la suppression de sauvegardes, déclenchent.

La fonctionnalité la plus basique d'Azure Backup vous aide à protéger les dossiers et les fichiers sur Windows Server 64
bits et les systèmes d'exploitation clients, à la fois sur site et dans Azure. Cette fonctionnalité repose sur l'agent Azure
Recovery Services, qui est disponible en téléchargement à partir de l'interface du coffre Azure Recovery Services dans le
portail Azure. Vous devez installer l'agent sur chaque système que vous souhaitez protéger.

Récupération de site Azure


Azure Site Recovery est un service de reprise après sinistre et de continuité d'activité qui offre deux types de
fonctionnalités: la réplication et l'orchestration. Réplication synchronise le contenu des systèmes d'exploitation et des
disques de données entre les machines physiques ou virtuelles (VM) d'un site principal qui héberge vos charges de travail
de production et vos VM sur un site secondaire. Orchestration fournit un basculement et une restauration ordonnés entre
ces deux emplacements.

Azure Site Recovery prend en charge les trois scénarios de récupération d'urgence suivants, en fonction de
l'emplacement des sites principal et secondaire:

● Basculement et restauration entre deux sites locaux.

● Basculement et restauration entre un site local et une région Azure.

● Basculement et restauration entre deux régions Azure.

En outre, vous pouvez utiliser Site Recovery pour migrer des machines physiques et des machines virtuelles vers une région Azure en effectuant

uniquement un basculement. Cette fonctionnalité est disponible pour les instances de système d'exploitation Linux et Windows exécutées dans des

emplacements locaux, dans Azure ou dans d'autres fournisseurs d'hébergement cloud.

Avec Site Recovery, vous pouvez aider à protéger les machines physiques et virtuelles, y compris la prise en charge des
plates-formes de virtualisation Microsoft Hyper-V et VMware ESXi. La manière dont vous implémentez cette protection dépend
de plusieurs facteurs, notamment:

● L'emplacement du site de récupération (sur site ou dans Azure).

● Le type de machine à protéger (physique ou virtuelle).

● La plate-forme de virtualisation (Hyper-V ou autres plates-formes tierces).

● Le logiciel de gestion de la virtualisation (System Center Virtual Machine Manager ou VMware vCenter
Server).

● Le mécanisme de réplication (l'agent Azure Site Recovery, le réplica Hyper-V ou la combinaison du service de mobilité et du
serveur de processus spécifiques aux machines virtuelles VMware et aux serveurs physiques).

Les scénarios de déploiement de Site Recovery incluent:

● Récupération d'urgence des machines virtuelles Hyper-V que Virtual Machine Manager gère d'un emplacement sur
site à un autre avec la réplication basée sur Hyper-V.

● Récupération d'urgence des machines virtuelles Hyper-V que Virtual Machine Manager gère depuis un emplacement local
vers Azure avec la réplication basée sur Site Recovery.

● Reprise après sinistre des machines virtuelles Hyper-V que Virtual Machine Manager ne gère pas depuis un
emplacement sur site vers Azure avec la réplication basée sur Site Recovery.

● Reprise après sinistre des machines virtuelles VMware d'un emplacement sur site à un autre avec la réplication basée sur le
service Mobility.
Vue d'ensemble du modèle hybride Azure 27

● Reprise après sinistre des machines virtuelles VMware depuis un emplacement sur site vers Azure avec réplication basée sur le service

Mobility.

● Reprise après sinistre des serveurs physiques exécutant les systèmes d'exploitation Windows et Linux à partir d'un emplacement
sur site vers Azure avec réplication basée sur le service Mobility.

● Reprise après sinistre des serveurs physiques exécutant les systèmes d'exploitation Windows et Linux d'un
emplacement sur site à un autre avec réplication basée sur le service Mobility.

● Récupération d'urgence des machines virtuelles d'une région Azure à une autre avec la réplication basée sur Site Recovery.

● Migration des machines virtuelles d'un fournisseur d'hébergement cloud non Microsoft vers Azure avec réplication basée sur le service

Mobility.

La réplication de machines virtuelles Hyper-V sur deux sites locaux utilise le réplica Hyper-V, un composant du rôle Hyper-V du
système d'exploitation Windows Server. Lors de la réplication de machines virtuelles Hyper-V dans des scénarios intersites, Site
Recovery utilise l'agent Azure Recovery Services. L'agent est un composant Site Recovery que vous devez installer sur les serveurs
Hyper-V hébergeant des machines virtuelles protégées. Pour la réplication de serveurs physiques et de machines virtuelles VMware,
Site Recovery repose sur une combinaison du service Mobility (un composant Site Recovery que vous devez installer directement sur
les ordinateurs que vous souhaitez protéger) et d'un ou plusieurs serveurs de processus.

Les serveurs de processus fonctionnent comme des passerelles de réplication entre une ou plusieurs instances du service Mobility et le

stockage sur le site secondaire. Les serveurs de processus implémentent des tâches d'optimisation des performances et de sécurité, telles

que la compression, la mise en cache et le chiffrement.

Noter: Le serveur de processus fait partie de l'infrastructure Azure Site Recovery spécifique à VMware, qui comprend
également un serveur de configuration et un serveur cible maître. Le serveur de configuration coordonne la
communication entre l'environnement local et Azure dans un environnement de production. Le serveur cible maître
a la responsabilité de coordonner la communication et la réplication pendant la restauration.

Noter: Site Recovery prend en charge la protection des ordinateurs physiques avec le basculement vers les machines virtuelles Azure. Cependant, aucune prise en

charge n'existe pour la restauration sur les ordinateurs physiques. Au lieu de cela, vous devez revenir aux machines virtuelles VMware.

Lecture supplémentaire: Ce module se concentre sur les scénarios qui reposent sur Azure en tant que site de reprise après sinistre. Pour plus

d'informations sur les scénarios dans lesquels le site de récupération d'urgence réside dans un autre emplacement sur site, reportez-vous à Matrice de

prise en charge pour la reprise après sinistre des machines virtuelles VMware et des serveurs physiques sur un site secondaire 21 .

Réplique de stockage
La réplication du stockage assure la synchronisation des disques entre vos ordinateurs de production et de reprise après sinistre. Le réplica

Hyper-V et l'agent Azure Site Recovery Services offrent une fréquence de réplication par intervalles de 30 secondes, 15 minutes ou 30 minutes.

Vous pouvez également les utiliser pour générer des instantanés cohérents avec les applications pour des machines virtuelles individuelles. Avec

le service Mobility, la réplication est continue. Les deux scénarios prennent en charge des instantanés cohérents avec les applications pour des

machines virtuelles individuelles ou entre des groupes de machines virtuelles.

Intégration d'identité
Au fur et à mesure que les entreprises planifient leurs déploiements de calcul et de mise en réseau sur Microsoft Azure, il devient de
plus en plus important pour elles de planifier comment fournir un accès à l'environnement tout en aidant à protéger les services, les
applications et les données dans Azure. Par conséquent, Azure propose plusieurs options pour une solution de gestion des identités et
des accès basée sur le cloud afin de sécuriser l'accès au cloud et aux ressources sur site tout en simplifiant l'expérience de l'utilisateur
final.

21 https://aka.ms/V8in6c
28 Module 1 Présentation d'Azure hybride IaaS avec Windows Server 2019

Pour fournir aux applications, services ou appareils l'accès à une identité centrale, il existe trois façons courantes d'utiliser
les services basés sur Active Directory dans Azure. Ce choix de solutions d'identité vous donne la flexibilité d'utiliser
l'annuaire le plus adapté aux besoins de votre organisation.

Bien que ces trois solutions d'identité partagent un nom et une technologie communs, elles sont conçues pour fournir des
services qui répondent aux différentes demandes des clients. À un niveau élevé, ces solutions d'identité et ensembles de
capacités sont:

● Services de domaine Active Directory (AD DS). Offre un serveur LDAP (Lightweight Directory Access Protocol) prêt pour
l’entreprise, doté de fonctionnalités clés telles que l’identité et l’authentification, la gestion des objets de l’ordinateur, la
stratégie de groupe et les approbations:

● AD DS fonctionne comme un composant central dans de nombreuses organisations qui disposent d'un environnement

informatique sur site, et il fournit des fonctionnalités d'authentification de compte d'utilisateur et de gestion de l'ordinateur

de base.

● Azure Active Directory (Azure AD). Fournit une gestion des identités et des appareils mobiles basée sur le cloud qui fournit des
services de compte d'utilisateur et d'authentification pour des ressources telles que Microsoft Office 365, le portail Azure ou des
applications de logiciel en tant que service (SaaS):

● Vous pouvez synchroniser Azure AD avec un environnement AD DS local pour fournir une identité unique aux
utilisateurs qui travaillent de manière native dans le cloud.

● Services de domaine Azure Active Directory (services de domaine Azure AD). Offre des services de domaine gérés qui incluent un
sous-ensemble de fonctionnalités AD DS traditionnelles entièrement compatibles, telles que la jonction de domaine, la stratégie
de groupe, l'authentification LDAP et Kerberos ou l'authentification NTLM:

● Azure AD Domain Services s'intègre à Azure AD, qui lui-même peut se synchroniser avec un environnement AD DS
local. Cette capacité étend les cas d'utilisation d'identité centrale aux applications Web traditionnelles, à savoir
celles que vous migrez vers Azure telles quelles.

Cette rubrique compare et met en contraste la manière dont ces solutions d'identité peuvent fonctionner ensemble ou
indépendamment, selon les besoins de votre organisation.

Azure AD
Azure AD est une solution de gestion des identités et des accès de plate-forme en tant que service (PaaS) gérée par Microsoft et basée
sur le cloud. Il fournit aux organisations et aux particuliers un accès amélioré en matière de sécurité aux services résidant dans le
cloud tels qu'Azure, Office 365, Microsoft Dynamics 365 et Microsoft Intune. Il facilite également l'authentification transparente aux
applications sur site. Vous pouvez utiliser Azure AD pour:

● Provisionnez et gérez les utilisateurs et les groupes.

● Configurez l'authentification unique (SSO) pour les applications SaaS basées sur le cloud.

● Configurez l'accès aux applications.

● Mettez en œuvre la protection de l'identité.

● Configurez l'authentification multifacteur (MFA).

● Intégration avec les déploiements Active Directory sur site existants.

● Activez la fédération entre les organisations.

En tant que service basé sur le cloud, Azure AD offre:

● Locations multiples. Azure AD est multi-locataire de par sa conception, ce qui permet de garantir l'isolement de ses
instances de répertoire individuelles. Le terme locataire dans ce contexte, représente généralement un individu, une
entreprise ou une organisation qui s'est abonné à un abonnement à un service cloud Microsoft, tel qu'Office 365, Intune
ou Azure, chacun utilisant Azure AD. D'un point de vue technique, cependant, ce terme
Vue d'ensemble du modèle hybride Azure 29

représente une instance Azure AD individuelle. En tant que client Azure, vous pouvez créer plusieurs locataires Azure AD.
Cela s'avère utile si vous souhaitez tester la fonctionnalité Azure AD dans une instance sans affecter les autres. Chaque
locataire Azure AD sert de limite de sécurité et de conteneur pour les objets Azure AD, tels que les utilisateurs, les
groupes et les applications.

● Évolutivité. Azure AD est le plus grand annuaire mutualisé au monde, hébergeant plus d'un million d'instances de services
d'annuaire et recevant des milliards de demandes d'authentification par semaine.

Éditions Azure AD
Pour répondre à un large éventail de besoins des clients, Azure AD est disponible en quatre éditions:

● Édition gratuite. Cela offre la gestion des utilisateurs et des groupes, l'enregistrement des appareils, le changement de mot
de passe en libre-service pour les utilisateurs du cloud, la synchronisation avec les annuaires locaux, la collaboration
interentreprises (B2B) et les rapports de base. Il vous limite à 10 applications par utilisateur configuré pour SSO et
500 000 objets.

● Édition des applications Office 365. Cela étend les capacités de l'édition gratuite en incluant la marque de l'entreprise sur
les pages de connexion et dans le portail via lequel les utilisateurs accèderont à leurs applications, la gestion des accès
par groupe et la réinitialisation du mot de passe en libre-service pour les utilisateurs du cloud. De plus, cette édition offre
un accord de niveau de service de 99,9% de disponibilité. Cette édition n'impose pas de limites sur le nombre d'objets
d'annuaire, mais a une limite de 10 applications par utilisateur configuré pour SSO, tout comme l'édition gratuite. La
fonctionnalité SSO inclut la prise en charge des applications sur site à l'aide de la Proxy d'application fonctionnalité
d'Azure AD.

● Édition Premium P1. Ceci est conçu pour accueillir les organisations qui ont les plus grands besoins de gestion
des identités et des accès. En plus d'avoir les mêmes fonctionnalités qu'Azure AD Basic, cette édition prend en
charge:

● Groupes dynamiques et gestion de groupes en libre-service.

● Réinitialisation du mot de passe en libre-service qui inclut la réécriture du mot de passe pour les utilisateurs Active Directory.

● Transfert automatique de mot de passe pour les comptes de groupe.

● La synchronisation bidirectionnelle des objets de périphérique avec les répertoires locaux. Accès

● conditionnel basé sur le groupe et l'emplacement.

● Accès conditionnel basé sur l'état de l'appareil.

● MFA.

● Le module Cloud App Discovery d'Azure AD.

● Azure AD Connect Health.

● Rapports avancés de sécurité et d'utilisation.

● Licences d'accès client par utilisateur Microsoft Identity Manager. Prise en

● charge d'Azure Information Protection.

● Intégration avec des partenaires de gouvernance d'identité tiers. Cette édition prend en charge un
nombre illimité d'objets et un nombre illimité d'applications par utilisateur configuré pour SSO.

● Édition Premium P2. Cela offre quelques avantages non négligeables en plus de ceux de l'édition
Premium P1. Ces avantages incluent Azure AD Identity Protection, Azure AD Privileged Identity
Management, l'intégration MFA tierce et un proxy Microsoft Cloud App Security.

Noter: Les entreprises peuvent également acheter des licences de fonctionnalités à l'utilisation, comme une pour Azure AD B2C. Azure AD B2C

vous aide à fournir des solutions de gestion des identités et des accès pour vos applications destinées aux clients.
30 Module 1 Présentation d'Azure hybride IaaS avec Windows Server 2019

Pour une liste complète des fonctionnalités offertes par les éditions Azure AD, reportez-vous à Tarification d'Azure
Active Directory 22 .

Services de domaine Azure AD


Les services de domaine Azure AD fournissent des services de domaine gérés, tels que la jonction de domaine, la stratégie de groupe,
LDAP et l'authentification Kerberos ou NTLM, qui sont entièrement compatibles avec AD DS dans Windows Server. Vous utilisez ces
services de domaine sans avoir à déployer, gérer et mettre à jour les contrôleurs de domaine (DC) dans le cloud.

Si vous avez des applications et des services qui ont besoin d'accéder aux mécanismes d'authentification traditionnels, tels
que Kerberos ou NTLM, vous avez deux façons de fournir AD DS dans le cloud:

● Un domaine géré que vous créez à l'aide des services de domaine Azure AD. Microsoft crée et gère les
ressources requises.

● Un domaine autogéré que vous créez et configurez à l'aide de ressources traditionnelles, telles que des machines
virtuelles (VM), un système d'exploitation invité (OS) Windows Server et AD DS. Vous continuez ensuite à administrer
ces ressources.

Avec les services de domaine Azure AD, Microsoft déploie et gère les composants de service de base pour vous en tant qu'expérience de domaine géré. Vous

ne déployez, gérez, mettez à jour ou ne contribuez pas à sécuriser l'infrastructure AD DS pour des composants tels que les machines virtuelles, le système

d'exploitation Windows Server ou les contrôleurs de domaine.

Les services de domaine Azure AD fournissent un sous-ensemble de fonctionnalités plus petit que l'environnement AD DS
traditionnel et autogéré, ce qui réduit une partie de la complexité de la conception et de la gestion. Par exemple, aucune
forêt, domaine, site ou lien de réplication Active Directory n'existe à concevoir et à gérer. Pour les applications et services qui
s'exécutent dans le cloud et ont besoin d'accéder aux mécanismes d'authentification traditionnels, tels que Kerberos ou
NTLM, Azure AD Domain Services offre une expérience de domaine géré avec une charge administrative minimale.

Les services de domaine Azure AD s'intègrent à votre locataire Azure AD existant, ce qui permet aux utilisateurs de se connecter à l'aide de

leurs informations d'identification existantes. Vous pouvez également utiliser des groupes et des comptes d'utilisateurs existants pour sécuriser

l'accès aux ressources, ce qui permet une migration plus fluide des applications Web locales comme elles le sont vers Azure.

Les services de domaine Azure AD répliquent les informations d'identité à partir d'Azure AD, de sorte qu'ils s'intègrent aux locataires
Azure AD qui sont soit dans le cloud uniquement, soit synchronisés avec un environnement AD DS local. Le même ensemble de
fonctionnalités des services de domaine Azure AD existe pour les deux environnements:

● Si vous disposez d'un environnement AD DS local existant, vous pouvez synchroniser les informations de compte d'utilisateur
pour fournir une identité cohérente aux utilisateurs.

● Pour les environnements cloud uniquement, vous n'avez pas besoin d'un environnement AD DS local traditionnel pour utiliser les
services d'identité centralisés des services de domaine Azure AD.

Lorsque vous migrez des charges de travail existantes vers le cloud, les applications prenant en charge l'annuaire peuvent utiliser LDAP pour un

accès en lecture ou en écriture à un annuaire AD DS local. Vous déployez généralement des applications qui s'exécutent sur Windows Server sur

des machines virtuelles jointes au domaine, vous pouvez donc les gérer de manière sécurisée à l'aide de la stratégie de groupe. Pour authentifier

les utilisateurs, les applications peuvent également s'appuyer sur une authentification intégrée à Windows, telle que l'authentification Kerberos

ou NTLM.

Pour fournir des services d'identité aux applications et aux machines virtuelles dans le cloud, Azure crée une instance AD DS sur un réseau

virtuel. Dans les coulisses, une paire de contrôleurs de domaine Windows Server est créée et s'exécute sur des machines virtuelles Azure. Toi

22 https://aka.ms/C7u9xm
Vue d'ensemble du modèle hybride Azure 31

n'ont pas besoin de gérer, configurer ou mettre à jour ces contrôleurs de domaine. La plateforme Azure les gère dans le cadre du
service Azure AD Domain Services.

Le domaine managé Azure AD Domain Services est configuré pour effectuer une synchronisation unidirectionnelle à partir d'Azure AD
pour fournir l'accès à un ensemble central d'utilisateurs, de groupes et d'informations d'identification. Vous pouvez créer des
ressources directement dans le domaine managé Azure AD Domain Services, mais elles ne sont pas synchronisées avec Azure AD. Les
applications, services et machines virtuelles Azure qui se connectent à ce réseau virtuel peuvent ensuite utiliser les fonctionnalités AD
DS courantes, telles que la jonction de domaine, la stratégie de groupe, la gestion LDAP sécurisée (LDAPS), la gestion DNS (Domain
Name System), l'authentification Kerberos ou NTLM et LDAP lier et lire le support.

Noter: La prise en charge de l'écriture LDAP est disponible pour les objets créés dans le domaine managé Azure AD Domain
Services, mais pas pour les ressources synchronisées à partir d'Azure AD.

Dans un environnement hybride doté d'un environnement AD DS local, Azure AD Connect synchronise les
informations d'identité avec Azure AD, qui est ensuite synchronisé avec les services de domaine Azure AD.

Extension d'Active Directory local aux machines virtuelles Azure


Au lieu d'utiliser le service de services de domaine Azure AD managé, vous pouvez déployer un domaine auto-géré que vous
configurez à l'aide de ressources traditionnelles, telles que la machine virtuelle Azure. Lorsque vous déployez un environnement
AD DS autogéré, vous devez gérer tous les composants d’infrastructure et d’annuaire associés. Une surcharge de maintenance
supplémentaire existe pour un environnement AD DS autogéré, mais vous pouvez ensuite effectuer plus de tâches, telles que
l'extension du schéma ou la création d'approbations de forêt.

Les modèles de déploiement courants pour un environnement AD DS autogéré qui fournit une identité aux
applications et services dans le cloud incluent:

● Création d'un environnement AD DS autonome et uniquement cloud. Vous configurez des machines virtuelles Azure en tant que contrôleurs de domaine et créez un

environnement AD DS distinct, uniquement cloud. Cet environnement ne s'intègre pas à un environnement AD DS local. Vous utilisez un ensemble d'informations

d'identification distinct pour vous connecter et administrer les VM dans le cloud.

● Déploiement de la forêt de ressources. Vous configurez des machines virtuelles Azure en tant que contrôleurs de domaine et créez un

domaine AD DS qui fait partie d'une forêt existante. Vous configurez ensuite une relation d'approbation avec un environnement AD DS local.

D'autres machines virtuelles Azure peuvent joindre un domaine à cette forêt de ressources dans le cloud. L'authentification des utilisateurs

s'exécute sur un réseau privé virtuel (VPN) ou une connexion Azure ExpressRoute à l'environnement AD DS local.

● Extension d'un domaine local à Azure. Un réseau virtuel Azure se connecte à un réseau local à l'aide d'une
connexion VPN ou ExpressRoute. Les machines virtuelles Azure se connectent à ce réseau virtuel Azure, ce qui leur
permet de se joindre au domaine dans l'environnement AD DS local.

Noter: Une alternative consiste à créer des machines virtuelles Azure et à les promouvoir en tant que contrôleurs de domaine de
réplica à partir du domaine AD DS local. Ces contrôleurs de domaine se répliquent via une connexion VPN / ExpressRoute vers
l'environnement AD DS local. Le domaine AD DS local s'étend efficacement dans Azure.

Le tableau suivant présente 15 fonctionnalités dont vous pourriez avoir besoin pour votre organisation et les
différences entre un domaine de services de domaine Azure AD géré et un domaine AD DS autogéré.

Tableau 1: capacités des services de domaine Azure AD gérés et des services AD DS autogérés

Aptitude Services de domaine Azure AD AD DS autogéré


Service géré Non Oui
Déploiements améliorés en matière de sécurité Oui Par l'administrateur
Serveur dns Oui (service géré) Oui
Administrateur de domaine ou d'entreprise - Aucun Oui
privilège de tor
32 Module 1 Présentation d'Azure hybride IaaS avec Windows Server 2019

Aptitude Services de domaine Azure AD AD DS autogéré


Rejoindre un domaine Oui Oui
Authentification de domaine via Oui Oui
NTLM et Kerberos
Délégation contrainte Kerberos Basé sur les ressources Basé sur les ressources et basé sur le

compte

Unité organisationnelle personnalisée Oui Oui


structure
Stratégie de groupe Oui Oui
Extensions de schéma Non Oui
Approbations de domaine et de forêt Oui (approbations de forêt sortantes Oui
Active Directory unidirectionnelles uniquement)

LDAPS Oui Oui


Lecture LDAP Oui Oui
Écriture LDAP Oui (dans le domaine géré) Oui

Déploiements géo-distribués Non Oui

Lecture supplémentaire: Pour plus de comparaisons entre les services AD DS autogérés, Azure AD et les services de
domaine Azure AD gérés, reportez-vous à Comparez les services de domaine Active Directory autogérés, Azure Active
Directory et les services de domaine Azure Active Directory gérés 23 .

Testez vos connaissances


Utilisez les questions suivantes pour vérifier ce que vous avez appris dans cette leçon.

question 1
Laquelle des options suivantes pouvez-vous utiliser pour automatiser la configuration et la connectivité de site à site entre
les sites locaux et un hub Microsoft Azure?

?? Un réseau privé virtuel (VPN) point à site (P2S)

?? Un VPN de site à site (S2S)

?? Azure ExpressRoute

?? Un réseau étendu virtuel (WAN virtuel)

?? Un réseau virtuel

question 2

Quels sont les avantages d'Azure Files?

23 https://aka.ms/compare-identity-solutions
Utilisation d'outils d'administration hybrides 33

Utilisation d'outils d'administration hybrides

Aperçu de la leçon
Le portail Microsoft Azure fournit une interface graphique pour interagir avec vos abonnements et services Azure. Cependant, dans
certains scénarios, le portail Azure n'est peut-être pas le meilleur moyen de faciliter cette interaction. Par exemple, vous souhaiterez
peut-être automatiser des tâches administratives répétitives ou complexes en créant des scripts réutilisables. Vous pouvez le faire à
l'aide des modules Azure PowerShell et de l'interface de ligne de commande Azure. Vous pouvez développer des solutions Azure
personnalisées à l'aide d'Azure Tools pour Visual Studio Code.

Objectifs de la leçon
Après avoir terminé cette leçon, vous serez en mesure de:

● Décrivez les fonctionnalités de Windows Admin Center.

● Implémentez et gérez les fonctionnalités hybrides à l'aide de Windows Admin Center.

● Décrivez les fonctionnalités de PowerShell.

● Utilisez PowerShell via Azure Cloud Shell.

● Décrivez Azure CLI.

● Expliquez les fonctionnalités du portail Azure.

● Utilisez le portail Azure.

Centre d'administration Windows


L'outil de services hybrides Microsoft Azure dans Windows Admin Center consolide tous les services Azure intégrés dans un
emplacement unique, où vous pouvez explorer tous les services Azure disponibles dans votre environnement local ou
hybride. Avec l'outil de services hybrides Azure, vous pouvez:

● Augmentez votre capacité de stockage. Vous pouvez étendre votre capacité de stockage en utilisant l'une des deux méthodes
suivantes:

● Synchronisez votre serveur de fichiers avec le cloud. En utilisant Azure File Sync, vous pouvez conserver tous vos fichiers en local ou utiliser la

fonctionnalité de hiérarchisation cloud pour libérer de l'espace et mettre en cache uniquement les fichiers les plus fréquemment utilisés sur le

serveur, en hiérarchisant les données froides vers le cloud. Vous pouvez également sauvegarder les données dans le cloud, éliminant ainsi le

besoin de vous soucier d'une sauvegarde de serveur sur site. En outre, la synchronisation multisite peut garder un ensemble de fichiers

synchronisés sur plusieurs serveurs.

● Migrez le stockage vers une machine virtuelle Azure. Vous pouvez utiliser l'outil de service de migration de stockage pour inventorier les données

sur les serveurs Windows et Linux, puis transférer les données vers une nouvelle machine virtuelle Azure. Windows Admin Center peut créer une

nouvelle machine virtuelle Azure pour le travail qui est d'une taille appropriée et correctement configurée pour recevoir les données de votre

serveur source.

● Augmentez la capacité de calcul. Vous pouvez étendre la capacité de calcul à l'aide de l'une des méthodes suivantes:

● Créez une nouvelle machine virtuelle dans Azure. Sans quitter Windows Admin Center, vous pouvez créer de nouvelles machines

virtuelles Azure, configurer le stockage et même les joindre à un domaine.

● Fournissez un témoin Cloud pour un cluster. Au lieu d'investir dans du matériel supplémentaire pour atteindre le quorum sur
un cluster à deux nœuds, vous pouvez utiliser un compte de stockage Azure pour fournir un témoin Cloud pour votre cluster
Azure Stack HCI ou un autre cluster de basculement.
34 Module 1 Présentation d'Azure hybride IaaS avec Windows Server 2019

● Simplifiez la connectivité réseau entre votre environnement local et votre réseau virtuel Azure. Vous
pouvez le faire en utilisant l'une des méthodes suivantes:

● Connectez vos serveurs locaux à un réseau virtuel Azure. Windows Admin Center simplifie la
configuration d'un réseau privé virtuel (VPN) point à site (P2S) à partir d'un serveur local vers un
réseau virtuel Azure à l'aide d'un adaptateur réseau Azure.

● Faites en sorte que les machines virtuelles Azure semblent exister dans votre réseau local. Windows Admin Center
peut configurer un VPN de site à site (S2S) et étendre vos adresses IP locales dans votre réseau virtuel Azure
à l'aide d'un réseau étendu Azure. Vous pouvez ensuite migrer les charges de travail vers Azure sans rompre
les dépendances sur les adresses IP.

● Surveillez tous les serveurs de votre environnement. En utilisant le connaissances option dans Azure Monitor, vous pouvez surveiller

la santé et les événements du serveur; créer des alertes par e-mail; obtenez un affichage consolidé des performances du serveur dans

votre environnement; et visualisez les applications, les systèmes et les services connectés à un serveur spécifique. Windows Admin

Center peut également fournir des alertes par e-mail pour les performances de santé du serveur et les événements de santé du

cluster.

● Gérez de manière centralisée les mises à jour du système d'exploitation. En utilisant Azure Update Management, vous pouvez

gérer les mises à jour de plusieurs serveurs et machines virtuelles à partir d'un seul endroit plutôt que de le faire par serveur. Cela

est possible que vos serveurs existent en tant que machines virtuelles Azure, existent sur site ou que d'autres fournisseurs de

cloud les hébergent. Vous pouvez également évaluer rapidement l'état des mises à jour disponibles, planifier l'installation des

mises à jour requises et examiner les résultats du déploiement pour vérifier que les mises à jour ont bien été appliquées.

● Améliorez votre posture de sécurité. Azure Security Center, un système unifié de gestion de la sécurité de
l'infrastructure, offre une protection avancée contre les menaces sur vos charges de travail hybrides dans le
cloud (y compris Azure et d'autres fournisseurs d'hébergement) et sur site.

● Aidez à garantir la conformité dans votre environnement hybride. En utilisant le Azure Arc pour les serveurs
fonctionnalité, vous pouvez inventorier, organiser et gérer les serveurs dans Azure et dans l'environnement local. Vous
pouvez également utiliser Azure Policy pour gérer les serveurs, contrôler l'accès via le contrôle d'accès basé sur les rôles et
activer des services de gestion supplémentaires.

Lecture supplémentaire: Pour plus d'informations, reportez-vous à Découvrez comment Windows Admin Center améliore votre
environnement de gestion 24 .

Démonstration: utilisez Windows Admin Center pour


implémenter et gérer les fonctionnalités hybrides
Dans cette démonstration, vous apprendrez à:

● Déployez le centre d'administration Windows.

● Activez l'authentification Microsoft Azure Active Directory (Azure AD) dans Windows Admin Center.

● Ajoutez l'extension Azure Cloud Shell au centre d'administration Windows.

● Utilisez Windows Admin Center pour déployer un réseau virtuel et un sous-réseau dans Azure.

Pour cette démonstration, le SEA-DC1 et SEA-CL1 les machines virtuelles (VM) doivent être en cours d'exécution. D'autres machines virtuelles peuvent être

en cours d'exécution, mais vous n'en avez pas besoin pour cette démonstration.

Vous devez être connecté à SEA-CL1 en tant que Contoso \ Administrator. Vous n'avez pas besoin d'être connecté à
SEA-DC1.

24 https://aka.ms/management-environment
Utilisation d'outils d'administration hybrides 35

Démonstration étapes
1. Déployez le Centre d'administration Windows.

2. Activez l'authentification Azure AD.

3. Ajoutez l'extension Azure Cloud Shell à Windows Admin Center.

4. Déployez un réseau virtuel à l'aide d'Azure Cloud Shell.

5. Déployez un sous-réseau à l'aide d'Azure Cloud Shell.

PowerShell
Windows PowerShell est une technologie qui se compose d'un langage de script et du moteur correspondant responsable du
traitement des scripts. Windows PowerShell fournit une plate-forme de script destinée à gérer divers aspects de votre
environnement informatique. Vous pouvez étendre ses capacités en important des bibliothèques de logiciels, appelées modules.
Les modules encapsulent le code Windows PowerShell sous la forme de fonctions et d'assemblys compilés, appelés applets
de commande. Ce principe s'applique également lorsque vous travaillez avec Microsoft Azure. Vous pouvez utiliser Windows
PowerShell combiné avec des modules Azure PowerShell pour vous connecter à un abonnement Azure et pour provisionner
et gérer les services Azure.

Le démarrage d'un hôte lance un nouveau Windows PowerShell espace d'exécution, qui est l'environnement dans lequel le moteur
Windows PowerShell s'exécute. Avec l'environnement de script intégré Windows PowerShell (ISE) et Visual Studio Code, vous pouvez
exécuter plusieurs scripts dans le même espace d'exécution. Vous pouvez également exécuter des scripts dans des espaces
d'exécution distincts en ouvrant plusieurs onglets Windows PowerShell dans la même fenêtre Windows PowerShell ISE.

Noter: Vous pouvez également créer et déboguer des scripts Windows PowerShell dans Microsoft Visual Studio à l'aide
de PowerShell Tools pour Visual Studio, qui est disponible dans la galerie Visual Studio.

Pour gérer les ressources Azure à l'aide de Windows PowerShell, vous devez d'abord installer les modules Azure
PowerShell qui fournissent cette fonctionnalité. Dans ce cours, vous travaillerez principalement avec le Az module. Ce
module est conçu pour PowerShell Core et Cloud Shell, tout en conservant la compatibilité avec Windows PowerShell
5.1. Par exemple, les applets de commande du Calculer fournisseur, qui facilite le déploiement et la gestion des
machines virtuelles (VM) Azure, résident dans le Calcul Az. module.

Le déploiement et la gestion des ressources et des services Azure peuvent nécessiter l'utilisation d'autres modules. Par exemple,
pour travailler avec des ressources classiques, vous utilisez le module Azure PowerShell Service Management appelé Bleu azur.
De même, vous pouvez gérer les ressources liées à Azure à l'aide de modules distincts: Azure Active Directory,
Azure Rights Management, et Azure Service Fabric.

Noter: Ressources classiques dans Azure sont des ressources que vous ne provisionnez pas à l'aide d'Azure Resource Manager.

Noter: Azure PowerShell est un projet open source et GitHub héberge son référentiel sur Azure Power - Shell 25 . Windows,
Linux et macOS le prennent actuellement en charge.

Installer les modules Azure PowerShell sur Windows


Les principales méthodes d'installation des modules Azure PowerShell sur Windows sont:

● La galerie PowerShell

● Packages Windows Installer (MSI)

25 https://aka.ms/i71tpl
36 Module 1 Présentation d'Azure hybride IaaS avec Windows Server 2019

La galerie PowerShell
Cette méthode utilise les capacités intégrées du PowerShellGet module, qui facilite la découverte, l'installation et les mises à
jour de certains artefacts Windows PowerShell, y compris d'autres modules Windows PowerShell. Le Windows PowerShell PowerShellGet
Le module repose sur la fonctionnalité intégrée de Windows Management Framework 5.1, qui fait partie des versions les plus
récentes de Windows 10 et Windows Server 2016. Vous pouvez également télécharger et installer Windows Management
Framework 5.1 sur n'importe quelle version prise en charge de Windows, en commençant par avec Windows 7 Service Pack 1
et Windows Server 2008 R2. Cela mettra automatiquement à niveau Windows PowerShell vers la version 5.1. Si vous souhaitez
activer le PowerShellGet
fonctionnalité sur les systèmes exécutant Windows PowerShell 3.0 ou Windows PowerShell 4.0, vous devez installer
le Gestion des packages module.

Pour effectuer l'installation en fonction de PowerShellGet, exécuter le Module d'installation cmdlet d'une session avec élévation de privilèges dans le Windows

PowerShell console ou depuis le Console Windows PowerShell ISE vitre. Pour installer les modules Azure PowerShell à partir de la galerie PowerShell, exécutez la

commande suivante à l'invite de commandes Windows PowerShell: To install the Azure PowerShell modules from the PowerShell Gallery, run the following command

at the Windows PowerShell command prompt:

`` PowerShell
Module d'installation Az
''

Packages Windows Installer


Dans cette méthode, vous pouvez installer la version actuelle ou toute version publiée précédemment d'Azure PowerShell à
l'aide des packages MSI disponibles sur GitHub. L'installation supprime automatiquement tous les modules Azure PowerShell
existants.

Lecture supplémentaire: Pour plus d'informations, reportez-vous à azur-powershell 26 .

Gérer les abonnements Azure


Après avoir installé les modules Azure PowerShell, vous pouvez connecter la session Azure PowerShell aux abonnements
Azure que vous souhaitez gérer. Pour établir cette connexion, vous devez d'abord vous authentifier à l'aide d'un compte qui
existe dans le locataire Azure Active Directory (Azure AD) associé à l'abonnement cible. Vous pouvez utiliser un compte
Microsoft que vous avez utilisé pour créer l'abonnement ou que vous avez par la suite ajouté au locataire Azure AD de
l'abonnement. Vous pouvez également créer de nouveaux comptes dans Azure AD. Ces comptes sont connus sous le nom
de comptes professionnels ou scolaires et étaient autrefois connus sous le nom de organi-
comptes nationaux.

Lors de la gestion des ressources Azure Resource Manager, vous vous authentifiez en exécutant le Connect-AzAc- nombre cmdlet.
Par défaut, l'exécution de cette applet de commande ouvre une fenêtre de navigateur qui vous demande le nom d'utilisateur et le
mot de passe d'un compte d'utilisateur qui a accès à l'abonnement Azure que vous souhaitez gérer. L'authentification Azure AD est
basée sur un jeton et après la connexion, l'utilisateur reste authentifié jusqu'à ce que le jeton d'authentification expire.

Lecture supplémentaire: Le délai d'expiration d'un jeton d'authentification Azure AD dépend de plusieurs facteurs. Pour plus
d'informations, reportez-vous à Durées de vie des jetons configurables dans la plate-forme d'identité Microsoft (préversion) 27
.

Après vous être authentifié, vous pouvez utiliser le Get-AzSubscription applet de commande pour consulter une liste
d'abonnements associés à votre compte. Si vous avez plusieurs abonnements, vous pouvez spécifier celui que vous souhaitez

26 http://aka.ms/Vep7fj
27 https://aka.ms/k2mtil
Utilisation d'outils d'administration hybrides 37

gérer en utilisant le Abonnement Set-Az applet de commande et en fournissant le nom de l'abonnement ou l'ID.
Vous pouvez trouver le nom et l'ID de l'abonnement en examinant la sortie du Get-AzSubscription cmdlet.

Une fois que vous vous êtes authentifié à partir d'une session Windows PowerShell, Azure PowerShell génère
automatiquement une collection d'objets liés à la session, appelée contexte de session. Ce contexte contient des
objets tels que le compte, l'abonnement Azure et le locataire Azure AD correspondant. Vous pouvez gérer le contenu
du contexte en utilisant le Set-AzContext et Select-AzSubscription applets de commande et examinez le contexte à
l'aide de Get-AzContext cmdlet.

Lors de la gestion des services Azure Service Management, vous vous authentifiez en exécutant le Add-AzureAc- nombre cmdlet.
Pour accéder à la gestion des abonnements, vous pouvez exécuter les applets de commande Azure PowerShell correspondantes, y
compris Get-AzureSubscription et Select-AzureSubscription. Après avoir authentifié et établi un contexte de session, vous pouvez
utiliser les applets de commande Azure PowerShell pour examiner, provisionner et gérer les services et les ressources Azure.

Vous pouvez utiliser Azure PowerShell directement à partir d'Azure Cloud Shell dans le portail Azure. Cette approche offre plusieurs avantages.

Premièrement, cela élimine le besoin d'installer Windows PowerShell sur votre ordinateur local et vous permet de vous assurer que vous utilisez

la dernière version d'Azure PowerShell. En outre, cette méthode ne nécessite pas de connexion distincte, car elle utilise les mêmes informations

d'identification que celles que vous avez utilisées dans le portail Azure pour vous authentifier auprès de votre abonnement Azure. Vous pouvez

également utiliser un partage de lecteur cloud disponible dans la session Cloud Shell pour copier des fichiers vers ou depuis votre ordinateur

local.

Lecture supplémentaire: Pour plus d'informations sur cette fonctionnalité, reportez-vous à Persister les fichiers dans Azure Cloud Shell 28 .

Démonstration: utiliser PowerShell via Azure


Cloud Shell
Dans cette démonstration, vous apprendrez à déployer une machine virtuelle (VM) Azure à l'aide d'Azure Cloud
Shell via Windows Admin Center.

Pour cette démonstration, le SEA-DC1 et SEA-CL1 Les VM doivent être en cours d'exécution. D'autres machines virtuelles peuvent être en cours d'exécution,

mais vous n'en avez pas besoin pour cette démonstration.

Vous devez être connecté à SEA-CL1 en tant que Contoso \ Administrator. Vous n'avez pas besoin d'être connecté à
SEA-DC1.

Démonstration étapes
● Déployez une machine virtuelle Windows Server 2019 via Azure Cloud Shell.

Azure CLI
Microsoft Azure CLI fournit une interface de ligne de commande basée sur un shell que vous pouvez utiliser pour interagir avec vos

abonnements Azure. Azure CLI offre la plupart des mêmes fonctionnalités que les modules Azure PowerShell, bien que les fonctionnalités

puissent différer. Le principal avantage de l'interface de ligne de commande Azure est son intégration étroite avec les scripts shell, y compris la

prise en charge d'outils populaires tels que grep, awk, sed, jq, et Couper, afin que les administrateurs Linux puissent utiliser leurs compétences

existantes.

28 https://aka.ms/AA1zyar
38 Module 1 Présentation d'Azure hybride IaaS avec Windows Server 2019

Il existe deux versions d'Azure CLI:

● Azure CLI 1.0 (parfois appelé Interface de ligne de commande multiplateforme Azure ou alors Xplat-CLI).
Cette version a été développée dans Node.js pour fournir un support multiplateforme. Son référentiel open-source
réside à azure-xplat-cli 29 .

● Azure CLI 2.0. Cette version, développée en Python, propose plusieurs améliorations et nouvelles fonctionnalités par rapport à
son prédécesseur. Ces fonctionnalités incluent la possibilité de créer des pipelines comprenant des commandes Azure CLI et
des outils shell, la complétion des onglets pour les commandes et les noms de paramètres, la prise en charge de l'exécution de
commandes asynchrones et une aide intégrée améliorée. Son référentiel open-source réside à
azur-cli 30 .

Azure CLI 2.0 prend en charge uniquement le modèle de déploiement Azure Resource Manager. Si vous gérez toujours des
ressources classiques, vous pouvez exécuter les deux versions d'Azure CLI côte à côte. Par défaut, les deux partagent les
informations que vous fournissez et les abonnements Azure que vous sélectionnez, ce qui simplifie la gestion dans un
environnement mixte. Vous pouvez distinguer les commandes qui appartiennent à chaque version de cette manière: Les
commandes Azure CLI 1.0 commencent par le mot-clé bleu azur, alors que les commandes Azure CLI 2.0 commencent par le mot clé az.
Les deux versions de l'interface de ligne de commande Azure sont disponibles sur Windows, Linux et macOS. Vous pouvez installer
Azure CLI 2.0 directement sur Windows ou dans un sous-système Windows pour Linux. La deuxième méthode offre une expérience
utilisateur la plus proche de l'exécution directe d'Azure CLI sous Linux. Ceci, à son tour, facilite l'exécution de la majorité des outils de
ligne de commande Linux sans aucune modification.

Le processus d'installation de l'interface de ligne de commande Azure dépend de sa version et du système d'exploitation cible.
Étant donné qu'Azure CLI 1.0 a été développé à l'aide de Node.js, vous devez installer Node.js avant d'installer Azure CLI 1.0. Python
est une condition préalable à l'installation d'Azure CLI 2.0.

Installez Azure CLI 1.0


Après avoir installé Node.js, vous pouvez utiliser le gestionnaire de packages Node npm outil de ligne de commande pour installer
le package Azure CLI 1.0 en exécutant la commande suivante:

npm install –g azure-cli

Vous pouvez également télécharger des programmes d'installation précompilés à partir du référentiel GitHub Azure CLI 1.0. Les

programmes d'installation sont disponibles pour Windows, Linux et macOS.

Lecture supplémentaire: Pour plus d'informations sur l'installation d'Azure CLI 1.0, reportez-vous à Microsoft Azure
Xplat-CLI pour Windows, Mac et Linux 31 .

Installation d'Azure CLI 2.0


Pour installer Azure CLI 2.0, vous pouvez utiliser des programmes d'installation précompilés pour Windows, Linux et macOS. Si vous

implémentez Azure CLI 2.0 dans un environnement Bash sur le sous-système Windows pour Linux (WSL), vous pouvez utiliser le

apt-get outil. Vous pouvez utiliser le même outil lors de l'exécution de distributions Linux tierces. Les systèmes d'exploitation non

Microsoft prennent également en charge l'installation d'Azure CLI 2.0 via le boucle commander.

Lecture supplémentaire: Pour plus d'informations sur l'installation d'Azure CLI 2.0, reportez-vous à Installez Azure CLI 32 .

L'installation modifie le Chemin variable d'environnement système. Vous pouvez ensuite exécuter des commandes Azure CLI directement à

partir d'une fenêtre d'invite de commande sous Windows ou d'un shell de commande sous Linux ou macOS.

29 https://aka.ms/q3asut
30 https://aka.ms/qa9tdx
31 https://aka.ms/xplat-cli-for-windows-mac-and-linux
32 https://aka.ms/ultvco
Utilisation d'outils d'administration hybrides 39

Après avoir installé Azure CLI, vous pouvez vous connecter aux abonnements Azure que vous souhaitez gérer. Comme avec
les modules Azure PowerShell, pour établir une telle connexion, vous devez d'abord vous authentifier à l'aide d'un compte
Microsoft ou d'un compte professionnel ou scolaire qui existe dans le locataire Azure AD associé à l'abonnement cible.

Pour démarrer le processus d'authentification, exécutez l'une des commandes suivantes (selon la version Azure CLI) à
partir d'un shell de commande ou d'une invite de commandes:

connexion azur
connexion az

En réponse, le shell affiche un message vous invitant à démarrer un navigateur et à parcourir le Connexion de l'appareil page.
Sur cette page, entrez le code fourni par le message. Cette étape vérifie Azure CLI en tant qu'éditeur d'application et vous
permet de saisir vos informations d'identification utilisateur pour vous authentifier auprès de l'abonnement Azure. Noter
que:

● L'authentification Azure AD est basée sur un jeton et après la connexion, l'utilisateur reste authentifié jusqu'à ce que le jeton
d'authentification expire.

● Après vous être authentifié, vous pouvez utiliser le liste de comptes azur commande (dans Azure CLI 1.0) ou le liste de
comptes az (dans Azure CLI 2.0) pour consulter une liste d'abonnements associés à votre compte. Si vous disposez de
plusieurs abonnements, vous pouvez spécifier celui que vous souhaitez gérer en utilisant le ensemble de comptes azur commande
(dans Azure CLI 1.0) ou ensemble de comptes az (dans Azure CLI 2.0) et en fournissant le nom ou l'ID de l'abonnement.

Noter: Vous pouvez trouver le nom et l'ID de l'abonnement en examinant la sortie de l'un ou l'autre liste de comptes azur commande
(dans Azure CLI 1.0) ou le liste de comptes az commande (dans Azure CLI 2.0).

● Azure CLI 1.0 prend en charge à la fois Azure Resource Manager et les modèles de déploiement classiques, mais utilise des
modes distincts pour travailler avec chacun. Pour basculer entre eux, utilisez le mode de configuration azur commande.

À basculer vers le mode Azure Resource Manager pour le modèle de déploiement Azure Resource Manager, exécutez
la commande suivante:

bras de mode de configuration azur

Pour basculer vers le mode de déploiement classique, exécutez la commande suivante:

mode de configuration azure asm

Tout comme avec Azure PowerShell, vous pouvez utiliser Azure CLI 2.0 directement à partir d'Azure Cloud Shell dans le
portail Azure. Dans ce cas, vous pouvez bénéficier de la dernière version d'Azure CLI 2.0 sans avoir à l'installer sur votre
ordinateur local et sans avoir besoin d'une connexion distincte. Vous aurez également accès à un partage de lecteur cloud
disponible dans une session Cloud Shell pour copier des fichiers vers ou depuis votre ordinateur local.

Lecture supplémentaire: Pour plus d'informations sur cette fonctionnalité, reportez-vous à Persister les fichiers dans Azure Cloud Shell 33 .

Portail Azure
Le portail Microsoft Azure est une console unifiée basée sur le Web qui offre une alternative aux outils de ligne de commande. Avec
le portail Azure, vous pouvez gérer votre abonnement Azure à l'aide d'une interface graphique. Vous pouvez créer, gérer et
surveiller tout, des applications Web simples aux déploiements cloud complexes. Créer personnalisé

33 https://aka.ms/AA2064k
40 Module 1 Présentation d'Azure hybride IaaS avec Windows Server 2019

tableaux de bord pour une vue d'ensemble organisée des ressources. Configurez les options d'accessibilité pour une expérience

optimale.

Le portail Azure est conçu pour la résilience et la disponibilité continue. Il est présent dans chaque centre de données Azure. Cette
configuration rend le portail Azure résilient aux pannes de centre de données individuelles et évite les ralentissements du réseau en
étant proche des utilisateurs. Le portail Azure se met à jour en permanence et ne nécessite aucun temps d'arrêt pour les activités de
maintenance.

Une fois connecté au portail, la première chose que vous observez en tant que nouvel abonné aux services Azure est la page d'accueil
Azure. Cette page compile des ressources qui vous aident à tirer le meilleur parti de votre abonnement Azure. Il comprend également
des liens vers des cours en ligne gratuits, de la documentation, des services de base et des sites utiles pour rester à jour et gérer les
mises à jour pour votre organisation.

Le menu et l'en-tête de page dans le portail Azure sont des éléments globaux toujours présents. Ces éléments persistants
fonctionnent comme le «shell» de l'interface utilisateur associée à chaque service ou fonctionnalité individuel, et l'en-tête
donne accès aux contrôles globaux. La page de configuration (parfois appelée lame) pour une ressource peut également
avoir un menu de ressources pour vous aider à vous déplacer entre les fonctionnalités.

La figure suivante décrit les éléments de base du portail Azure, dont chacun est décrit dans le tableau
suivant.

Figure 1: le portail Azure


Utilisation d'outils d'administration hybrides 41

Figure 2: le menu du portail Azure

Noter: Microsoft continue d'améliorer l'interface utilisateur du portail Azure et les figures précédentes décrivent le portail tel qu'il
apparaît au moment de la rédaction de cet article. Pour passer en revue le portail Azure, reportez-vous à portail. azure.com 34 .

Tableau 1: éléments clés du portail Azure

Élément La description

En-tête de page Cela apparaît sur chaque page du portail et contient des
éléments globaux.

Recherche globale Vous utilisez la zone de recherche de l'en-tête de page pour

trouver rapidement une ressource, un service ou une

documentation spécifique.

Contrôles globaux Ces contrôles sont situés sur l'en-tête de la page. Comme tous
les éléments globaux, ils persistent sur le portail et incluent
Azure Cloud Shell, le filtre d'abonnement, les notifications, les
paramètres du portail, l'aide et le support, et envoyez-nous vos
commentaires.

Votre compte Ceci est situé sur l'en-tête de la page. Utilisez-le pour consulter

les informations relatives à votre compte, changer d'annuaire,

vous déconnecter ou vous connecter avec un autre compte.

Menu du portail Il se trouve sur l'en-tête de la page et est parfois appelé


barre latérale. Le menu du portail est un élément global qui
vous aide à naviguer entre les services. Vous pouvez
modifier le mode du menu du portail dans les paramètres
du portail.
Menu des ressources De nombreux services incluent un menu de ressources pour
vous aider à gérer le service. Vous remarquerez peut-être que
cet élément est appelé volet gauche.

Barre de commande Les contrôles de la barre de commandes sont contextuels par

rapport à votre focus actuel.

Volet de travail Ce volet affiche des détails sur la ressource


actuellement sélectionnée.
Miette de pain Ceci est situé sur l'en-tête de la page. Vous pouvez utiliser les
liens de fil d'Ariane pour reculer d'un niveau dans votre flux de
travail.

Contrôle principal pour créer une nouvelle ressource dans Vous développez ou ouvrez le menu du portail pour accéder à +

l'abonnement actuel Créer une ressource. Recherchez ou parcourez la Place de marché

Azure pour le type de ressource que vous souhaitez créer.

Votre liste de favoris Vous pouvez ajouter, supprimer et trier les favoris pour
personnaliser la liste.

Démonstration: utiliser le portail Azure


Dans cette démonstration, vous apprendrez à naviguer dans le portail Microsoft Azure.

34 https://portal.azure.com
42 Module 1 Présentation d'Azure hybride IaaS avec Windows Server 2019

Pour cette démonstration, le SEA-DC1 et SEA-CL1 les machines virtuelles (VM) doivent être en cours d'exécution. D'autres machines virtuelles peuvent être

en cours d'exécution, mais vous n'en avez pas besoin pour cette démonstration.

Vous devez être connecté à SEA-CL1 en tant que Contoso \ Administrator. Vous n'avez pas besoin d'être connecté à
SEA-DC1.

Démonstration étapes
1. Ouvrez le portail Azure, puis accédez à la machine virtuelle Windows Server que vous avez créée dans la
démonstration précédente.

2. Ouvrez les propriétés de la machine virtuelle et puis inspectez les propriétés.

3. Accédez à d'autres services du portail, tels qu'Azure Monitor, Azure Site Recovery et Azure Security
Center.

Testez vos connaissances


Utilisez les questions suivantes pour vérifier ce que vous avez appris dans cette leçon.

question 1
Quelle partie de Windows Admin Center consolide les informations sur vos serveurs physiques et virtuels locaux ou
votre environnement hybride?

?? Centre système

?? Infrastructure hyperconvergée

?? La passerelle Windows Admin Center

?? L'outil de services hybrides Azure

?? Outils d'administration de serveur distant

question 2
Quel outil de ligne de commande Microsoft a-t-il développé à l'aide de Python qui prend en charge une interface basée sur un shell que vous
pouvez utiliser pour interagir avec vos abonnements Azure?

?? Le portail Azure

?? Modules Azure PowerShell

?? Azure CLI 1.0

?? Azure CLI 2.0

?? Centre d'administration Windows


Revue du module 01 43

Revue du module 01

Revue du module
Utilisez les questions suivantes pour vérifier ce que vous avez appris dans ce module.

question 1

Qu'est-ce qu'un Azure Virtual WAN et quels sont certains de ses avantages?

question 2
Quelles sont certaines des caractéristiques d'une interface réseau attachée à une machine virtuelle (VM)? Choisis trois.

?? Une interface réseau fonctionne comme l'interconnexion entre une VM et un réseau virtuel.

?? Une machine virtuelle doit avoir au moins une interface réseau.

?? Une machine virtuelle doit avoir plusieurs interfaces réseau.

?? Vous pouvez attribuer une adresse IP publique ou privée à une interface réseau.

?? Vous pouvez modifier le sous-réseau et le réseau virtuel auxquels une machine virtuelle se connecte après l'avoir créée.
44 Module 1 Présentation d'Azure hybride IaaS avec Windows Server 2019

Réponses
question 1

Quels sont les services cloud proposés par une machine virtuelle (VM) dans Microsoft Azure? Choisis trois.

■ Calculer

?? Licence du système d'exploitation

■ Stockage

?? Comptes d'utilisateurs locaux

■ Réseautage

Explication
Les principaux services cloud proposés par une machine virtuelle dans Azure sont le calcul, le stockage et la mise en réseau. Le calcul inclut
le nombre de processeurs et la taille de la mémoire de la machine virtuelle. Le stockage inclut la taille et le nombre de disques gérés, ou de
stockage d'objets blob, attachés aux machines virtuelles. La mise en réseau comprend le nombre d'interfaces réseau; adresses IP
dynamiques, statiques et publiques; et considérations relatives à la bande passante.

question 2

Quels sont les types de disques proposés par Azure pour les disques managés? Choisissez quatre.

■ Stockage Ultra Disk

■ SSD Premium

?? Disque dur haut de gamme

■ SSD standard

■ Disque dur standard

Explication
Dans Azure, vous pouvez provisionner et attacher des disques Ultra Disk Storage, des disques SSD Premium, des disques SSD standard et des

disques HDD standard à une machine virtuelle. Azure ne rend pas les disques HDD Premium disponibles.

question 1

Laquelle des options suivantes pouvez-vous utiliser pour automatiser la configuration et la connectivité de site
à site entre les sites locaux et un hub Microsoft Azure?

?? Un réseau privé virtuel (VPN) point à site (P2S)

?? Un VPN de site à site (S2S)

?? Azure ExpressRoute

■ Un réseau étendu virtuel (WAN virtuel)

?? Un réseau virtuel

Explication
Un WAN virtuel offre plusieurs avantages, notamment une solution de connectivité intégrée en automatisant la
configuration S2S et la connectivité entre les sites locaux et un hub Azure. Un WAN virtuel offre également un
dépannage intuitif, qui fournit une prise de conscience du flux de bout en bout dans Azure.
question 2
Revue du module 01 45

Quels sont les avantages d'Azure Files?

Azure Files propose un partage de fichiers similaire à celui des partages de fichiers Windows locaux. Azure Files propose des partages de fichiers

entièrement gérés dans le cloud auxquels vous pouvez accéder via le protocole SMB (Server Message Block). Vous pouvez utiliser Azure Files pour

créer des partages de fichiers dans le cloud, sans avoir à gérer une machine virtuelle ou un serveur. Vous pouvez monter un partage de fichiers sur

votre ordinateur local à l'aide du protocole SMB ou vous pouvez utiliser des outils tels que l'Explorateur de stockage pour accéder aux fichiers de votre

partage de fichiers. À partir d'une application, vous pouvez utiliser des bibliothèques clientes de stockage, des API REST, PowerShell ou l'interface de

ligne de commande Azure pour accéder à vos fichiers dans le partage de fichiers Azure.

question 1

Quelle partie de Windows Admin Center consolide les informations sur vos serveurs physiques et virtuels
locaux ou votre environnement hybride?

?? Centre système

?? Infrastructure hyperconvergée

?? La passerelle Windows Admin Center

■ L'outil de services hybrides Azure

?? Outils d'administration de serveur distant

Explication
L'outil de services hybrides Azure dans Windows Admin Center consolide tous les services Microsoft Azure intégrés
dans un hub centralisé, où vous pouvez explorer tous les services Azure disponibles qui apportent de la valeur à votre
environnement local ou hybride.

question 2

Quel outil de ligne de commande Microsoft a-t-il développé à l'aide de Python qui prend en charge une interface basée sur un shell que vous

pouvez utiliser pour interagir avec vos abonnements Azure?

?? Le portail Azure

?? Modules Azure PowerShell

?? Azure CLI 1.0

■ Azure CLI 2.0

?? Centre d'administration Windows

Explication
L'interface de ligne de commande Azure (Azure CLI) fournit une interface de ligne de commande basée sur un shell que vous pouvez utiliser
pour interagir avec vos abonnements Azure. Azure CLI 2.0 a été développé en Python.
question 1

Qu'est-ce qu'un Azure Virtual WAN et quels sont certains de ses avantages?

Un Azure Virtual WAN est un service de mise en réseau qui consolide plusieurs fonctionnalités de mise en réseau, de
sécurité et de routage pour fournir une interface opérationnelle unique. Un WAN virtuel offre plusieurs avantages,
notamment une solution de connectivité intégrée via l'automatisation de la configuration de site à site et de la
connectivité entre les sites locaux et un hub Microsoft Azure. Un WAN virtuel offre également un dépannage intuitif, qui
fournit une prise de conscience du flux de bout en bout dans Azure.
46 Module 1 Présentation d'Azure hybride IaaS avec Windows Server 2019

question 2

Quelles sont certaines des caractéristiques d'une interface réseau attachée à une machine virtuelle (VM)? Choisis
trois.

■ Une interface réseau fonctionne comme l'interconnexion entre une VM et un réseau virtuel.

■ Une machine virtuelle doit avoir au moins une interface réseau.

?? Une machine virtuelle doit avoir plusieurs interfaces réseau.

■ Vous pouvez attribuer une adresse IP publique ou privée à une interface réseau.

?? Vous pouvez modifier le sous-réseau et le réseau virtuel auxquels une machine virtuelle se connecte après l'avoir créée.

Explication
Une interface réseau est l'interconnexion entre une VM et un réseau virtuel. Une machine virtuelle doit avoir au moins une interface réseau,
mais peut en avoir plusieurs, selon la taille de la machine virtuelle que vous créez. Vous pouvez attribuer des adresses IP publiques ou
privées à une interface réseau dans Azure. Bien que vous puissiez modifier le sous-réseau auquel une machine virtuelle se connecte après sa
création, vous ne pouvez pas modifier le réseau virtuel.
Module 2 Implémentation de l'identité dans des scénarios
hybrides

Implémentation d'AD DS sur Azure IaaS

Aperçu de la leçon
Microsoft Azure fournit une infrastructure en tant que service (IaaS) et peut héberger des machines virtuelles (VM) dans le
cloud. Certaines organisations envisagent d'utiliser Azure pour héberger des contrôleurs de domaine, étendant ainsi les
limites de leurs domaines locaux au cloud. L'hébergement de contrôleurs de domaine sur Azure peut offrir une gamme
d'avantages, à la fois pour les utilisateurs locaux et pour ceux qui se connectent à des services locaux et basés sur l'Azure du
monde entier.

Objectifs de la leçon
Après avoir terminé cette leçon, vous serez en mesure de:

● Décrivez les options de déploiement du service de domaine Active Directory (AD DS) dans Azure et en quoi
elles diffèrent du déploiement local.

● Planifiez le déploiement de contrôleurs de domaine AD DS sur Azure.

● Implémentez des contrôleurs de domaine AD DS sur des machines virtuelles Azure.

Vue d'ensemble d'AD DS dans Azure IaaS


De nombreuses organisations utilisent les services de domaine Active Directory (AD DS) pour authentifier les identités
associées aux utilisateurs, ordinateurs, applications ou autres ressources qui se trouvent dans une limite de sécurité. Les
services d'annuaire et d'identité sont généralement hébergés sur site, mais si une application est hébergée en partie sur
site et en partie sur Microsoft Azure, une latence dans l'envoi des demandes d'authentification d'Azure vers le local peut se
produire. L'implémentation des services d'annuaire et d'identité dans Azure peut réduire cette latence.

Les raisons pour lesquelles vous pourriez envisager de déployer des contrôleurs de domaine sur Azure incluent:

● Fournir la résilience à l'annuaire local.


48 Module 2 Implémentation de l'identité dans des scénarios hybrides

● Conserver les demandes d'authentification pour les services Azure dans l'environnement Azure.

● Extension de l'accès à Active Directory sur site aux sites du monde entier.

Le processus de déploiement d'un contrôleur de domaine Active Directory sur une machine virtuelle (VM) Azure est similaire au processus de

déploiement d'un contrôleur de domaine dans un environnement local. Une différence principale est que lorsque vous déployez un contrôleur

de domaine sur Azure, vous devez placer la base de données Active Directory sur le disque de données d'une machine virtuelle Azure. Cela évite

des dommages potentiels à la base de données qui pourraient se produire en raison des paramètres de cache de lecture et d'écriture du

disque du système d'exploitation sur la machine virtuelle Azure.

Azure fournit plusieurs options pour l'implémentation des services d'annuaire et d'identité à l'aide d'AD DS sur Azure.
Les différentes considérations et exigences sont basées sur le scénario de déploiement que vous sélectionnez:

● Déployez AD DS uniquement sur une machine virtuelle Azure. Ce scénario implique la création d'un réseau virtuel mais ne nécessite pas

de connectivité intersite. En règle générale, ce déploiement commence par une nouvelle forêt et tous les contrôleurs de domaine

s'exécutant uniquement sur les machines virtuelles Azure. Dans ce scénario, vous devez envisager de définir des adresses IP statiques pour

les contrôleurs de domaine. Ce scénario est courant pour:

● Applications qui dépendent de l'authentification Kerberos mais qui n'ont aucune exigence liée aux
services d'annuaire locaux.

● Environnements sans AD DS sur site existant; par exemple, le déploiement sur site vierge.

● Déployez AD DS dans une infrastructure locale et sur une machine virtuelle Azure. Ce scénario est courant
pour les applications compatibles LDAP (Lightweight Directory Access Protocol) et prenant en charge
l'authentification Windows. Ce scénario nécessite la création d'un réseau virtuel avec une connectivité intersite et
une allocation d'adresse IP appropriée pour les machines virtuelles qui s'exécutent dans le cloud. L'objectif
principal de ce scénario est d'optimiser le coût de la solution, étant donné que le trafic entrant (entrée) est gratuit,
mais que le trafic sortant (sortie) n'est pas gratuit. En effet, les systèmes et les applications dans Azure feraient
référence aux contrôleurs de domaine AD DS dans Azure pour l'authentification, les recherches LDAP et la
résolution du serveur de noms. Ce scénario offre des performances plus rapides et une meilleure expérience de
connexion pour les utilisateurs qui accèdent aux applications en s'authentifiant auprès des contrôleurs de
domaine basés sur le cloud.

● Déployer un contrôleur de domaine AD DS ajouté sur une machine virtuelle Azure.

● Déployer une forêt ou un domaine AD DS distinct sur Azure approuvé par les domaines de votre forêt
AD DS sur site.

Déployer un contrôleur de domaine AD DS sur Azure


Si votre application est hébergée en partie sur site et en partie sur Azure, il peut être plus efficace de
répliquer AD DS dans Azure. Cela peut réduire la latence causée par l'envoi de demandes d'authentification
depuis le cloud vers les services AD DS locaux. Cette architecture est courante lorsque le réseau local et le
réseau virtuel Azure sont connectés par un réseau privé virtuel (VPN) ou une connexion Azure ExpressRoute.

Cette architecture prend également en charge la réplication bidirectionnelle, ce qui signifie que des changements peuvent se
produire sur site ou dans le cloud, et les deux sources resteront cohérentes. Les utilisations typiques de cette architecture incluent:

● Applications hybrides dans lesquelles les fonctionnalités sont réparties entre les applications locales et Azure.

● Applications et services qui effectuent l'authentification à l'aide d'Active Directory.


Implémentation d'AD DS sur Azure IaaS 49

Déployer une forêt / domaine AD DS sur Azure


AD DS stocke les informations d'identité dans une structure hiérarchique. Le nœud supérieur de la hiérarchie est appelé
forêt. Une forêt contient des domaines et les domaines contiennent d'autres types d'objets. Cette architecture de référence
comprend soit:

● Création d'un domaine AD DS dans Azure qui est membre de la même forêt AD DS que le domaine local. Dans ce
scénario, la création d'une relation d'approbation entre les différents domaines n'est pas requise, car les domaines
de la même forêt se font confiance (automatiquement) de manière inhérente.

● Création d'une forêt AD DS dans Azure avec une relation d'approbation unidirectionnelle sortante ou
bidirectionnelle avec un domaine local. Dans ce scénario, la forêt dans Azure contient un domaine qui
n'existe pas en local.

En raison de la relation d'approbation, les connexions aux domaines locaux peuvent être approuvées pour l'accès aux ressources
dans le domaine Azure distinct. Les utilisations typiques de cette architecture incluent:

● Maintenir la séparation de la sécurité pour les objets et les identités dans le cloud.

● Migration de domaines individuels depuis le site vers le cloud.

La rubrique suivante abordera les considérations de déploiement pour ces scénarios.

Déployer et configurer des contrôleurs de domaine AD DS dans des


machines virtuelles Azure
Lors de la planification du déploiement des contrôleurs de domaine des services de domaine Active Directory (AD DS) dans
Microsoft Azure, voici quelques considérations importantes:

● Recommandations réseau. Configurez l'interface réseau de la machine virtuelle (VM) pour chaque serveur AD DS avec
une adresse IP privée statique pour une prise en charge complète du système de noms de domaine (DNS). Vous devrez
également configurer les règles du groupe de sécurité réseau (NSG) du sous-réseau Active Directory pour autoriser le
trafic entrant du trafic local et sortant vers le local.

Noter: En raison de problèmes de sécurité, vous ne devez pas attribuer d'adresse IP publique à l'interface réseau d'une machine
virtuelle Azure qui héberge un contrôleur de domaine Active Directory.

Lecture supplémentaire: Pour obtenir des informations détaillées sur les ports utilisés par AD DS, reportez-vous à Considérations de

conception de réseau virtuel et options de configuration pour les services de domaine Azure Active Directory 1 .

● Connectivité intersite. Un élément de conception clé est la connectivité intersite entre votre environnement local et
Azure. Pour vous assurer que les machines virtuelles hébergées par Azure peuvent communiquer avec les contrôleurs de
domaine internes, vous devez configurer une connexion réseau entre Azure et votre environnement local. Cela nécessite
un réseau virtuel avec une connectivité de site à site à votre réseau local, ou vous devez utiliser Azure ExpressRoute. Les
exigences sont abordées plus loin dans cette rubrique.

● Sites Active Directory. Vous devez configurer des sites dans AD DS afin de pouvoir contrôler le trafic de réplication entre les
contrôleurs de domaine locaux et Azure. Le vérificateur de cohérence des connaissances contrôle le processus de réplication, la
réplication intrasite reposant sur une topologie en anneau bidirectionnel qui suppose une bande passante élevée et des
connexions disponibles en permanence. Le trafic de réplication n'est pas planifié et les mises à jour sont optimisées pour la
vitesse. En revanche, la réplication intersite utilise une topologie Spanning Tree à moindre coût avec un intervalle de trois heures
par défaut que vous pouvez limiter à certaines heures de la journée ou de la semaine.

Lecture supplémentaire: Pour plus d'informations sur la topologie de site Active Directory, reportez-vous à Concepts de
réplication Active Directory 2 .

1 https://aka.ms/network-considerations
2 https://aka.ms/active-directory-replication-concepts
50 Module 2 Implémentation de l'identité dans des scénarios hybrides

● Relation de confiance. Une relation d'approbation est requise lorsque votre domaine Active Directory local est contenu
dans une forêt Active Directory différente de votre domaine Active Directory dans Azure. Pour activer l'authentification
des utilisateurs locaux dans Azure, le domaine dans Azure doit approuver le domaine de connexion dans la forêt locale.
De même, si Azure fournit un domaine de connexion pour les utilisateurs externes, il peut être nécessaire que la forêt
locale approuve le domaine cloud.

Vous pouvez établir des approbations au niveau de la forêt en créant des approbations de forêt ou au niveau du domaine en créant des

approbations externes. Une approbation au niveau de la forêt crée une relation d'approbation transitive entre tous les domaines des deux

forêts. D'autre part, une approbation externe au niveau du domaine crée uniquement une relation d'approbation non transitive entre deux

domaines spécifiés.

Noter: Vous pouvez uniquement créer des approbations externes au niveau du domaine entre les domaines de différentes forêts. Les approbations

peuvent être unidirectionnelles (unidirectionnelles) ou bidirectionnelles (bidirectionnelles):

● Une approbation unidirectionnelle permet aux utilisateurs d'un domaine ou d'une forêt, appelée entrant domaine ou
forêt, pour accéder aux ressources détenues dans un autre, le sortant domaine ou forêt.

● Une approbation bidirectionnelle permet aux utilisateurs du domaine ou de la forêt d'accéder aux ressources détenues dans l'autre.

Tableau 1: Récapitulatif des configurations de confiance pour certains scénarios simples

Scénario Confiance sur site Confiance Azure

Les utilisateurs sur site ont besoin Unidirectionnel, entrant Aller simple, sortant
l'accès aux ressources dans Azure,
mais pas l'inverse.
Les utilisateurs d'Azure doivent Aller simple, sortant Unidirectionnel, entrant
accéder aux ressources locales, mais
pas l'inverse.
Les utilisateurs d'Azure et sur site Bidirectionnel, entrant et sortant Bidirectionnel, entrant et sortant
doivent accéder aux ressources
dans Azure et sur site.

● Contrôleurs de domaine en lecture seule (RODC). Cette disposition réduit la quantité de trafic de sortie et les frais de service Azure qui en résultent.

Les contrôleurs de domaine en lecture seule ne fonctionnent pas dans les situations où un service ou une application a besoin d'un accès en écriture à

AD DS.

● Rôles d'opérations de maître unique flexibles (FSMO) et placement de catalogue global. Quelle que soit la topologie de votre
domaine, vous devez configurer tous vos contrôleurs de domaine Azure en tant que serveurs de catalogue global. Cette
disposition évite que les recherches dans le catalogue global et les évaluations des membres de groupes universels n'aient à
passer d'Azure au catalogue global local, ce qui entraîne des frais de trafic réseau de sortie. Si les contrôleurs de domaine Azure
se trouvent dans une forêt distincte, les maîtres d'opération doivent être hébergés dans Azure. Si vos contrôleurs de domaine
Azure se trouvent dans un domaine distinct, vous devez configurer le maître d'émulateur de domaine principal du domaine, le
maître d'ID relatif et le maître d'infrastructure sur ces machines virtuelles dans Azure.

Noter: Vous pouvez envisager de désigner un ou plusieurs serveurs dans chaque domaine comme maîtres d'opérations de
secours si la connectivité à un serveur agissant en tant que rôle FSMO échoue.

● Disponibilité. Vous devez provisionner au moins deux contrôleurs de domaine Active Directory pour chaque domaine. Cela permet la

réplication automatique entre les serveurs. Vous devez également envisager de créer un ensemble de disponibilité pour les machines

virtuelles du contrôleur de domaine Active Directory et de configurer au moins deux serveurs pour chaque ensemble de disponibilité.
Implémentation d'AD DS sur Azure IaaS 51

Noter: Étant donné que les demandes adressées aux contrôleurs de domaine Active Directory sont distribuées sur tous les contrôleurs de

domaine d'un domaine, vous n'avez pas besoin de configurer un équilibreur de charge pour diriger le trafic vers les contrôleurs du

domaine.

● Sauvegarde et restauration. Étant donné que la sauvegarde de l'état du système prend actuellement en charge uniquement les serveurs Windows

locaux, vous devez restaurer les données de machine virtuelle Azure à partir des points de récupération dans les coffres Azure Backup et Azure

Recovery Services. Vous pouvez également utiliser le mode de restauration des services d'annuaire pour restaurer un seul contrôleur de domaine dans

un seul domaine.

● La gestion. Vous ne devez pas arrêter une machine virtuelle de contrôleur de domaine Active Directory à l'aide du portail
Azure. Au lieu de cela, vous devez l'arrêter et le redémarrer à partir du système d'exploitation invité. L'arrêt via le portail
entraîne la désallocation de la machine virtuelle Azure, ce qui réinitialise à la fois l'ID de génération de machine virtuelle
et l'ID d'invocation du référentiel Active Directory. Cela supprime le pool d'identificateurs relatifs AD DS et marque le SYSVOL
dossier comme ne faisant pas autorité, et il peut nécessiter une reconfiguration du contrôleur de domaine.

● Surveillance. Surveillez les ressources des machines virtuelles du contrôleur de domaine et des services AD DS et créez un plan
pour corriger rapidement les problèmes. Par exemple, vous pouvez utiliser Azure Monitor pour analyser les performances de
votre infrastructure, ce qui vous permet de surveiller et de diagnostiquer les problèmes de réseau sans vous connecter à vos
machines virtuelles. Journaux Azure Monitor fournit également des métriques et des journaux pour vérifier l'état de votre
infrastructure.

Lecture supplémentaire: Pour plus d'informations sur la surveillance, reportez-vous à Surveillance d'Active Directory 3 .

Les conditions requises pour créer un contrôleur de domaine sur une machine virtuelle Azure en tant que contrôleur de domaine de
réplica ou dans une nouvelle forêt sont similaires. Il est recommandé de configurer le contrôleur de domaine avec des adresses IP
statiques. Cependant, lors de la création d'un contrôleur de domaine sur une machine virtuelle Azure en tant que contrôleur de
domaine de réplica, vous devez configurer un réseau virtuel pour la connectivité intersite à l'aide d'un réseau privé virtuel (VPN) de
site à site ou ExpressRoute.

Installer un contrôleur de domaine Active Directory réplique dans une machine


virtuelle Azure
Pour implémenter un contrôleur de domaine de réplica sur une machine virtuelle Azure:

● Créez un réseau virtuel Azure avec une connectivité intersite.

● Créez une VM et attribuez une adresse IP.

● Installez les rôles AD DS et DNS sur une machine virtuelle

Azure. Les sections suivantes expliquent ces étapes en détail.

Créer un réseau virtuel Azure avec un VPN de site à site


Lorsque vous créez un réseau virtuel Azure pour un VPN de site à site, vous devez spécifier:

● Le nom du réseau virtuel.

● Les adresses de serveur DNS qui pointent vers vos serveurs DNS locaux.

● Connectivité VPN de site à site avec l'infrastructure sur site. Cela implique la création d'une passerelle
dynamique avec une adresse IP publique pour établir un tunnel VPN de site à site avec le périphérique VPN sur
site.

● Le réseau local qui définit l'attribution d'adresse IP pour le réseau sur site.

3 https://aka.ms/monitoring-active-directory
52 Module 2 Implémentation de l'identité dans des scénarios hybrides

● Espaces d'adressage de réseau virtuel qui définissent la plage d'adresses IP pour les machines virtuelles qui s'exécutent sur Azure. Notez

que la plage d'adresses ne peut pas chevaucher l'espace d'adressage de votre réseau local.

De plus, vous devez configurer un périphérique VPN sur site avec une adresse IP publique et les règles de
configuration qui se connecteront à la passerelle dynamique créée précédemment.

Vous pouvez utiliser ExpressRoute au lieu du VPN de site à site pour la connectivité intersite. Avec ExpressRoute,
vous pouvez étendre vos réseaux locaux à Azure via une connexion privée dédiée fournie par un fournisseur de
connectivité. Les connexions ExpressRoute utilisent des lignes dédiées au lieu d'une connexion Internet publique et
offrent des vitesses plus rapides, plus de fiabilité et une latence plus faible. Pour créer et provisionner un circuit
ExpressRoute, procédez comme suit:

1. Dans Windows PowerShell, importez le module ExpressRoute en exécutant la commande suivante:

Module d'importation 'C: \ Program Files (x86) \ Microsoft SDKs \ Azure \ PowerShell \ ServiceManagement \ Azure \
ExpressRoute \ ExpressRoute.psd1'

2. Obtenez la liste des fournisseurs, des emplacements et des bandes passantes pris en charge en exécutant la commande

suivante: Get-AzureDedicatedCircuitServiceProvider

3. Créez un circuit ExpressRoute en exécutant la commande suivante:

Nouveau-AzureDedicatedCircuit -CircuitName $ CircuitName -ServiceProviderName $ ServiceProvider


- Bande passante $ Bande passante -Localisation $ Emplacement -sku Premium - BillingType MeteredData

4. Envoyez la clé de service à votre fournisseur de connectivité pour l'approvisionnement.

5. Créez votre configuration de routage.

6. Liez un réseau virtuel au circuit ExpressRoute.

Créer une VM et attribuer une adresse IP


Vous devez créer une machine virtuelle avec une adresse IP statique à partir de la plage dans l'étendue du réseau virtuel. Vous pouvez utiliser

le portail Azure ou le module Azure pour Windows PowerShell pour créer une machine virtuelle avec le système d'exploitation Windows Server.

Vous devez créer un ou plusieurs disques de données séparés pour stocker la base de données, les journaux et
SYSVOL dossier pour Active Directory.

Désactiver la mise en cache du disque


Par défaut, les disques de données attachés à une machine virtuelle utilisent la mise en cache d'écriture directe. Cependant, cette forme de mise en cache

peut entrer en conflit avec les exigences AD DS. Pour cette raison, définissez le Préférence de cache d'hôte réglage sur le disque de données pour Rien.

Lecture supplémentaire: Pour plus d'informations, reportez-vous à Étendez votre domaine Active Directory local à Azure 4
.

Installer et configurer les rôles de serveur DNS et AD DS


Pour promouvoir le serveur en contrôleur de domaine, vous devez ajouter, puis configurer AD DS. Placez la base de données
Active Directory sur un lecteur de données avec la mise en cache désactivée.

4 https://aka.ms/adds-extend-domain
Implémentation d'AD DS sur Azure IaaS 53

Vous pouvez ajouter le rôle AD DS en utilisant Ajouter des rôles et des fonctionnalités dans Gestionnaire de serveur ou à l'aide de l'applet de

commande Windows PowerShell suivante:

Add-WindowsFeature ADDS-Domain-Controller

La configuration d'AD DS vous permet d'ajouter automatiquement le rôle DNS au serveur. Vous pouvez également l'installer plus tard en utilisant Ajouter

des rôles et des fonctionnalités dans Gestionnaire de serveur ou en exécutant l'applet de commande Windows PowerShell suivante:

Ajouter-WindowsFeature DNS

Installer une nouvelle forêt Active Directory sur un réseau virtuel


Azure
Les conditions requises pour implémenter une nouvelle forêt Active Directory dans Azure sont similaires à celles qui sont
nécessaires pour créer un contrôleur de domaine de réplica. La principale différence est que vous devez créer un réseau
virtuel Azure, mais la connectivité intersite n'a aucune exigence. En outre, la nouvelle forêt Active Directory sera très
probablement le site Active Directory unique et, dans ce cas, tous les contrôleurs de domaine doivent être des catalogues
globaux.

Pour implémenter une nouvelle forêt Active Directory dans Azure, procédez comme suit:

1. Créez un réseau virtuel Azure en spécifiant:

● Le nom du réseau virtuel.

● Les adresses du serveur DNS qui pointent vers l'adresse IP de votre nouveau contrôleur de domaine.

● Espaces d'adressage de réseau virtuel qui définissent la plage d'adresses IP pour les machines virtuelles qui s'exécutent sur Azure.

2. Créez les machines virtuelles pour exécuter les rôles de contrôleur de domaine et de serveur DNS.

3. Installez les rôles de serveur AD DS et DNS.

À la fin des deux processus, vous pouvez implémenter le contrôle d'accès sur les points de terminaison pour augmenter la sécurité, ou vous

pouvez concevoir des groupes de sécurité réseau pour limiter et contrôler l'accès sur les contrôleurs de domaine.

Testez vos connaissances


Utilisez les questions suivantes pour vérifier ce que vous avez appris dans cette leçon.

question 1
Lequel des éléments suivants réduit la quantité de trafic de sortie lors du déploiement de contrôleurs de domaine AD DS dans
Azure?

?? Contrôleurs de domaine en lecture seule

?? Relation de confiance bidirectionnelle

?? Plusieurs contrôleurs de domaine dans Azure

?? Cloner des contrôleurs de domaine

?? Sites Active Directory


54 Module 2 Implémentation de l'identité dans des scénarios hybrides

question 2
Quelles sont les étapes pour implémenter un contrôleur de domaine de réplica sur une machine virtuelle Azure (VM)? Choisissez quatre.

?? Créez un réseau virtuel Azure avec une connectivité intersite.

?? Créez un compte de stockage.

?? Créez une machine virtuelle et attribuez une adresse IP.

?? Installez les rôles AD DS et DNS sur une machine virtuelle Azure.

?? Configurez une relation d'approbation Active Directory.


Intégration d'AD DS à Azure AD 55

Intégration d'AD DS à Azure AD


Aperçu de la leçon
Avec plus de services disponibles en ligne et dans le cloud, les entreprises constatent qu'elles doivent également définir et
gérer les identités cloud. Comme avec les identités locales, vous pouvez utiliser les identités cloud pour authentifier et
autoriser les utilisateurs lorsqu'ils tentent d'accéder aux ressources. Microsoft Azure Active Directory (Azure AD) est un
service basé sur le cloud qui fournit des fonctionnalités de gestion des identités, d'authentification et de contrôle d'accès
pour d'autres applications basées sur le cloud.

Objectifs de la leçon
Après avoir terminé cette leçon, vous serez en mesure de:

● Identifiez les différences entre les modèles d'intégration d'identité.

● Expliquez les avantages et les inconvénients potentiels de chaque modèle d'intégration.

● Décrivez les prérequis respectifs de chaque modèle d'intégration et comment les mettre en œuvre.

Modèles d'intégration Azure AD


Étant donné que la plate-forme Microsoft Azure dispose de nombreux services qui nécessitent une authentification, il est
souvent nécessaire de disposer d'un service d'annuaire dans le cloud. Microsoft fournit un service d'annuaire basé sur le
cloud sur la plateforme Azure, Azure Active Directory (Azure AD). Azure AD est un service de gestion des répertoires et des
identités basé sur le cloud mutualisé qui fournit des services d'identité et d'accès pour les ressources qui existent dans le
cloud. Azure AD présente de nombreuses similitudes avec les services de domaine Active Directory (AD DS) en ce qui
concerne la fourniture d'une solution d'accès à authentification unique (SSO) à des milliers d'applications Cloud Software as a
Service (SaaS). Cependant, il est important de comprendre qu'Azure AD n'est pas AD DS dans le cloud. Au lieu de cela, il s'agit
d'un tout nouveau service d'annuaire conçu pour les applications cloud et Web,

Avantages d'Azure AD
Les organisations peuvent utiliser Azure AD pour augmenter la productivité des employés, rationaliser les processus informatiques et améliorer

la sécurité pour l'adoption de divers services cloud. Les employés peuvent accéder aux applications en ligne en utilisant un seul compte

utilisateur. Les organisations peuvent également effectuer une gestion centralisée des utilisateurs à l'aide des applets de commande Windows
PowerShell bien connues. De plus, Azure AD est hautement évolutif et hautement disponible de par sa conception. Par conséquent, les

entreprises n'ont pas à maintenir l'infrastructure associée ni à se soucier de la reprise après sinistre.

En tant que composant d'Azure, Azure AD peut prendre en charge l'authentification multifacteur dans le cadre d'une stratégie d'accès globale

aux services cloud, offrant ainsi une couche de sécurité supplémentaire. Le contrôle d'accès basé sur les rôles (RBAC), la gestion des mots de

passe et des groupes en libre-service et l'enregistrement des appareils fournissent des solutions de gestion des identités prêtes pour

l'entreprise. Azure AD fournit également une protection avancée de l'identité, des rapports améliorés et des alertes qui peuvent vous aider à

reconnaître les menaces plus efficacement.

Vue d'ensemble d'Azure AD


Azure AD fait partie de l'offre de plate-forme en tant que service (PaaS) et fonctionne comme un service d'annuaire géré par
Microsoft dans le cloud. Cela ne fait pas partie de l'infrastructure de base que les clients possèdent et gèrent, ni une offre
d'infrastructure en tant que service (IaaS). Bien que cela implique que vous avez moins de contrôle sur son
56 Module 2 Implémentation de l'identité dans des scénarios hybrides

implémentation, cela signifie également que vous n'avez pas à consacrer de ressources à son déploiement ou à sa maintenance.

Avec Azure AD, vous avez également accès à un ensemble de fonctionnalités qui ne sont pas disponibles en mode natif dans AD DS, telles que la prise en

charge de l'authentification multifacteur, la protection de l'identité et la réinitialisation du mot de passe en libre-service.

Vous pouvez utiliser Azure AD pour fournir un accès plus sécurisé aux ressources cloud pour les organisations et les
individus en:

● Configurer l'accès aux applications.

● Configuration de l'authentification unique pour les applications SaaS basées sur le

● cloud. Gérer les utilisateurs et les groupes.

● Provisionnement des utilisateurs.

● Permettre la fédération entre les organisations.

● Fournir une solution de gestion des identités.

● Identifier l'activité de connexion irrégulière.

● Configuration de l'authentification multifacteur Azure.

● Extension des implémentations Active Directory sur site existantes à Azure AD.

● Configuration du proxy d'application pour les applications cloud et locales.

● Configuration de l'accès conditionnel pour les utilisateurs et les appareils.

Azure AD est un service Azure. Sa forme la plus élémentaire, que tout nouvel abonnement Azure inclut automatiquement,
n'entraîne aucun coût supplémentaire et est appelée édition gratuite d'Azure AD. Si vous vous abonnez à des services
professionnels Microsoft Online tels que Microsoft 365 et Microsoft Intune, vous recevez automatiquement Azure AD avec
accès à toutes les fonctionnalités fournies avec la version gratuite et plus encore. Cette version est
appelé le Édition des applications Office 365 d'Azure AD.

Locataires Azure AD
Contrairement à AD DS, Azure AD est multi-locataire de par sa conception et est implémenté spécifiquement pour assurer
l'isolation entre ses instances d'annuaire individuelles. Il s'agit du plus grand annuaire mutualisé au monde, hébergeant plus
d'un million d'instances de services d'annuaire, avec des milliards de demandes d'authentification par semaine. Dans ce
contexte, le terme locataire représente généralement une entreprise ou une organisation qui s'est inscrite à un abonnement à
un service basé sur le cloud Micro-soft tel que Microsoft 365, Intune ou Azure, chacun utilisant Azure AD. D'un point de vue
technique, cependant, le terme locataire représente une instance Azure AD individuelle. Vous pouvez créer plusieurs
locataires Azure AD dans un abonnement Azure. Avoir plusieurs locataires Azure AD peut être pratique si vous souhaitez
tester la fonctionnalité Azure AD dans un locataire sans affecter les autres.

Noter: À tout moment, vous devez associer un abonnement Azure à un seul locataire Azure AD. Cette association vous
permet d'accorder des autorisations aux ressources de l'abonnement Azure via RBAC aux utilisateurs, groupes et
applications qui existent dans ce locataire Azure AD particulier. Vous pouvez également associer le même locataire Azure
AD à plusieurs abonnements Azure. Cela vous permet d'utiliser les mêmes utilisateurs, groupes et applications pour gérer
les ressources sur plusieurs abonnements Azure.

Azure attribue à chaque locataire Azure AD le nom de domaine DNS (Domain Name System) par défaut, composé
d'un préfixe unique. Le préfixe est dérivé du nom du compte Microsoft que vous utilisez pour créer un abonnement
Azure ou est explicitement fourni lors de la création d'un locataire Azure AD, et il est suivi du
onmicrosoft.com suffixe. L'ajout d'au moins un nom de domaine personnalisé au même locataire Azure AD est
possible et courant. Ce nom utilise l'espace de noms de domaine DNS que possède l'entreprise ou l'organisation
correspondante. Le locataire Azure AD sert de limite de sécurité et de conteneur pour Azure AD
Intégration d'AD DS à Azure AD 57

des objets tels que des utilisateurs, des groupes et des applications. Un seul locataire Azure AD peut prendre en charge plusieurs

abonnements Azure.

Caractéristiques d'Azure AD
Bien qu'Azure AD présente de nombreuses similitudes avec AD DS, il existe également de nombreuses différences. Il est important de

réaliser que l'utilisation d'Azure AD n'est pas la même chose que de déployer un contrôleur de domaine Active Directory sur une machine

virtuelle Azure et de l'ajouter à votre domaine local.

Lors de la comparaison d'Azure AD avec AD DS, il est important de noter les caractéristiques suivantes d'Azure AD:

● Azure AD est principalement une solution d'identité et il est conçu pour les applications Internet utilisant les
communications HTTP (port 80) et HTTPS (port 443).

● Azure AD est un service d'annuaire mutualisé.

● Les utilisateurs et les groupes Azure AD sont créés dans une structure plate et il n'y a pas d'unités d'organisation (UO) ou d'objets
de stratégie de groupe (GPO).

● Vous ne pouvez pas interroger Azure AD à l'aide du protocole Lightweight Directory Access Protocol; à la place, Azure AD utilise
l'API REST sur HTTP et HTTPS.

● Azure AD n'utilise pas l'authentification Kerberos; à la place, il utilise les protocoles HTTP et HTTPS tels que
SAML (Security Assertion Markup Language), Web Services Federation (WS-Federation) et OpenID Connect pour
l'authentification, et il utilise Open Authorization (OAuth) pour l'autorisation.

● Azure AD inclut des services de fédération, et de nombreux services non-Microsoft tels que Facebook sont fédérés avec
Azure AD et font confiance à Azure AD.

Options d'intégration Azure AD


Les petites organisations qui ne disposent pas d'un annuaire local tel que AD DS peuvent entièrement s'appuyer sur Azure AD
en tant que service d'authentification et d'autorisation. Cependant, le nombre de ces organisations étant encore assez petit,
la plupart des organisations essaient de trouver un moyen d'interagir les services AD DS locaux avec Azure AD. Microsoft
propose une gestion des identités et des accès à l'échelle du cloud via Azure AD, qui fournit plusieurs options pour
interopérer AD DS avec Azure. Ces options sont:

● Extension d'Active Directory local à Azure. Avec cette option, vous hébergez des machines virtuelles dans Azure que vous
promouvez ensuite en tant que contrôleurs de domaine dans votre Active Directory local.

● Synchronisation d'Active Directory local avec Azure AD. La synchronisation d'annuaire propage les informations des utilisateurs,
des groupes et des contacts vers Azure AD et maintient ces informations synchronisées. Dans ce scénario, les utilisateurs
utiliseront différents mots de passe pour accéder aux ressources cloud et locales, et les processus d'authentification sont
distincts.

● Synchroniser AD DS avec Azure AD à l'aide de la synchronisation de hachage de mot de passe. Dans cette approche, AD DS local

synchronise les objets avec Azure AD, mais il envoie également des hachages de mot de passe pour les objets utilisateur à Azure AD. Avec

cette option, les utilisateurs peuvent accéder aux applications et aux ressources prenant en charge Azure AD en fournissant les mêmes

mots de passe que leurs connexions locales actuelles. Pour les utilisateurs finaux, cette approche offre la même expérience de connexion.

● Implémentation de l'authentification unique entre Active Directory local et Azure AD. Cette option prend en charge la
plus large gamme de fonctionnalités d'intégration et permet à un utilisateur de se connecter à Azure après s'être
authentifié à l'aide d'Active Directory local. La technologie qui fournit cette fonctionnalité est appelée
fédération, que vous pouvez implémenter à l'aide des services de fédération Active Directory (AD FS). AD FS repose sur
un ensemble de serveurs de fédération et de proxys qui prennent la forme du service de rôle serveur proxy
d'application Web. Au lieu de déployer AD FS, vous pouvez également utiliser l'authentification directe
58 Module 2 Implémentation de l'identité dans des scénarios hybrides

technologie de pointe, qui fournit presque les mêmes résultats que AD FS. Cependant, il n'utilise pas de proxy
d'application Web et nécessite une infrastructure moins complexe que AD FS.

L'annuaire Azure AD n'est pas une extension d'un annuaire local. C'est plutôt une copie qui contient les mêmes
objets et identités. Les modifications apportées aux éléments de la copie de l'annuaire local dans Azure AD, mais
les modifications apportées dans Azure AD ne sont pas répliquées dans l'annuaire local.

Vous pouvez également utiliser Azure AD sans utiliser d'annuaire local. Dans ce cas, Azure AD agit comme la source principale
de toutes les informations d'identité plutôt que de contenir des données répliquées à partir d'un annuaire local.

Ce module décrit ces options de déploiement plus en détail ultérieurement.

Prérequis de l'intégration d'Azure AD


Lorsque vous implémentez un service cloud ou une application dans votre environnement informatique, vous souhaitez généralement
utiliser un magasin d'identités unique pour vos applications locales et basées sur le cloud. La synchronisation d'annuaire vous permet
de connecter Active Directory local avec Microsoft Azure Active Directory (Azure AD).

La synchronisation d'annuaire permet la synchronisation entre Active Directory local et Azure AD pour les utilisateurs, les groupes et
les contacts. Dans sa forme la plus simple, vous installez un composant de synchronisation d'annuaire sur un serveur de votre
domaine local. Vous fournissez ensuite un compte avec un accès administrateur de domaine et administrateur d'entreprise à AD DS
sur site et un autre compte avec un accès administrateur à Azure AD, puis vous le laissez s'exécuter. Les comptes d'utilisateurs,
groupes et contacts que vous sélectionnez dans Active Directory, puis répliquez vers Azure AD. Les utilisateurs peuvent utiliser ces
comptes pour se connecter et accéder aux services Azure qui dépendent d'Azure AD pour l'authentification.

Noter: À moins que vous n'activiez la synchronisation de hachage de mot de passe, les utilisateurs disposeront d'un mot de passe distinct de leur

environnement local pour se connecter aux ressources Azure. Même si vous implémentez la synchronisation de hachage de mot de passe, les utilisateurs

reçoivent toujours des invites pour leurs informations d'identification lorsqu'ils accèdent aux ressources Azure sur les ordinateurs joints au domaine.

L'avantage de la synchronisation de hachage de mot de passe est que pour se connecter aux ressources Azure, les utilisateurs peuvent utiliser le même

nom d'utilisateur et le même mot de passe que leurs connexions de domaine. Ne confondez pas cela avec l'authentification unique (SSO). Le

comportement fourni avec la synchronisation des mots de passe est appelé même connexion.

Avec Azure, le flux de synchronisation est à sens unique: il passe d'AD DS local à Azure. Cependant, avec les fonctionnalités d'Azure
AD Premium, certains attributs se répliquent dans l'autre sens. Par exemple, vous pouvez configurer Azure pour réécrire les mots
de passe dans un Active Directory local et dans des groupes et des appareils à partir d'Azure AD.

Si vous ne souhaitez pas synchroniser l'intégralité de votre Active Directory local, la synchronisation d'annuaire pour Azure
AD prend en charge le filtrage limité et la personnalisation du flux d'attributs en fonction des valeurs suivantes:

● Unité organisationnelle (UO)

● Domaine

● Attributs utilisateur

● Applications

Azure AD Connect
Il est courant d'utiliser l'outil Azure AD Connect pour effectuer la synchronisation entre Active Directory local et
Azure AD. Cet outil remplace directement l'outil de synchronisation d'annuaire Microsoft Online Services, qui
était auparavant utilisé dans le même but.

Noter: Vous pouvez également utiliser Microsoft Identity Manager (MIM) pour synchroniser AD DS avec Azure AD.
Intégration d'AD DS à Azure AD 59

Azure AD Connect est un outil basé sur un assistant qui permet la connectivité entre une infrastructure d'identité locale et
Azure. À l'aide de l'assistant, vous pouvez choisir votre topologie et vos exigences, par exemple pour un ou plusieurs
répertoires et la synchronisation ou la fédération de mots de passe, et l'assistant déploie et configure tous les composants
requis. Selon les exigences sélectionnées, cela peut inclure Azure AD Sync, les services de fédération Active Directory (AD FS),
le déploiement hybride Exchange, l'écriture différée de changement de mot de passe, les serveurs proxy AD FS ou le proxy
d'application Web et le module Azure AD PowerShell.

Azure AD Connect nécessite un Windows Server 2012 ou une version ultérieure joint à un domaine pour héberger le service de

synchronisation. La plupart des organisations déploient un serveur de synchronisation dédié.

Ce qui suit se produit lors de l'exécution d'Azure AD Connect:

● Les nouveaux utilisateurs, groupes et objets de contact dans Active Directory local sont ajoutés à Azure AD.
Cependant, les licences pour les services cloud tels que Microsoft 365 ne sont pas automatiquement attribuées à
ces objets.

● Les attributs des utilisateurs, groupes ou objets de contact existants modifiés dans Active Directory local sont modifiés
dans Azure AD. Cependant, tous les attributs Active Directory locaux ne sont pas synchronisés avec Azure AD. Vous
pouvez configurer un ensemble d'attributs qui se synchronisent avec Azure AD à l'aide du composant Gestionnaire de
synchronisation d'Azure AD Connect.

● Les utilisateurs, groupes et objets de contact existants qui sont supprimés de l'annuaire Active Directory local sont
supprimés d'Azure AD.

● Les objets utilisateur existants qui sont désactivés en local sont désactivés dans Azure. Cependant, les licences ne sont pas
automatiquement annulées.

Azure AD vous oblige à disposer d'une seule source d'autorité pour chaque objet. Par conséquent, lorsque
vous exécutez la synchronisation Active Directory dans un scénario Azure AD Connect, vous maîtrisez des
objets à partir de votre Active Directory local à l'aide d'outils tels que Utilisateurs et ordinateurs Active
Directory ou Windows PowerShell. Cependant, la source d'autorité est l'annuaire Active Directory local. Une
fois le premier cycle de synchronisation terminé, la source d'autorité est transférée du cloud vers Active
Directory sur site. Toutes les modifications ultérieures apportées aux objets cloud (à l'exception des licences)
sont maîtrisées à partir des outils Active Directory sur site. Les objets cloud correspondants sont en lecture
seule et les administrateurs Azure AD peuvent '

Azure AD Connect a remplacé l'outil de synchronisation d'annuaire Microsoft Online Services. Certaines fonctionnalités et
améliorations clés d'Azure AD Connect par rapport à l'outil de synchronisation d'annuaire Microsoft Online Services sont les
suivantes:

● Azure AD Connect utilise la nouvelle synchronisation MIM, qui repose sur une base de données Microsoft SQL Server Express
2012 R2.

● Azure AD Connect prend en charge des scénarios multi-forêts simples.

● Azure AD Connect permet le filtrage sur des attributs individuels et la synchronisation de ces seuls comptes
filtrés à l'aide d'un service Microsoft Online spécifique, tel que Microsoft Exchange Online ou Microsoft
SharePoint Online.

● Azure AD Connect prend en charge la synchronisation des hachages de mot de passe de plusieurs Active
Directory locaux vers Azure AD Connect.

Lecture supplémentaire: Pour plus d'informations, reportez-vous à Azure AD Connect: historique des versions 5 .

5 https://aka.ms/AA30hdg
60 Module 2 Implémentation de l'identité dans des scénarios hybrides

Autorisations et comptes requis pour exécuter Azure AD


Connect
Pour implémenter Azure AD Connect, vous devez disposer d'un compte avec les autorisations requises affectées à la fois sur
AD DS local et Azure AD. L'installation et la configuration d'Azure AD Connect nécessitent les comptes suivants:

● Un compte Azure avec l'autorisation d'administrateur général dans le client Azure, tel qu'un compte d'organisation, qui
n'est pas le compte qui a été utilisé pour configurer le compte lui-même.

● Un compte sur site avec des autorisations d'administrateur d'entreprise dans l'annuaire actif sur site. Dans le Assistant
de configuration Azure AD Connect, vous pouvez choisir d'utiliser un compte existant à cette fin ou laisser
l'assistant créer un compte pour vous.

Azure AD Connect utilise un compte d'administrateur global Azure pour provisionner et mettre à jour des objets lorsque le
Assistant de configuration d'Azure AD Connect est exécuté. Vous devez créer un compte d'utilisateur dédié dans le locataire Azure
AD à utiliser pour configurer la synchronisation d'annuaire. Il doit s'agir d'un utilisateur cloud du locataire Azure AD auquel le rôle
d'administrateur général est attribué.

Dans l'environnement local, le compte utilisé pour installer et configurer Azure AD Connect doit disposer des
autorisations suivantes:

● Autorisations d'administrateur d'entreprise dans Active Directory. Cette autorisation est nécessaire pour créer le compte d'utilisateur

de synchronisation dans Active Directory.

● Autorisations d'administrateur de l'ordinateur local. Cette autorisation est nécessaire pour installer Azure AD Connect.

Le compte utilisé pour configurer Azure AD Connect et exécuter l'assistant de configuration doit se trouver dans
l'ordinateur local ADSyncAdmins grouper. Par défaut, le compte utilisé pour installer Azure AD Connect est
automatiquement ajouté à ce groupe.

Noter: Le compte que vous utilisez pour installer AD Connect est automatiquement ajouté au ADSyncAdmins
group lorsque vous installez le produit. Vous devez vous déconnecter et vous reconnecter pour utiliser l'interface du gestionnaire du
service de synchronisation, car le compte ne récupérera pas l'identificateur de sécurité de groupe (SID) avant la prochaine utilisation
du compte pour se connecter.

Le compte Administrateur d'entreprise n'est requis que lorsque vous installez et configurez Azure AD Connect, et les
informations d'identification de l'administrateur d'entreprise ne sont pas stockées ou enregistrées par l'assistant de
configuration. Par conséquent, il est recommandé de créer un compte d'administrateur Azure AD Connect spécial pour
installer et configurer Azure AD Connect. Vous pouvez également attribuer ce compte au Administrateurs d'entreprise group
lorsque vous configurez Azure AD Connect. Vous devez supprimer ce compte d'administrateur Azure AD Connect du Administrateurs
d'entreprise groupe une fois la configuration d'Azure AD Connect terminée.

La configuration d'Azure AD Connect crée les comptes suivants:

● MSOL_ < id>. Ce compte est configuré pour se synchroniser avec le client Azure. Le compte dispose d'autorisations de réplication
d'annuaire dans Active Directory local et d'une autorisation d'écriture sur certains attributs pour activer le déploiement hybride.

● AAD_ < id>. Il s'agit du compte de service du moteur de synchronisation et il est créé avec un mot de passe complexe généré de manière

aléatoire et configuré automatiquement pour ne jamais expirer. Lorsque le service de synchronisation d'annuaire s'exécute, il utilise les

informations d'identification du compte de service pour lire à partir de l'Active Directory local, puis écrire le contenu de la base de données

de synchronisation dans Azure. Cela utilise les informations d'identification d'administrateur de client que vous entrez dans le Assistant de
configuration d'Azure AD Connect.

Noter: Vous ne devez pas modifier le compte de service pour Azure AD Connect après avoir installé Azure AD
Connect, car Azure AD Connect tente toujours de s'exécuter à l'aide du compte créé lors de l'installation. Si le
compte change, Azure AD Connect cesse de s'exécuter et les synchronisations planifiées ne se produisent
plus.
Intégration d'AD DS à Azure AD 61

Préparation d'Active Directory sur site pour la synchronisation


d'annuaires
Avant de déployer Azure AD Connect, il est essentiel que vous recherchiez des problèmes potentiels dans Active Directory local et
les technologies associées et que vous les corrigiez. Ceci est particulièrement important si vous implémentez la synchronisation
d'annuaires en tant que service d'identité pour Microsoft 365. Ces vérifications doivent inclure:

● Analyse de l'environnement sur site pour les caractères non valides dans les attributs d'objet Active Directory et les noms
d'utilisateur principaux (UPN) incorrects.

● Effectuer la découverte des e-mails de domaine et le nombre d'utilisateurs.

● Identifier les niveaux fonctionnels du domaine et les extensions de schéma et identifier les attributs personnalisés utilisés. La version du

schéma Active Directory et le niveau fonctionnel de la forêt doivent être Windows Server 2003 ou version ultérieure. Les contrôleurs de

domaine peuvent exécuter n'importe quelle version si les exigences au niveau du schéma et de la forêt sont remplies.

Noter: Si vous prévoyez d'utiliser le écriture de mot de passe , les contrôleurs de domaine doivent être sur Windows Server
2008 R2 ou version ultérieure.

● Identifier les serveurs proxy utilisés pour Microsoft Exchange ou Skype Entreprise, si vous déployez Azure AD
Connect dans le cadre d'un déploiement Microsoft 365.

● Identification des domaines SIP (Session Initiation Protocol) Skype Entreprise, si vous déployez Azure AD Connect
dans le cadre d'un déploiement Microsoft 365.

● Identifier les domaines Microsoft SharePoint, si vous déployez Azure AD Connect dans le cadre d'un déploiement
Microsoft 365.

● Évaluer les clients pour la préparation SSO.

● Enregistrement de l'utilisation du port réseau et des enregistrements DNS (Domain Name System) liés à Microsoft 365, si vous
déployez Azure AD Connect dans le cadre d'un déploiement Microsoft 365.

Une fois les vérifications effectuées, les principales tâches de correction comprennent:

● Suppression du doublon proxyAddress et UserPrincipalName les attributs.

● Mise à jour vide et invalide UserPrincipalName attributs et remplacement par des UserPrincipal- Nom les
attributs.

● Suppression des caractères non valides dans les attributs suivants: givenName, nom (sn), sAMAccount-
Nom, displayName, mail, proxyAddresses, mailNickname, et userPrincipalName.

Les UPN utilisés pour l'authentification unique peuvent contenir des lettres, des chiffres, des points, des tirets et des traits de soulignement; aucun autre

type de caractère n'est autorisé. Si vous déployez Microsoft 365 et que votre déploiement inclut des plans pour l'authentification unique, il est important de

vous assurer que les UPN répondent à cette exigence avant de déployer l'authentification unique. Les domaines utilisés pour l'authentification unique et la

synchronisation d'annuaires doivent être routables. Cela signifie que vous ne pouvez pas utiliser de noms de domaine locaux

tel que adatum.local.

Lecture supplémentaire: Pour plus d'informations, reportez-vous à Synchronisation Azure AD Connect: attributs synchronisés
avec Azure Active Directory 6 .

Outils de vérification de l'état d'Active Directory


Pour que la synchronisation d'annuaire fonctionne correctement, il est très important qu'Active Directory local soit bien
préparé et exempt d'erreurs. Vous pouvez utiliser l'outil Microsoft 365 IdFix DirSync Error Remediation Tool et le ADMod-
ify.NET outil pour identifier et résoudre les problèmes.

6 https://aka.ms/AA30p1z
62 Module 2 Implémentation de l'identité dans des scénarios hybrides

L'outil Microsoft 365 IdFix DirSync Error Remediation Tool vous permet d'identifier et de corriger la majorité des erreurs de
synchronisation d'objets dans Active Directory, y compris les problèmes courants tels que les doublons ou les erreurs de
formation. proxyAddresses et userPrincipalName.

Vous pouvez sélectionner les unités d'organisation pour IdFix à vérifier, et les erreurs courantes peuvent être corrigées dans l'outil lui-même.

Les erreurs courantes incluent des caractères non valides qui peuvent avoir été introduits lors d'importations d'utilisateurs scriptées vers des

attributs tels que proxyAddresses et mailNickname.

Pour les noms distinctifs présentant des erreurs de format et de duplication, IdFix peut ne pas être en mesure de suggérer une
correction automatique de l'erreur. Vous pouvez corriger ces erreurs en dehors d'IdFix ou les corriger manuellement dans IdFix.

Pour les erreurs telles que les problèmes de format, vous pouvez modifier des attributs spécifiques, objet par objet, en utilisant ADSI
Edit ou en mode avancé Utilisateurs et ordinateurs Active Directory. Cependant, pour modifier les attributs de plusieurs objets, ADModify.NET
est un meilleur outil; l'opération en mode batch qui ADModify. RAPPORTER fournit est particulièrement utile pour apporter des
modifications aux attributs tels que les UPN dans les unités d'organisation ou les domaines.

Installation et configuration de la synchronisation d'annuaires à l'aide


d'Azure AD Connect
Azure AD Connect nécessite un ordinateur joint à un domaine pour héberger le service de synchronisation. La plupart des organisations déploient un

serveur de synchronisation dédié. Une fois que vous avez configuré Azure avec un locataire Active Directory, les principales tâches de déploiement de la

synchronisation d'annuaire sont les suivantes:

1. Ajoutez votre domaine AD DS dans Azure, vérifiez le domaine, puis définissez le domaine comme domaine principal.

2. Téléchargez et installez Azure AD Connect.

3. Exécutez le Assistant de configuration d'Azure AD Connect.

4. Vous pouvez également configurer Azure AD Connect pour synchroniser des unités d'organisation spécifiques dans l'environnement Active

Directory local.

5. Activez les fonctionnalités facultatives telles que synchronisation de hachage de mot de passe, réécriture de mot de passe, et Déploiement

hybride Exchange.

6. Exécutez Azure AD Connect, laissez-le configurer l'environnement pour la synchronisation d'annuaire, puis validez les résultats de la

synchronisation.

Lecture supplémentaire: Pour plus d'informations, reportez-vous à Prérequis pour Azure AD Connect 7 .

Après avoir configuré Azure AD Connect et effectué la synchronisation initiale, vous pouvez reconfigurer les options de synchronisation si

nécessaire. L'installation du logiciel Azure AD Connect comprend plusieurs applications liées à la synchronisation d'annuaires. Lorsque vous

exécutez Azure AD Connect, vous avez la possibilité d'utiliser installation rapide settings, qui configure la synchronisation des répertoires avec

les paramètres les plus couramment utilisés, ou vous pouvez choisir de personnaliser les options de configuration.

Si vous choisissez d'utiliser une installation personnalisée au début de l'installation, vous pouvez choisir d'utiliser un serveur SQL personnalisé au

lieu d'une base de données locale. Vous pouvez également utiliser un compte de service existant au lieu de celui créé par le processus de

configuration automatique. En outre, vous pouvez spécifier des groupes de synchronisation personnalisés. Par défaut, Azure AD Connect crée le Administrateurs,

Opérateurs, Parcourir, et Réinitialisation du mot de passe groupes, mais vous pouvez utiliser vos propres groupes personnalisés à cette fin.

Par défaut, Azure AD Connect configure la synchronisation de hachage de mot de passe pour le mode de synchronisation d'annuaire. Si vous

choisissez une installation personnalisée, vous pouvez également choisir le Fédération avec AD FS option ou le traverser

7 https://aka.ms/AA30p20
Intégration d'AD DS à Azure AD 63

authentification option. Vous pouvez également configurer manuellement la synchronisation des répertoires si vous disposez d'un serveur de

fédération non-Microsoft ou d'une autre solution existante.

L'installation personnalisée d'Azure AD Connect vous permet également de choisir la manière d'identifier les utilisateurs. Par défaut, la

configuration suppose que les utilisateurs ne sont représentés qu'une seule fois dans tous les répertoires. Cependant, si vous avez un

scénario dans lequel des identités utilisateur existent dans plusieurs répertoires, vous devez choisir l'attribut correspondant. Vous pouvez

choisir entre les options suivantes:

● poster attribut. Cette option joint les utilisateurs et les contacts si l'attribut de messagerie a la même valeur dans différentes
forêts.

● ObjectSID et msExchangeMasterAccountSID. Cette option joint un utilisateur activé dans une forêt de comptes avec un utilisateur

désactivé dans une forêt de ressources Exchange. Ceci est également connu sous le nom de boîte aux lettres liée en échange.

● sAMAccountName et mailNickname. Cette option se joint aux attributs où l'on s'attend à ce que l'ID de connexion
d'un utilisateur puisse être trouvé.

● Mon propre attribut. Cette option vous permet de sélectionner votre propre attribut.

Vous avez également la possibilité de choisir Ancre de source, qui est un attribut qui reste immuable pendant la durée de vie
d'un objet utilisateur. En d'autres termes, cet attribut est la clé primaire qui lie l'objet utilisateur local à l'objet utilisateur dans
Azure AD. Étant donné que cet attribut ne peut pas être modifié ultérieurement, vous devez choisir avec soin un attribut à
utiliser à cette fin. Le choix par défaut est ms-DS-ConsistencyGuid parce que cet attribut, contrairement à objectGUID, peut
rester le même même si le compte d'utilisateur se déplace entre les forêts et les domaines.

Vous pouvez configurer le UserPrincipalName attribut dans la même fenêtre. Il s'agit de l'attribut que les utilisateurs utilisent
lorsqu'ils se connectent à Azure AD. Les domaines qui sont utilisés à cette fin, également connus sous le nom de
Suffixe UPN, doit être vérifié dans Azure AD avant la synchronisation des objets utilisateur.

Dans certains cas, vous souhaiterez peut-être synchroniser uniquement un sous-ensemble de vos utilisateurs à partir des services AD DS locaux. Azure

AD Connect vous permet de sélectionner un groupe d'utilisateurs spécifique que vous souhaitez synchroniser avec Azure AD. Ce groupe doit être créé

avant d'exécuter Azure AD Connect. Une fois la configuration terminée, vous pouvez ajouter et supprimer des utilisateurs de ce groupe pour gérer la liste

des objets utilisateur qui doivent être présents dans Azure AD. Vous pouvez également utiliser les unités d'organisation de votre service AD DS local

comme étendue de la réplication.

Dans la dernière étape, Azure AD Connect vous permet de configurer certaines fonctionnalités facultatives disponibles dans Azure AD

Premium.

Ajouter un nom de domaine personnalisé


Chaque nouveau locataire Azure AD est livré avec un nom de domaine initial, < nom de domaine> .onmicrosoft.com.
Bien que vous ne puissiez pas modifier ou supprimer le nom de domaine initial, vous pouvez ajouter les noms de domaine de votre

organisation. L'ajout de noms de domaine personnalisés vous aide à créer des noms d'utilisateurs familiers à vos utilisateurs.

Avant de pouvoir ajouter un nom de domaine personnalisé, vous devez créer votre nom de domaine avec un registraire de domaine. Une fois que vous avez obtenu votre

nom de domaine, vous pouvez utiliser les étapes suivantes pour ajouter le nom de domaine personnalisé à votre locataire Azure AD: After you get your domain name, you

can use the following steps to add the custom domain name to you Azure AD tenant:

1. Connectez-vous au portail Azure à l'aide d'un compte d'administrateur général pour l'annuaire.

2. Recherchez et sélectionnez Azure Active Directory, puis sélectionnez Noms de domaine personnalisés> Ajouter une personnalisation

domaine.

3. Dans Nom de domaine personnalisé, entrez le nom de domaine de votre organisation, puis sélectionnez Ajouter un domaine.

4. Le nom de domaine personnalisé n'est pas vérifié lors de l'ajout initial. En sélectionnant la page du domaine, vous recevez des
informations DNS que vous pouvez utiliser pour vérifier le nom de domaine.
64 Module 2 Implémentation de l'identité dans des scénarios hybrides

5. Après avoir ajouté votre nom de domaine personnalisé à Azure AD, vous devez retourner auprès de votre registraire de domaine
et ajouter les informations DNS Azure AD qui vous ont été fournies. La création de l'enregistrement DNS applicable à votre
domaine vérifie la propriété de votre nom de domaine.

Noter: Vous pouvez enregistrer autant de noms de domaine que vous le souhaitez. Cependant, chaque domaine utilisera des informations DNS

différentes pour la vérification.

1. À partir du portail Azure, revenez à Noms de domaine personnalisés, puis sélectionnez le nom de domaine personnalisé
que vous avez ajouté plus tôt.

2. Sur la page du nom de domaine, sélectionnez Vérifier pour vous assurer que votre domaine personnalisé est correctement enregistré

et est valide pour Azure AD.

3. Après avoir vérifié votre nom de domaine personnalisé, vous pouvez supprimer les enregistrements DNS que vous avez créés
avec votre registraire.

Mettre en œuvre une authentification unique transparente


L'authentification unique transparente (SSO transparente) de Microsoft Azure Active Directory (Azure AD) fonctionne avec
l'authentification unique ou la synchronisation de hachage de mot de passe. Il n'est pas pris en charge avec les services de
fédération Active Directory (AD FS); AD FS utilise son propre mécanisme SSO.

Lorsque vous activez cette option, elle connecte automatiquement les utilisateurs aux ressources Azure AD lorsqu'ils se connectent à votre

réseau organisationnel sur leurs appareils organisationnels. De plus, lorsque l'authentification unique transparente est activée, les utilisateurs

ont rarement besoin de saisir leurs noms d'utilisateur et ils n'ont jamais besoin de saisir leurs mots de passe pour se connecter à Azure AD.

Cette fonctionnalité offre aux utilisateurs un accès facile aux applications basées sur le cloud sans nécessiter d'autres composants sur site.

La rubrique suivante, «Démonstration: implémenter l'authentification unique transparente», fournira plus d'informations sur l'utilisation d'AD FS

pour fournir l'authentification unique.

L'authentification directe Azure AD aide les services qui s'appuient sur Azure AD à toujours valider les mots de passe par
rapport à une instance de services de domaine Active Directory (AD DS) locale. Vous pouvez configurer l'authentification
directe Azure AD à l'aide d'Azure AD Connect, qui utilise un agent local qui surveille les demandes de validation de mot de
passe externes. Vous pouvez déployer cet agent sur un ou plusieurs serveurs pour fournir une haute disponibilité. Il n'est pas
nécessaire de déployer ce serveur sur un réseau de périmètre car toutes les communications sont uniquement sortantes.
Vous devez rejoindre un serveur qui exécute l'agent pour l'authentification directe sur le domaine AD DS où se trouvent les
utilisateurs.

Avant de déployer l'authentification directe Azure AD, vous devez savoir quels scénarios d'authentification sont pris
en charge et lesquels ne le sont pas.

Scénarios pris en charge pour l'authentification directe


Vous pouvez utiliser l'authentification unique pour les scénarios d'authentification suivants:

● Les utilisateurs se connectent à toutes les applications basées sur un navigateur Web prises en charge par Azure AD.

● Connexion des utilisateurs aux applications Microsoft Office prenant en charge l'authentification moderne. Ceux-ci incluent
Office 2019, Office 2016 et Office 2013 avec une authentification moderne.

Lecture supplémentaire: Pour en savoir plus sur l'authentification moderne dans les applications Office, reportez-vous à Fonctionnement

de l'authentification moderne pour les applications clientes Office 2013, Office 2016 et Office 2019 8 .

8 https://aka.ms/AA21ej2
Intégration d'AD DS à Azure AD 65

● Connexion des utilisateurs aux clients Microsoft Outlook à l'aide de protocoles hérités tels qu'Exchange
ActiveSync, SMTP (Simple Mail Transfer Protocol), Post Office Protocol (POP) et Internet Message Access Protocol
(IMAP).

● Les utilisateurs se connectent à l'application Skype Entreprise qui prend en charge l'authentification moderne, y compris les
topologies en ligne et hybrides.

● Jointures de domaine Azure AD pour les appareils Windows 10. Mots de

● passe d'application pour l'authentification multifactorielle.

Scénarios non pris en charge pour l'authentification unique


Bien que l'authentification unique prenne en charge les scénarios d'authentification les plus courants, il existe encore certains scénarios

dans lesquels vous ne pouvez pas utiliser cette méthode, notamment:

● Les connexions des utilisateurs aux applications clientes Office héritées, à l'exclusion d'Outlook. Ceux-ci incluent Office 2010
et Office 2013 sans authentification moderne.

● Accès au partage de calendrier et aux informations de disponibilité dans les environnements hybrides Exchange uniquement sur Office

2010.

● Les utilisateurs se connectent aux applications clientes Skype Entreprise sans authentification moderne. Les

● connexions utilisateur à Windows PowerShell version 1.0.

● Détection des utilisateurs avec des informations d'identification divulguées.

● Scénarios qui nécessitent les services de domaine Azure AD. Les services de domaine Azure AD exigent que les clients aient activé la

synchronisation du hachage de mot de passe, de sorte que les clients qui utilisent uniquement l'authentification directe ne fonctionneront

pas dans ces scénarios.

● Scénarios qui nécessitent Azure AD Connect Health. L'authentification directe ne fonctionne pas avec Azure AD
Connect Health.

● Si vous utilisez le programme d'inscription des appareils Apple (Apple DEP), qui utilise l'assistant de configuration iOS, vous ne
pouvez pas utiliser l'authentification moderne, car elle n'est pas prise en charge. Il ne parviendra pas à inscrire les appareils Apple
DEP dans Microsoft Intune pour les domaines gérés qui utilisent l'authentification unique. Envisagez d'utiliser l'application Portail
d'entreprise Intune comme alternative.

Lecture supplémentaire: Pour plus d'informations, reportez-vous à Connexion utilisateur avec l'authentification directe
Azure Active Directory 9 .

Fonctionnement de l'authentification unique


Avant de déployer l'authentification unique, vous devez comprendre son fonctionnement et en quoi cette méthode
d'authentification est différente de AD FS. L'authentification directe n'est pas simplement une forme plus simple
d'authentification AD FS. Les deux méthodes utilisent une infrastructure locale pour authentifier les utilisateurs lors de l'accès
à des ressources telles que Microsoft 365, mais pas de la même manière.

L'authentification directe utilise un composant appelé l'agent d'authentification pour authentifier les utilisateurs.
Azure AD Connect installe l'agent d'authentification pendant la configuration. Après l'installation, l'agent
d'authentification s'enregistre dans Azure AD de votre locataire Microsoft 365. Lors de l'inscription, Azure AD attribue
à l'agent d'authentification un certificat d'identité numérique unique. Ce certificat (avec une paire de clés) permet une
communication sécurisée avec Azure AD. La procédure d'inscription lie également l'agent d'authentification à votre
locataire Azure AD.

9 https://aka.ms/lusqtt
66 Module 2 Implémentation de l'identité dans des scénarios hybrides

Notez que les demandes d'authentification ne sont pas transmises à l'agent d'authentification. Au lieu de cela, lors de son
initialisation, l'agent d'authentification se connecte à Azure AD via le port 443. Il s'agit d'un canal HTTPS sécurisé à l'aide
de l'authentification mutuelle. Après avoir établi la connexion, Azure AD fournit à l'agent d'authentification un accès à la
file d'attente Azure Service Bus. À partir de cette file d'attente, l'agent d'authentification récupère et gère les demandes de
validation de mot de passe. Par conséquent, il ne s'agit pas de trafic entrant et il n'est pas nécessaire d'installer l'agent
d'authentification dans le réseau de périmètre.

Par exemple, lorsque vous activez l'authentification unique sur votre client Microsoft 365 et qu'un utilisateur tente de s'authentifier
dans Outlook Web App, les événements suivants se produisent:

1. S'il n'est pas déjà connecté, l'utilisateur redirige vers le Connexion utilisateur Azure AD page. Sur cette page, l'utilisateur
se connecte avec un nom d'utilisateur et un mot de passe. Azure AD reçoit la demande de connexion et place le nom
d'utilisateur et le mot de passe dans une file d'attente. Un service de jeton de sécurité Azure AD (STS) utilise la clé publique de
l'agent d'authentification pour chiffrer ces informations d'identification. Le STS récupère cette clé publique à partir du certificat
que l'agent d'authentification reçoit pendant le processus d'enregistrement.

Noter: Bien qu'Azure AD place temporairement les informations d'identification de l'utilisateur dans la file d'attente Service Bus, elles ne sont jamais

stockées dans le cloud.

2. L'agent d'authentification, qui est connecté en permanence à la file d'attente Service Bus, remarque la modification dans la file
d'attente et récupère les informations d'identification chiffrées de la file d'attente. Étant donné que les informations
d'identification sont chiffrées avec la clé publique de l'agent d'authentification, l'agent utilise sa clé privée pour déchiffrer les
données.

3. L'agent d'authentification valide le nom d'utilisateur et le mot de passe par rapport aux services AD DS locaux à l'aide
des API Windows standard. À ce stade, ce mécanisme est similaire à celui utilisé par AD FS. Un nom d'utilisateur peut
être le nom d'utilisateur par défaut sur site, généralement userPrincipalName, ou un autre attribut configuré dans
Azure AD Connect, appelé Autre ID.

4. Le service AD DS local évalue la demande et renvoie la réponse appropriée à l'agent d'authentification:


succès, échec, mot de passe expiré ou utilisateur verrouillé.

5. Après avoir reçu la réponse d'AD DS, l'agent d'authentification renvoie cette réponse à Azure AD.

6. Azure AD évalue la réponse et répond à l'utilisateur le cas échéant. Par exemple, Azure AD connecte
immédiatement l'utilisateur ou demande l'authentification multifacteur Azure. Si la connexion de l'utilisateur
réussit, l'utilisateur peut accéder à l'application.

Vous pouvez envisager de déployer Azure AD Seamless SSO avec l'authentification directe pour rendre l'expérience utilisateur encore
meilleure lors de l'accès aux ressources cloud à partir d'ordinateurs joints à un domaine. Lorsque vous déployez cette fonctionnalité,
les utilisateurs qui se sont connectés sur leurs ordinateurs joints au domaine avec leurs informations d'identification de domaine
peuvent accéder aux ressources cloud sans se connecter.

Lors du déploiement de l'authentification unique transparente Azure AD avec synchronisation de hachage de mot de passe, les utilisateurs s'authentifient

automatiquement auprès d'Azure AD lorsqu'ils accèdent aux ressources cloud à partir d'ordinateurs joints au domaine. Toutefois, dans ce scénario, vous

devez configurer Azure AD Connect pour synchroniser les comptes d'ordinateur Active Directory avec Azure AD.

Noter: Pour les comptes d'ordinateur Windows 8 et Windows 7, la jointure hybride utilise l'authentification unique transparente pour inscrire

l'ordinateur dans Azure AD. Vous n'avez pas à synchroniser les comptes d'ordinateur Windows 8 et Windows 7 comme vous le faites pour les

appareils Windows 10. Cependant, vous devez déployer un fichier Workplacejoin.exe mis à jour via un fichier .msi sur les clients Windows 8 et

Windows 7 afin qu'ils puissent s'enregistrer à l'aide de l'authentification unique transparente.


Intégration d'AD DS à Azure AD 67

Pour déployer cette technologie, activez le Authentification unique option lors de la configuration d'Azure AD Connect. Pour
l'authentification unique ou AD FS, vous devez également modifier votre objet de stratégie de groupe de domaine par défaut, puis
configurer les valeurs suivantes:

● Naviguer vers Configuration utilisateur> Stratégies> Modèles d’administration> Composants Windows> Internet
Explorer> Panneau de configuration Internet> Page de sécurité, puis sélectionnez Assignation de site à zone
Liste des mentions. Dans la liste, configurez le https://autologon.microsoftazuread-sso.com URL avec
la valeur 1 à inclure dans la zone intranet.

● Naviguer vers Configuration utilisateur> Stratégies> Modèles d'administration> Composants Windows> Internet Explorer>
Panneau de configuration Internet> Page de sécurité> Zone intranet, sélectionner Autoriser les mises à jour de la barre
d'état via un script, puis activez cette option.

Lecture supplémentaire: Pour plus d'informations sur l'authentification unique transparente Azure AD, reportez-vous à Authentification unique

transparente Azure Active Directory dix .

Démonstration: implémenter une authentification unique


transparente
Dans cette démonstration, nous allons apprendre à:

● Déployez Microsoft Azure Active Directory (Azure AD) Connect.

● Vérifiez que l'authentification unique est activée.

● Activez les paramètres du navigateur pour la connexion automatique.

● Vérifiez la fonctionnalité d'authentification directe.

Démonstration étapes
Pour cette démonstration, le SEA-DC1 et SEA-CL1 les machines virtuelles (VM) doivent être en cours d'exécution. D'autres machines virtuelles peuvent être

en cours d'exécution, mais elles ne sont pas requises pour la démonstration.

Vous devez être connecté à SEA-DC1 comme Contoso \ Administrateur. Vous ne devriez pas être connecté à SEA-CL1.

Vous devrez ajouter un nom de domaine personnalisé à un client Microsoft 365 avant d'activer l'authentification unique.
Vous devrez également vous assurer que le domaine a été validé.

Tâches
● Déployez Azure AD Connect.

● Vérifiez que l'authentification unique est activée.

● Activez les paramètres du navigateur pour la connexion automatique.

● Vérifiez la fonctionnalité d'authentification directe.

Lecture supplémentaire: Pour plus d'informations, reportez-vous à Authentification unique transparente Azure Active Directory:

démarrage rapide 11 .

dix https://aka.ms/AA216ye
11 https://aka.ms/connect-sso-quick-start
68 Module 2 Implémentation de l'identité dans des scénarios hybrides

Mettre en œuvre la fédération avec AD FS


Les services de fédération Active Directory (AD FS) sont l'implémentation Microsoft d'une solution de fédération d'identité qui utilise
l'authentification basée sur les revendications. AD FS fournit les mécanismes pour implémenter à la fois le fournisseur d'identité et
les composants du fournisseur de services dans un déploiement de fédération d'identité.

AD FS fournit les éléments suivants:

● Un fournisseur de revendications d'entreprise pour les applications basées sur les revendications. Vous pouvez configurer un serveur AD FS en tant

que fournisseur de revendications, ce qui signifie que le serveur AD FS peut émettre des revendications sur les utilisateurs authentifiés. Cela permet

à une organisation de fournir à ses utilisateurs un accès aux applications prenant en charge les revendications dans une autre organisation à l'aide

de l'authentification unique (SSO).

● Un fournisseur de services de fédération pour la fédération d'identité entre les domaines. Ce service offre une authentification unique Web fédérée

dans tous les domaines, améliorant ainsi la sécurité et réduisant les frais généraux pour les administrateurs informatiques.

Fonctionnalités AD FS
Certaines des fonctionnalités clés d'AD FS sont:

● SSO Web. De nombreuses organisations déploient les services de domaine Active Directory (AD DS). Après s'être
authentifiés auprès des services AD DS via l'authentification Windows intégrée (IWA), les utilisateurs peuvent accéder à
toutes les autres ressources auxquelles ils sont autorisés à accéder dans les limites de la forêt AD DS. AD FS étend cette
capacité aux applications intranet ou Internet, permettant aux clients, partenaires et fournisseurs de bénéficier d'une
expérience utilisateur simplifiée similaire lorsqu'ils accèdent aux applications Web d'une organisation.

● Interopérabilité des services Web. AD FS est compatible avec les spécifications des services Web. AD FS utilise
la spécification de fédération WS- * appelée WS-Federation. WS-Federation permet aux environnements qui
n'utilisent pas le modèle d'identité Windows Identity Foundation (WIF) de se fédérer avec des environnements
qui utilisent le système d'exploitation Windows.

● Support client passif et intelligent. Étant donné que AD FS est basé sur l'architecture WS- *, il prend en charge les
communications fédérées entre tous les points de terminaison activés par WS, y compris les communications entre les serveurs et
les clients passifs, tels que les navigateurs. AD FS dans Windows Server 2016 permet l'accès aux clients intelligents basés sur le
protocole SOAP (Simple Object Access Protocol), tels que les téléphones mobiles, les assistants numériques personnels et les
applications de bureau. AD FS implémente le profil de demandeur passif WS-Federation et certaines des normes de profil de
demandeur actif WS-Federation pour la prise en charge des clients.

● Une architecture extensible. AD FS fournit une architecture extensible qui prend en charge divers types de jetons de sécurité,
y compris les jetons SAML (Security Assertion Markup Language) et l'authentification Kerberos via l'authentification Windows,
ainsi que la possibilité d'effectuer des transformations de revendications personnalisées. Par exemple, AD FS peut convertir un
type de jeton en un autre ou ajouter une logique métier personnalisée en tant que variable dans une demande d'accès. Les
organisations peuvent utiliser cette extensibilité pour modifier AD FS afin qu'il coexiste avec leurs infrastructures de sécurité et
stratégies d'entreprise existantes.

● Sécurité renforcée. AD FS augmente également la sécurité des solutions fédérées en déléguant la responsabilité
de la gestion des comptes à l'organisation la plus proche de l'utilisateur. Chaque organisation individuelle dans
une fédération continue de gérer ses propres identités, et chacune est capable de partager et d'accepter des
identités et des informations d'identification des sources des autres membres.
Intégration d'AD DS à Azure AD 69

Mises à jour d'AD FS dans Windows Server 2019


Voici un résumé de quelques mises à jour pour AD FS dans Windows Server 2019:

● Fournisseurs d'authentification externes en tant que principaux. Vous pouvez désormais utiliser des fournisseurs d'authentification non

Microsoft comme premier facteur pour l'authentification multifacteur Microsoft Azure. Cela vous permet de ne pas exposer les mots de

passe comme premier facteur.

● Authentification par mot de passe comme authentification supplémentaire. Vous pouvez utiliser un mot de passe pour un autre facteur

après avoir utilisé une option sans mot de passe comme premier facteur. Il s'agit d'une amélioration par rapport à l'expérience

précédente où vous deviez télécharger un adaptateur GitHub.

● Module d'évaluation des risques enfichable. Vous pouvez désormais créer vos propres modules de plug-in pour bloquer certains types de

requêtes lors de la phase de pré-authentification. Cela vous permet d'utiliser l'intelligence cloud telle qu'Azure AD Identity Protection

pour bloquer les connexions pour les utilisateurs à risque ou les transactions à risque.

● Améliorations du verrouillage intelligent de l'extranet. Les améliorations comprennent:

● Votre déploiement peut être configuré pour le mode audit tout en offrant une protection avec la
fonctionnalité de verrouillage extranet classique. Auparavant, vous n'aviez aucune protection en mode audit.

● Active un seuil de verrouillage indépendant pour les emplacements familiers. Cela permet à plusieurs
instances d'applications qui s'exécutent avec un compte de service commun de transférer les mots de passe
avec le moins d'impact.

Lecture supplémentaire: Pour plus d'informations sur toutes les nouvelles fonctionnalités AD FS dans Windows Server 2019, reportez-vous à

Nouveautés des services de fédération Active Directory 12 .

Comment AD FS active l'authentification unique dans une seule organisation


Pour de nombreuses organisations, la configuration de l'accès aux applications et aux services peut ne pas nécessiter un déploiement AD FS. Si

tous les utilisateurs sont membres de la même forêt AD DS et si toutes les applications s'exécutent sur des serveurs membres de la même

forêt, vous pouvez utiliser l'authentification AD DS pour fournir l'accès à l'application. Cependant, plusieurs scénarios existent dans lesquels

vous pouvez utiliser AD FS pour optimiser l'expérience utilisateur en activant l'authentification unique. Dans une seule organisation, vous

pouvez utiliser AD FS pour activer l'authentification unique lorsque:

● Vos applications peuvent ne pas s'exécuter sur des serveurs Windows ou sur des serveurs prenant en charge
l'authentification AD DS, ou elles peuvent s'exécuter sur des serveurs qui exécutent Windows Server et qui ne sont pas
joints au domaine. Les applications peuvent nécessiter des services SAML ou Web pour l'authentification et
l'autorisation.

● Vous avez plusieurs domaines et forêts. Cela peut être le résultat de fusions et d'acquisitions ou en raison d'exigences de
sécurité. Les utilisateurs de plusieurs forêts peuvent avoir besoin d'accéder aux mêmes applications.

● Les utilisateurs extérieurs au bureau peuvent avoir besoin d'accéder aux applications qui s'exécutent sur des serveurs internes. Les

utilisateurs externes peuvent se connecter à des applications à partir d'ordinateurs qui ne font pas partie du domaine interne.

Vous pouvez utiliser AD FS pour activer l'authentification unique dans ces scénarios. Si votre organisation possède une seule forêt AD DS,

vous ne devez déployer qu'un seul serveur de fédération. Ce serveur peut fonctionner en tant que fournisseur de revendications afin qu'il

authentifie les demandes des utilisateurs et délivre les revendications. Le même serveur est également la partie de confiance pour fournir

l'autorisation d'accès aux applications.

Les étapes suivantes décrivent le flux de communication dans ce scénario:

1. L'ordinateur client, qui se trouve en dehors du réseau, accède à une application Web sur le serveur
Web. L'ordinateur client envoie une requête HTTPS au serveur Web.

12 https://aka.ms/active-directory-federation-services
70 Module 2 Implémentation de l'identité dans des scénarios hybrides

2. Le serveur Web reçoit la demande et détermine que l'ordinateur client n'a pas de réclamation.

3. Le serveur Web redirige l'ordinateur client vers le proxy d'application Web. L'ordinateur client envoie une requête
HTTPS au proxy d'application Web. Selon le scénario, le proxy d'application Web peut inviter l'utilisateur à
s'authentifier ou utiliser l'authentification Windows pour collecter les informations d'identification de l'utilisateur.

4. Le proxy d'application Web transmet la demande et les informations d'identification au serveur de fédération. Le

5. serveur de fédération utilise AD DS pour authentifier l'utilisateur.

6. Si l'authentification réussit, le serveur de fédération collecte les informations AD DS sur l'utilisateur et les utilise pour générer
les revendications de l'utilisateur.

Noter: Une approbation de partie de confiance pour l'application Web doit exister dans AD FS. Si le même utilisateur tente
d'accéder à une autre application Web, le jeton de sécurité peut inclure différentes revendications d'utilisateur. Ce jeton est
ensuite transmis à l'utilisateur et à l'application Web.

7. Si l'authentification réussit, les informations d'authentification et d'autres informations sont collectées dans un
jeton de sécurité et renvoyées au proxy d'application Web.

Noter: Le serveur signe ce jeton de sécurité pour l'application Web spécifique. Par conséquent, une approbation de partie
de confiance avec cette application Web doit exister dans AD FS.

8. Le proxy d'application Web transmet le jeton au client.

9. Le client présente le jeton au serveur Web et la ressource Web:

● Reçoit la demande et valide les jetons signés.

● Utilise les revendications dans le jeton de l'utilisateur pour fournir l'accès à l'application.

Noter: Les termes serveur de fédération et Proxy d'application Web sont utilisés pour décrire les services de rôle AD FS. Le
serveur de fédération est responsable de l'émission et de la consommation des revendications dans ce scénario. Le proxy
d'application Web est un composant proxy que nous recommandons pour les déploiements où les utilisateurs en dehors du
réseau ont besoin d'accéder à l'environnement AD FS. La leçon «Implémentation d'environnements AD DS gérés» couvre
ces composants plus en détail.

Comment AD FS active l'authentification unique dans une fédération


interentreprises
Le déploiement d'AD FS pour fournir l'authentification unique dans une fédération d'entreprise à entreprise est un scénario courant.
Dans ce scénario, l'organisation qui a besoin d'accéder à l'application ou au service d'une autre organisation peut gérer ses propres
comptes d'utilisateurs et définir ses propres mécanismes d'authentification. L'autre organisation peut définir les applications et
services à exposer aux utilisateurs extérieurs à l'organisation et les revendications qu'elle acceptera pour fournir l'accès à l'application.
Pour autoriser le partage d'applications ou de services dans ce scénario, les organisations doivent configurer une approbation de
fédération, puis définir les règles d'échange de revendications entre elles.

Observons le flux de trafic dans un scénario d'entreprise à entreprise fédéré à l'aide d'une application Web prenant en
charge les revendications. Dans ce scénario, les utilisateurs de Trey Research doivent accéder à une application Web
d'Adatum Corporation. Le processus d'authentification AD FS pour ce scénario est le suivant:

1. Un utilisateur de Trey utilise un navigateur Web pour établir une connexion HTTPS avec le serveur Web d'Adatum.

2. L'application Web reçoit la demande et vérifie que l'utilisateur n'a pas de jeton valide stocké
dans un cookie par le navigateur Web. Étant donné que l'utilisateur n'est pas authentifié, l'application Web redirige le
client vers le serveur de fédération d'Adatum à l'aide d'un message de redirection HTTP 302.
Intégration d'AD DS à Azure AD 71

3. L'ordinateur client envoie une requête HTTPS au serveur de fédération d'Adatum. Le serveur de fédération
détermine le domaine d'origine de l'utilisateur. Dans ce cas, le royaume d'origine est Trey.

4. Le serveur Web redirige à nouveau l'ordinateur client vers le serveur de fédération dans le domaine d'origine de l'utilisateur, qui
est Trey.

5. L'ordinateur client envoie une requête HTTPS au serveur de fédération Trey.

6. Si l'utilisateur est déjà connecté au domaine, le serveur de fédération peut prendre le ticket Kerberos de l'utilisateur et demander
l'authentification à AD DS au nom de l'utilisateur à l'aide de IWA. Si l'utilisateur n'est pas connecté au domaine, l'utilisateur est
invité à entrer ses informations d'identification.

7. Le contrôleur de domaine AD DS authentifie l'utilisateur et renvoie le message de réussite au serveur de fédération


avec d'autres informations sur l'utilisateur que le serveur de fédération peut utiliser pour générer les revendications
de l'utilisateur.

8. Le serveur de fédération crée la revendication pour l'utilisateur en fonction des règles définies pour le partenaire de
fédération. Le serveur de fédération place les données de revendications dans un jeton de sécurité signé numériquement,
puis les envoie à l'ordinateur client, qui les renvoie sur le serveur de fédération d'Adatum.

9. Le serveur de fédération d'Adatum valide que le jeton de sécurité provient d'un partenaire de fédération de
confiance.

10. Le serveur de fédération d'Adatum crée et signe un nouveau jeton, qu'il envoie à l'ordinateur client.
L'ordinateur client renvoie ensuite le jeton à l'URL d'origine qui a été demandée.

11. L'application sur le serveur Web reçoit la demande et valide les jetons signés. Le serveur Web émet au client un
cookie de session, indiquant que l'authentification a réussi. Le serveur de fédération émet un cookie persistant
basé sur un fichier, qui est valide pendant 30 jours par défaut. Il élimine l'étape de découverte du domaine
d'origine pendant la durée de vie du cookie. Le serveur fournit ensuite l'accès à l'application en fonction des
revendications que l'utilisateur fournit.

Étendre AD FS à Azure
AD FS peut être hébergé sur site, mais si votre application est un hybride dans lequel certaines parties sont implémentées
dans Azure, il peut être plus efficace de répliquer AD FS dans le cloud.

Les scénarios possibles incluent:

● Le code d'application d'une organisation partenaire accède à une application Web hébergée dans votre
réseau virtuel Azure.

● Un utilisateur externe enregistré avec des informations d'identification stockées dans AD DS accède à une application Web
hébergée dans votre réseau virtuel.

● Un utilisateur connecté à votre réseau virtuel à l'aide d'un appareil autorisé exécute une application
Web hébergée dans le réseau virtuel.

Les utilisations typiques de cette architecture incluent:

● Applications hybrides où les charges de travail s'exécutent en partie sur site et en partie dans Azure.

● Solutions qui utilisent l'autorisation fédérée pour exposer des applications Web à des organisations partenaires.

● Systèmes prenant en charge l'accès à partir de navigateurs Web qui s'exécutent en dehors du pare-feu de l'organisation.

● Systèmes qui permettent aux utilisateurs d'accéder aux applications Web en se connectant à partir de périphériques externes autorisés tels que des

ordinateurs distants, des ordinateurs portables et d'autres périphériques mobiles.


72 Module 2 Implémentation de l'identité dans des scénarios hybrides

Lecture supplémentaire: Pour plus d'informations sur le déploiement d'AD FS sur Azure, reportez-vous à Étendre les services AD FS
(Active Directory Federation Services) à Azure 13 .

Prise en charge de PingFederate


Azure AD Connect prend également en charge l'intégration de PingFederate, qui est une solution de niveau entreprise qui prend
en charge l'authentification unique et la fédération d'identité en intégrant des silos d'identités et d'applications au sein de
l'entreprise et entre les organisations partenaires. Cette prise en charge vous permet d'implémenter PingFederate en tant que
méthode pour fédérer Active Directory local avec Azure AD.

Noter: Vous devez installer PingFederate version 8.4 ou ultérieure pour utiliser PingFederate avec Azure AD Connect.

Mettre en œuvre des fonctionnalités basées sur l'intégration d'Azure AD


En plus de servir de service d'annuaire pour les applications et services cloud, Microsoft Azure Active Directory (Azure AD) peut
également améliorer les services d'authentification fournis par AD DS lorsqu'il est utilisé dans des scénarios hybrides. Un scénario
courant lorsque vous utilisez Azure AD consiste à améliorer les fonctionnalités et la sécurité des services d'authentification locaux.
Même si vous ne disposez d'aucune ressource cloud sur laquelle vous authentifiez vos utilisateurs, vous pouvez profiter des
fonctionnalités d'Azure AD pour offrir une expérience utilisateur meilleure et plus sécurisée à vos utilisateurs locaux. Par exemple,
pour appliquer des mots de passe forts dans votre organisation, Azure AD Password Protection fournit une liste de mots de passe
interdits globale et personnalisée. Une demande de changement de mot de passe échoue en cas de correspondance dans la liste des
mots de passe interdits.

Les utilisateurs créent souvent des mots de passe qui utilisent des mots locaux courants tels qu'une école, une équipe sportive ou
une personne célèbre. Ces mots de passe sont faciles à deviner et faibles contre les attaques basées sur des dictionnaires. Pour
protéger votre environnement de services de domaine Active Directory (AD DS) local, vous pouvez installer et configurer la
protection par mot de passe pour qu'Azure AD fonctionne avec vos contrôleurs de domaine locaux.

Une autre fonctionnalité de protection par mot de passe fournie par Azure est la réinitialisation du mot de passe en libre-service.
Contrairement à de nombreux autres services et applications Internet qui fournissent une réinitialisation de mot de passe en
libre-service, les services AD DS déployés localement ne peuvent pas fournir cette fonctionnalité. Si les utilisateurs oublient leur mot de
passe, ils doivent contacter l'administrateur pour la réinitialisation du mot de passe. Si vous souhaitez que les utilisateurs effectuent
cette tâche par eux-mêmes, vous devez implémenter Microsoft Identity Manager ou un outil non-Microsoft qui peut fournir une
réinitialisation de mot de passe en libre-service. Cela nécessite généralement des coûts importants et ajoute de la complexité à la
tâche de maintenance du système. D'autres tâches en libre-service telles que la modification des attributs utilisateur ou la création et
la gestion de groupes associés à un seul utilisateur sont très rarement implémentées dans les services AD DS locaux. D'autre part,

Vous pouvez également utiliser Azure AD pour sécuriser l'authentification lors de l'accès aux ressources critiques en ajoutant une
autre méthode d'authentification à un coût minimal. Les solutions sur site pour l'authentification multifacteur incluent généralement
des cartes à puce ou des jetons qui nécessitent une infrastructure de gestion distincte.

Dans Azure AD, Microsoft gère cette fonctionnalité et vous pouvez l'utiliser à la fois pour les ressources cloud et locales.
Azure AD fournit également des mécanismes améliorés pour la protection de l'identité et la gestion des identités
privilégiées. De plus, Azure AD fournit une analyse des risques et des alertes qui peuvent empêcher le vol d'identité.

Protection par mot de passe pour Azure AD


Lors du déploiement de la protection par mot de passe, il est fortement recommandé de démarrer les déploiements dans mode audit. Le mode

d'audit est le paramètre initial par défaut dans lequel les mots de passe peuvent continuer à être définis. Les mots de passe qui seraient

bloqués sont enregistrés dans le journal des événements. Après avoir déployé les serveurs proxy et les agents de contrôle de domaine en

mode audit, vérifiez comment la politique de mot de passe affecte les utilisateurs lorsque la politique est appliquée.

13 https://aka.ms/Extend-ADFS-to-Azure
Intégration d'AD DS à Azure AD 73

Au cours de la phase d'audit, de nombreuses organisations estiment que les situations suivantes s'appliquent:

● Ils doivent améliorer les processus opérationnels existants pour utiliser des mots de passe plus sécurisés.

● Les utilisateurs utilisent souvent des mots de passe qui ne sont pas sécurisés.

● Ils doivent informer les utilisateurs des changements à venir dans l'application de la sécurité, des effets possibles et de la
manière de choisir des mots de passe plus sécurisés.

Il est également possible que la validation renforcée des mots de passe affecte l'automatisation du déploiement de votre contrôleur de domaine

Active Directory existant. Il est recommandé qu'au moins une promotion de contrôleur de domaine et une rétrogradation de contrôleur de

domaine se produisent pendant l'évaluation de la période d'audit pour aider à découvrir de tels problèmes.

Une fois que la fonction a été exécutée en mode audit pendant une période raisonnable, vous pouvez changer la configuration de Audit
à Imposer pour exiger des mots de passe plus sûrs. Plus de surveillance pendant cette période est une bonne idée.

Le service proxy de protection par mot de passe s'installe généralement sur un serveur membre dans votre
environnement AD DS local. Après l'installation, le service proxy de protection par mot de passe communique avec Azure
AD pour conserver une copie des listes de mots de passe global et client interdits pour votre locataire Azure AD.

Les considérations suivantes s'appliquent aux serveurs responsables du service proxy de protection par mot de
passe:

● Chaque service ne peut fournir des stratégies de mot de passe que pour une seule forêt. La machine hôte doit être jointe à un
domaine de cette forêt. Les domaines racine et enfant sont tous deux pris en charge. Vous avez besoin d'une connectivité réseau
entre au moins un contrôleur de domaine dans chaque domaine de la forêt et la machine de protection par mot de passe.

● Vous pouvez exécuter le service proxy de protection par mot de passe sur un contrôleur de domaine à des fins de test, mais ce contrôleur de

domaine nécessite alors une connectivité Internet. Cette connectivité peut être un problème de sécurité. Nous recommandons cette

configuration à des fins de test uniquement.

● Nous recommandons au moins deux serveurs proxy de protection par mot de passe pour la redondance.

● Vous ne pouvez pas exécuter le service proxy de protection par mot de passe sur un contrôleur de domaine en lecture seule car il n'est pas pris en

charge.

Réinitialisation du mot de passe en libre-service


Lorsque vous utilisez uniquement les services AD DS locaux, vos utilisateurs ne peuvent pas réinitialiser eux-mêmes leurs mots de passe

oubliés. AD DS dans Windows Server ne prend pas en charge de manière native la réinitialisation de mot de passe en libre-service. Azure AD

fournit éventuellement une fonctionnalité de réinitialisation de mot de passe en libre-service. Si vous utilisez une licence Azure AD Premium P1

ou P2, vous pouvez étendre cette fonctionnalité à votre AD DS local. Cependant, la condition est que vous devez utiliser la réinitialisation du mot

de passe en libre-service avec la fonctionnalité de réécriture de mot de passe. Lorsque vous effectuez cette opération, les mots de passe que les

utilisateurs réinitialisent dans Azure AD réécrivent dans AD DS en local. Cela signifie que les utilisateurs peuvent modifier leurs mots de passe à

la fois dans le cloud et dans l'environnement sur site.

Avant que vos utilisateurs ne commencent à utiliser la réinitialisation de mot de passe en libre-service, vous devez activer cette fonctionnalité dans le

portail Azure en sélectionnant le Réinitialisation du mot de passe article sur votre administration des locataires d'annuaire vitre. Tout d'abord, vous

devez décider si cette fonctionnalité sera activée pour tous les utilisateurs ou uniquement pour un groupe d'utilisateurs sélectionné. Pendant la phase

pilote, nous vous recommandons de limiter cela à un petit groupe d'utilisateurs.

La fonctionnalité de réinitialisation de mot de passe en libre-service nécessite que vous définissiez d'autres méthodes d'authentification pour

les utilisateurs qui ont oublié leur mot de passe.

Les méthodes d'authentification alternatives prises en charge par Azure AD peuvent être:

● Téléphone de bureau
74 Module 2 Implémentation de l'identité dans des scénarios hybrides

● Téléphone mobile

● Adresse e-mail alternative

● Questions de sécurité

Vous devez choisir le nombre de méthodes qu'un utilisateur doit définir pour pouvoir réinitialiser son mot de passe. Pour les options
de téléphone et d'e-mail alternatives, l'utilisateur reçoit un code PIN de sécurité par téléphone ou dans un e-mail qu'il peut utiliser
comme méthode d'authentification avant de réinitialiser le mot de passe. Si vous choisissez d'utiliser des questions de sécurité, vous
devez définir le nombre de questions nécessaires pour chaque utilisateur et vous devez également prédéfinir le groupe de
questions. Certaines des questions que vous pouvez utiliser sont:

● Dans quelle ville votre mère est-elle née?

● Dans quelle ville étiez-vous le Nouvel An 2000?

● Quel est votre plat préféré?

● Quel est le deuxième prénom de votre plus jeune frère? Quel a

● été votre premier emploi?

● Quel était le nom de votre premier animal de compagnie?

Nous vous recommandons de proposer au moins 10 à 15 questions disponibles et d'exiger que chaque utilisateur enregistre au
moins 4 questions pour la fonctionnalité de réinitialisation de mot de passe. Si vous n'aimez pas le pool de questions
prédéfinies, vous pouvez également définir vos propres questions dans votre langue locale.

Lorsque vous affinez les exigences relatives aux méthodes d'authentification, vous devez configurer des options pour le déploiement et

l'utilisation de la fonctionnalité de réinitialisation du mot de passe en libre-service. Nous vous recommandons de demander à tous les

utilisateurs d'enregistrer leurs méthodes d'authentification alternatives la prochaine fois qu'ils se connectent et de confirmer leurs méthodes

d'authentification au moins deux fois par an. Cela garantit que chaque utilisateur peut vérifier son identité en utilisant des méthodes

alternatives. En outre, si vous avez implémenté la synchronisation d'annuaire, vous devez envisager d'activer la fonctionnalité de réécriture de

mot de passe pour vous assurer que les mots de passe que les utilisateurs réinitialisent à l'aide de la réinitialisation de mot de passe en

libre-service dans Azure se synchronisent avec AD DS.

Scénarios d'utilisation de l'authentification multifacteur Azure


Les organisations peuvent choisir différents types d'implémentations d'authentification multifactorielle en fonction de
leurs besoins. Avant de choisir la solution d'authentification multifactorielle optimale, il est très important d'évaluer
soigneusement chaque solution. Lorsque vous décidez de la solution d'authentification multifacteur à déployer,
déterminez ce que vous souhaitez sécuriser et où se trouvent les utilisateurs Active Directory (sur site ou dans le cloud). Sur
la base de ces résultats, vous pouvez utiliser:

● Authentification multifacteur dans le cloud. Vous l'utilisez si la plupart des comptes d'utilisateurs se trouvent dans Azure AD et que l'objectif

principal est de sécuriser l'accès aux applications Microsoft, aux applications logiciel en tant que service (SaaS) à partir de la galerie

d'applications et aux applications publiées via le proxy d'application Azure AD.

● Authentification multifacteur sur site. Vous pouvez utiliser l'authentification multifacteur sur site pour les mêmes
scénarios que l'authentification multifacteur dans le cloud. En outre, vous pouvez utiliser l'authentification multifacteur
sur site pour les applications locales et les scénarios d'accès à distance dans lesquels un réseau privé virtuel (VPN) et une
passerelle Bureau à distance (passerelle RD) sont utilisés.

Scénarios techniques pour l'authentification multifactorielle


Les scénarios de déploiement de l'authentification multifactorielle incluent:

● authentification multifactorielle pour Microsoft 365.


Intégration d'AD DS à Azure AD 75

● options d'authentification multifactorielle pour les utilisateurs fédérés.

● Passerelle Bureau à distance à l'aide du service d'utilisateur d'appel entrant d'authentification à distance (RADIUS).

● Utilisation de l'authentification multifacteur avec les services de fédération Active Directory (AD FS).

Authentification multifactorielle pour Microsoft 365


Vous pouvez gérer l'authentification multifacteur pour Microsoft 365 à l'aide du portail Microsoft 365. Les utilisateurs de Microsoft 365
disposeront des mêmes fonctionnalités et fonctionnalités que celles fournies gratuitement à tous les administrateurs Azure. Ces
caractéristiques sont:

● La possibilité d'activer et d'appliquer l'authentification multifacteur pour les utilisateurs finaux.

● Utilisation d'un message texte, d'un appel vers un téléphone de bureau ou d'une application de téléphonie mobile comme deuxième méthode

d'authentification.

● Mots de passe d'application pour les clients autres que les navigateurs, tels que Microsoft Outlook.

● Messages vocaux par défaut lors des appels téléphoniques d'authentification.

Options d'authentification multifacteur pour les utilisateurs fédérés


Dans les scénarios où vous disposez d'une solution hybride qui incorpore AD DS et Azure AD à l'aide d'AD FS, vous
pouvez sécuriser les ressources cloud et locales à l'aide de l'authentification multifacteur.

L'expérience d'authentification est différente pour les applications basées sur un navigateur qui utilisent l'authentification
multifacteur par rapport aux applications qui ne sont pas basées sur un navigateur où le premier facteur d'authentification est
effectué sur site à l'aide d'AD FS et la deuxième étape est basée sur un téléphone méthode utilisant l'authentification cloud.

Proxy d'application Azure AD


Le proxy d'application Azure AD fournit un accès à distance hautement sécurisé aux applications Web locales. Après
l'authentification unique (SSO) à Azure AD, les utilisateurs peuvent accéder aux applications cloud et locales via une URL
externe et un portail d'applications interne. Par exemple, Application Proxy peut fournir un accès à distance et une
authentification unique aux applications Bureau à distance, Microsoft SharePoint, Microsoft Teams et les applications métier
(LOB). Le proxy d'application remplace le besoin d'un VPN ou d'un proxy inverse.

Le proxy d'application Azure AD est une fonctionnalité d'Azure AD qui permet aux utilisateurs d'accéder aux applications
Web locales à l'aide d'un client distant. Application Proxy inclut à la fois le service Application Proxy qui s'exécute dans le
cloud et le connecteur Application Proxy qui s'exécute sur un serveur local. Azure AD, le service Application Proxy et le
connecteur Application Proxy fonctionnent ensemble pour transmettre en toute sécurité les jetons de connexion des
utilisateurs d'Azure AD aux applications Web.

Noter: Le proxy d'application Azure AD est recommandé pour permettre aux utilisateurs distants d'accéder aux ressources internes. Il
n'est pas destiné aux utilisateurs internes d'un réseau organisationnel. Les utilisateurs qui utilisent inutilement Application Proxy
peuvent présenter des problèmes de performances inattendus et indésirables.

Avec le proxy d'application Azure AD, les utilisateurs peuvent accéder aux applications locales de la même manière qu'ils accèdent à
Microsoft 365 et à d'autres applications SaaS qui interagissent avec Azure AD. En fait, vous n'avez pas besoin de modifier ou de
mettre à jour vos applications pour fonctionner avec Application Proxy. En outre, le proxy d'application Azure AD permet aux
applications locales d'utiliser les contrôles d'autorisation Azure et les analyses de sécurité. Par exemple, les applications sur site
peuvent utiliser l'accès conditionnel et la vérification en deux étapes. Le proxy d'application ne vous oblige pas à ouvrir des
connexions entrantes via votre pare-feu.

Les solutions sur site nécessitent généralement la configuration et la maintenance de réseaux de périmètre, de serveurs périphériques ou d'autres

infrastructures complexes. Cependant, Application Proxy s'exécute dans le cloud, ce qui le rend facile à utiliser.
76 Module 2 Implémentation de l'identité dans des scénarios hybrides

Vous n'avez pas besoin de modifier l'infrastructure réseau ou d'installer plus d'applications dans votre environnement
sur site.

Application Proxy fonctionne avec:

● Applications Web qui utilisent l'authentification Windows intégrée. Applications Web

● qui utilisent un accès basé sur un formulaire ou un en-tête.

● API Web que vous souhaitez exposer à des applications riches sur différents

● appareils. Applications hébergées derrière une passerelle RD.

● Applications clientes riches qui interagissent avec la bibliothèque d'authentification Active Directory.

● Services SSO dans Azure AD.

L'exemple suivant illustre comment Azure AD et le proxy d'application fonctionnent ensemble pour fournir l'authentification unique aux applications locales: The

following example shows how Azure AD and Application Proxy work together to provide SSO to on-premises applications:

1. Une fois qu'un utilisateur accède à une application via un point de terminaison, l'utilisateur est dirigé vers le Azure AD
s'identifier page.

2. Après une connexion réussie, Azure AD envoie un jeton à l'appareil client de l'utilisateur.

3. Le client envoie le jeton au service du proxy d'application, qui récupère le nom d'utilisateur principal
(UPN) et le nom principal de sécurité (SPN) du jeton. Application Proxy envoie ensuite la demande au
connecteur Application Proxy.

4. Si vous avez configuré SSO, le connecteur effectue toute autre authentification nécessaire au nom de
l'utilisateur.

5. Le connecteur envoie la demande à l'application locale.

6. La réponse est envoyée via le connecteur et le service Application Proxy à l'utilisateur.

Testez vos connaissances


Utilisez les questions suivantes pour vérifier ce que vous avez appris dans cette leçon.

question 1
Quelles sont les caractéristiques de Microsoft Azure Active Directory (Azure AD)? Choisissez deux.

?? Azure AD est un service d'annuaire mutualisé.

?? Les utilisateurs et les groupes sont créés dans une structure plate.

?? Azure AD fournit l'authentification Kerberos.

?? Azure AD fournit des stratégies de groupe.

?? Azure AD autorise les requêtes LDAP.


Intégration d'AD DS à Azure AD 77

question 2
Lequel des événements suivants se produit lors de la synchronisation Azure AD Connect? Choisissez quatre.

?? Les nouveaux utilisateurs, groupes et objets de contact dans Active Directory local sont ajoutés à Azure AD.

?? Les attributs des utilisateurs, groupes ou objets de contact existants qui sont modifiés dans Active Directory
local sont modifiés dans Azure AD.

?? Les utilisateurs, groupes et objets de contact existants qui sont supprimés d'Active Directory local sont
supprimés d'Azure AD.

?? Les objets utilisateur existants qui sont désactivés dans Active Directory local sont désactivés dans Azure AD. Les licences

?? pour les services cloud ne sont pas automatiquement attribuées aux objets dans Azure AD.
78 Module 2 Implémentation de l'identité dans des scénarios hybrides

Implémentation d'environnements AD DS gérés


Aperçu de la leçon
Les services de domaine Microsoft Azure Active Directory (Azure AD) fournissent des services de domaine gérés tels que la jonction de
domaine, la stratégie de groupe, le protocole LDAP (Lightweight Directory Access Protocol) et l'authentification Kerberos / NT LAN
Manager (NTLM) qui sont entièrement compatibles avec Windows Server Active Directory. Vous pouvez utiliser ces services de
domaine sans avoir à déployer, gérer et appliquer des correctifs aux contrôleurs de domaine dans le cloud. Les services de domaine
Azure AD interagissent avec votre locataire Azure AD existant, ce qui permet aux utilisateurs de se connecter avec leurs informations
d'identification existantes. Vous pouvez également utiliser des groupes et des comptes d'utilisateurs existants pour sécuriser l'accès
aux ressources, ce qui permet un transfert plus fluide des ressources locales vers Azure.

Objectifs de la leçon
Après avoir terminé cette leçon, vous serez en mesure de:

● Identifiez les scénarios dans lesquels les services de domaine Azure AD sont appropriés ou avantageux.

● Identifiez les limitations actuelles des services de domaine Azure AD.

● Décrivez la mise en œuvre des services de domaine Azure AD.

● Expliquez la gestion des services de domaine Azure AD.

Vue d'ensemble des services de domaine Azure AD


Aujourd'hui, dans la plupart des organisations, les applications métier (LOB) se déploient sur les ordinateurs et les
appareils qui sont membres du domaine. Ces organisations utilisent des informations d'identification basées sur les
services de domaine Active Directory (AD DS) pour l'authentification et la stratégie de groupe les gère. Lorsque vous
envisagez de déplacer ces applications pour qu'elles s'exécutent sur Microsoft Azure, une préoccupation clé est de
savoir comment fournir des services d'authentification à ces applications. Pour répondre à ce besoin, vous pouvez
implémenter un réseau privé virtuel (VPN) de site à site entre votre infrastructure locale et l'infrastructure Azure en
tant que service (IaaS). Sinon, vous pouvez déployer des contrôleurs de domaine de réplica à partir de votre AD DS
local en tant que machines virtuelles (VM) dans Azure. Ces approches peuvent entraîner des coûts supplémentaires et
des efforts administratifs. La différence entre ces deux approches est qu'avec la première option,

Microsoft fournit des services de domaine Azure Active Directory (Azure AD) comme alternative à ces approches. Ce service,
qui s'exécute dans le cadre du niveau Azure AD Premium, fournit des services de domaine tels que la gestion des stratégies
de groupe, la jonction de domaine et l'authentification Kerberos à votre locataire Azure AD. Ces services sont entièrement
compatibles avec les services AD DS déployés localement, vous pouvez donc les utiliser sans déployer et gérer davantage de
contrôleurs de domaine dans le cloud.

Étant donné qu'Azure AD peut interagir avec votre AD DS local, lorsque vous implémentez Azure AD Connect, les utilisateurs peuvent
utiliser les informations d'identification organisationnelles dans les services AD DS locaux et Azure AD Domain Services. Même si vous
n'avez pas déployé AD DS localement, vous pouvez utiliser les services de domaine Azure AD en tant que service cloud uniquement.
Cela vous permet d'avoir des fonctionnalités similaires des services AD DS déployés localement sans avoir à déployer un seul
contrôleur de domaine sur site ou dans le cloud. Par exemple, une organisation peut choisir de créer un locataire Azure AD, d'activer
les services de domaine Azure AD, puis de déployer un réseau virtuel entre ses ressources locales et le locataire Azure AD. Vous
pouvez activer les services de domaine Azure AD pour ce réseau virtuel afin que tous les utilisateurs et services locaux puissent utiliser
les services de domaine d'Azure AD.

Les services de domaine Azure AD offrent plusieurs avantages aux organisations, tels que:

● Les administrateurs n'ont pas besoin de gérer, mettre à jour et surveiller les contrôleurs de domaine.
Implémentation d'environnements AD DS gérés 79

● Les administrateurs n'ont pas besoin de déployer et de gérer la réplication Active Directory.

● Il n'y a pas besoin d'avoir Administrateurs de domaine ou alors Administrateurs d'entreprise groupes pour les domaines gérés par les services

de domaine Azure AD.

Si vous choisissez d'implémenter les services de domaine Azure AD, vous devez être conscient des limitations
actuelles du service. Ceux-ci inclus:

● Seul l'objet Active Directory de l'ordinateur de base est pris en charge.

● Il n'est pas possible d'étendre le schéma du domaine dans les services de domaine Azure AD.

● La structure de l'unité organisationnelle (UO) est plate et les UO imbriquées ne sont actuellement pas prises en charge. Il

● existe un objet de stratégie de groupe (GPO) intégré, et il existe pour les comptes d'ordinateur et d'utilisateur.

● Il n'est pas possible de cibler des unités d'organisation avec des objets de stratégie de groupe intégrés. En outre, vous ne pouvez pas utiliser les filtres Windows

Management Instrumentation ou le filtrage des groupes de sécurité.

En utilisant les services de domaine Azure AD, vous pouvez migrer librement les applications qui utilisent les protocoles LDAP
(Lightweight Directory Access Protocol), NT LAN Manager (NTLM) ou Kerberos de votre infrastructure locale vers le cloud. Vous pouvez
également utiliser des applications telles que Microsoft SQL Server ou Microsoft SharePoint Server sur des machines virtuelles, ou
vous pouvez les déployer sur Azure IaaS sans avoir besoin de contrôleurs de domaine dans le cloud ou d'un VPN sur l'infrastructure
locale.

Les scénarios courants qui tirent parti des services de domaine Azure AD incluent:

● Administration sécurisée des machines virtuelles Azure. Les machines virtuelles Azure peuvent être jointes à un domaine géré par les

services de domaine Azure AD, ce qui vous permet d'utiliser un seul ensemble d'informations d'identification Active Directory. Cette

approche réduit les problèmes de gestion des identifiants tels que la gestion des comptes d'administrateur local sur chaque VM ou des

comptes et des mots de passe séparés entre les environnements. Les machines virtuelles jointes à un domaine géré par les services de

domaine Azure AD peuvent également être gérées et sécurisées à l'aide de la stratégie de groupe. Vous pouvez appliquer les lignes de base

de sécurité requises aux machines virtuelles pour les verrouiller conformément aux directives de sécurité de l'organisation. Par exemple,

vous pouvez utiliser les fonctionnalités de gestion de stratégie de groupe pour restreindre les types d'applications qui peuvent s'exécuter

sur une machine virtuelle. Dans ce scénario, les considérations de déploiement suivantes s'appliquent:

● Les domaines gérés par les services de domaine Azure AD utilisent une seule structure d'UO plate par défaut. Toutes les machines virtuelles jointes au

domaine se trouvent dans une seule unité d'organisation. Vous pouvez créer des unités d'organisation personnalisées.

● Les services de domaine Azure AD ont des objets de stratégie de groupe intégrés pour les conteneurs d'utilisateurs et d'ordinateurs. Pour plus de contrôle,

vous pouvez créer des objets de stratégie de groupe personnalisés et les cibler vers des unités d'organisation personnalisées.

● Les services de domaine Azure AD prennent en charge le schéma d'objet ordinateur Active Directory de base. Vous ne pouvez pas

étendre le schéma de l'objet ordinateur.

● Applications sur site qui utilisent l'authentification de liaison LDAP. Dans ce scénario, les services de domaine Azure AD
permettent aux applications d'effectuer des liaisons LDAP dans le cadre du processus d'authentification. Les applications
existantes sur site peuvent passer à Azure et continuer à authentifier les utilisateurs de manière transparente sans aucune
modification de la configuration ou de l'expérience utilisateur. Dans ce scénario, les considérations de déploiement suivantes
s'appliquent:

● Assurez-vous que l'application n'a pas besoin de modifier ou d'écrire dans le répertoire. L'accès en écriture LDAP à
un domaine géré par les services de domaine Azure AD n'est pas pris en charge.

● Vous ne pouvez pas modifier les mots de passe directement sur un domaine géré par les services de domaine Azure AD.
Les utilisateurs finaux peuvent modifier leurs mots de passe à l'aide du mécanisme de changement de mot de passe en
libre-service Azure AD ou par rapport à l'annuaire local. Ces modifications se synchronisent ensuite automatiquement et
deviennent disponibles dans le domaine géré par Azure AD Domain Services.
80 Module 2 Implémentation de l'identité dans des scénarios hybrides

● Applications sur site qui utilisent la lecture LDAP pour accéder à l'annuaire. Dans ce scénario, les services de domaine
Azure AD permettent aux applications d'effectuer des lectures LDAP sur le domaine géré pour obtenir les informations
d'attribut dont elles ont besoin. L'application n'a pas besoin d'être réécrite, donc un passage à Azure permet aux
utilisateurs de continuer à utiliser l'application sans se rendre compte qu'il y a un changement dans l'endroit où elle
s'exécute. Dans ce scénario, les considérations de déploiement suivantes s'appliquent:

● Assurez-vous que l'application n'a pas besoin de modifier ou d'écrire dans le répertoire. L'accès en écriture LDAP à
un domaine géré par les services de domaine Azure AD n'est pas pris en charge.

● Assurez-vous que l'application n'a pas besoin d'un schéma Active Directory personnalisé ou étendu. Les extensions
de schéma ne sont pas prises en charge dans les services de domaine Azure AD.

● Service sur site ou application démon. Certaines applications incluent plusieurs niveaux, l'un des niveaux devant effectuer des
appels authentifiés à un niveau backend, tel qu'une base de données. Les comptes de service Active Directory sont couramment
utilisés dans ces scénarios. Lorsque vous transférez des applications vers Azure, les services de domaine Azure AD vous
permettent de continuer à utiliser les comptes de service de la même manière. Vous pouvez choisir d'utiliser le même compte de
service qui se synchronise à partir de votre annuaire local vers Azure AD ou créer une unité d'organisation personnalisée, puis
créer un compte de service distinct dans cette unité d'organisation. Quelle que soit l'approche, les applications continuent de
fonctionner de la même manière pour effectuer des appels authentifiés vers d'autres niveaux et services. Dans ce scénario, les
considérations de déploiement suivantes s'appliquent:

● Assurez-vous que les applications utilisent un nom d'utilisateur et un mot de passe pour l'authentification. Les services de

domaine Azure AD ne prennent pas en charge l'authentification par certificat ou par carte à puce.

● Vous ne pouvez pas modifier les mots de passe directement sur un domaine géré par les services de domaine Azure AD.
Les utilisateurs finaux peuvent modifier leurs mots de passe à l'aide du mécanisme de changement de mot de passe en
libre-service Azure AD ou par rapport à l'annuaire local. Ces modifications se synchronisent ensuite automatiquement et
deviennent disponibles dans le domaine géré par Azure AD Domain Services.

● Services Bureau à distance dans Azure. Vous pouvez également utiliser les services de domaine Azure AD pour fournir des
services de domaine managés aux serveurs Bureau à distance qui sont déployés sur Azure.

Lecture supplémentaire: Pour plus d'informations, reportez-vous à Qu'est-ce que les services de domaine Azure Active Directory? 14

Implémenter et configurer les services de domaine Azure


AD
Les organisations qui utilisent Microsoft Azure Active Directory (Azure AD) dans le cloud uniquement peuvent activer les services de
domaine Azure AD pour un réseau virtuel Azure, puis obtenir un nouveau domaine géré. Les utilisateurs et les groupes dans Azure AD
seront disponibles dans le domaine nouvellement créé, qui dispose de services d'annuaire similaires aux services de domaine Active
Directory (AD DS) sur site, tels que la stratégie de groupe, le protocole Kerberos et l'accès à l'annuaire léger Prise en charge du
protocole (LDAP). Vous pouvez joindre des machines virtuelles (VM) Azure Windows au domaine nouvellement créé et vous pouvez les
gérer à l'aide des paramètres de stratégie de groupe de base. En activant les services de domaine Azure AD, vous consentez au
stockage des hachages d'informations d'identification requis pour l'authentification NT LAN Manager (NTLM) et Kerberos dans Azure
AD.

Les organisations hybrides peuvent utiliser leurs identités à partir d'AD DS sur site avec les services de domaine Azure AD à l'aide
d'Azure AD Connect. Les utilisateurs de ces organisations peuvent avoir la même expérience lorsqu'ils accèdent à des ressources
basées sur un domaine dans des infrastructures locales ou lorsqu'ils accèdent à des ressources à partir de machines virtuelles qui
s'exécutent dans un réseau virtuel Azure qui interagit avec les services de domaine Azure AD.

Pour activer et utiliser les services de domaine Azure AD, vous devez disposer d'un locataire Azure AD qui a été créé dans un
abonnement Azure AD. De plus, pour utiliser les services de domaine Azure AD, il est obligatoire d'avoir un mot de passe

14 https://aka.ms/AA31z7k
Implémentation d'environnements AD DS gérés 81

synchronisation de hachage déployée avec Azure AD Connect. Cela est nécessaire car les services de domaine Azure AD fournissent une

authentification NTLM et Kerberos afin que les informations d'identification des utilisateurs soient requises.

Lorsque vous activez les services de domaine Azure AD pour votre locataire, vous devez sélectionner le nom de domaine DNS (Domain Name System) que

vous utiliserez pour ce service. Vous devez sélectionner le domaine que vous synchroniserez avec votre environnement sur site. Voici quelques

considérations lors du choix de votre nom de domaine DNS:

● Nom de domaine intégré. Par défaut, le nom de domaine intégré de l'annuaire est utilisé (a. onmicrosoft. com suffixe).
Si vous souhaitez activer l'accès LDAP sécurisé au domaine géré sur Internet, vous ne pouvez pas créer de
certificat numérique pour sécuriser la connexion avec ce domaine par défaut. Microsoft possède le
. onmicrosoft.com domaine, donc une autorité de certification (CA) n'émettra pas de certificat.

● Noms de domaine personnalisés. L'approche la plus courante consiste à spécifier un nom de domaine personnalisé, généralement celui

que vous possédez déjà et qui est routable. Lorsque vous utilisez un domaine personnalisé routable, le trafic peut circuler correctement

si nécessaire pour prendre en charge vos applications.

Noter: Vous ne devez pas utiliser un espace de noms de domaine DNS Azure ou local existant.

● Suffixes de domaine non routables. Nous vous recommandons généralement d'éviter un suffixe de nom de domaine non
routable, tel que contoso.local. Le . local Le suffixe n'est pas routable et peut entraîner des problèmes de résolution DNS.

Noter: Vous devrez peut-être créer plus d'enregistrements DNS pour d'autres services de votre environnement ou des redirecteurs
DNS conditionnels entre les espaces de noms DNS existants dans votre environnement.

Lors de la mise en œuvre, vous devrez également sélectionner le type de forêt à provisionner. UNE forêt est une construction
logique utilisée par AD DS pour regrouper un ou plusieurs domaines. Par défaut, un domaine géré par Azure AD Domain
Services est créé en tant que utilisateur forêt. Ce type de forêt synchronise tous les objets d'Azure AD, y compris les comptes
d'utilisateurs créés dans un environnement AD DS local. D'autre part, vous pouvez choisir de provisionner un Ressource forêt.
Ce type de forêt synchronise uniquement les utilisateurs et les groupes créés directement dans Azure AD.

Vous devez également sélectionner un réseau virtuel auquel vous connecterez ce service. Étant donné que les services de
domaine Azure AD fournissent des fonctionnalités pour les ressources locales, vous devez disposer d'un réseau virtuel entre vos
environnements local et Azure.

Enfin, vous devrez choisir l'emplacement Azure dans lequel le domaine géré doit être créé. Si vous choisissez une région qui
prend en charge les zones de disponibilité Azure, les ressources des services de domaine Azure AD sont réparties entre les
zones à des fins de redondance.

Noter: Les zones de disponibilité sont des emplacements physiques uniques dans une région Azure. Chaque zone est composée
d'un ou de plusieurs centres de données équipés d'une alimentation, d'un refroidissement et d'un réseau indépendants. Pour
garantir la résilience, il existe au moins trois zones distinctes dans toutes les régions activées.

Vous n'êtes pas obligé de configurer les services de domaine Azure AD pour qu'ils soient distribués entre les zones. La
plateforme Azure gère automatiquement la distribution des ressources.

Lors de l'approvisionnement, Azure AD Domain Services crée deux applications d'entreprise, Services de
contrôleur de domaine et AzureActiveDirectoryDomainControllerServices, dans le locataire Azure AD. Ces
applications d'entreprise sont nécessaires pour desservir votre domaine géré. Vous ne devez pas supprimer ces
applications.

Une fois l'instance des services de domaine Azure AD déployée, vous devez configurer le réseau virtuel pour autoriser
d'autres machines virtuelles et applications connectées à utiliser le domaine géré. Pour fournir cette connectivité, vous
devez mettre à jour les paramètres du serveur DNS de votre réseau virtuel pour qu'ils pointent vers les adresses IP
associées à votre instance des services de domaine Azure AD.
82 Module 2 Implémentation de l'identité dans des scénarios hybrides

Lecture supplémentaire: Pour plus d'informations, reportez-vous à Didacticiel: créer et configurer un domaine géré
Azure Active Directory Domain Services avec des options de configuration avancées 15 .

Lecture supplémentaire: Pour plus d'informations, reportez-vous à Didacticiel: créer une approbation de forêt sortante vers
un domaine local dans les services de domaine Azure Active Directory 16 .

Vous êtes facturé pour l'utilisation des services de domaine Azure AD à l'heure. Le prix par heure est basé sur le
nombre total d'objets dans votre locataire Azure AD, y compris les utilisateurs, les groupes et les ordinateurs membres
du domaine.

Pour authentifier les utilisateurs sur un domaine géré, les services de domaine Azure AD ont besoin de hachages de mot de passe dans un

format adapté à l'authentification NTLM et Kerberos. Azure AD ne génère ni ne stocke les hachages de mots de passe au format requis pour

l'authentification NTLM ou Kerberos tant que vous n'activez pas les services de domaine Azure AD pour votre locataire. Pour des raisons de

sécurité, Azure AD ne stocke pas non plus les informations de mot de passe sous forme de texte clair. Par conséquent, Azure AD ne peut pas

générer automatiquement ces hachages de mots de passe NTLM ou Kerberos en fonction des informations d'identification existantes des

utilisateurs.

Noter: Après la configuration, les hachages de mot de passe utilisables sont stockés dans le domaine géré par Azure AD Domain
Services. Si vous supprimez le domaine géré par les services de domaine Azure AD, tous les hachages de mots de passe stockés à ce
stade sont également supprimés. Les informations d'identification synchronisées dans Azure AD ne peuvent pas être réutilisées si
vous créez ultérieurement un domaine géré par Azure AD Domain Services. Vous devez reconfigurer la synchronisation de hachage de
mot de passe pour stocker à nouveau les hachages de mot de passe. Auparavant, les machines virtuelles ou les utilisateurs joints à un
domaine ne pouvaient pas s'authentifier immédiatement, car Azure AD devait générer et stocker les hachages de mot de passe dans
le nouveau domaine géré par Azure AD Domain Services.

Lecture supplémentaire: Pour plus d'informations, reportez-vous à Implémenter la synchronisation de hachage de mot de passe avec la

synchronisation Azure AD Connect 17 .

Les étapes de génération et de stockage de ces hachages de mot de passe sont différentes pour les comptes d'utilisateurs cloud
uniquement créés dans Azure AD par rapport aux comptes d'utilisateurs synchronisés à partir de votre annuaire local à l'aide d'Azure
AD Connect. Un compte d'utilisateur cloud uniquement est un compte qui a été créé dans votre annuaire Azure AD à l'aide du portail
Azure ou des applets de commande Azure AD PowerShell. Ces comptes d'utilisateurs ne se synchronisent pas à partir d'un annuaire
local.

Pour les comptes d'utilisateurs cloud uniquement, les utilisateurs doivent modifier leurs mots de passe avant de pouvoir utiliser les services de

domaine Azure AD. Ce processus de changement de mot de passe entraîne la génération et le stockage des hachages de mot de passe pour

l'authentification Kerberos et NTLM dans Azure AD. Le compte ne se synchronise pas d'Azure AD vers les services de domaine Azure AD tant

que le mot de passe n'est pas modifié. Faites expirer les mots de passe de tous les utilisateurs du cloud dans le client qui doivent utiliser les
services de domaine Azure AD, ce qui force un changement de mot de passe lors de la prochaine connexion, ou demandez aux utilisateurs du

cloud de modifier manuellement leurs mots de passe.

Noter: Avant qu'un utilisateur puisse réinitialiser son mot de passe, le locataire Azure AD doit être configuré pour la réinitialisation du mot de passe en

libre-service.

Démonstration: implémenter et configurer les services de


domaine Azure AD
Dans cette démonstration, vous apprendrez à créer une instance de services de domaine Microsoft Azure Active Directory
(Azure AD).

15 https://aka.ms/tutorial-create-instance-advanced
16 https://aka.ms/tutorial-create-forest-trust
17 https://aka.ms/connect-password-hash-synchronization
Implémentation d'environnements AD DS gérés 83

Démonstration étapes

Etapes de préparation
Pour cette démonstration, le SEA-DC1 et SEA-CL1 les machines virtuelles (VM) doivent être en cours d'exécution. D'autres machines virtuelles peuvent être

en cours d'exécution, mais elles ne sont pas requises pour la démonstration.

Vous devez être connecté à SEA-DC1 et SEA-CL1 comme Contoso \ Administrateur.

Vous aurez besoin des éléments suivants pour effectuer cette démonstration:

● Un abonnement Azure actif.

● Un locataire Azure AD associé à votre abonnement, synchronisé avec un annuaire local ou un


annuaire cloud uniquement.

● Vous avez besoin Administrateur global privilèges dans votre locataire Azure AD pour activer les services de domaine Azure AD.

● Vous avez besoin Donateur privilèges dans votre abonnement Azure pour créer les ressources requises des services de
domaine Azure AD.

Tâches
● Créez une instance de services de domaine Azure AD.

● Réinitialisez le mot de passe d'un utilisateur des services de domaine Azure AD (facultatif).

● Vérifiez la connexion de l'utilisateur aux services de domaine Azure AD (facultatif).

Lectures supplémentaires Pour plus d'informations, reportez-vous à Didacticiel: créer et configurer un domaine
géré Azure Active Directory Domain Services avec des options de configuration avancées 18 .

Gérer Windows Server 2019 dans un environnement de


services de domaine Azure AD
Les services de domaine Microsoft Azure Active Directory (Azure AD) fournissent un domaine géré que vos utilisateurs,
applications et services peuvent utiliser. Cette approche modifie certaines des tâches de gestion disponibles que vous pouvez
effectuer et les privilèges dont vous disposez dans le domaine géré. Ces tâches et autorisations peuvent être différentes de
celles que vous rencontrez avec un environnement de services de domaine Active Directory (AD DS) local standard.

Noter: Vous ne pouvez pas vous connecter aux contrôleurs de domaine sur le domaine géré par les services de domaine Azure
AD à l'aide du Bureau à distance.

Membres de Administrateurs de contrôleur de domaine Azure AD groupe reçoit des privilèges sur le
domaine géré par les services de domaine Azure AD. Par conséquent, ces administrateurs peuvent effectuer les
tâches suivantes sur un domaine géré par Azure AD Domain Services:

● Configurez l'objet de stratégie de groupe (GPO) intégré pour les ordinateurs du contrôleur de domaine Azure AD et les
conteneurs d'utilisateurs du contrôleur de domaine Azure AD dans le domaine géré.

● Administrer le système de noms de domaine Azure (DNS) sur le domaine géré.

● Créez et administrez des unités organisationnelles personnalisées (UO) sur le domaine géré.

18 https://aka.ms/tutorial-create-instance-advanced
84 Module 2 Implémentation de l'identité dans des scénarios hybrides

● Obtenez un accès administratif aux ordinateurs qui sont joints au domaine géré.

Toutefois, étant donné que le domaine géré par les services de domaine Azure AD est verrouillé, vous ne disposez pas des
privilèges d'administrateur de domaine ou d'administrateur d'entreprise pour le domaine géré. Cela signifie que vous ne pouvez
pas effectuer certaines tâches administratives sur le domaine, telles que:

● Extension du schéma du domaine géré.

● Connexion aux contrôleurs de domaine pour le domaine géré à l'aide du Bureau à distance.

● Ajout de contrôleurs de domaine au domaine géré.

Après avoir créé une instance des services de domaine Azure AD, vous devez joindre un ordinateur à un domaine géré par
les services de domaine Azure AD. Cette machine virtuelle (VM) est connectée à un réseau virtuel Azure qui fournit la
connectivité au domaine géré par les services de domaine Azure AD. Le processus pour rejoindre un domaine géré par les
services de domaine Azure AD est le même que pour rejoindre un domaine AD DS local standard. Une fois que vous avez
joint l'ordinateur au domaine, vous devez installer les outils pour gérer l'instance des services de domaine Azure AD.

Noter: Pour vous connecter en toute sécurité à l'ordinateur, vous pouvez envisager d'utiliser un hôte Azure Bastion. Avec Azure
Bastion, vous déployez un hôte géré qui se déploie sur votre réseau virtuel et fournit des connexions Web Remote Desktop Protocol
(RDP) ou Secure Shell (SSH) aux machines virtuelles. Aucune adresse IP publique n'est nécessaire pour les machines virtuelles et vous
n'avez pas besoin d'ouvrir les règles de groupe de sécurité réseau pour le trafic distant externe. Vous vous connectez aux machines
virtuelles à l'aide du portail Azure à partir de votre navigateur Web.

Les domaines gérés par les services de domaine Azure AD sont gérés à l'aide des mêmes outils d'administration que
les environnements AD DS locaux, tels que le centre d'administration Active Directory ou le module Active Directory
pour Windows PowerShell. Vous pouvez installer ces outils dans le cadre de la fonctionnalité RSAT (Remote Server
Administration Tools) sur les ordinateurs clients Windows Server et Windows. Membres de
Administrateurs de contrôleur de domaine Azure AD Le groupe peut ensuite administrer les domaines que les services de
domaine Azure AD gèrent à distance à l'aide de ces outils d'administration AD à partir d'un ordinateur joint au domaine géré.

Les actions courantes du centre d'administration Active Directory telles que la réinitialisation du mot de passe d'un compte utilisateur ou la

gestion de l'appartenance à un groupe sont disponibles. Ces actions ne fonctionnent que pour les utilisateurs et les groupes créés

directement dans le domaine géré par les services de domaine Azure AD. Les informations d'identité se synchronisent uniquement à partir

d'Azure AD vers les services de domaine Azure AD. Cependant, il n'y a pas de réécriture des services de domaine Azure AD vers Azure AD.

Vous ne pouvez pas modifier les mots de passe ou l'appartenance à un groupe géré pour les utilisateurs qui se synchronisent à partir d'Azure

AD et dont ces modifications sont à nouveau synchronisées.

Vous pouvez également utiliser le module Active Directory pour Windows PowerShell qui s'installe dans le cadre des outils
d'administration pour gérer les actions courantes dans votre domaine gérées par les services de domaine Azure AD.

Activer les comptes d'utilisateurs pour les services de domaine Azure AD


Pour authentifier les utilisateurs sur le domaine géré, les services de domaine Azure AD ont besoin de hachages de mot de passe dans un

format adapté à l'authentification NT LAN Manager (NTLM) et Kerberos. Azure AD ne génère ni ne stocke les hachages de mot de passe au

format requis pour l'authentification NTLM ou Kerberos tant que vous n'activez pas les services de domaine Azure AD pour votre locataire. Pour

des raisons de sécurité, Azure AD ne stocke pas non plus les informations d'identification de mot de passe sous forme de texte clair. Par

conséquent, Azure AD ne peut pas générer automatiquement ces hachages de mot de passe NTLM ou Kerberos en fonction des informations

d'identification existantes des utilisateurs.

Après une configuration appropriée, les hachages de mot de passe utilisables sont stockés dans le domaine géré par les services de domaine

Azure AD. Si vous supprimez le domaine géré par les services de domaine Azure AD, tous les hachages de mot de passe stockés à ce stade sont

également supprimés. Si vous créez ultérieurement un domaine géré par les services de domaine Azure AD, vous ne pouvez pas réutiliser les

informations d'identification synchronisées dans Azure AD. Par conséquent, vous devez reconfigurer la synchronisation de hachage de mot de

passe pour stocker à nouveau les hachages de mot de passe. Précédemment


Implémentation d'environnements AD DS gérés 85

Les VM ou utilisateurs joints au domaine ne pourront pas s'authentifier immédiatement. Azure AD doit générer et stocker les
hachages de mot de passe dans le nouveau domaine géré par Azure AD Domain Services.

Lecture supplémentaire: Pour plus d'informations sur les étapes supplémentaires requises pour utiliser Azure AD Connect pour synchroniser les hachages

de mot de passe, reportez-vous à Didacticiel: activer la synchronisation des mots de passe dans les services de domaine Azure Active Directory pour

les environnements hybrides 19 .

Les étapes de génération et de stockage de ces hachages de mot de passe sont différentes pour les comptes d'utilisateurs cloud
uniquement créés dans Azure AD par rapport aux comptes d'utilisateurs synchronisés à partir de votre annuaire local à l'aide d'Azure
AD Connect. Un compte d'utilisateur cloud uniquement est un compte qui a été créé dans votre annuaire Azure AD à l'aide du portail
Azure ou des applets de commande Azure AD PowerShell. Ces comptes d'utilisateurs ne se synchronisent pas à partir d'un annuaire
local.

Pour les comptes d'utilisateurs cloud uniquement, les utilisateurs doivent modifier leurs mots de passe avant de pouvoir utiliser les services de domaine

Azure AD. Ce processus de changement de mot de passe entraîne la génération et le stockage des hachages de mot de passe pour l'authentification

Kerberos et NTLM dans Azure AD. Le compte ne se synchronise pas d'Azure AD vers les services de domaine Azure AD tant que le mot de passe n'est pas

modifié. Par conséquent, vous devez soit faire expirer les mots de passe de tous les utilisateurs du cloud du locataire qui doivent utiliser les services de

domaine Azure AD, ce qui force un changement de mot de passe lors de la prochaine connexion, soit demander aux utilisateurs du cloud de modifier

manuellement leurs mots de passe. Vous devrez peut-être activer la réinitialisation du mot de passe en libre-service pour que les utilisateurs du cloud

réinitialisent leur mot de passe.

Testez vos connaissances


Utilisez les questions suivantes pour vérifier ce que vous avez appris dans cette leçon.

question 1
Quelles sont les caractéristiques de Microsoft Azure Active Directory (Azure AD)? Choisissez deux.

?? Azure AD est un service d'annuaire mutualisé.

?? Les utilisateurs et les groupes sont créés dans une structure plate.

?? Azure AD fournit l'authentification Kerberos.

?? Azure AD fournit des stratégies de groupe.

?? Azure AD autorise les requêtes LDAP.

question 2
Quelles sont les caractéristiques des services de domaine Azure AD? Choisissez deux.

?? Les administrateurs n'ont pas besoin de gérer, mettre à jour et surveiller les contrôleurs de domaine.

?? Les administrateurs n'ont pas besoin de déployer et de gérer la réplication Active Directory.

?? Les groupes Administrateurs de domaine ou Administrateurs d'entreprise ne sont pas pris en charge.

?? Les administrateurs peuvent étendre le schéma.

?? Les administrateurs peuvent appliquer des objets de stratégie de groupe aux unités d'organisation imbriquées.

19 https://aka.ms/configure-password-hash-sync
86 Module 2 Implémentation de l'identité dans des scénarios hybrides

Laboratoire et revue du module 02

Lab: Implémentation de l'intégration entre AD DS


et Azure AD

Scénario
Pour résoudre les problèmes de gestion et de surveillance des frais généraux résultant de l'utilisation de Microsoft Azure
Active Directory (Azure AD) pour authentifier et autoriser l'accès aux ressources Azure, vous décidez de tester l'intégration
entre les services de domaine Active Directory (AD DS) locaux et Azure AD pour vérifier que cela répondra aux
préoccupations de l'entreprise concernant la gestion de plusieurs comptes d'utilisateurs en utilisant un mélange de
ressources sur site et dans le cloud.

En outre, vous souhaitez vous assurer que votre approche répond aux préoccupations de l'équipe de sécurité de l'information et
préserve les contrôles existants appliqués aux utilisateurs Active Directory, tels que les heures de connexion et les stratégies de mot
de passe. Enfin, vous souhaitez identifier les fonctionnalités d'intégration d'Azure AD qui vous permettent d'améliorer davantage la
sécurité Active Directory locale et de minimiser sa surcharge de gestion, notamment Azure AD Password Protection pour Windows
Server Active Directory et Self-Service Password Reset (SSPR) avec réécriture de mot de passe. .

Votre objectif est d'implémenter l'authentification directe entre les services AD DS locaux et Azure AD.

Objectifs
Après avoir terminé cet atelier, vous serez en mesure de:

● Préparez Azure AD pour l'intégration avec AD DS sur site, y compris l'ajout et la vérification d'un domaine
personnalisé.

● Préparez les services AD DS locaux pour l'intégration avec Azure AD, notamment en exécutant l'outil de correction des
erreurs IdFix DirSync et en configurant les suffixes de nom d'utilisateur principal (UPN).

● Installez et configurez Azure AD Connect.

● Vérifiez l'intégration entre AD DS et Azure AD en testant le processus de synchronisation.

● Implémentation des fonctionnalités d'intégration d'Azure AD dans Active Directory, y compris la protection par mot de
passe Azure AD pour Windows Server Active Directory et SSPR avec réécriture de mot de passe.

Durée estimée: 60 minutes

Revue du module
Utilisez les questions suivantes pour vérifier ce que vous avez appris dans ce module.
Laboratoire et revue du module 02 87

question 1
Quelles sont les tâches administratives que vous pouvez effectuer dans les services de domaine Microsoft Azure Active
Directory (Azure AD)? Choisis trois.

?? Gérez Azure DNS sur le domaine géré.

?? Créez des unités organisationnelles personnalisées (UO) sur le domaine géré.

?? Obtenez un accès administratif aux ordinateurs joints au domaine géré.

?? Ajoutez des contrôleurs de domaine au domaine géré.

?? Connectez-vous aux contrôleurs de domaine pour le domaine géré à l'aide du Bureau à distance.

question 2

Comment pouvez-vous utiliser Azure AD pour fournir un accès plus sécurisé aux ressources cloud?
88 Module 2 Implémentation de l'identité dans des scénarios hybrides

Réponses
question 1

Lequel des éléments suivants réduit la quantité de trafic de sortie lors du déploiement de contrôleurs de domaine AD DS dans Azure?

■ Contrôleurs de domaine en lecture seule

?? Relation de confiance bidirectionnelle

?? Plusieurs contrôleurs de domaine dans Azure

?? Cloner des contrôleurs de domaine

?? Sites Active Directory

Explication
Les contrôleurs de domaine en lecture seule réduisent la quantité de trafic de sortie et les frais de service Azure qui en résultent. Étant donné que les modifications

apportées aux objets d'annuaire ne sont pas autorisées sur les contrôleurs de domaine en lecture seule, la réplication des objets de répertoire des contrôleurs de

domaine en lecture seule vers d'autres contrôleurs de domaine ne se produit pas.

question 2

Quelles sont les étapes pour implémenter un contrôleur de domaine de réplica sur une machine virtuelle Azure (VM)? Choisissez quatre.

■ Créez un réseau virtuel Azure avec une connectivité intersite.

■ Créez un compte de stockage.

■ Créez une machine virtuelle et attribuez une adresse IP.

■ Installez les rôles AD DS et DNS sur une machine virtuelle Azure.

?? Configurez une relation d'approbation Active Directory.

Explication
Les étapes pour implémenter un contrôleur de domaine de réplique sur une machine virtuelle Azure incluent la création d'un réseau virtuel
Azure avec une connectivité intersite, la création d'un compte de stockage, la création d'une machine virtuelle, l'attribution d'une adresse
IP et l'installation des services de domaine Active Directory (AD DS) et les rôles DNS (Domain Name System) sur la machine virtuelle Azure.
Étant donné qu'il s'agit d'un contrôleur de domaine de réplique d'un domaine existant, une relation d'approbation Active Directory n'est
pas requise.
Laboratoire et revue du module 02 89

question 1

Quelles sont les caractéristiques de Microsoft Azure Active Directory (Azure AD)? Choisissez deux.

■ Azure AD est un service d'annuaire mutualisé.

■ Les utilisateurs et les groupes sont créés dans une structure plate.

?? Azure AD fournit l'authentification Kerberos.

?? Azure AD fournit des stratégies de groupe.

?? Azure AD autorise les requêtes LDAP.

Explication
Azure AD est un service d'annuaire mutualisé. Les utilisateurs et les groupes Azure AD sont créés dans une structure plate et il n'y
a pas d'unités d'organisation ou d'objets de stratégie de groupe. Vous ne pouvez pas interroger Azure AD à l'aide du protocole
LDAP (Lightweight Direct Access Protocol); à la place, Azure AD utilise l'API REST sur HTTP et HTTPS. Azure AD n'utilise pas
l'authentification Kerberos; à la place, il utilise les protocoles HTTP et HTTPS tels que SAML (Security Assertion Markup Language),
Web Services Federation (WS-Federation) et OpenID Connect pour l'authentification et OAuth pour l'autorisation.

question 2

Lequel des événements suivants se produit lors de la synchronisation Azure AD Connect? Choisissez quatre.

■ Les nouveaux utilisateurs, groupes et objets de contact dans Active Directory local sont ajoutés à Azure AD.

■ Les attributs des utilisateurs, groupes ou objets de contact existants qui sont modifiés dans Active Directory local
sont modifiés dans Azure AD.

■ Les utilisateurs, groupes et objets de contact existants qui sont supprimés d'Active Directory local sont
supprimés d'Azure AD.

■ Les objets utilisateur existants qui sont désactivés dans Active Directory local sont désactivés dans Azure AD. Les licences

?? pour les services cloud ne sont pas automatiquement attribuées aux objets dans Azure AD.

Explication
Lors de la synchronisation, les nouveaux utilisateurs, groupes et objets de contact dans Active Directory local sont ajoutés à Azure
AD. Cependant, les licences pour les services cloud tels que Microsoft 365 ne sont pas automatiquement attribuées à ces objets.
Les attributs des utilisateurs, groupes ou objets de contact existants qui sont modifiés dans Active Directory local sont modifiés
dans Azure AD. Cependant, tous les attributs Active Directory locaux ne sont pas synchronisés avec Azure AD. Vous pouvez
configurer un ensemble d'attributs qui se synchronisent avec Azure AD à l'aide du composant Gestionnaire de synchronisation
d'Azure AD Connect. Les utilisateurs, groupes et objets de contact existants qui sont supprimés de l'annuaire Active Directory local
sont supprimés d'Azure AD. Les objets utilisateur existants qui sont désactivés dans Active Directory sur site sont désactivés dans
Azure AD. Cependant, les licences ne sont pas automatiquement annulées.
90 Module 2 Implémentation de l'identité dans des scénarios hybrides

question 1

Quelles sont les caractéristiques de Microsoft Azure Active Directory (Azure AD)? Choisissez deux.

■ Azure AD est un service d'annuaire mutualisé.

■ Les utilisateurs et les groupes sont créés dans une structure plate.

?? Azure AD fournit l'authentification Kerberos.

?? Azure AD fournit des stratégies de groupe.

?? Azure AD autorise les requêtes LDAP.

Explication
Azure AD est un service d'annuaire mutualisé. Les utilisateurs et les groupes Azure AD sont créés dans une structure plate et il n'y
a pas d'unités d'organisation (UO) ou d'objets de stratégie de groupe (GPO). Vous ne pouvez pas interroger Azure AD à l'aide du
protocole LDAP (Lightweight Directory Access Protocol); à la place, Azure AD utilise l'API REST sur HTTP et HTTPS. Azure AD
n'utilise pas l'authentification Kerberos; à la place, il utilise les protocoles HTTP et HTTPS tels que le langage SAML (Security
Assertion Markup Language), la fédération des services Web (WS-Federation) et OpenID Connect pour l'authentification et OAuth
pour l'autorisation.

question 2

Quelles sont les caractéristiques des services de domaine Azure AD? Choisissez deux.

■ Les administrateurs n'ont pas besoin de gérer, mettre à jour et surveiller les contrôleurs de domaine.

■ Les administrateurs n'ont pas besoin de déployer et de gérer la réplication Active Directory.

■ Les groupes Administrateurs de domaine ou Administrateurs d'entreprise ne sont pas pris en charge.

?? Les administrateurs peuvent étendre le schéma.

?? Les administrateurs peuvent appliquer des objets de stratégie de groupe aux unités d'organisation imbriquées.

Explication
Avec les services de domaine Azure AD, les administrateurs n'ont pas besoin de gérer, mettre à jour et surveiller les contrôleurs de domaine. En outre,

les administrateurs n'ont pas besoin de déployer et de gérer la réplication Active Directory, et il n'est pas nécessaire de disposer de groupes

Administrateurs de domaine ou Administrateurs d'entreprise pour les domaines gérés par les services de domaine Azure AD. Cependant, il n'est pas

possible d'étendre le schéma pour le domaine Azure AD Domain Services. En outre, la structure de l'unité d'organisation est plate, les unités

d'organisation imbriquées ne sont actuellement pas prises en charge et il n'est pas possible d'appliquer des objets de stratégie de groupe aux unités

d'organisation.
Laboratoire et revue du module 02 91

question 1

Quelles sont les tâches administratives que vous pouvez effectuer dans les services de domaine Microsoft Azure Active
Directory (Azure AD)? Choisis trois.

■ Gérez Azure DNS sur le domaine géré.

■ Créez des unités organisationnelles (UO) personnalisées sur le domaine géré.

■ Obtenez un accès administratif aux ordinateurs joints au domaine géré.

?? Ajoutez des contrôleurs de domaine au domaine géré.

?? Connectez-vous aux contrôleurs de domaine pour le domaine géré à l'aide du Bureau à distance.

Explication
Les services de domaine Azure AD permettent aux administrateurs de gérer Azure DNS sur le domaine géré, de créer et
d'administrer des unités d'organisation personnalisées (UO) sur le domaine géré et d'obtenir un accès administratif aux
ordinateurs joints au domaine géré. Toutefois, les services de domaine Azure AD n'autorisent pas les administrateurs à
ajouter des contrôleurs de domaine au domaine géré ou à se connecter aux contrôleurs de domaine pour le domaine
géré à l'aide du Bureau à distance.
question 2

Comment pouvez-vous utiliser Azure AD pour fournir un accès plus sécurisé aux ressources cloud?

Vous pouvez utiliser Azure AD pour fournir un accès plus sécurisé aux ressources cloud en configurant l'accès aux applications, en
configurant l'authentification unique aux logiciels cloud en tant qu'applications de service, en gérant les utilisateurs et les
groupes, en provisionnant les utilisateurs, en permettant la fédération entre les organisations, en fournissant une solution de
gestion des identités, identifiant l'activité de connexion irrégulière, configurant l'authentification multifacteur Azure, étendant les
implémentations Active Directory sur site existantes à Azure AD, configurant le proxy d'application pour le cloud et les
applications locales, et configurant l'accès conditionnel pour les utilisateurs et les appareils.
Module 3 Faciliter la gestion hybride et la surveillance
opérationnelle dans les scénarios hybrides

Centre d'administration Windows

Aperçu de la leçon
La gestion du système d'exploitation Windows Server installé dans les machines virtuelles (VM) Microsoft Azure présente plusieurs
défis propres aux environnements cloud. Dans de nombreux cas, les méthodes traditionnelles disponibles dans les scénarios sur site
ne s'appliquent pas aux charges de travail basées sur l'infrastructure en tant que service (IaaS). Sans accès direct à la console d'un
serveur cible, que ce soit physiquement, via des utilitaires basés sur le micrologiciel ou en exploitant les capacités de l'hyperviseur, il
devient nécessaire d'identifier d'autres moyens d'interagir avec le système d'exploitation.

Dans le cas de Windows, le moyen le plus courant d'atteindre cet objectif est d'utiliser Microsoft Remote Desktop.
Cependant, même si cette approche est simple et pratique, elle présente plusieurs inconvénients importants:

● Il s'applique principalement à la connexion à des serveurs individuels et ne convient pas à la gestion à grande échelle

● Lorsqu'il est utilisé à des fins administratives, il est soumis à la limitation de 2 connexions simultanées par
serveur

● Il repose sur le protocole Remote Desktop qui nécessite dans une large mesure un système d'exploitation entièrement
fonctionnel, ce qui limite son utilisation dans les scénarios de dépannage.

L'objectif de cette leçon est d'explorer des alternatives au Bureau à distance applicables aux machines virtuelles Azure
et qui répondent à ses limites. Ces alternatives incluent Windows Admin Center.

Objectifs de la leçon
Après avoir terminé cette leçon, vous serez en mesure de:

● Implémentez l'intégration Azure à l'aide de l'adaptateur réseau Azure.

● Implémentez l'intégration Azure à l'aide d'Azure Extended Network.

● Déployez une passerelle Windows Admin Center dans Azure.


94 Module 3 Faciliter la gestion hybride et la surveillance opérationnelle dans les scénarios hybrides

Configurer l'intégration Azure avec l'adaptateur réseau


Azure
Lorsque vous travaillez dans un environnement hybride, vous pouvez rencontrer des scénarios qui nécessitent la création
d'une connexion à un réseau virtuel Microsoft Azure. Bien qu'une telle connectivité soit généralement planifiée avec
beaucoup de soin et implique la configuration d'un circuit ExpressRoute ou d'un réseau privé virtuel (VPN) de site à site (S2S),
il peut y avoir des urgences où une connexion sécurisée à partir d'un serveur Windows individuel suffira. Dans une telle
situation, vous pouvez tirer parti de l'adaptateur réseau Azure.

L'adaptateur réseau Azure n'est pas une technologie distincte, mais une méthode pratique pour provisionner une ressource
de passerelle VPN dans un sous-réseau de passerelle de réseau virtuel Azure et établir une connexion VPN point à site (P2S)
vers cette passerelle. P2S VPN s'appuie sur le protocole SSTP (Secure Socket Tunneling Protocol) pour établir une connectivité
directe à un réseau virtuel Azure à partir d'ordinateurs individuels exécutant le système d'exploitation Windows. Pour
configurer un tunnel chiffré, P2S VPN exploite l'authentification basée sur les certificats. Windows Admin Center fournit une
interface qui simplifie la plupart des étapes nécessaires pour établir une connexion P2S VPN. Cela inclut la possibilité de
générer une racine auto-signée et des certificats client nécessaires pour sécuriser les tunnels VPN, ou d'utiliser un certificat
émis par une autorité de certification (CA) interne ou publique.

Du point de vue de l'infrastructure Azure, un VPN P2S nécessite un réseau virtuel Azure avec le sous-réseau de
passerelle désigné hébergeant une passerelle VPN. Aucune infrastructure sur site n'est nécessaire. L'adaptateur
réseau Azure exploite les capacités VPN intégrées au système d'exploitation.

Noter: Vous pouvez également établir un VPN P2S en tirant parti des fonctionnalités décrites dans la documentation Azure
disponible à l'adresse À propos du VPN point à site 1 .

Avant de pouvoir créer un adaptateur réseau Azure, vous devez d'abord inscrire votre instance Windows Admin
Center auprès d'Azure. Le processus d'inscription crée un objet d'application dans le locataire Azure Active Directory
(Azure AD) associé à l'abonnement Azure servant d'environnement cloud géré. Ensuite, vous devez modifier ses
autorisations via le consentement de l'administrateur dans votre locataire Azure AD. Une fois que vous avez créé
l'objet d'application, vous devez vous connecter à Windows Admin Center à l'aide de votre compte Azure AD. Vous
devez également provisionner ou disposer d'un réseau virtuel cible existant.

Lors de la création d'un adaptateur réseau Azure, vous avez la possibilité de:

● Sélection du SKU de passerelle VPN prévu

● Fournir la plage d'adresses IP pour le sous-réseau de la passerelle

● Désignation de l'espace d'adressage client à utiliser pour les attributions d'adresses IP pour votre connexion VPN et
toutes les futures connexions des clients VPN P2S.

Dans le cadre du processus de connexion VPN, l'interface réseau principale du serveur hébergeant le client VPN se
voit automatiquement attribuer une adresse IP à partir de cette plage. À ce stade, le logiciel client VPN met
automatiquement à jour la table de routage locale sur l'ordinateur client afin que toute connexion ciblant l'espace
d'adressage IP du réseau virtuel Azure soit acheminée via la connexion VPN.

Noter: Le provisionnement de la passerelle VPN peut prendre environ 45 minutes.

Noter: Pour vous connecter à une passerelle VPN existante, vous devez fournir un certificat client valide.

Noter: Depuis mai 2020, l'adaptateur réseau Azure est en préversion.

1 https://aka.ms/point-to-site-about
Centre d'administration Windows 95

Configurer l'intégration Azure avec le réseau


étendu Azure
En général, pour établir une connectivité hybride entre les réseaux locaux et les réseaux virtuels Microsoft Azure, vous devez
vous assurer que chacun d'eux dispose d'espaces d'adresses IP qui ne se chevauchent pas. Cependant, cela complique le
processus de migration de vos charges de travail existantes vers Azure. En effet, cela implique que dans les scénarios de
transfert, vous devez modifier les adresses IP de chaque ordinateur local dans le cadre de la migration. Azure Extended
Network vous offre la possibilité de conserver l'adressage IP d'origine de tout ordinateur que vous migrez vers Azure. Pour ce
faire, il offre la possibilité d'étendre les sous-réseaux de réseau locaux dans un sous-réseau de réseau virtuel Azure afin qu'ils
aient des espaces d'adressage IP correspondants. Pour ce faire, il implémente deux routeurs Windows Server 2019. Le
premier routeur est hébergé sur un serveur physique ou une machine virtuelle (VM) fonctionnant sur site, et le deuxième
routeur se trouve sur une machine virtuelle Azure. Les routeurs gèrent la connectivité entre deux sous-réseaux avec une
plage d'adresses IP correspondante.

Prérequis Azure Extended Network


Comme avec l'adaptateur réseau Azure, avant de pouvoir créer un réseau étendu Azure, vous devez d'abord inscrire
votre instance Windows Admin Center auprès d'Azure. Le processus d'inscription crée un objet d'application dans le
locataire Azure Active Directory (Azure AD) associé à l'abonnement Azure servant d'environnement cloud géré. Une
fois l'objet d'application créé, vous devez modifier ses autorisations via le consentement de l'administrateur dans
votre locataire Azure AD. Dès que cela est terminé, vous devez vous connecter au Centre d'administration Windows à
l'aide de votre compte Azure AD avec le rôle Contributeur ou Propriétaire dans l'abonnement Azure cible.

En outre, avant de pouvoir implémenter Azure Extended Network, vous devez effectuer les étapes suivantes: In addition, before you can implement Azure Extended Network, you must perform the

1. Créez un réseau virtuel Azure qui contient un sous-réseau avec la même plage d'adresses IP que le sous-réseau local
que vous souhaitez étendre. Ce réseau virtuel doit également inclure un sous-réseau supplémentaire avec une plage
d'adresses IP ne se chevauchant pas. Ce sous-réseau supplémentaire est appelé Se déployer-
Sous-réseau de passerelle ed-Network.

2. Créez une machine virtuelle (VM) Azure exécutant Windows Server 2019 à l'aide de la référence SKU qui prend en charge la
virtualisation imbriquée. Configurez la machine virtuelle Azure avec deux interfaces réseau connectées, respectivement, au
premier et au deuxième sous-réseau référencés à l'étape précédente.

Noter: Pour plus d'informations sur la prise en charge de la virtualisation imbriquée dans les machines virtuelles Azure, reportez-vous à Comment activer

la virtualisation imbriquée dans une machine virtuelle Azure 2 .

3. Créez le sous-réseau de passerelle avec une plage d'adresses IP ne se chevauchant pas dans le réseau virtuel Azure.

4. Déployez un ordinateur local exécutant Windows Server 2019 avec deux cartes réseau, l'une connectée au sous-réseau local
que vous souhaitez étendre et l'autre connectée à un sous-réseau avec une plage d'adresses IP ne se chevauchant pas. Bien
que vous puissiez utiliser un ordinateur physique ou une machine virtuelle, dans les deux cas, la prise en charge de la
virtualisation est requise.

Noter: Un ordinateur avec deux cartes réseau est souvent appelé double logement.

Noter: Pour plus d'informations sur la prise en charge de la virtualisation imbriquée dans les machines virtuelles Hyper-V, reportez-vous à Exécuter

Hyper-V dans une machine virtuelle avec virtualisation imbriquée 3 .

5. Sur la machine virtuelle Azure et l'ordinateur local, installez le rôle Microsoft Hyper-V, redémarrez le système
d'exploitation, puis créez un commutateur virtuel avec un adaptateur de gestion sur chacune des interfaces
réseau.

2 https://aka.ms/nested-virtualization
3 https://aka.ms/user-guide-nested-virtualization
96 Module 3 Faciliter la gestion hybride et la surveillance opérationnelle dans les scénarios hybrides

6. Connectez votre réseau local au réseau virtuel Azure à l'aide du VPN de site à site (S2S) ou d'Azure Express Route.
Chacune de ces méthodes de connectivité nécessite le déploiement d'une passerelle virtuelle dans le sous-réseau
de passerelle du réseau virtuel Azure. Dans chaque cas, le périphérique de périphérie du réseau sur site doit être
connecté au sous-réseau avec la plage d'adresses IP sans chevauchement. En outre, cette plage d'adresses IP doit
être exclue de l'espace d'adressage IP local, que vous spécifiez lors de l'établissement de la connectivité hybride.

Noter: Si vous avez une appliance de pare-feu configurée entre votre environnement local et le réseau virtuel Azure,
assurez-vous qu'elle autorise le port 4789 du protocole UDP (User Datagram Protocol) dans chaque direction, la
randomisation des numéros de séquence TCP (Transmission Control Protocol) est désactivée et son contournement d'état
TCP est activé.

Une fois que vous avez terminé les étapes précédentes, vous pouvez procéder à la configuration de votre réseau étendu Azure.

Implémentation du réseau étendu Azure


Pour implémenter Azure Extended Network, procédez comme suit:

1. Installez Windows Admin Center sur l'ordinateur Windows Server 2019 local exécutant le rôle serveur
Hyper-V.

2. Enregistrez le Centre d'administration Windows auprès d'Azure, puis installez l'extension Azure Extended
Network.

3. Dans le centre d'administration Windows qui s'exécute sur votre ordinateur local, sélectionnez l'outil de réseau
étendu Azure pour lancer le Créer l'assistant de réseau étendu Azure.

4. Dans le Créer l'assistant de réseau étendu Azure, dans le Télécharger le package blade, téléchargez le
package Azure Extended-Network, qui est un exécutable auto-extractible contenant ExtendedNetwork.cab
déposer.

5. Dans le Télécharger le package lame, téléchargez le fichier téléchargé ExtendedNetwork.cab déposer.

6. Dans le Créer l'assistant de réseau étendu Azure, dans le Centre d'administration Windows, sélectionnez Suivant: Configuration du

réseau étendu.

7. Dans le Réseau sur site lame, dans le CIDR de sous-réseau ( Routage inter-domaines sans classe), sélectionnez le
sous-réseau que vous souhaitez étendre à Azure.

8. Dans le Créer l'assistant de réseau étendu Azure, dans le Centre d'administration Windows, sélectionnez Suivant.

9. Dans le Réseau Azure Blade, sélectionnez l'abonnement Azure cible, le groupe de ressources et le réseau virtuel. Notez que la
cible Emplacement Azure et Sous-réseau Azure les valeurs seront automatiquement renseignées et le sous-réseau Azure
correspondra automatiquement à la valeur que vous avez sélectionnée dans le CIDR de sous-réseau liste déroulante pour votre
réseau sur site.

10. Dans le Créer l'assistant de réseau étendu Azure, dans le Centre d'administration Windows, sélectionnez Suivant.

11. Dans le Passerelle de réseau étendu Azure Blade, sélectionnez la configuration de la machine virtuelle Azure que vous

provisionné dans le cadre des conditions préalables, y compris:

● Groupe de ressources

● Adresse IP dans le sous-réseau étendu.

● Adresse IP dans le sous-réseau de la passerelle Extended-Network

● Sous-réseau de passerelle de réseau étendu dans la notation CIDR (Classless Inter-Domain Routing).

À ce stade, vous êtes prêt à lancer le déploiement.


Centre d'administration Windows 97

Maintenance du réseau étendu Azure


Après le déploiement, vous utilisez le Réseau étendu Azure Blade dans le centre d'administration Windows pour configurer le
routage vers toutes les machines virtuelles Azure déployées dans le sous-réseau étendu. Toute machine virtuelle Azure nouvellement
déployée doit s'afficher dans le Réseau étendu Azure lame peu de temps après. L'ajout de machines virtuelles Azure de cette
manière déclenchera des modifications des tables de routage, permettant la connectivité à ces machines virtuelles à partir du réseau
sur site.

Noter: Depuis mai 2020, Azure Extended Network est en préversion.

Noter: Gardez à l'esprit que la configuration basée sur Azure Extended Network ne fournit pas de résilience, car chacun des
serveurs à double hébergement constitue un point de défaillance unique.

Déployer le centre d'administration Windows dans Azure


Windows Admin Center est l'outil recommandé pour gérer les déploiements de Windows Server en raison de sa
polyvalence, de son extensibilité et de sa sécurité. Il vous permet de gérer votre environnement informatique de
manière cohérente, que cet environnement réside dans un centre de données local ou dans Microsoft Azure. Cette
rubrique se concentrera sur le rôle que joue Windows Admin Center dans la gestion des machines virtuelles (VM)
Microsoft Azure exécutant les systèmes d'exploitation Windows Server 2019.

Avant de commencer à gérer des machines virtuelles Azure à l'aide de Windows Admin Center, vous devez vous assurer que vous disposez des éléments suivants: Before you start manage Azure VM

● Windows Admin Center installé.

● Windows Admin Center enregistré avec Azure.

● Connectivité réseau à la passerelle et aux serveurs gérés. Le centre

d'administration Windows comprend deux composants principaux:

● Passerelle. La passerelle gère les connexions de gestion aux serveurs locaux et distants via
PowerShell Remoting et Windows Management Instrumentation (WMI) sur Windows Remote
Management (WinRM).

● Serveur Web. Le composant serveur Web écoute les demandes HTTPS et les transmet à l'interface utilisateur dans le
navigateur Web sur un ordinateur que vous utilisez pour la gestion. Il ne s'agit pas d'une installation complète du
rôle de serveur Web, mais d'un sous-ensemble optimisé de fonctionnalités qui ne fournissent que les fonctionnalités
requises. Étant donné que Windows Admin Center fournit une connectivité via HTTPS, il nécessite un certificat X.509
pour fournir l'authentification et le chiffrement. Lors de l'installation de Windows Admin Center, vous avez la
possibilité de générer un certificat auto-signé (qui expire après 60 jours) ou d'en fournir un existant.

Installez Windows Admin Center


Windows Admin Center prend en charge quatre types d'installation principaux:

● Client local. Ce type d'installation implique l'installation de Windows Admin Center sur un poste de travail de
gestion avec une connectivité directe aux serveurs gérés. Ce type d'installation est destiné à une gestion
ponctuelle.

● Serveur géré. Ce type d'installation implique l'installation de Windows Admin Center directement sur le serveur géré
cible, avec l'intention de gérer ce serveur uniquement. Vous pouvez également utiliser cette approche pour gérer les
déploiements en cluster à partir de l'un des nœuds du cluster.

● Serveur de passerelle. À l'aide de cette méthode, vous installez Windows Admin Center sur un serveur intermédiaire qui
sert de passerelle pour les connexions entre un poste de travail de gestion et des serveurs gérés.
98 Module 3 Faciliter la gestion hybride et la surveillance opérationnelle dans les scénarios hybrides

● Cluster de basculement. Pour ce type d'installation, vous installez Windows Admin Center sur un cluster de serveurs qui agissent
comme une passerelle hautement disponible entre un poste de travail de gestion et des serveurs gérés.

Toutes ces options d'installation conviennent à la gestion des systèmes d'exploitation Windows Server s'exécutant sur des machines

virtuelles Azure.

Inscrire le centre d'administration Windows avec Azure


Comme mentionné précédemment, pour créer des ressources Azure et gérer des machines virtuelles Azure à l'aide de la
passerelle Windows Admin Center, vous devez l'inscrire auprès d'Azure. Cela s'applique aux passerelles résidant dans des
environnements locaux et aux passerelles déployées sur les machines virtuelles Azure. Le processus d'inscription Azure crée
un objet d'application dans le locataire Azure Active Directory (Azure AD) associé à l'abonnement Azure servant
d'environnement cloud géré. Une fois l'objet d'application créé, vous devez modifier ses autorisations via le consentement de
l'administrateur dans votre locataire Azure AD. Après l'enregistrement de la passerelle, vous pouvez vous y authentifier à
l'aide d'Azure AD et bénéficier de sa prise en charge de fonctionnalités telles que l'authentification multi-facteurs Microsoft et
l'accès conditionnel.

Établir la connectivité réseau à la passerelle et aux


serveurs gérés
Lorsque vous utilisez Windows Admin Center pour gérer des machines virtuelles Azure, il existe deux scénarios principaux du point
de vue de la connectivité: la gestion des machines virtuelles Azure via une passerelle Windows Admin Center exécutée sur site et la
gestion des machines virtuelles Azure via une passerelle Windows Admin Center exécutée dans un Azure VM.

Gérer les machines virtuelles Azure via une passerelle Windows Admin
Center s'exécutant sur site
Dans le premier de ces scénarios, vous pouvez vous connecter à des machines virtuelles Azure spécifiques à l'aide de leurs points de
terminaison publics ou de leurs adresses IP privées. Les deux options peuvent nécessiter l'ouverture d'un accès entrant au port
HTTPS de Windows Remote Management (WinRM). Cela implique généralement la modification des groupes de sécurité réseau
Azure (NSG) associés aux interfaces réseau attachées aux machines virtuelles Azure ou aux sous-réseaux auxquels ces machines
virtuelles Azure sont connectées. Pour rendre la configuration plus sécurisée, vous devez envisager de limiter le trafic entrant
autorisé à des plages d'adresses IP individuelles.

Pour se connecter à partir d'une passerelle locale à une machine virtuelle Azure via son adresse IP privée, il doit
exister une connectivité intersite. Les principales méthodes pour établir une telle connectivité incluent
ExpressRoute, le réseau privé virtuel de site à site (VPN) et le VPN point à site.

Gérer les machines virtuelles Azure via une passerelle Windows Admin Center
s'exécutant dans une machine virtuelle Azure
Dans le deuxième scénario, aucune dépendance locale n'existe. Si la passerelle Windows Admin Center réside sur le même
réseau virtuel Azure que les machines virtuelles Azure hébergeant des serveurs gérés, le routage entre eux est
automatique. (Vous devrez peut-être toujours ouvrir le port WinRM si le trafic est limité à l'aide de NSG.) Si les machines
virtuelles Azure hébergeant des serveurs gérés résident sur d'autres réseaux virtuels Azure, vous pouvez vous y connecter
via leurs adresses IP privées en tirant parti d'Azure VNET. Peering ou connexions VNet-to-VNet. Vous pouvez également,
bien que cela ne soit pas préférable, les y connecter via des points de terminaison publics.
Centre d'administration Windows 99

Gérer les machines virtuelles Azure à l'aide du centre d'administration Windows


Une fois que vous avez satisfait à toutes les conditions préalables, vous pouvez gérer le système d'exploitation Windows Server dans les machines virtuelles

Azure de la même manière que dans n'importe quel environnement local. Cependant, cela signifie qu'ils sont également soumis aux mêmes règles

d'authentification. Par conséquent, tous les serveurs Windows exécutés dans Azure qui ne sont pas joints à la machine principale nécessitent des

dispositions supplémentaires pour permettre l'authentification.

Noter: Pour plus d'informations sur les machines virtuelles non jointes à un domaine, reportez-vous à Utilisation du Centre d'administration Windows dans un

groupe de travail 4 .

Les tâches de gestion disponibles à partir du centre d'administration Windows comprennent:

● Créer une machine virtuelle Azure.

● Création d'une machine virtuelle Azure à l'aide du service de migration de stockage.

● Création d'une machine virtuelle Azure à l'aide du réplica de stockage.

● Connexion à une machine virtuelle Azure.

Noter: Depuis mai 2020, la création de machines virtuelles Azure à partir du centre d'administration Windows est en préversion publique.

Il existe plusieurs conditions préalables à la création d'une machine virtuelle Azure à partir du centre d'administration Windows. Outre la

connexion avec un compte avec un rôle de contrôle d'accès en fonction du rôle Azure (RBAC) suffisant pour provisionner des machines virtuelles

Azure, vous devez également disposer d'un groupe de ressources existant qui hébergera les ressources de la machine virtuelle Azure et d'un

réseau virtuel Azure avec un sous-réseau auquel la nouvelle machine virtuelle Azure sera connectée. En outre, vous avez la possibilité de

rejoindre un domaine Active Directory dans le cadre du processus d'approvisionnement.

Noter: Pour plus d'informations sur la création de machines virtuelles Azure à l'aide du service de migration de stockage et du réplica de stockage,

reportez-vous au module 8, «Planification et mise en œuvre des services de migration et de récupération dans des scénarios hybrides».

La connexion à une machine virtuelle Azure nécessite que vous vous connectiez avec un compte disposant d'un rôle Azure RBAC suffisant

pour provisionner des machines virtuelles Azure dans l'abonnement Azure cible et le groupe de ressources. Cependant, il s'appuie

également sur les informations d'identification Windows pour établir le contexte de sécurité pour les tâches de gestion suivantes. après vous

être connecté au serveur cible, vous avez accès aux mêmes fonctionnalités que celles disponibles lors de la gestion de serveurs locaux, à

l'exception de celles qui ne sont pas prises en charge dans les machines virtuelles Azure. Cela fournit une approche cohérente et uniforme

de la gestion de Windows Server dans des scénarios hybrides.

Noter: Pour obtenir la liste des fonctionnalités Windows Server non prises en charge dans les machines virtuelles Azure, ouvrez Microsoft Edge

et recherchez «Prise en charge du logiciel serveur Microsoft pour les machines virtuelles Microsoft Azure».

Démonstration: déployer le centre d'administration Windows dans


Azure
Dans cette démonstration, vous apprendrez à gérer Windows Server 2019 s'exécutant sur des machines virtuelles
(VM) Microsoft Azure à l'aide de Windows Admin Center.

Conditions préalables
Pour compléter cette démonstration, vous aurez besoin de:

● Un abonnement Azure.

● Un compte avec le rôle Contributeur ou Propriétaire dans l'abonnement Azure.

4 https://aka.ms/using-windows-admin-center-in-a-workgroup
100 Module 3 Faciliter la gestion hybride et la surveillance opérationnelle dans les scénarios hybrides

Démonstration étapes
1. Déployez une passerelle Windows Admin Center dans l'abonnement Azure en suivant les étapes décrites dans Déployer le
centre d'administration Windows dans Azure 5 .

2. Connectez-vous à la machine virtuelle Azure exécutant la passerelle Windows Admin Center que vous avez déployée à l'étape précédente.

3. Déployez une machine virtuelle Azure autonome exécutant Windows Server 2019 en suivant les étapes décrites dans
Déployer une nouvelle machine virtuelle Azure autonome 6 .

4. Dans le centre d'administration Windows, connectez-vous à la machine virtuelle Azure autonome que vous avez déployée à l'étape

précédente et fournissez une vue d'ensemble des fonctionnalités décrites dans Gérer les serveurs avec Windows Admin Center 7 .

Testez vos connaissances


Utilisez les questions suivantes pour vérifier ce que vous avez appris dans cette leçon.

question 1
Quel type de technologie réseau est implémenté à l'aide de l'adaptateur réseau Azure?

?? VPN P2S

?? VPN S2S

?? Lien privé

?? Point de terminaison de service

question 2
Quel est le principal défi que le réseau étendu Azure vous permet de résoudre?

?? Connectivité hybride entre les réseaux avec des espaces d'adresses IP qui se chevauchent

?? Connectivité hybride entre les réseaux avec des espaces d'adresses IP qui ne se chevauchent pas

?? Routage inter-sites entre des ordinateurs avec des adresses IP correspondantes

?? Connectivité point à site entre les ordinateurs locaux et un réseau virtuel Azure

question 3
Quelle ressource devez-vous créer pour inscrire Windows Admin Center avec Azure?

?? Une identité managée Azure Active Directory

?? Un objet d'application Azure Active Directory

?? Un coffre de clés Azure

?? Une attribution de rôle de contrôle d'accès basé sur les rôles Azure

5 https://aka.ms/deploy-wac-in-azure
6 https://aka.ms/deploying-a-new-standalone-azure-vm
7 https://aka.ms/manage-servers-windows-admin-center
Arc azur 101

Arc azur
Aperçu de la leçon
Au fur et à mesure que les environnements d'entreprise évoluent, ils deviennent de plus en plus complexes avec plusieurs
applications exécutées sur différents matériels dans des centres de données sur site et plusieurs clouds. La gestion de ces
environnements disparates à grande échelle, la garantie d'une sécurité sans compromis dans toute une organisation et la réactivité
et l'innovation des développeurs sont essentielles à la réussite. Heureusement, Microsoft Azure fournit des outils et des solutions qui
vous permettent d'innover n'importe où dans votre environnement hybride tout en fonctionnant de manière transparente et
sécurisée.

Dans cette leçon, vous découvrirez Azure Arc, qui facilite l'intégration opérationnelle dans les scénarios hybrides.
Vous découvrirez également comment il simplifie la gestion des environnements complexes et distribués dans les
environnements sur site, Microsoft Edge et multicloud.

Objectifs de la leçon
Après avoir terminé cette leçon, vous serez en mesure de:

● Implémentez Azure Arc pour les serveurs.

● Tirez parti d'Azure Arc pour appliquer Azure Policy aux ordinateurs locaux exécutant Windows Server.

● Tirez parti d'Azure Arc pour fournir un accès aux journaux de contexte de ressources dans Log Analytics.

● Configurez les ordinateurs locaux exécutant Windows Server à l'aide des extensions de machine virtuelle Azure.

● Implémentez des extensions de machine virtuelle à l'aide d'Azure Arc pour les serveurs.

Vue d'ensemble d'Azure Arc pour les serveurs


Arc azur est un service qui fournit un ensemble de technologies aux clients qui souhaitent simplifier leurs
environnements complexes et distribués. Il fournit une approche centralisée, unifiée et en libre-service pour
contrôler les serveurs Windows Server et Linux, les clusters Kubernetes et les services de données Microsoft Azure.
Azure Arc étend également l'adoption de pratiques cloud telles que Azure DevOps et la sécurité Azure dans les
environnements sur site, multi-cloud et Microsoft Edge. En plus d'étendre le plan de contrôle, Azure Arc permet aux
clients d'exécuter des services de données Azure n'importe où.

Azure Arc exploite le contrôleur de fabric Azure, qui sert de plan de contrôle Azure. Le contrôleur de fabric Azure est responsable de la
gestion du cycle de vie des ressources telles que les machines virtuelles (VM), les instances de base de données, les clusters Apache
Hadoop et les clusters Kubernetes. Par exemple, chaque fois qu'une ressource (telle qu'une machine virtuelle Azure) est provisionnée,
mise à l'échelle, arrêtée ou arrêtée, le contrôleur de structure Azure traite cette opération. Entre le contrôleur de structure et les
ressources se trouve une autre couche appelée Gestionnaire de ressources Azure (ARM) qui automatise le cycle de vie des ressources.
Azure dispose de fournisseurs de ressources pour chacun de ces types de ressources hébergés dans Azure.

Déployer Azure Arc sur des ordinateurs locaux


Azure Arc étend la prise en charge d'ARM aux ressources s'exécutant en dehors d'Azure. Cela signifie qu'un serveur physique ou une
machine virtuelle s'exécutant dans un centre de données sur site peut être inscrit auprès d'ARM et présenté en tant que ressource de
calcul au contrôleur de structure. Cela s'applique à tout serveur Windows Server ou Linux s'exécutant dans un centre de données local
ou hébergé par un fournisseur de cloud tiers.

Avant que le serveur physique ou la machine virtuelle ne puisse s'inscrire, l'agent Azure Connected Machine doit
être installé sur chacun des systèmes d'exploitation (OS) ciblés pour la gestion ARM. L'agent pour Windows
102 Module 3 Faciliter la gestion hybride et la surveillance opérationnelle dans les scénarios hybrides

Le serveur est implémenté en tant que package Microsoft Windows Installer, disponible à partir du Centre de
téléchargement Microsoft. Pour les déploiements à plus petite échelle, vous pouvez utiliser le script d'intégration disponible
directement à partir du portail Azure. Lorsque vous installez le script sur les ordinateurs cibles, il vous invite à vous
authentifier auprès de l'abonnement Azure cible où les ressources correspondantes seront créées. Dans les environnements
plus volumineux, vous pouvez utiliser la plate-forme de gestion DSC (Desired State Configuration) dans PowerShell et un
principal de service Azure Active Directory pour effectuer l'installation et l'inscription sans assistance.

Lorsqu'une machine hybride est intégrée, elle devient une machine connectée et est représentée par une ressource Azure
correspondante. Cette ressource a une propriété ID de ressource unique, elle appartient à un groupe de ressources dans un
abonnement et elle peut bénéficier des mécanismes basés sur Azure Resource Manager, tels que la stratégie Azure et les
balises.

Capacités Azure Arc


Alors qu'Azure Arc a le potentiel de modifier considérablement la stratégie de gestion dans les scénarios hybrides, il est
actuellement limité à trois fonctionnalités principales disponibles pour les systèmes enregistrés:

● Configuration de l'invité Azure Policy. Depuis juillet 2020, Azure Policy prend en charge l'audit des ressources Azure Arc pour
valider des paramètres tels que les configurations du système d'exploitation, des applications et des paramètres
d'environnement. La seule exception à cette règle est la possibilité de configurer le fuseau horaire sur le système d'exploitation
Windows. Lors de l'audit des ordinateurs cibles, vous avez la possibilité de consulter les journaux localement ou à distance via le Azure
VM Run command, disponible sur le portail Azure.

● Prise en charge des données Log Analytics d'accès au contexte des ressources. Le contexte de ressource vous permet de
restreindre l'étendue de l'accès aux données Log Analytics en fonction des autorisations accordées à la ressource Azure
correspondante. Étant donné qu'Azure Arc présente des ordinateurs Windows locaux individuels en tant que ressources Azure,
vous pouvez contrôler l'accès à leurs journaux respectifs en appliquant des autorisations de contrôle d'accès en fonction du rôle
(RBAC) sur ces ressources.

● Gestion automatisée du système d'exploitation basée sur les extensions de machine virtuelle Azure. Les extensions
sont des composants logiciels que vous pouvez déployer sur des serveurs Windows et Linux locaux pour
personnaliser leur configuration et simplifier leur maintenance continue.

Noter: Depuis juillet 2020, Azure Arc pour les serveurs est en préversion publique.

Noter: Pour plus d'informations sur Azure Arc, reportez-vous à Qu'est-ce que les serveurs compatibles Azure Arc
(préversion)? 8 .

Mettre en œuvre la stratégie Azure sur Windows Server


2019
Politique Azure est un service qui vous aide à gérer et à évaluer la conformité aux normes organisationnelles de votre
environnement Microsoft Azure. Il utilise des règles déclaratives basées sur les propriétés des types de ressources Azure
cibles. Ces règles forment des définitions de stratégie, que vous pouvez appliquer via l'attribution de stratégie à une étendue
telle qu'une ressource Azure individuelle, un groupe de ressources, un abonnement ou un groupe d'administration. Pour
simplifier la gestion des définitions de stratégie, vous avez la possibilité de combiner plusieurs stratégies en initiatives, puis
de créer quelques affectations d'initiative au lieu de plusieurs affectations de stratégie.

La fonctionnalité Azure Policy peut être regroupée en quatre catégories principales:

● Application de la conformité lors du provisionnement de nouvelles ressources Azure

● Audit de la conformité des ressources Azure existantes

8 https://aka.ms/azure-arc-servers
Arc azur 103

● Remédier à la non-conformité des ressources Azure existantes

● Audit de la conformité du système d'exploitation, de la configuration des applications et des paramètres d'environnement au
sein des machines virtuelles (VM) Azure

Noter: La dernière de ces catégories est implémentée à l'aide du client Azure Policy Guest Configuration, disponible en tant
qu'extension de machine virtuelle Azure. Azure Arc pour serveurs exploite le même client pour fournir la fonctionnalité d'audit
dans les scénarios hybrides.

Par exemple, vous pouvez utiliser Azure Policy pour implémenter les règles suivantes:

● Restreindre les régions Azure dans lesquelles les ressources peuvent être déployées

● Restreindre les types de ressources qui peuvent être déployés Restreindre les tailles de

● machines virtuelles Azure pouvant être déployées

● Attribution de balises aux ressources lors de leur déploiement Installation de

● l'extension Microsoft Antimalware sur les machines virtuelles Azure

● Identification des machines virtuelles Azure sans l'extension Microsoft Antimalware installée

Azure Arc vous permet d'étendre certaines fonctionnalités d'Azure Policy aux systèmes d'exploitation des ordinateurs exécutés dans
des centres de données sur site ou hébergés par des fournisseurs de cloud tiers. Depuis mai 2020, cette fonctionnalité s'applique à
l'audit de la conformité du système d'exploitation, des applications et des paramètres d'environnement. De plus, vous pouvez
configurer le fuseau horaire sur les serveurs Windows.

L'activation de cette fonctionnalité nécessite que l'agent Azure Connected Machine soit installé sur chaque ordinateur dans
l'étendue de la gestion. (Comme mentionné précédemment, vous utilisez le package Windows Installer pour déployer l'agent
sur n'importe quelle version prise en charge de Windows.) Une fois installé, l'agent requiert une connectivité sortante vers
Azure Arc via le port TCP 443. À ce stade, tout invité Azure Policy La configuration basée sur le client incluse dans la définition
de stratégie ou d'initiative affectée prendra automatiquement effet. Par exemple, vous pouvez utiliser le [ Preview]: auditez
les machines virtuelles Windows qui ne correspondent pas aux paramètres de base de sécurité Azure initiative de
stratégie pour auditer la conformité par rapport aux références d'Azure Security Center. Vous pouvez également définir le
fuseau horaire sur les serveurs cibles en attribuant la définition de stratégie nommée [ Aperçu]: configurez le fuseau horaire
sur les machines Windows. Lors de l'audit des ordinateurs cibles, vous avez la possibilité de consulter les journaux
localement ou à distance via le Azure VM Run command, disponible sur le portail Azure.

Noter: Après avoir installé l'agent Azure Connected Machine sur un serveur local, vous pourrez trouver l'objet
ordinateur correspondant sur le Machines non-Azure blade dans le portail Azure.

Noter: Pour identifier si une définition de stratégie particulière prend en charge le client Azure Policy Guest
Configuration, déterminez si elle inclut une référence au type de ressource Microsoft.HybridCompute / machines.

Vue d'ensemble de l'accès au journal de contexte de ressource dans Log


Analytics
Microsoft Azure Monitor stocke les journaux collectés à partir des systèmes gérés dans un espace de travail Log Analytics. Chaque espace de

travail constitue une limite de sécurité que vous pouvez protéger avec le contrôle d'accès basé sur les rôles (RBAC) au niveau de l'espace de

travail. Cependant, le contenu de chaque espace de travail est également soumis à un mécanisme de contrôle d'accès.
104 Module 3 Faciliter la gestion hybride et la surveillance opérationnelle dans les scénarios hybrides

nisme qui prend en compte les autorisations attribuées aux ressources individuelles à partir desquelles les journaux ont été
collectés. Déterminer lequel de ces deux mécanismes prend effet repose sur plusieurs critères, notamment:

● Mode d'accès. Cela représente la méthode que vous utilisez pour accéder à l'espace de travail et définit le mode de
contrôle d'accès qui est automatiquement appliqué. Il existe deux modes d'accès:

● Contexte de l'espace de travail. Ce mode d'accès est applicable lors de l'accès aux journaux depuis le Moniteur Azure
blade dans le portail Azure. Dans ce cas, la portée est définie sur toutes les données de toutes les tables de l'espace de travail.

● Contexte des ressources. Ce mode d'accès est applicable lorsque vous accédez aux journaux à partir de la lame d'une ressource

individuelle. Dans ce cas, l'étendue est définie sur toutes les données pour cette ressource spécifique uniquement.

● Mode de contrôle d'accès. Il s'agit d'un paramètre au niveau de l'espace de travail qui définit la manière dont les autorisations sont déterminées au

niveau de l'espace de travail et des ressources. Il existe deux modes de contrôle d'accès:

● Exiger des autorisations d'espace de travail. Ce mode est basé sur les autorisations au niveau de l'espace de travail lorsqu'il

fonctionne dans le contexte de l'espace de travail ou de la ressource. Il s'agissait du paramètre par défaut pour tous les espaces

de travail créés avant mars 2019.

● Utilisez les autorisations de ressource ou d'espace de travail. Ce mode est basé sur les autorisations au niveau de l'espace de travail

lors du fonctionnement dans le contexte de l'espace de travail et sur les autorisations au niveau des ressources lors du

fonctionnement dans le contexte des ressources. Il s'agit du paramètre par défaut pour tous les espaces de travail créés après mars

2019.

les
Pendant que critères précédents fonctionnent comme prévu pour les ressources Azure, ils ne sont pas disponibles par défaut lorsque
accéder aux données collectées à partir d'ordinateurs sur site. En effet, ils ne sont pas soumis à Azure RBAC. Azure Arc
permet de résoudre ce problème, car il attribue un ID de ressource et un groupe de ressources Azure correspondant à
chaque ordinateur non Azure. De cette façon, l'accès aux journaux collectés à partir d'ordinateurs locaux peut être configuré
à l'aide du même mécanisme qui s'applique aux ressources Azure à part entière.

Mettre en œuvre des extensions de machine virtuelle à l'aide d'Azure


Arc pour les serveurs
Les extensions de machine virtuelle Microsoft Azure sont des composants logiciels qui facilitent la configuration et la gestion du système

d'exploitation s'exécutant dans les machines virtuelles Azure. Azure Arc étend la portée de cette fonctionnalité aux serveurs Windows et Linux

résidant dans n'importe quel emplacement avec une connectivité sortante vers Azure. À partir de juillet 2020, vous avez la possibilité d'installer

les extensions de machine virtuelle suivantes sur les ordinateurs Windows Server:

● Extension de script personnalisé

● Extension de machine virtuelle de configuration d'état souhaité

● Agent Log Analytics

● Agent de dépendance Microsoft

Ces extensions offrent les principaux avantages suivants:

● Téléchargement et exécution automatique et sans assistance de scripts Windows PowerShell personnalisés.

● Audit des modifications et de l'application facultative du système d'exploitation et des paramètres d'application
désignés, sur la base de scripts PowerShell personnalisés décrivant l'état de configuration prévu.

● Collecte de journaux pour analyse avec Log Analytics.

● Surveillance et analyse des processus internes au sein des serveurs gérés, y compris leurs dépendances
et dépendances externes.
Arc azur 105

Outre l'installation de l'agent Azure Connected Machine sur chaque ordinateur dans le cadre de la gestion, cette
fonctionnalité nécessite également que vous enregistriez le Microsoft.HybridCompute et Microsoft.GuestCon- figuration
fournisseurs de ressources dans le même abonnement Azure dans lequel vous avez enregistré les serveurs gérés. À ce
stade, vous pouvez installer et configurer des extensions de machine virtuelle sur ces serveurs en utilisant les mêmes
méthodes que celles applicables aux machines virtuelles Azure, y compris les modèles Azure Resource Manager, le portail
Azure et Azure PowerShell.

Lecture supplémentaire: Pour plus d'informations sur ce sujet, reportez-vous à Gestion des extensions de machines
virtuelles avec des serveurs compatibles Azure Arc (préversion) 9 .

Démonstration: implémenter des extensions de machine virtuelle à


l'aide d'Azure Arc pour les serveurs
Dans cette démonstration, vous apprendrez à implémenter des extensions de machine virtuelle à l'aide d'Azure Arc pour les serveurs.

Conditions préalables
Pour terminer cette démonstration, vous aurez besoin de:

● Un abonnement Azure.

● Un compte avec le rôle Contributeur ou Propriétaire dans l'abonnement Azure.

Démonstration étapes
1. Connectez-vous au portail Azure à l'aide d'un compte avec le rôle Propriétaire ou Contributeur à l'abonnement Azure que
vous utilisez dans la démo.

2. Dans le portail Azure, générez le script d'installation d'Azure Arc en suivant les instructions sur Relier
machines hybrides vers Azure à partir du portail Azure dix .

Testez vos connaissances


Utilisez les questions suivantes pour vérifier ce que vous avez appris dans cette leçon.

question 1
Quel composant logiciel devez-vous déployer sur un ordinateur local pour pouvoir lui appliquer une
stratégie Azure?

?? Agent Azure Connected Machine

?? Agent de dépendance Azure

?? Centre d'administration Windows

?? Extension de script personnalisé Azure VM

9 https://aka.ms/manage-vm-extensions
dix https://aka.ms/generate-installation-script-azure-portal
106 Module 3 Faciliter la gestion hybride et la surveillance opérationnelle dans les scénarios hybrides

question 2
Lequel des modes suivants désigne le mode de contrôle d'accès par défaut actuel appliqué lors de l'accès aux journaux
Log Analytics à partir de la lame d'une ressource individuelle?

?? contexte de l'espace de travail

?? contexte de ressource

?? nécessitent des autorisations d'espace de travail

?? utiliser les autorisations de ressource ou d'espace de travail

question 3
Quels fournisseurs de ressources doivent être activés dans un abonnement Azure pour déployer des extensions de machine virtuelle
Azure sur des ordinateurs locaux exécutant Windows Server et Linux?

?? Microsoft.HybridCompute

?? Microsoft.Automatisation

?? Microsoft.ClassicCompute

?? Microsoft.GuestConfiguration

?? Microsoft.AppConfiguration
Moniteur Azure 107

Moniteur Azure
Aperçu de la leçon
Surveillance est l'acte de collecter et d'analyser des données pour déterminer les performances, l'intégrité et la disponibilité de votre
application métier et des ressources dont elle dépend. Une stratégie de surveillance efficace vous aide à comprendre le
fonctionnement détaillé des composants de votre application. Il vous aide également à augmenter votre temps de disponibilité en
vous notifiant de manière proactive les problèmes critiques afin que vous puissiez les résoudre avant qu'ils ne deviennent des
problèmes.

Microsoft Azure comprend plusieurs services qui exécutent individuellement un rôle ou une tâche spécifique dans
l'espace de surveillance. Azure Monitor intègre ces services dans une solution complète pour collecter, analyser et
agir sur la télémétrie à partir de votre application et des ressources Azure. Vous avez la possibilité d'étendre la
portée d'Azure Monitor pour inclure des ressources sur site, facilitant ainsi une stratégie de surveillance complète
pour l'ensemble de votre environnement.

Objectifs de la leçon
Après avoir terminé cette leçon, vous serez en mesure de:

● Décrivez le rôle d'Azure Monitor dans les scénarios hybrides.

● Activez Azure Monitor dans les scénarios hybrides.

● Gérez Azure Monitor dans des scénarios hybrides.

● Mettre en œuvre la carte des services.

● Intégrez Azure Monitor à Microsoft Operations Manager.

Vue d'ensemble d'Azure Monitor dans les scénarios hybrides


Moniteur Microsoft Azure est un élément central de la stratégie de Microsoft visant à étendre la fonctionnalité de
surveillance complète basée sur le cloud au-delà d'Azure aux centres de données sur site et aux fournisseurs de cloud non
Microsoft. Les clients qui gèrent leur infrastructure sur site peuvent bénéficier de cette fonctionnalité lors du suivi, de l'audit
ou du dépannage d'événements passés. Vous pouvez également l'utiliser pour optimiser l'administration des déploiements
existants et prévoir les besoins en capacité pour les déploiements futurs.

Azure Monitor fournit trois fonctionnalités principales:

● Surveillance et visualisation des métriques. Métrique sont des valeurs numériques qui représentent l'état de santé des systèmes
surveillés.

● Interroger et analyser les journaux. Les journaux incluent l'activité, le diagnostic et la télémétrie. Leur analyse fournit
des informations approfondies sur l'état des systèmes surveillés et facilite le dépannage.

● Alerte et remédiation. Les alertes vous informent de conditions anormales. Vous pouvez les configurer pour déclencher
automatiquement des actions correctives pour résoudre les problèmes.

Azure Monitor offre des fonctionnalités de surveillance ciblées et approfondies via:

● Surveillance approfondie de l'infrastructure. Cette catégorie comprend Log Analytics combinée à des solutions de
surveillance telles que Service Map et des outils de surveillance de réseau tels que Network Watcher et Express-Route
Monitor.

● Surveillance approfondie des applications. Cette catégorie comprend Application Insights, qui facilite la surveillance des
performances, de la disponibilité et de l'utilisation des applications Web, quel que soit leur emplacement.
108 Module 3 Faciliter la gestion hybride et la surveillance opérationnelle dans les scénarios hybrides

Les services de surveillance de l'infrastructure et des applications partagent plusieurs capacités qui fournissent une approche
cohérente de la configuration des alertes, notamment:

● Groupes d'actions communs qui désignent les actions déclenchées par des alertes et les destinataires des alertes.

● Conception de tableaux de bord personnalisés.

● Analyser les métriques à l'aide d'outils tels que Metrics Explorer ou Microsoft Power BI.

Azure Monitor prend en charge la collecte et la surveillance des métriques, des journaux d'activité et de diagnostic, et des
événements à partir d'un large éventail de services Azure et d'ordinateurs résidant à la fois dans des centres de données locaux et
chez des fournisseurs de cloud tiers. Il fournit un moyen rapide d'évaluer l'état de votre environnement dans le portail Azure. Azure
Monitor présente ensuite un résumé des alertes déclenchées, des journaux, des métriques et des données de télémétrie liées aux
applications provenant d'Application Insights. Vous pouvez également accéder à ses données à l'aide d'Azure PowerShell, de
l'interface de ligne de commande Azure (Azure CLI), de l'API REST et du kit de développement logiciel (SDK) Microsoft.NET.

De plus, Azure Monitor vous permet d'archiver les données collectées dans le stockage Azure à des fins d'analyse à long terme ou de
conformité. Vous pouvez également acheminer les données vers Azure Stream Analytics ou vers des services tiers à l'aide d'Azure
Event Hubs. Vous configurez et utilisez des alertes pour:

● Déclenchez des notifications par SMS ou par e-mail.

● Déclenchez une action de correction implémentée par Azure Logic Apps, Azure Functions ou un runbook dans
Azure Automation.

● Soulevez un incident et des éléments de travail en tirant parti de l'intégration entre Azure Monitor et votre plateforme interne de
gestion des services informatiques (ITSM).

Vous pouvez également stocker et analyser des données historiques et en temps quasi réel à l'aide de Log Analytics. Pour les
ordinateurs locaux et les machines virtuelles Azure, cela nécessite l'installation de l'agent Log Analytics et, dans certains cas, de
l'agent de dépendance. Cette approche basée sur les agents vous permet de surveiller le système d'exploitation et ses charges de
travail à l'aide d'Azure Automation ou de solutions basées sur Azure Monitor telles que la gestion des mises à jour ou le suivi des
modifications et l'inventaire. Vous pouvez également tirer parti d'Azure Security Center pour identifier les vulnérabilités et les
menaces potentielles.

Activer Azure Monitor dans les scénarios hybrides


Comme mentionné précédemment, pour tirer parti des avantages fournis par Microsoft Azure Monitor dans les scénarios
hybrides, vous devez installer l'agent Log Analytics sur vos serveurs locaux. L'agent Log Analytics est conçu pour faciliter
l'intégration de la surveillance et de la gestion dans les environnements hybrides, y compris ceux gérés par Microsoft System
Center Operations Manager. Il gère les journaux d'événements Windows, les compteurs de performances Windows et les
journaux basés sur des fichiers spécifiés. Il gère également les métriques et les journaux associés à Azure Monitor et aux
solutions de surveillance et de gestion Azure Automation que vous décidez d'activer. Certains d'entre eux, tels que Update
Management, reposent exclusivement sur un agent Log Analytics, tandis que d'autres, tels que le suivi des modifications et
l'inventaire, vous obligent également à installer Microsoft Dependency Agent. L'objectif principal de l'agent de dépendance
est d'identifier les détails et les dépendances des processus hébergés sur des serveurs gérés, et de collecter des métriques
liées au réseau. L'agent Log Analytics fournit également des données consommées par d'autres services Azure, notamment
Azure Security Center et Azure Automation.

Noter: Log Analytics est également appelé Agent de surveillance Microsoft.

Toutes les données collectées à la fois par Log Analytics et par l'agent de dépendance sont téléchargées automatiquement dans votre
espace de travail Log Analytics désigné (qui se trouve de manière optimale dans la région physiquement la plus proche de
l'emplacement hébergeant votre centre de données sur site). Un espace de travail représente la limite administrative et de sécurité de
l'environnement Log Analytics. Il définit également la portée de la collecte, de l'analyse et de la visualisation des données.

Noter: Vous pouvez créer plusieurs espaces de travail dans le même abonnement Azure.
Moniteur Azure 109

Chaque espace de travail possède un ID d'espace de travail unique et est associé aux clés primaire et secondaire qui lui
servent de mécanisme d'authentification. Vous devez connaître à la fois l'ID et au moins l'une des deux clés pour joindre
un système à l'espace de travail.

Lors de la configuration de l'espace de travail Log Analytics, dans le cadre de ses paramètres avancés, vous pouvez spécifier les types de

données que vous souhaitez collecter. Cela peut inclure les journaux d'événements Windows, les compteurs de performances Windows, les

journaux Microsoft Internet Information Services (IIS) et les journaux personnalisés.

Vous avez également la possibilité de créer des groupes d'ordinateurs. Les groupes d'ordinateurs peuvent être l'un des critères des requêtes

Log Analytics, vous permettant de restreindre la portée des résultats à un sous-ensemble de serveurs en fonction de leur appartenance à un

groupe. Les groupes d'ordinateurs sont basés sur les informations collectées à partir des ordinateurs cibles, notamment:

● Ordinateurs appartenant à des groupes de services de domaine Active Directory (AD DS).

● Groupes Windows Server Update Services (WSUS)

● Groupes Microsoft Endpoint Configuration Manager.

Vous pouvez télécharger l'agent Log Analytics pour les programmes d'installation 32 bits et 64 bits directement à partir du Analyse
des journaux lame d'espace de travail dans le portail Azure. Dans le même panneau, vous pouvez trouver l'ID de l'espace de travail et
les valeurs de clé primaire et secondaire correspondantes, dont vous aurez besoin lors de l'installation de l'agent. Vous trouverez
également un lien pour télécharger Log Analytics Gateway, qui fonctionne comme un proxy dans les scénarios dans lesquels vos
ordinateurs locaux n'ont pas de connectivité directe à Azure.

Noter: Pour plus d'informations sur l'installation de l'agent Log Analytics, reportez-vous à Connectez les ordinateurs Windows à
Azure Monitor 11 .

Vous pouvez également intégrer des serveurs Windows à Azure Monitor à l'aide de Windows Admin Center. Windows
Admin Center simplifie l'implémentation entre les deux en créant automatiquement un espace de travail Log
Analytics s'il n'en existe pas déjà un, et un compte Azure Automation correspondant si nécessaire. Il installe
également à la fois l'agent Log Analytics et l'agent de dépendance sur le serveur Windows cible. (Pour configurer
l'intégration d'Azure Monitor via Windows Admin Center, vous devez d'abord vous inscrire auprès d'Azure.) En outre,
Windows Admin Center activera par défaut la solution Azure Monitor pour VMs, également appelée
Informations sur les machines virtuelles, en plus de la solution Service Map, qui sera abordée plus en détail plus loin dans
cette leçon.

Noter: Depuis mai 2020, l'intégration de Windows Admin Center avec Azure Monitor est en préversion.

Noter: Pour plus d'informations sur l'activation d'Azure Monitor dans les scénarios hybrides, reportez-vous à Collectez des données
à partir d'un ordinateur Windows dans un environnement hybride avec Azure Monitor 12 .

Démonstration: activer Azure Monitor dans des scénarios


hybrides
Dans cette démonstration, vous apprendrez à activer Microsoft Azure Monitor dans des scénarios hybrides.

Conditions préalables
Pour compléter cette démonstration, vous avez besoin:

● Un abonnement Azure.

● Un compte avec le rôle Contributeur ou Propriétaire dans l'abonnement Azure.

11 https://aka.ms/agent-windows
12 https://aka.ms/quick-collect-windows-computer
110 Module 3 Faciliter la gestion hybride et la surveillance opérationnelle dans les scénarios hybrides

Démonstration étapes
1. Connectez-vous au portail Azure à l'aide d'un compte avec le rôle Propriétaire ou Contributeur à l'abonnement Azure que
vous utilisez dans la démo.

2. Dans le portail Azure, créez un espace de travail Log Analytics en suivant les étapes décrites dans Créer un journal
Espace de travail Analytics dans le portail Azure 13 .

Gérer Azure Monitor dans des scénarios hybrides


Les données des serveurs locaux que vous avez intégrés dans Azure Monitor sont continuellement collectées par les agents installés
localement et téléchargées dans un espace de travail Log Analytics dans Azure Monitor. L'espace de travail Log Analytics stocke les
données de vos serveurs locaux que vous avez intégrés dans Microsoft Azure Monitor. Les agents installés localement collectent et
téléchargent en permanence ces données dans l'espace de travail Log Analytics.

Vous pouvez ajouter des solutions de surveillance à chaque espace de travail. Ces solutions de surveillance sont la principale
méthode pour étendre les fonctionnalités de base du service de surveillance Azure. Pour utiliser cette extensibilité, il vous suffit
d'ajouter à l'espace de travail toute solution disponible dans Azure Marketplace. Certaines solutions que vous pouvez activer
directement à partir des lames des services mettant en œuvre leurs fonctionnalités de base. Par exemple, la gestion des mises à
jour, l'inventaire et le suivi des modifications font partie du Automatisation Azure Blade, et Azure Security Center vous permet de
déployer les solutions SecurityCenterFree et Security, correspondant à ses niveaux de tarification Gratuit et Standard.

Cependant, gardez à l'esprit que l'ajout d'une solution à l'espace de travail la déploie sur tous les ordinateurs gérés qui prennent en charge

l'espace de travail. Ceci, à son tour, a un impact sur le volume de données collectées, ce qui a à la fois des implications sur la bande passante du

réseau et les prix.

Les solutions de surveillance Azure Monitor s'appuient sur les fonctionnalités de base du service en implémentant des règles
supplémentaires de traitement des journaux et d'analyse. Ces règles tirent des informations significatives des données brutes
collectées à partir de sources de données. Une fois les données téléchargées dans l'espace de travail Log Analytics, le service traite
son contenu en appliquant la logique définie par les solutions que vous avez ajoutées à l'espace de travail.

Le portail Azure vous permet d'examiner le résultat de cette analyse dans différents formats. Vous pouvez également effectuer des recherches

dans les journaux à l'aide du langage de requête Kusto et afficher les informations générées par des solutions individuelles. Le langage de

requête Kusto prend en charge les requêtes qui mettent en corrélation des données provenant de plusieurs sources. En utilisant Kusto, vous

pouvez manipuler les résultats en appliquant diverses opérations, y compris le filtrage, l'agrégation, la moyenne, la synthèse et le tri. Vous

pouvez également créer des tableaux de bord qui affichent les résultats de la requête et les partagent avec d'autres. Vous avez également la

possibilité de configurer des alertes Azure Monitor qui reposent sur vos requêtes personnalisées pour envoyer des notifications et, le cas

échéant, appliquer automatiquement des tâches de correction.

L'intégration de serveurs Windows dans Azure Monitor via Windows Admin Center active automatiquement les
fonctionnalités d'Infrastructure Insights et de mappage de dépendances. Ces deux capacités sont collectivement appelées Azure
Monitor pour les machines virtuelles. Les combiner vous offre:

● Graphiques de performances de tendances prédéfinis. Ces graphiques offrent des mesures de performances de base du
système d'exploitation, avec des vues consolidées sur plusieurs serveurs connectés au même espace de travail.

● Carte de dépendance. Cette carte est une expression de la corrélation entre les composants logiciels au sein de
l'environnement surveillé, y compris les interdépendances entre serveurs.

Vous utilisez Windows Admin Center pour activer Azure Update Management. À partir du centre d'administration Windows,
vous pouvez également configurer des alertes qui s'appliqueront à tous les serveurs connectés au même espace de travail Log Analytics. Pour

examiner et modifier les configurations d'alerte, vous pouvez utiliser le portail Azure.

13 https://aka.ms/quick-create-workspace
Moniteur Azure 111

Mettre en œuvre la carte des services


Service Map est une solution Microsoft Azure Monitor qui détecte automatiquement les services et les applications
s'exécutant sur des serveurs gérés, suit leur interaction et présente les données collectées dans le portail Azure. Les
dépendances incluent les connexions entrantes et sortantes avec des services en dehors de l'étendue surveillée. En
combinant les informations fournies par Service Map avec les données collectées à partir d'autres solutions telles que le suivi
des modifications ou Infrastructure Insights, vous pouvez plus facilement corréler les événements enregistrés dans les
journaux d'application et système représentant les modifications de configuration, les comportements anormaux ou les
problèmes de réseau dans l'ensemble de votre environnement. La capacité de capturer et de suivre la connectivité réseau
permet d'identifier les équilibreurs de charge mal configurés, l'augmentation inattendue ou excessive du trafic réseau,

Service Map est particulièrement utile lors de la préparation de la migration vers les services cloud ou lors de la conception d'une
stratégie de continuité d'activité. Être capable d'identifier les dépendances entre les systèmes individuels vous permet de vous assurer
que tous les systèmes associés sont migrés ou basculés ensemble, ce qui élimine les pannes des systèmes distribués en raison de
restrictions réseau non prises en compte. De même, la compréhension des interdépendances au sein de votre infrastructure et de vos
applications vous permet d'optimiser votre stratégie de correctifs, ce qui simplifie considérablement le processus d'identification des
systèmes affectés par les redémarrages du serveur.

L'agent de dépendance surveille tous les processus connectés au protocole TCP (Transmission Control Protocol) sur les
serveurs surveillés, y compris les connexions entrantes et sortantes pour chaque processus local. Les données collectées
sont présentées sous la forme d'une carte, qui peut être développée pour révéler les processus individuels et leurs
connexions réseau respectives dans une plage de temps que vous spécifiez.

Les données de la carte de service sont stockées pendant 30 jours. Grâce à l'intégration avec Infrastructure Insights, Service Map
inclut la fonctionnalité de recherche de journal, vous permettant de corréler les informations de connexion avec les entrées de journal
collectées dans la fenêtre de temps spécifiée. Vous avez également la possibilité de tirer parti de l'intégration de Service Map avec le
connecteur de gestion des services informatiques (ITSM Connector) pour afficher tous les incidents et modifications du centre de
service dans la plage de temps indiquée. De même, grâce à l'intégration avec le suivi des modifications, vous pouvez identifier les
modifications des serveurs surveillés qui pourraient avoir déclenché ou contribué à des problèmes de réseau. Des capacités
équivalentes sont disponibles via l'intégration des performances et l'affichage des mesures de performances pour les serveurs
surveillés et l'intégration de la sécurité. Il peut également répertorier les problèmes de sécurité ouverts dans la portée cible et fournir
une intégration des mises à jour,

Noter: Pour plus d'informations, reportez-vous à Utilisation de la solution Service Map dans Azure 14 .

Noter: La fonctionnalité de mappage de dépendances d'Azure Monitor pour les machines virtuelles (VM) est fonctionnellement
équivalente à la solution Service Map.

Intégrez Azure Monitor à Operations


Manager
Les clients exécutant Microsoft System Center Operations Manager 2016 ou une version plus récente qui souhaitent tirer
parti des fonctionnalités de Microsoft Azure Monitor peuvent intégrer leur déploiement existant à Log Analytics. Cela fournit
les avantages d'Azure Monitor décrits précédemment dans cette leçon, tout en utilisant Operations Manager pour:

● Surveillez la santé des services sur site.

● Intégration avec les solutions de connecteur ITSM Connector (Information Technology Service Management Connector)
sur site, y compris la gestion des incidents et des problèmes.

● Gérez les agents déployés sur les systèmes sur site.

14 https://aka.ms/insights-service-map
112 Module 3 Faciliter la gestion hybride et la surveillance opérationnelle dans les scénarios hybrides

L'intégration d'Azure Monitor à Operations Manager crée une synergie entre ces deux services. La solution résultante a la
vitesse et l'efficacité d'Azure Monitor dans la collecte, le stockage et l'analyse des données dans l'étendue configurable par
Operations Manager. Azure Monitor complète les fonctionnalités d'Operations Manager avec son puissant moteur de
requêtes et ses capacités de création de rapports qui facilitent l'analyse des données de performances, d'événements et
d'alertes.

Par exemple, si vous implémentez la fonctionnalité de mappage Azure Monitor pour les machines virtuelles (VM) en combinaison
avec Operations Manager, vous pouvez utiliser ce dernier pour créer des diagrammes d'application distribués basés sur les
mappages de dépendances dynamiques dans Azure Monitor. En outre, vous pouvez déployer le pack d'administration Service Map
sur tous les ordinateurs Windows faisant rapport au groupe d'administration, qui comprendra un sous-ensemble des fonctionnalités
Service Map dans la console Operations Manager.

Les agents faisant rapport à un groupe d'administration Operations Manager collectent les données du serveur en fonction des
paramètres de source de données Log Analytics et des solutions activées dans l'espace de travail Log Analytics correspondant. Les
paramètres spécifiques à la solution déterminent si les données sont envoyées à un serveur d'administration Operations Manager
ou à l'espace de travail Log Analytics. Dans le cas du premier, le serveur de gestion transmet les données à l'espace de travail Log
Analytics. Si un serveur de gestion perd la connectivité à Azure Monitor, il met temporairement en cache les données collectées
localement jusqu'à ce que l'accès à l'espace de travail Log Analytics soit rétabli. Si l'un des serveurs de gestion est hors ligne en
raison d'une maintenance planifiée ou d'une panne non planifiée, un autre serveur de gestion du même groupe d'administration
prend en charge la communication avec Azure Monitor.

Noter: Vous pouvez configurer un agent Windows pour qu'il rende compte à un ou plusieurs espaces de travail, même s'il fait rapport
à un groupe d'administration Operations Manager. L'agent Windows peut signaler jusqu'à quatre espaces de travail. Cependant, un
groupe d'administration ne peut être connecté qu'à un seul espace de travail Log Analytics.

Noter: Si les stratégies de sécurité locales ne permettent pas aux ordinateurs de se connecter directement à Internet, vous pouvez
configurer les serveurs de gestion pour se connecter à la passerelle Log Analytics pour récupérer les paramètres de configuration
d'Azure Monitor, puis transférer les données collectées.

Implémentation de l'intégration d'Azure Monitor avec Operations


Manager
En général, pour implémenter l'intégration entre Operations Manager et un espace de travail Log Analytics, vous
devez enregistrer la connexion Operations Management Suite à l'aide du Assistant d'intégration d'Operations
Management Suite, disponible à partir de la console Operations Manager. Au cours du processus d'inscription,
vous serez invité à fournir le client Azure cible, l'abonnement et l'espace de travail Log Analytics.

Noter: N'oubliez pas qu'Operations Management Suite est un ancien terme utilisé pour décrire le service Log
Analytics.

Après avoir inscrit Operations Manager avec un espace de travail Azure Log Analytics, vous devez désigner des ordinateurs
gérés par un agent qui collecteront les données de journal pour Azure Monitor. Il peut s'agir d'ordinateurs Windows
individuels ou de leurs groupes. Si vous ne désignez aucun ordinateur, Log Analytics ne collectera pas de données auprès
des agents faisant rapport à votre groupe d'administration.

Une fois la configuration terminée, le groupe d'administration Operations Manager établit une connexion permanente à
Azure Monitor. Cette connexion est utilisée pour récupérer les packs d'administration correspondant aux solutions Azure
Monitor que vous avez décidé d'implémenter. Operations Manager télécharge et importe automatiquement tous les packs
d'administration activés. Comme pour tout pack d'administration, vous avez la possibilité de configurer des remplacements et
des règles qui vous permettent de contrôler la planification des mises à jour ou de les désactiver complètement.

Dans certains cas, vous devrez peut-être effectuer des tâches de configuration supplémentaires. Par exemple, pour implémenter la
fonctionnalité de mappage pour les serveurs locaux qui font partie d'un groupe d'administration Operations Manager, vous
Moniteur Azure 113

besoin d'importer le pack de gestion Service Map, qui ajoutera le nœud Service Map à Operations Management Suite
dans le Administration lame de la console Operations Manager Operations. Le nœud permet de désigner l'espace de
travail Log Analytics cible à l'aide de Ajouter l'assistant d'espace de travail de MicroSoft Operations Management
Suite. Le processus d'inscription ajoutera le nœud Service Map au Administration lame. À partir du nœud Service
Map, vous pouvez surveiller les alertes actives, répertorier les serveurs surveillés et afficher les groupes créés à l'aide
de la fonctionnalité Service Map dans Azure Monitor avec leurs dépendances. Cette interface facilite la création
d'applications distribuées dans Operations Manager.

Noter: Pour plus d'informations sur l'intégration de la fonctionnalité Azure Monitor for VMs Map, reportez-vous à
Intégrer System Center Operations Manager à la fonctionnalité de carte Azure Monitor for VMs 15 .

Testez vos connaissances


Utilisez les questions suivantes pour vérifier ce que vous avez appris dans cette leçon.

question 1
Lequel des éléments suivants ne peut PAS être utilisé directement pour définir des groupes d'ordinateurs dans un espace de travail Log Analytics?

?? Groupes de services de domaine Active Directory

?? Groupes Windows Server Update Services

?? Groupes Microsoft Endpoint Configuration Manager

?? Groupes d'appareils Azure Active Directory

question 2
Pendant combien de temps les données Service Map sont-elles stockées dans un espace de travail Azure Log Analytics?

?? 7 jours

?? 15 jours

?? 30 jours

?? 93 jours

question 3
Quels sont les deux composants logiciels requis pour implémenter Azure Monitor Service Map pour les ordinateurs
locaux?

?? Agent de machine connectée

?? Agent Azure Log Analytics

?? Agent de dépendance Azure

?? Extension de configuration d'état souhaité de machine virtuelle Azure

?? Extension de script personnalisé Azure VM

15 https://aka.ms/insights-service-map-scom
114 Module 3 Faciliter la gestion hybride et la surveillance opérationnelle dans les scénarios hybrides

Automatisation Azure

Aperçu de la leçon
Azure Automation est un service Microsoft Azure qui permet d'automatiser les tâches administratives fréquentes, chronophages et
sujettes à des erreurs. L'automatisation vous aide à réduire les coûts opérationnels en réduisant les erreurs et en augmentant
l'efficacité. Les runbooks Azure Automation peuvent s'exécuter sur n'importe quel serveur exécutant Windows Server, avec une
connectivité à Azure, y compris ceux résidant dans vos propres centres de données locaux ou hébergés par des fournisseurs de cloud
tiers. En outre, comme mentionné précédemment dans ce module, Azure Automation s'intègre à Log Analytics pour fournir des
solutions complètes qui facilitent la gestion des mises à jour du système d'exploitation et simplifient l'inventaire des serveurs et le
suivi de toute modification apportée à leur configuration.

Dans cette leçon, vous apprendrez à utiliser Azure Automation dans des scénarios hybrides.

Objectifs de la leçon
Après avoir terminé cette leçon, vous serez en mesure de:

● Fournissez une vue d'ensemble d'Azure Automation.

● Implémentez Azure Automation dans des scénarios hybrides.

● Mettre en œuvre le suivi des modifications et l'inventaire.

Vue d'ensemble d'Azure Automation


Azure Automation est un service Azure dont l'objectif principal est d'automatiser les tâches répétitives et de longue durée,
à la fois dans Azure et dans. Azure Automation s'appuie sur des scripts et des workflows pour implémenter des runbooks
qui exécutent ces tâches. Cela vous donne la possibilité d'automatiser presque toutes les procédures non interactives et de
les écrire avec Azure PowerShell ou Python 2. Cela inclut la configuration de l'état souhaité (DSC), qui permet de maintenir
une configuration cohérente pour les ressources gérées en s'appuyant sur les scripts de configuration PowerShell. En effet,
votre inventivité et vos compétences en scripts jouent un rôle important pour tirer le meilleur parti d'Azure Automation.

Azure Automation propose également un grand nombre de runbooks prêts à l'emploi, en plus de plusieurs solutions,
notamment la gestion des mises à jour, l'inventaire et le suivi des modifications. Vous pouvez déployer ces solutions sans
personnalisation étendue ?.

Noter: Une grande collection d'exemples de scripts et de workflows est disponible dans la galerie Runbooks, accessible
directement depuis le portail Azure.

Architecture Azure Automation


Le composant principal d'Azure Automation est un compte. Un compte Automation sert de conteneur pour une variété de
composants d'automatisation associés. Vous pouvez créer plusieurs comptes Automation par abonnement Azure. Cela facilite
les scénarios dans lesquels vous souhaiterez peut-être séparer la gestion de vos environnements de développement et de
production, chacun d'entre eux contenant des paramètres différents. Vous pouvez définir ces paramètres à l'aide d'actifs tels
que:

● Modules. Ce sont des modules PowerShell importés dans un compte Automation. Les modules déterminent les
groupes d'applets de commande et d'activités disponibles lorsque vous créez des scripts et des flux de travail
PowerShell.

● Paquets. Ce sont des packages Python 2 qui offrent des fonctionnalités équivalentes aux modules PowerShell en fournissant un
ensemble de fonctionnalités que vous pouvez exploiter lors de la création de scripts basés sur Python 2.
Automatisation Azure 115

● Des horaires. En utilisant des plannings, vous pouvez exécuter des runbooks automatiquement (plutôt qu'à la demande),
soit une fois à une date et une heure désignées, soit de manière récurrente.

● Certificats. Cette catégorie se compose de certificats téléchargés sur un compte Azure Automation. Une raison
courante d'utiliser des certificats est de faciliter l'authentification basée sur les certificats.

● Connexions. Les connexions contiennent les informations requises pour qu'un runbook s'authentifie auprès d'un abonnement
Azure ou auprès d'un service ou d'une application externe.

● Variables. Cette catégorie contient les valeurs que vous souhaitez référencer dans vos scripts. En utilisant des variables,
vous évitez de devoir modifier directement vos runbooks (potentiellement plusieurs fois) si la valeur référencée change.

● Crédits. Les informations d'identification consistent en une combinaison du nom d'utilisateur et du mot de passe.

Vue d'ensemble des runbooks Azure Automation


Les actifs sont les éléments constitutifs des runbooks Automation. UNE runbook représente un ensemble de tâches qui
exécutent un processus personnalisé. Vous implémentez des runbooks à l'aide de scripts PowerShell, de scripts Python 2 ou
de flux de travail Windows PowerShell. Les runbooks exécutent des scripts et des workflows à la demande ou selon un
calendrier arbitraire. Chaque unité d'exécution de runbook est appelée travail.

Les flux de travail PowerShell ressemblent aux scripts PowerShell. Cependant, leur fonctionnement est différent car ils
s'appuient sur Windows Workflow Foundation plutôt que sur Microsoft .NET Framework. Par conséquent, il existe des règles
uniques qui déterminent comment créer des activités de flux de travail Windows PowerShell. Bien que cela augmente la
complexité, les flux de travail offrent plusieurs avantages.

L'une des caractéristiques uniques des workflows est la possibilité de récupérer automatiquement des pannes, par exemple à partir
d'un redémarrage des nœuds gérés. Cette récupération automatique repose sur des points de contrôle, qui sont des points désignés
dans le workflow où le moteur de workflow doit enregistrer l'état actuel de l'exécution. En outre, les flux de travail peuvent exécuter
des groupes de commandes en parallèle, plutôt que de manière séquentielle, comme dans les scripts PowerShell classiques. Ceci est
utile pour les runbooks qui exécutent plusieurs tâches indépendantes qui prennent un temps considérable.

En général, il existe deux types de runbooks Azure Automation, en fonction de la façon dont vous créez et modifiez leur
contenu:

● Graphique. Vous pouvez créer et modifier des runbooks graphiques uniquement à l'aide de l'interface de l'éditeur
graphique disponible dans le portail Azure.

● Textuel. Vous pouvez créer et modifier des runbooks textuels soit à l'aide de l'éditeur de texte disponible dans le portail
Azure, soit en utilisant n'importe quel outil externe et en les important par la suite dans Azure.

Les runbooks graphiques simplifient la mise en œuvre des runbooks et des workflows PowerShell. Pour les flux de travail, ils offrent
des éléments visuels intégrés représentant les points de contrôle et le traitement parallèle.

Votre choix de type de runbook est important car vous ne pouvez pas effectuer de conversion entre les types graphique et textuel.
Cependant, vous pouvez effectuer une conversion entre les runbooks graphiques PowerShell et les workflows graphiques
PowerShell lors de leur importation dans un compte Automation. Cependant, les runbooks basés sur le flux de travail PowerShell
prennent plus de temps à démarrer car ils doivent d'abord être compilés.

En plus de la création, vous avez également la possibilité d'exporter et d'importer des runbooks, ce qui offre une
méthode pratique pour les copier entre les comptes Automation. Cette approche est disponible pour les
runbooks graphiques et textuels.
116 Module 3 Faciliter la gestion hybride et la surveillance opérationnelle dans les scénarios hybrides

Gérer les runbooks Azure Automation


Tout runbook résidant dans un compte Automation a un statut de création spécifique, en fonction de son stade de
développement:

● Un runbook nouvellement créé que vous n'avez pas encore publié se voit attribuer le Nouveau statut de création automatiquement.

Dans cette étape, vous pouvez le modifier et le tester, mais vous ne pouvez pas planifier son exécution. Vous n'avez pas non plus la

possibilité d'annuler les modifications que vous enregistrez.

● Une fois le test terminé avec succès sur un runbook, vous pouvez le publier, ce qui attribue automatiquement le Publié
statut de création. Il s'agit du statut typique d'un runbook prêt pour la production. À ce stade, vous pouvez
planifier son exécution. Vous pouvez également démarrer un runbook publié en soumettant une requête HTTP
POST à une URL appelée webhook. Vous créez un webhook à l'aide du portail Azure ou d'Azure PowerShell.

● Si vous décidez de mettre à jour un runbook publié et de l'ouvrir dans l'éditeur textuel ou graphique, il se verra
attribuer le En édition statut. Cet état vous permet de le modifier et de le tester, et les modifications que vous
enregistrez n'affectent pas la version publiée. En outre, vous avez la possibilité de rétablir la version modifiée à
la version publiée.

À tester un runbook, dans le portail Azure utiliser l'éditeur graphique ou textuel Test blade dans le portail Azure.
Le test vous permet de valider le fonctionnement du runbook avant de rendre le runbook disponible pour utilisation.
Cela permet de tester le runbook sans remplacer une version publiée existante du runbook. Selon le type de
runbook, vous pouvez lancer le test à partir de l'éditeur graphique ou textuel et surveiller ses résultats dans le Production
lame. Cependant, sachez que lors d'un test, le runbook édité exécutera ses activités.

Après avoir validé un runbook, vous pouvez le publier directement à partir de l'éditeur graphique ou textuel dans le portail Azure. À ce
stade, vous pouvez le lier à une ou plusieurs planifications avec différents paramètres de récurrence (une fois, toutes les heures et
tous les jours) et une date d'expiration. Vous avez la possibilité d'activer ou de désactiver des planifications individuelles sans affecter
les autres liées au même runbook. Vous pouvez également modifier n'importe lequel des paramètres d'entrée et des paramètres
d'exécution du runbook.

Vous avez également la possibilité d'exécuter un runbook publié à la demande. L'appel de l'exécution crée un travail
d'automatisation. Un travail d'automatisation représente une seule exécution d'un runbook. Vous pouvez exécuter
plusieurs instances du même runbook simultanément ou selon des calendriers qui se chevauchent.

Vue d'ensemble d'Azure Automation et DSC


PowerShell DSC est une technologie qui implémente la gestion déclarative de la configuration via une combinaison
de scripts PowerShell et de fonctionnalités du système d'exploitation. Windows PowerShell DSC repose sur le
composant Local Configuration Manager (LCM), qui sert de moteur d'exécution des scripts Windows PowerShell DSC.
LCM est chargé de coordonner la mise en œuvre des paramètres définis dans les scripts DSC et de surveiller leur état
en cours. Comme DSC, LCM fait partie intégrante de toutes les versions actuellement prises en charge de Windows
Server.

La propriété DSC LCM ConfigurationMode prend l'une des trois valeurs possibles, qui détermine la façon dont LCM
gère les scripts PowerShell DSC:

● Appliquer uniquement. LCM n'exécute le script qu'une seule fois.

● ApplyAndMonitor. LCM exécute le script une seule fois, mais surveille ensuite la configuration résultante et enregistre toute
dérive de configuration dans les journaux.

● ApplyAndAutoCorrect. LCM exécute le script à intervalles réguliers, corrigeant automatiquement toute dérive de
configuration.
Automatisation Azure 117

Vous pouvez déployer la configuration DSC en mode push ou pull. Le mode push implique l'appel du déploiement à partir
d'un ordinateur de gestion sur un ou plusieurs ordinateurs gérés. En mode d'extraction, les ordinateurs gérés agissent
indépendamment en obtenant des données de configuration à partir d'un emplacement désigné, appelé serveur
d'extraction. Azure Automation comprend un serveur d'extraction DSC géré et résident Azure qui vous permet de stocker
des configurations DSC et d'intégrer des ordinateurs gérés auxquels ces configurations doivent s'appliquer. Les ordinateurs
gérés peuvent inclure des ordinateurs sur site et des machines virtuelles (VM) hébergées par d'autres fournisseurs de cloud.

Implémentation d'Azure Automation DSC


Avec DSC, vous pouvez définir l'état souhaité d'un système d'exploitation ou d'une application. Son implémentation
commence par la création d'un script de configuration (.ps1) qui décrit l'état souhaité. Vous pouvez également créer une
configuration en combinant des blocs de configuration prédéfinis appelés matériaux composites, qui sont inclus dans
chaque compte Azure Automation. Vous pouvez ajouter la configuration au compte Automation à l'aide du portail Azure
ou d'Azure PowerShell. Les scripts de configuration peuvent référencer les actifs d'automatisation.

L'étendue des fonctionnalités que vous pouvez gérer avec Azure Automation DSC dépend des ressources DSC disponibles
dans le compte Automation. Un ensemble intégré de ressources correspond à ceux du PowerShell DSC standard, mais il est
également possible d'importer des ressources supplémentaires en téléchargeant des modules d'intégration PowerShell
contenant leurs définitions. La fonctionnalité de téléchargement est disponible à partir du portail Azure et à l'aide d'Azure
PowerShell.

Après avoir créé un script de configuration, vous devez le compiler, ce que vous effectuez dans le portail Azure. La
compilation génère un ou plusieurs fichiers .mof contenant des configurations applicables aux nœuds cibles. Ces fichiers sont
automatiquement téléchargés sur un serveur d'extraction DSC. Cependant, pour que ces configurations prennent effet, vous
devez ajouter (ou à bord, dans la nomenclature DSC) les ordinateurs cibles en tant que nœuds gérés par DSC dans votre
compte Automation. Vous pouvez effectuer le processus d'intégration à partir du portail Azure ou à l'aide d'Azure PowerShell.

Dans le cadre de l'intégration, vous devrez spécifier les paramètres d'inscription, notamment:

● Nom de la configuration du nœud. Ce paramètre spécifie le nom du nœud de configuration.

● Rafraîchir la fréquence. Ce paramètre détermine la fréquence à laquelle les nœuds communiquent avec leur serveur d'extraction

DSC.

● Fréquence du mode de configuration. Ce paramètre détermine la fréquence à laquelle les nœuds appliquent le mode de configuration à

leurs ressources locales.

● Mode de configuration. Cela peut être réglé sur ApplyAndMonitor, ApplyOnly, ou alors ApplyAndAutoCorrect.

Lors de l'utilisation d'Azure PowerShell pour l'intégration des nœuds, vous devrez également fournir:

● URL d'inscription. Ce paramètre est disponible à partir du Clés lame du compte Automation dans le portail Azure.

● Clé d'accès principale ou secondaire d'enregistrement de compte d'automatisation. Ce paramètre est également disponible à
partir du Clés Blade dans le compte Automation dans le portail Azure.

Mettre en œuvre Azure Automation dans des scénarios hybrides

Azure Automation a un accès direct aux services hébergés par Microsoft Azure. Pour qu'Azure Automation
gère les ressources locales de la même manière, vous devez ouvrir les réseaux locaux au trafic entrant
provenant d'Azure. Cependant, cette approche ne serait pas acceptable du point de vue de la sécurité.
118 Module 3 Faciliter la gestion hybride et la surveillance opérationnelle dans les scénarios hybrides

point. Au lieu de cela, Azure Automation propose une approche alternative, qui consiste à configurer un ou plusieurs
ordinateurs locaux en tant que travailleurs de runbook hybrides en installant un agent sur chacun d'eux. Chaque agent
établit ensuite des connexions sortantes et persistantes vers Azure via le port TCP (Transmission Control Protocol)
443.

Pour garantir la résilience et l'évolutivité, vous déployez généralement des nœuds de calcul hybrides dans des groupes, bien qu'il
soit possible d'avoir un seul nœud de calcul. Vous référencez ensuite le nom du groupe lorsque vous démarrez un runbook. Azure
Automation désigne automatiquement l'un des membres du groupe pour exécuter le travail correspondant. Pour gérer les
membres du groupe de travail des runbooks hybrides à l'aide d'Azure Automation DSC, vous devez les configurer en tant que
nœuds DSC.

Tous les serveurs exécutant la version prise en charge de Windows Server peuvent héberger Hybrid Runbook Worker. Pour
implémenter l'agent, vous utilisez le même agent Log Analytics que vous avez découvert précédemment dans ce module. L'agent
Log Analytics, à son tour, nécessite un espace de travail Log Analytics lié au compte Azure Automation dans lequel vous avez défini
des runbooks et des configurations PowerShell DSC.

Pour configurer le lien entre l'espace de travail Log Analytics et le compte Azure Automation, vous devez tenir compte de
leurs emplacements. Ces emplacements doivent correspondre aux mappages documentés par Microsoft. Pour déterminer
l'emplacement correct, déterminez d'abord la région Azure dans laquelle vous avez l'intention de créer l'espace de travail, qui
doit être relativement proche de l'emplacement des serveurs que vous avez l'intention de gérer. Ensuite, reportez-vous à la
liste des mappages pris en charge et identifiez la région Azure appropriée qui hébergera le compte Azure Automation.

Noter: Pour obtenir la liste des mappages entre les espaces de travail Log Analytics et les comptes Azure Automation,
reportez-vous à Régions prises en charge pour l'espace de travail Log Analytics lié 16 .

Noter: Vous avez également la possibilité d'implémenter des comptes Azure Automation et des Runbook Workers hybrides
sur des serveurs Linux.

L'agent Log Analytics communique avec Azure Automation et Log Analytics. L'agent Log Analytics fournit des
composants d'automatisation de base, qui incluent des runbooks et les paramètres d'exécution et les instructions qui
leur sont associés. Azure Automation et Log Analytics gèrent la surveillance et la maintenance des agents. L'agent est
responsable de la récupération et de l'exécution des runbooks affectés à son groupe avec tous les actifs associés, de
l'exécution des travaux correspondants et de la communication des résultats à Azure Automation.

Le processus de déploiement d'un Runbook Worker hybride comprend les tâches suivantes:

1. Créez un espace de travail Log Analytics ou identifiez-en un existant.

2. Créez un compte Azure Automation dans la région Azure qui correspond à la région contenant l'espace de travail
Log Analytics.

3. Installez l'agent Log Analytics sur l'ordinateur local exécutant Windows Server qui hébergera le rôle
Hybrid Runbook Worker.

À installez l'agent Log Analytics, vous pouvez automatiser le processus en utilisant le Nouveau-OnPremiseHybrid-
Worker.ps1 script, qui peut être téléchargé à partir de PowerShell Gallery. Dans le cadre de l'exécution du script,
vous devrez fournir plusieurs paramètres, notamment:

● Informations d'identification pour s'authentifier auprès de l'abonnement Azure qui héberge le compte Azure
Automation et Log Analytics.

● Valeurs identifiant:

● Abonnement Azure

16 https://aka.ms/region-mappings
Automatisation Azure 119

● Locataire Azure Active Directory (Azure AD) correspondant

● Espace de travail Log Analytics

● Compte d'automatisation

● Groupe de travail des runbooks hybrides

Vous pouvez également installer d'abord l'agent Log Analytics, puis exécuter le Ajouter-HybridRunbookWorker
L'applet de commande PowerShell, qui fait partie du module HybridRegistration.psd1 inclus dans l'installation de
l'agent Log Analytics. En tant que paramètre de l'applet de commande, vous devez fournir le nom du groupe auquel
le Hybrid Runbook Worker deviendra membre. Si le groupe n'existe pas, il sera créé à ce stade. Les paramètres
restants incluent l'URL du compte Automation et l'une de ses clés d'accès, que vous pouvez récupérer à partir du Compte
d'automatisation blade dans le portail Azure.

Pour appeler l'exécution d'un runbook Azure Automation sur un ordinateur local avec le rôle Hybrid Runbook
Worker, vous devez spécifier le Courir et spécifiez le nom du groupe de travail des runbooks hybrides cible comme
valeur. Vous spécifiez le Courir option soit via l'interface du portail Azure, soit en incluant le - RunOn paramètre lors
de l'utilisation du Applet de commande Start-AzureAutomationRunbook. En outre, gardez à l'esprit que vous
devrez peut-être préinstaller les modules PowerShell sur lesquels le runbook s'appuie pendant son exécution, car
ils ne sont pas automatiquement déployés sur l'ordinateur cible.

Démonstration: implémenter Azure Automation dans des


scénarios hybrides
Dans cette démonstration, vous apprendrez à implémenter Microsoft Azure Automation dans des scénarios hybrides.

Conditions préalables
Pour compléter cette démonstration, vous avez besoin:

● Un abonnement Azure.

● Un compte avec le rôle Contributeur ou Propriétaire dans l'abonnement Azure.

Démonstration étapes
1. Connectez-vous au portail Azure à l'aide d'un compte avec le rôle de propriétaire ou de contributeur à l'abonnement
Azure que vous utilisez dans la démo.

2. Dans le portail Azure, créez un espace de travail Log Analytics en suivant les étapes décrites dans Créer un espace de
travail Log Analytics dans le portail Azure 17 .

3. Dans le portail Azure, créez un compte Azure Automation en suivant les étapes décrites dans Créer un compte
Azure Automation 18 . Assurez-vous que l'emplacement du compte Azure Automation et de l'espace de travail Log
Analytics correspond à l'un des mappages définis dans Régions prises en charge pour l'espace de travail Log
Analytics lié 19 .

Mettre en œuvre le suivi des modifications et l'inventaire


Azure Automation dans Microsoft Azure inclut la fonctionnalité de suivi des modifications et d'inventaire. Le suivi des
modifications et l'inventaire suivent l'inventaire de votre environnement géré, à la fois sur site et dans le

17 https://aka.ms/quick-create-workspace
18 https://aka.ms/automation-quickstart-create-account
19 https://aka.ms/region-mappings
120 Module 3 Faciliter la gestion hybride et la surveillance opérationnelle dans les scénarios hybrides

cloud et identifie toute modification de son état. Les composants Windows Server suivis par cette solution incluent les
logiciels installés localement, les fichiers aux emplacements que vous désignez, les clés de registre et les services.

Le suivi des modifications et l'inventaire exploitent les données collectées par Azure Monitor et stockées dans l'espace de
travail Log Analytics désigné. Comme indiqué précédemment, la collecte de données est mise en œuvre en installant l'agent
Log Analytics, qui enregistre les ordinateurs gérés avec l'espace de travail Log Analytics et y télécharge en permanence les
données collectées localement. Les exigences de connectivité réseau correspondent à celles applicables aux autres
fonctionnalités basées sur l'agent Log Analytics, qui impliquent toutes un trafic sortant vers Azure via le port 443 du protocole
TCP (Transmission Control Protocol).

Noter: Le suivi des modifications et l'inventaire ne suivent pas les fichiers exécutables (* .exe).

Tout comme la fonctionnalité Hybrid Runbook Worker décrite dans la rubrique précédente, les solutions de suivi des
modifications et d'inventaire nécessitent de lier l'espace de travail Log Analytics d'Azure Monitor qui contiendra les données
collectées avec leur compte Azure Automation. Cela signifie également qu'il est important de prendre en compte le choix de
l'emplacement pour le compte Azure Automation et l'espace de travail Log Analytics correspondant. Ce choix doit suivre les
mappages documentés par Microsoft.

Pour déterminer le meilleur emplacement, déterminez d'abord la région Azure dans laquelle vous prévoyez de créer
l'espace de travail, qui doit être relativement proche de l'emplacement des serveurs que vous souhaitez gérer. Ensuite,
reportez-vous à la liste des mappages pris en charge et identifiez la région Azure appropriée qui hébergera le compte
Azure Automation.

Noter: Pour obtenir la liste des mappages entre les espaces de travail Log Analytics et les comptes Azure Automation,
reportez-vous à Régions prises en charge pour l'espace de travail Log Analytics lié 20 .

Un résumé de la collecte de données d'inventaire et de suivi des modifications est disponible directement dans le portail Azure
Automatisation Azure lame. Ce panneau fournit également des détails sur les modifications individuelles apportées aux fichiers, au registre,

au logiciel et aux services, ainsi que les événements correspondants. En outre, pour tout fichier dans la portée, vous pouvez afficher les

modifications de son contenu côte à côte, ce qui simplifie la tâche d'identification de l'étendue de ces modifications.

La fréquence de la collecte de données dépend du type de composant surveillé et est soumise à des limites
d'éléments suivis, appliquées sur la base de chaque ordinateur. Les deux tableaux suivants décrivent ces fréquences
et limites.

Tableau 1: Changer la fréquence de suivi

Changer le type La fréquence

Registre Windows 50 minutes


Fichier Windows 30 minutes
Services Microsoft 10 secondes à 30 minutes, avec 30 minutes par
défaut
Logiciel Windows 30 minutes

Tableau 2: Modifier les limites des éléments de suivi

Type de ressource Limite

Registre Windows 500


Fichier Windows 250
Services Microsoft 250
Logiciel Windows 250

Vous pouvez activer le suivi des modifications et l'inventaire directement à partir du compte Azure Automation à condition
que vous disposiez d'un espace de travail Log Analytics existant dans une région Azure conforme aux mappages requis.

20 https://aka.ms/region-mappings
Automatisation Azure 121

référencés précédemment dans cette rubrique. Une fois la solution activée, vous avez ensuite la possibilité de
sélectionner des ordinateurs locaux exécutant l'agent Log Analytics et inscrits dans l'espace de travail Log
Analytics associé au compte Azure Automation.

Testez vos connaissances


Utilisez les questions suivantes pour vérifier ce que vous avez appris dans cette leçon.

question 1
Laquelle des affirmations suivantes concernant les runbooks Azure Automation est vraie?

?? Vous pouvez convertir un runbook graphique PowerShell en un runbook PowerShell textuel.

?? Vous pouvez convertir un runbook graphique PowerShell en un flux de travail graphique PowerShell.

?? Les runbooks basés sur des scripts PowerShell prennent plus de temps à démarrer.

?? Un runbook dans le nouvel état de création peut être modifié, exécuté et planifié.

question 2
Laquelle des fonctionnalités suivantes est commune aux flux de travail PowerShell à partir de scripts PowerShell?

?? La possibilité d'exécuter des groupes de commandes en parallèle

?? La possibilité de récupérer automatiquement des pannes

?? Prise en charge des runbooks Azure Automation

?? Dépendance à Microsoft .NET Framework

question 3
Quels sont les deux langages de script ou de programmation que vous pouvez utiliser lors de la création de runbooks Azure Automation?

?? Windows PowerShell

?? C #

?? VBScript

?? Java

?? Python 2
122 Module 3 Faciliter la gestion hybride et la surveillance opérationnelle dans les scénarios hybrides

Laboratoire et revue du module 03

Atelier: Utilisation de Windows Admin Center dans des scénarios


hybrides

Scénario
Pour résoudre les problèmes liés à un modèle opérationnel et de gestion cohérent, quel que soit l'emplacement des
systèmes gérés, vous testerez les fonctionnalités de Windows Admin Center dans l'environnement hybride contenant
différentes versions du système d'exploitation Windows Server s'exécutant sur site et dans les machines virtuelles Azure.

Votre objectif est de vérifier que Windows Admin Center peut être utilisé de manière cohérente quel que soit
l'emplacement des systèmes gérés.

Objectifs
Après avoir terminé cet atelier, vous serez en mesure de:

● Testez la connectivité hybride à l'aide de l'adaptateur réseau Azure.

● Déployez la passerelle Windows Admin Center dans Azure.

● Vérifiez la fonctionnalité de la passerelle Windows Admin Center dans Azure.

Durée estimée: 90 minutes

Revue du module
Utilisez les questions suivantes pour vérifier ce que vous avez appris dans ce module.

question 1
Quelle ressource Azure devez-vous provisionner avant de pouvoir créer un adaptateur réseau Azure à l'aide de
Windows Admin Center?

?? Un réseau virtuel Azure

?? Le sous-réseau de la passerelle

?? Une passerelle VPN Azure

?? Un coffre de clés Azure


Laboratoire et revue du module 03 123

question 2
Laquelle des tâches suivantes peut être effectuée sur une machine virtuelle locale exécutant Windows Server 2019 en
tirant parti de la fonctionnalité Azure Arc?

?? Appliquer un verrou de ressource Azure

?? Connectez une carte réseau

?? Créer un disque géré

?? Configurer le fuseau horaire

question 3
Quels sont les deux services Azure requis pour implémenter le suivi des modifications basé sur Azure et l'inventaire
des ordinateurs Windows Server 2019 locaux?

?? Centre de sécurité Azure

?? Moniteur Azure

?? Automatisation Azure

?? Azure Sentinel

?? Azure Key Vault

Question 4
Quel composant devez-vous installer sur un ordinateur local exécutant Windows Server 2019 pour le gérer à
l'aide de la configuration de l'état souhaité d'Azure Automation?

?? Centre d'administration Windows

?? Gestionnaire de configuration local

?? Agent de dépendance

?? Agent Log Analytics


124 Module 3 Faciliter la gestion hybride et la surveillance opérationnelle dans les scénarios hybrides

Réponses
question 1

Quel type de technologie réseau est implémenté à l'aide de l'adaptateur réseau Azure?

■ VPN P2S

?? VPN S2S

?? Lien privé

?? Point de terminaison de service

Explication
L'adaptateur réseau Azure est une méthode pratique pour provisionner une ressource de passerelle VPN dans un sous-réseau de
passerelle de réseau virtuel Azure et établir une connexion VPN point à site vers cette passerelle.

question 2

Quel est le principal défi que le réseau étendu Azure vous permet de résoudre?

■ Connectivité hybride entre les réseaux avec des espaces d'adresses IP qui se chevauchent

?? Connectivité hybride entre les réseaux avec des espaces d'adresses IP qui ne se chevauchent pas

?? Routage inter-sites entre des ordinateurs avec des adresses IP correspondantes

?? Connectivité point à site entre les ordinateurs locaux et un réseau virtuel Azure

Explication
Azure Extended Network vous offre la possibilité de conserver l'adressage IP d'origine de tout ordinateur que vous migrez vers
Azure en offrant la possibilité d'étendre les sous-réseaux de réseau sur site dans un sous-réseau de réseau virtuel Azure afin
qu'ils aient des espaces d'adressage IP correspondants. Pour ce faire, il implémente deux routeurs Windows Server 2019. Le
premier routeur est hébergé sur un serveur physique ou une machine virtuelle (VM) s'exécutant sur site, et le deuxième routeur
est sur une machine virtuelle Azure. Les routeurs gèrent la connectivité entre deux sous-réseaux avec une plage d'adresses IP
correspondante.

question 3

Quelle ressource devez-vous créer pour inscrire Windows Admin Center avec Azure?

?? Une identité managée Azure Active Directory

■ Un objet d'application Azure Active Directory

?? Un coffre de clés Azure

?? Une attribution de rôle de contrôle d'accès basé sur les rôles Azure

Explication
Pour inscrire Windows Admin Center avec Azure, vous devez créer un objet d'application Azure Active
Directory.
Laboratoire et revue du module 03 125

question 1

Quel composant logiciel devez-vous déployer sur un ordinateur local pour pouvoir lui appliquer une
stratégie Azure?

■ Agent Azure Connected Machine

?? Agent de dépendance Azure

?? Centre d'administration Windows

?? Extension de script personnalisé Azure VM

Explication
Azure Arc vous permet d'étendre certaines fonctionnalités d'Azure Policy aux systèmes d'exploitation des ordinateurs exécutés
dans des centres de données sur site ou hébergés par des fournisseurs de cloud tiers. L'activation de cette fonctionnalité
nécessite l'installation de l'agent Azure Connected Machine sur chaque ordinateur dans le cadre de la gestion.

question 2

Lequel des modes suivants désigne le mode de contrôle d'accès par défaut actuel appliqué lors de l'accès aux
journaux Log Analytics à partir de la lame d'une ressource individuelle?

?? contexte de l'espace de travail

?? contexte de ressource

?? nécessitent des autorisations d'espace de travail

■ utiliser les autorisations de ressource ou d'espace de travail

Explication
Le mode de contrôle d'accès avec utiliser le mode d'autorisations de ressource ou d'espace de travail est basé sur les autorisations au niveau de l'espace

de travail lors du fonctionnement dans le contexte de l'espace de travail et sur les autorisations au niveau des ressources lors du fonctionnement dans

le contexte de la ressource. Il s'agit du paramètre par défaut pour tous les espaces de travail créés après mars 2019.

question 3

Quels fournisseurs de ressources doivent être activés dans un abonnement Azure pour déployer des extensions de machine
virtuelle Azure sur des ordinateurs locaux exécutant Windows Server et Linux?

■ Microsoft.HybridCompute

?? Microsoft.Automatisation

?? Microsoft.ClassicCompute

■ Microsoft.GuestConfiguration

?? Microsoft.AppConfiguration

Explication
La possibilité de déployer des extensions de machine virtuelle Azure sur des ordinateurs locaux exécutant Windows Server et
Linux dépend de l'activation des fournisseurs de ressources Microsoft.HybridCompute et Microsoft.GuestConfiguration dans
l'abonnement Azure contenant les objets ordinateur des serveurs que vous prévoyez de gérer.
126 Module 3 Faciliter la gestion hybride et la surveillance opérationnelle dans les scénarios hybrides

question 1

Lequel des éléments suivants ne peut PAS être utilisé directement pour définir des groupes d'ordinateurs dans un espace de travail Log Analytics?

?? Groupes de services de domaine Active Directory

?? Groupes Windows Server Update Services

?? Groupes Microsoft Endpoint Configuration Manager

■ Groupes d'appareils Azure Active Directory

Explication
Lors de la configuration de l'espace de travail Log Analytics, dans le cadre de ses paramètres avancés, vous pouvez définir des groupes
d'ordinateurs. Les groupes d'ordinateurs peuvent constituer l'un des critères des requêtes Log Analytics, vous permettant de restreindre la
portée des résultats à un sous-ensemble de serveurs en fonction de leur appartenance à un groupe. Les groupes d'ordinateurs sont basés
sur les informations collectées à partir des ordinateurs cibles, y compris les groupes des services de domaine Active Directory (AD DS), les
groupes Windows Server Update Services (WSUS) et les groupes Microsoft Endpoint Configuration Manager.

question 2

Pendant combien de temps les données Service Map sont-elles stockées dans un espace de travail Azure Log Analytics?

?? 7 jours

?? 15 jours

■ 30 jours

?? 93 jours

Explication
Les données de Service Map sont stockées pendant 30 jours dans un espace de travail Log Analytics.

question 3

Quels sont les deux composants logiciels requis pour implémenter Azure Monitor Service Map pour les ordinateurs
locaux?

?? Agent de machine connectée

■ Agent Azure Log Analytics

■ Agent de dépendance Azure

?? Extension de configuration d'état souhaité de machine virtuelle Azure

?? Extension de script personnalisé Azure VM

Explication
Pour implémenter Service Map, vous devez déployer l'agent Log Analytics et l'agent Dependency. L'agent de dépendance
surveille tous les processus connectés au protocole TCP (Transmission Control Protocol) sur les serveurs surveillés, y
compris les connexions entrantes et sortantes pour chaque processus local.
Laboratoire et revue du module 03 127

question 1

Laquelle des affirmations suivantes concernant les runbooks Azure Automation est vraie?

?? Vous pouvez convertir un runbook graphique PowerShell en un runbook PowerShell textuel.

■ Vous pouvez convertir un runbook graphique PowerShell en un flux de travail graphique PowerShell.

?? Les runbooks basés sur des scripts PowerShell prennent plus de temps à démarrer.

?? Un runbook dans le nouvel état de création peut être modifié, exécuté et planifié.

Explication
Votre choix de type de runbook est important car vous ne pouvez pas effectuer de conversion entre les types graphique et textuel.
Cependant, vous pouvez effectuer une conversion entre les runbooks graphiques PowerShell et les workflows graphiques PowerShell lors
de leur importation dans un compte Automation. Cependant, les runbooks basés sur les flux de travail PowerShell prennent plus de temps
à démarrer, car ils doivent d'abord être compilés.

question 2

Laquelle des fonctionnalités suivantes est commune aux flux de travail PowerShell à partir de scripts PowerShell?

?? La possibilité d'exécuter des groupes de commandes en parallèle

?? La possibilité de récupérer automatiquement des pannes

■ Prise en charge des runbooks Azure Automation

?? Dépendance à Microsoft .NET Framework

Explication
Un runbook représente une collection de tâches qui exécutent un processus personnalisé. Vous implémentez des runbooks à l'aide de scripts
PowerShell, de scripts Python 2 ou de flux de travail Windows PowerShell.

question 3

Quels sont les deux langages de script ou de programmation que vous pouvez utiliser lors de la création de runbooks Azure Automation?

■ Windows PowerShell

?? C #

?? VBScript

?? Java

■ Python 2

Explication
Azure Automation s'appuie sur des scripts et des flux de travail pour implémenter des runbooks qui exécutent ces tâches. Cela vous donne
la flexibilité d'automatiser presque toutes les procédures non interactives et de les script avec Azure PowerShell ou Python 2.
128 Module 3 Faciliter la gestion hybride et la surveillance opérationnelle dans les scénarios hybrides

question 1

Quelle ressource Azure devez-vous provisionner avant de pouvoir créer un adaptateur réseau Azure à l'aide de
Windows Admin Center?

■ Un réseau virtuel Azure

?? Le sous-réseau de la passerelle

?? Une passerelle VPN Azure

?? Un coffre de clés Azure

Explication
Le centre d'administration fournit une interface qui simplifie la plupart des étapes nécessaires pour établir la création de
l'adaptateur réseau Azure. Cela inclut la possibilité de générer une racine auto-signée et des certificats client nécessaires pour
sécuriser les tunnels VPN, ou d'utiliser un certificat émis par une autorité de certification (CA) interne ou publique. Avant de
pouvoir créer un adaptateur réseau Azure, vous devez d'abord inscrire votre instance Windows Admin Center auprès d'Azure.
Vous devez également provisionner ou disposer d'un réseau virtuel cible existant.

question 2

Laquelle des tâches suivantes peut être effectuée sur une machine virtuelle locale exécutant Windows Server
2019 en tirant parti de la fonctionnalité Azure Arc?

?? Appliquer un verrou de ressource Azure

?? Connectez une carte réseau

?? Créer un disque géré

■ Configurer le fuseau horaire

Explication
Depuis juillet 2020, Azure Arc prend en charge l'audit basé sur des règles Azure des ressources locales pour valider des paramètres tels que les

configurations du système d'exploitation, des applications et des paramètres d'environnement, y compris la possibilité de configurer le fuseau

horaire sur le système d'exploitation Windows. Il prend également en charge le déploiement d'extensions de machine virtuelle Azure sur des

machines virtuelles non Azure exécutant des systèmes d'exploitation Windows Server et Linux.

question 3

Quels sont les deux services Azure requis pour implémenter le suivi des modifications basé sur Azure et l'inventaire
des ordinateurs Windows Server 2019 locaux?

?? Centre de sécurité Azure

■ Moniteur Azure

■ Azure Automation

?? Azure Sentinel

?? Azure Key Vault

Explication
Les solutions de suivi des modifications et d'inventaire nécessitent de lier l'espace de travail Log Analytics d'Azure Monitor qui
contiendra les données collectées avec leur compte Azure Automation.
Laboratoire et revue du module 03 129

Question 4

Quel composant devez-vous installer sur un ordinateur local exécutant Windows Server 2019 pour le gérer à
l'aide de la configuration de l'état souhaité d'Azure Automation?

?? Centre d'administration Windows

?? Gestionnaire de configuration local

?? Agent de dépendance

■ Agent Log Analytics

Explication
Azure Automation vous permet de configurer un ou plusieurs ordinateurs locaux en tant que nœuds de calcul
hybrides en y installant l'agent Log Analytics.
Module 4 Implémentation de solutions de sécurité dans des
scénarios hybrides

Centre de sécurité Azure

Aperçu de la leçon
Pour relever les défis de sécurité uniques qu'un environnement hybride présente, tels que les services en évolution rapide, les
attaques sophistiquées et l'augmentation de la charge de travail, vous avez besoin d'outils pour vous aider à évaluer votre état de
sécurité et à identifier les risques. Idéalement, vous souhaitez déployer ces outils avec un minimum d'effort. Security Center peut vous
aider à répondre à toutes ces exigences.
Dans cette leçon, vous découvrirez les fonctionnalités de Security Center dans les scénarios hybrides et les étapes de sa mise en
œuvre.

Objectifs de la leçon
Après cette leçon, vous serez en mesure de:

● Décrivez les principales fonctionnalités de Security Center pertinentes dans les scénarios hybrides.

● Décrivez la procédure d'intégration des systèmes sur site dans Security Center.

Vue d'ensemble d'Azure Security Center


Security Center est un outil basé sur le cloud pour gérer la sécurité de votre cloud et de votre infrastructure sur site. Grâce
aux fonctionnalités de Security Center, vous pouvez:

● Améliorez votre position de sécurité. Utilisez Security Center pour mettre en œuvre les meilleures pratiques de sécurité dans votre

infrastructure en tant que service (IaaS), plateforme en tant que service (PaaS), données et ressources sur site. En plus des meilleures

pratiques en matière de sécurité, vous pouvez également suivre la conformité aux normes réglementaires.

● Protégez votre environnement. Surveillez les menaces de sécurité sur votre cloud et vos serveurs sur site, notamment en
identifiant les erreurs de configuration et en fournissant une détection et une réponse des points de terminaison de serveur
(EDR) avec Microsoft Defender Advanced Threat Protection (ATP).
132 Module 4 Implémentation de solutions de sécurité dans des scénarios hybrides

● Protégez vos données. Identifiez les activités suspectes sur vos serveurs, fichiers, bases de données, entrepôts de données et comptes de

stockage, y compris les violations de données potentielles. Security Center peut également effectuer une classification automatique des

données dans vos bases de données Azure SQL.

Fonctionnement de Security Center dans les environnements hybrides


Outre les fonctionnalités de Security Center pour surveiller et protéger Azure IaaS, PaaS et les ressources de données, il
protège également les serveurs en dehors d'Azure. L'agent Azure Log Analytics s'installe sur des machines virtuelles (VM) de
serveurs Windows Server et Linux sur site et des machines virtuelles cloud non Azure, et il collecte les données dont Security
Center a besoin pour surveiller et gérer ces ressources.

Security Center collecte les événements du journal des événements et le suivi des événements pour les événements Windows à partir des

agents, et il analyse les configurations liées à la sécurité et les événements natifs dans Azure. L'agent Log Analytics collecte également les

vidages sur incident lorsque les applications échouent, et il active l'audit de ligne de commande. Il analyse ces sources de données et génère une

liste personnalisée des tâches de renforcement qu'il vous recommande d'effectuer, et il génère des alertes de sécurité qui peuvent être

envoyées à votre solution de gestion des informations et des événements de sécurité (SIEM).

En plus de l'agent Log Analytics, le capteur Defender ATP est automatiquement activé sur les ordinateurs
Windows Server intégrés à Security Center.

Notifications
L'une des premières choses à faire lors de l'intégration à Security Center est de fournir des informations de contact pour vous avertir

lorsque Security Center détecte des ressources compromises. Fournissez une adresse e-mail et un numéro de téléphone en sélectionnant Notifications

par email sur le Tarifs et paramètres page dans Security Center. Choisissez si vous souhaitez recevoir des alertes pour les événements de

gravité élevée et si tous les utilisateurs avec un rôle de propriétaire dans l'abonnement reçoivent des notifications.

Couverture des fonctionnalités de Security Center pour les machines virtuelles


Security Center fournit une grande variété de fonctionnalités, dont certaines sont disponibles pour les machines virtuelles Azure et les

services PaaS dans le cadre du niveau de service gratuit, et certaines ne sont disponibles que dans le cadre du niveau Standard. Seules

certaines fonctionnalités s'appliquent aux serveurs et aux machines virtuelles sur site, et celles qui nécessitent le niveau Standard. Le tableau

suivant répertorie les fonctionnalités et les niveaux de service requis.

Tableau 1: Fonctionnalités prises en charge pour les machines virtuelles et les serveurs

Fonctionnalité Machines virtuelles Azure Serveurs sur site et machines

Évaluation de la protection des terminaux Libérer virtuelles Standard

Système d'exploitation manquant Libérer Standard


évaluation des correctifs

Erreurs de configuration de la sécurité Libérer Standard


évaluation
Évaluation du chiffrement du disque Libérer Indisponible
Évaluation de la sécurité du réseau Libérer Indisponible
Évaluation de la vulnérabilité par un tiers Libérer Indisponible
ment
Analyse comportementale des VM et Recommandations gratuites, sécurité Recommandations gratuites, sécurité
alertes de sécurité alertes Standard alertes Standard
Contrôles d'application adaptatifs Standard Standard
Surveillance de l'intégrité des fichiers Standard Standard
Centre de sécurité Azure 133

Fonctionnalité Machines virtuelles Azure Serveurs sur site et machines

Alertes de sécurité sans fichier Standard virtuelles Standard

Défenseur ATP Standard Standard


Tableau de bord de conformité réglementaire Standard Standard
tableau et rapports
Contrôles réseau adaptatifs Standard Indisponible
Durcissement adaptatif du réseau Standard Indisponible
Accès aux machines virtuelles juste à temps Standard Indisponible
Évaluation de la vulnérabilité native Standard Indisponible
Carte du réseau Standard Indisponible
Alertes de sécurité basées sur le réseau Standard Indisponible

Activer Azure Security Center dans les environnements


hybrides
Accédez au tableau de bord Security Center à partir du portail Azure. Le niveau gratuit de Security Center est disponible dans tous les
abonnements.

Activer le niveau de tarification standard de Security Center


Pour utiliser les fonctionnalités avancées de Security Center ou pour l'utiliser avec des serveurs locaux, vous devez activer le niveau de

tarification Security Center Standard dans vos abonnements Azure. Les abonnements qui ne sont pas mis à niveau vers le niveau de tarification

Standard sont répertoriés dans le tableau de bord Security Center. Si vous avez déjà une valeur par défaut Analyse des journaux espace de

travail, vous devrez également le mettre à niveau vers le niveau de tarification Standard.

Activer l'approvisionnement automatique


Si vous activez le provisionnement automatique, Security Center installera l'agent Log Analytics sur vos machines virtuelles Azure existantes et

sur toutes les machines virtuelles Azure que vous créez à l'avenir. Lorsque vous activez l'approvisionnement automatique, choisissez de stocker

les données soit dans la valeur par défaut Analyse des journaux l'espace de travail créé par Security Center ou dans un espace de travail

existant. Si aucun espace de travail n'apparaît, créez-en un nouveau ou mettez à niveau un espace existant.

Intégrez vos serveurs et ordinateurs sur site


Après avoir mis à niveau Security Center vers le niveau Standard pour vos abonnements, intégrez vos ordinateurs
sur site. Pour cela, vous devez télécharger l'agent Log Analytics et l'installer sur les ordinateurs.

Lecture supplémentaire: Pour plus d'informations sur l'installation de l'agent Log Analytics, reportez-vous à Présentation de
l'agent Log Analytics 1 .

Intégrez des serveurs et des ordinateurs Windows à Defender ATP

La protection contre les menaces dans Security Center est fournie par son intégration avec Microsoft Defender
Advanced Threat Protection (ATP). Defender ATP et Security Center fournissent ensemble une solution complète de
détection et de réponse des points finaux (EDR).

1 https://aka.ms/log-analytics-agent
134 Module 4 Implémentation de solutions de sécurité dans des scénarios hybrides

Intégrez vos ordinateurs Windows Server 2019 ou Windows 10 à Defender ATP en utilisant:

● Un script local.

● Stratégie de groupe.

● Gestionnaire de configuration Microsoft Endpoint.

● Scripts d'intégration de l'infrastructure de bureau virtuel pour les machines non persistantes.

Lecture supplémentaire: Pour obtenir des instructions d'intégration détaillées, reportez-vous à Appareils intégrés au service
Microsoft Defender ATP 2 .

Testez vos connaissances


Utilisez les questions suivantes pour vérifier ce que vous avez appris dans cette leçon.

question 1
Lequel des éléments suivants n'est pas une fonctionnalité d'Azure Security Center?

?? Améliorez votre position de sécurité

?? Protégez votre environnement

?? Protégez vos données

?? Gérer les mises à jour du serveur

question 2
Que devez-vous faire pour intégrer des serveurs locaux à Security Center?

?? Passez au niveau de tarification Premium

?? Désactiver l'approvisionnement automatique

?? Désinstaller tous les logiciels antivirus

?? Installez l'agent Log Analytics

2 https://aka.ms/onboard-configure
Azure Sentinel 135

Azure Sentinel
Aperçu de la leçon
En plus d'évaluer et de résoudre les problèmes liés à la configuration de sécurité de votre environnement hybride, vous devez
également surveiller les nouveaux problèmes et menaces et réagir de manière appropriée. Microsoft Azure Sentinel est une
solution de gestion des informations et des événements de sécurité (SIEM) et d'orchestration, d'automatisation et de réponse
de la sécurité (SOAR) conçue pour les environnements hybrides.

Dans cette leçon, vous découvrirez les fonctionnalités de base de Sentinel et comment elles peuvent s'appliquer aux scénarios hybrides.

Objectifs de la leçon
Après cette leçon, vous serez en mesure de:

● Décrivez les fonctionnalités de Sentinel en ce qui concerne les scénarios hybrides et comment Sentinel peut s'intégrer aux
sources d'événements sur site et aux systèmes de gestion des incidents de sécurité.

● Décrivez comment implémenter la fonctionnalité Sentinel SIEM.

● Décrivez comment implémenter la fonction Sentinel SOAR.

Vue d'ensemble d'Azure Sentinel


Microsoft Azure Sentinel est un service de gestion des informations et des événements de sécurité (SIEM) et d'orchestration,
d'automatisation et de réponse (SOAR) basé sur le cloud. Les solutions SIEM fournissent le stockage et l'analyse des journaux, des
événements et des alertes générés par d'autres systèmes, et vous pouvez configurer ces solutions pour déclencher leurs propres
alertes. Les solutions SOAR prennent en charge la correction des vulnérabilités et l'automatisation globale des processus de sécurité.
Sentinel répond aux besoins des deux types de solutions à travers:

● Collecte de données sur les utilisateurs, les appareils, les applications et l'infrastructure basés sur le cloud et sur site.

● Utilisation de l'IA pour identifier les activités suspectes.

● Détecter les menaces avec moins de faux positifs.

● Répondre aux incidents rapidement et automatiquement.

Conditions préalables
Pour activer Sentinel, vous aurez besoin de:

● UNE Analyse des journaux l'espace de travail, qui est un environnement conçu pour stocker et interroger les données du journal, pour les données

envoyées à Sentinel. Sentinel ne peut pas utiliser la même chose Analyse des journaux espace de travail en tant qu'Azure Security Center.

● Autorisations de collaborateur ou supérieures dans l'abonnement et le groupe de travail de votre espace de travail Sentinel.

● Autorisations appropriées sur toutes les ressources que vous connectez à Sentinel.
136 Module 4 Implémentation de solutions de sécurité dans des scénarios hybrides

Connexions de données
Sentinel peut se connecter de manière native à Security Center, assurant ainsi une couverture pour votre cloud et vos serveurs sur site. La

prise en charge de la connexion Sentinel comprend:

● Connexions de service à service natives. Sentinel s'intègre de manière native aux services Azure et
non Azure, tels qu'Azure Active Directory, AWS CloudTrail et Microsoft 365.

● Connexions de solutions externes via des API. Sentinel peut se connecter à des sources de données via des API pour
des solutions telles que Barracuda CloudGen Firewall, F5 BIG-IP et Zimperium.

● Connexions de solution externe via un agent. Sentinel peut se connecter via un agent à des sources de données prenant en
charge le protocole Syslog. L'agent Sentinel peut s'installer directement sur les appareils ou sur un serveur Linux qui peut recevoir
des événements d'autres appareils. La prise en charge de la connexion via un agent inclut les pare-feu matériels, les serveurs
Linux et les serveurs d'autres fournisseurs de cloud.

Les connexions de données d'intérêt dans les environnements hybrides Windows Server 2019 seront abordées plus en détail
dans la rubrique suivante.

Autorisations
L'accès dans Sentinel est géré via des rôles de contrôle d'accès basé sur les rôles (RBAC). Ces rôles vous permettent de
gérer ce que les utilisateurs peuvent observer et faire dans Sentinel.

● Rôles mondiaux. Les rôles globaux Azure intégrés (Propriétaire, Contributeur et Lecteur) accordent l'accès à toutes
les ressources Azure, y compris Sentinel et Log Analytics.

● Rôles spécifiques à Sentinel. Les rôles intégrés spécifiques à Sentinel sont les suivants:

● Lecteur Azure Sentinel. Ce rôle peut obtenir des données, des incidents, des tableaux de bord et des informations sur les

ressources Sentinel.

● Répondeur Azure Sentinel. Ce rôle possède toutes les fonctionnalités du rôle Azure Sentinel Reader et peut
également gérer les incidents.

● Contributeur Azure Sentinel. Outre les fonctionnalités du rôle Répondeur Azure Sentinel, ce rôle peut
créer et modifier des tableaux de bord, des règles d'analyse et d'autres ressources Sentinel.

● Autres rôles. Log Analytics Contributor et Log Analytics Reader sont des rôles intégrés spécifiques à Log Analytics. Ces
rôles n'accordent des autorisations qu'aux Analyse des journaux espace de travail. Si vous ne disposez pas des rôles
Global Contributor ou Owner, vous aurez besoin du rôle Logic App Contributor pour créer et exécuter des playbooks
en réponse aux alertes.

Lecture supplémentaire: Pour plus d'informations sur les rôles RBAC dans Sentinel, reportez-vous à Autorisations dans Azure
Sentinel 3 .

Mettre en œuvre SIEM


Les solutions de gestion des informations et des événements de sécurité (SIEM) stockent et analysent les données de journal
provenant de sources externes. Vous connectez des sources de données à partir de Microsoft Azure ou de sources externes dans votre
organisation, y compris des ressources locales. Azure Sentinel fournit ensuite un tableau de bord par défaut qui vous aide à visualiser
et à analyser ces événements. Le tableau de bord affiche des données sur le nombre d'événements que vous avez reçus, le nombre
d'alertes générées à partir de ces données et l'état de tous les incidents créés à partir de ces alertes.

3 https://aka.ms/sentinel-roles
Azure Sentinel 137

Sentinel utilise des détections intégrées et personnalisées pour vous alerter des menaces de sécurité potentielles et vous permettre de
créer des incidents. Par exemple, tente d'accéder à votre organisation de l'extérieur ou lorsque les données de votre organisation
semblent être envoyées à une adresse IP malveillante connue. Il vous fournit des classeurs intégrés et personnalisés pour vous aider à
analyser les données entrantes.

Classeurs sont des rapports interactifs qui incluent des requêtes de journal, du texte, des mesures et d'autres données. Les règles de
création d'incidents Microsoft vous permettent de créer des incidents à partir d'alertes générées par d'autres services comme Azure

Security Center.

La mise en œuvre de la fonctionnalité SIEM dans Sentinel comprend les étapes suivantes:

1. Activez Sentinel.

2. Connectez les sources de données.

3. Créez des règles qui génèrent des alertes.

Activation de Sentinel
Vous activez Azure Sentinel dans le portail Azure. Pour activer Sentinel, vous devez remplir les conditions préalables
suivantes:

● Avoir ou créer un espace de travail Log Analytics pour stocker les journaux. Vous ne pourrez pas utiliser l'espace de travail
Log Analytics par défaut d'Azure Security Center.

● Avoir au moins les autorisations de contributeur à l'abonnement. vous aurez également besoin de l'autorisation de contributeur

ou de lecteur sur le groupe de ressources de l'espace de travail de Log Analytic pour utiliser Azure Sentinel.

● Autorisations appropriées pour se connecter à toutes les sources de données

Tarification
Vous êtes facturé pour les données ingérées par Azure Sentinel et stockées dans l'espace de travail Log Analytics. Certaines données,
telles que les journaux d'activité Azure, les journaux d'audit Office 365 et les alertes de Microsoft Threat Protection peuvent être
ingérées sans frais supplémentaires.

Connexion des sources de données


Azure Sentinel prend en charge la connexion à une grande variété de sources de données, comme indiqué dans la rubrique précédente. Les

connecteurs de données de service à service suivants sont parmi ceux qui présentent le plus d'intérêt pour les déploiements hybrides Windows

Server:

● Protection avancée contre les menaces Microsoft Defender (ATP). Lorsque Defender ATP est installé sur Windows
Server, ce connecteur vous permet de diffuser des alertes de Defender ATP dans Azure Sentinel.

● Centre de sécurité Azure. Le connecteur Azure Security Center vous permet de diffuser des alertes d'Azure
Security Center vers Azure Sentinel.

● Événements Windows. La connexion des journaux d'événements Windows vous permet de collecter les événements Windows, y compris

les événements générés par Sysmon lorsqu'il est installé sur le serveur, dans votre espace de travail Log Analytics.

● Fenêtre pare-feu. Le connecteur de pare-feu Windows vous permet de diffuser les journaux du pare-feu Windows à
partir de serveurs locaux et cloud vers Azure Sentinel lorsque l'agent Log Analytics est installé. Vous n'avez pas besoin
d'activer ce connecteur lorsque vous utilisez le connecteur Azure Security Center.

● Événements de sécurité Windows. Le connecteur d'événements de sécurité Windows vous permet de diffuser les
événements de sécurité de vos serveurs locaux et cloud vers Azure Sentinel lorsque l'analyse du journal
138 Module 4 Implémentation de solutions de sécurité dans des scénarios hybrides

l'agent est installé. Vous n'avez pas besoin d'activer ce connecteur lorsque vous utilisez le connecteur Azure
Security Center.

Vous choisissez des connecteurs de données dans le tableau de bord Azure Sentinel. Chaque connecteur possède son propre

ensemble de conditions préalables que vous devez respecter et des instructions à suivre pour configurer le connecteur.

Lecture supplémentaire: Pour une liste complète des sources de données prises en charge, reportez-vous à Connectez les sources de données 4 .

Créer des règles qui génèrent des alertes


Azure Sentinel est fourni avec une variété de modèles de règles de détection des menaces intégrés. Ces modèles incluent:

● Sécurité Microsoft. Génère des alertes à partir d'autres solutions de sécurité Microsoft telles qu'Azure ATP et
Microsoft Cloud App Security.

● La fusion. Utilise la technologie Fusion, basée sur des algorithmes d'apprentissage automatique qui analysent de nombreuses alertes de faible

priorité pour générer des alertes de haute priorité.

● Analyse comportementale de l'apprentissage automatique. Utilise des algorithmes propriétaires de Microsoft pour générer des alertes.

● Programmé. Utilise les requêtes écrites de Microsoft, que vous modifiez et qui sont exécutées selon une planification définie, pour générer

des alertes.

Dans
Outre les modèles de règles intégrés, vous pouvez créer des règles personnalisées pour détecter les menaces. La logique de la règle est

généré dans le Assistant de règles Analytics ou peut être copié à partir de l'espace de travail Log Analytics. Les requêtes sont
créées à l'aide du langage de requête Kusto (KQL).

Lecture supplémentaire: Pour plus d'informations sur KQL, reportez-vous à Présentation du langage de requête Kusto 5 .

Autres paramètres de règle d'alerte


Les paramètres suivants peuvent également être définis lors de la création de règles personnalisées:

● Mappez les entités. Vous pouvez mapper les paramètres des résultats de la requête aux entités Azure Sentinel afin de pouvoir regrouper

les alertes et les utiliser pour l'analyse dans Sentinel.

● Planification des requêtes. Vous pouvez planifier l'exécution de la requête aussi souvent que toutes les 5 minutes jusqu'à une fois par jour.

● Seuil d'alerte. Vous permet de définir un nombre de référence d'événements qui doivent être satisfaits avant de déclencher une
alerte.

● Suppression. Vous pouvez choisir d'arrêter d'exécuter la requête pendant un certain temps après la génération d'une
alerte.

● Paramètres d'incident. Vous pouvez choisir si une alerte doit générer un incident pour le suivi. Les incidents seront discutés
plus en détail dans le prochain sujet.

● Réponses automatisées. Vous pouvez sélectionner des playbooks d'automatisation à exécuter lorsqu'une alerte est
générée. Les playbooks seront abordés plus en détail dans le sujet suivant.

Suivi des données


Azure Monitor est fourni avec des modèles de classeurs intégrés et vous pouvez créer des classeurs personnalisés. Les
classeurs personnalisés Azure Sentinel sont créés comme les classeurs Azure Monitor, bien qu'ils s'affichent
différemment.

4 https://aka.ms/connect-data-sources
5 https://aka.ms/kusto-query
Azure Sentinel 139

Lecture supplémentaire: Pour plus d'informations sur les classeurs Azure Monitor, reportez-vous à Classeurs Azure
Monitor 6 .

Démonstration: implémenter SIEM


Dans cette démonstration, vous apprendrez à:

● Activez Azure Sentinel.

● Créez une connexion de données.

● Créez une règle personnalisée qui génère une alerte.

Lecture supplémentaire: Pour plus d'informations sur l'activation de Sentinel et la connexion d'un connecteur de données,
reportez-vous à Démarrage rapide: Azure Sentinel intégré 7 .

Lecture supplémentaire: Pour plus d'informations sur la création d'une règle personnalisée pour créer une alerte, reportez-vous à

Tutoriel: créer des règles d'analyse personnalisées pour détecter les menaces 8 .

Mettre en œuvre SOAR


Les solutions SOAR (Security Orchestration, Automation and Response) vous permettent de gérer ou d'orchestrer l'analyse
des données que vous avez collectées sur les menaces de sécurité, de coordonner votre réponse à ces menaces et de créer
des réponses automatisées. Les fonctionnalités SOAR de Microsoft Azure Sentinel sont étroitement liées à sa fonctionnalité de
gestion des informations et des événements de sécurité (SIEM).

Pour implémenter SOAR dans Sentinel:

● Créez des incidents à partir des alertes Sentinel.

● Enquêter sur les incidents.

● Répondez aux menaces.

Créer des incidents


Lorsque vous définissez des règles d'alerte, vous pouvez également choisir de générer un incident basé sur une alerte.
L'incident est utilisé pour suivre et gérer votre enquête et votre réponse à l'alerte.

Vous pouvez également générer un incident manuellement en créant un signet sur n'importe quel événement dans l'espace de travail Log

Analytics.

Enquêter sur les incidents


Vous utilisez la page Incidents dans Azure Sentinel pour démarrer votre enquête sur les incidents. À partir de cette page, vous pouvez

répertorier les incidents ouverts, les incidents en cours et les incidents fermés. Vous pouvez également rouvrir les incidents fermés.

Vous pouvez filtrer les incidents en fonction de l'état, de la gravité et d'autres métadonnées.

Pour enquêter sur les détails d'un incident, comme le moment où il s'est produit et son état, vous devez sélectionner un incident dans
la liste des incidents. Sur la page de l'incident, vous pouvez consulter tous les détails de l'incident, y compris la requête qui a déclenché
l'alerte, le nombre d'événements renvoyés par une requête. Vous pouvez même explorer les détails d'un événement spécifique.

6 https://aka.ms/workbooks-overview
7 https://aka.ms/quickstart-onboard
8 https://aka.ms/tutorial-detect-threats-custom
140 Module 4 Implémentation de solutions de sécurité dans des scénarios hybrides

Au cours de l'enquête, vous pouvez ajouter des notes à un incident et modifier son statut afin que la progression soit facile à comprendre.

Les incidents peuvent également être attribués à des utilisateurs spécifiques.

Graphique d'enquête
Il existe un graphique d'enquête qui peut vous aider à visualiser le contexte des données brutes et à élargir la portée de
votre enquête. Il a également prédéfini requêtes d'exploration pour vous aider à vous assurer que vous posez les questions
appropriées sur l'incident.

Clôture des incidents


Une fois votre enquête terminée, vous devez définir le statut sur Fermé. Les incidents clos sont classés dans l'une
des catégories suivantes:

● Vrai positif - activité suspecte

● Bénin positif - suspect mais attendu

● Faux positif - logique d'alerte incorrecte

● Faux positif - données incorrectes

● Indéterminé

Répondre aux menaces


Sentinel vous permet d'utiliser des playbooks de sécurité pour répondre aux alertes. Playbooks de sécurité sont des ensembles de
procédures qui s'exécutent en réponse à une alerte et qui peuvent être exécutées automatiquement ou manuellement. Ils sont basés
sur Azure Logic Apps. Vous pouvez exécuter ces playbooks de sécurité manuellement en réponse à votre enquête sur un incident, ou
vous pouvez configurer une alerte pour exécuter un playbook automatiquement.

Automatisez les réponses


Vous pouvez choisir d'exécuter automatiquement un playbook de sécurité lorsqu'une alerte est déclenchée. L'automatisation de la

réponse aux alertes courantes et simples à adresser permet à votre équipe de sécurité de se concentrer sur des incidents plus

complexes et sur la recherche de menaces de sécurité.

Lecture supplémentaire: Pour plus d'informations sur Logic Apps, reportez-vous à Vue d'ensemble - Qu'est-ce qu'Azure Logic
Apps? 9 .

Connexion de playbooks de sécurité à votre environnement sur


site
Vous pouvez utiliser le connecteur Azure Automation pour concevoir des applications logiques qui vous permettent d'effectuer des
réponses automatisées sur des serveurs locaux. Utilisez la fonctionnalité Hybrid Runbook Worker d'Azure Automation pour exécuter
les runbooks Azure Automation sur un hôte local et gérer d'autres serveurs locaux.

Lecture supplémentaire: Pour plus d'informations sur Hybrid Runbook Worker, reportez-vous à Présentation de Hybrid
Runbook Worker dix .

9 https://aka.ms/logic-apps-overview
dix https://aka.ms/automation-hybrid-runbook-worker
Azure Sentinel 141

Testez vos connaissances


Utilisez les questions suivantes pour vérifier ce que vous avez appris dans cette leçon.

question 1
Comment Microsoft Azure Sentinel répond-il aux besoins des solutions SIEM (Security Information and Event
Management) et SOAR (Security Orchestration, Automation and Response)?

?? Collecte des données sur les utilisateurs, les appareils, les applications et l'infrastructure basés sur le cloud et sur site.

?? Utilise l'IA pour identifier les activités suspectes.

?? Répond aux incidents rapidement et automatiquement.

?? Toutes les options sont correctes.

question 2
Laquelle de celles-ci n'est pas une connexion de données de service à service native pour Sentinel?

?? Centre de sécurité Azure

?? AWS CloudTrail

?? Microsoft 365

?? F5 BIG-IP
142 Module 4 Implémentation de solutions de sécurité dans des scénarios hybrides

Gérer les mises à jour Windows

Aperçu de la leçon
L'une des tâches les plus importantes de la sécurisation d'un environnement de serveur hybride consiste à garantir que les mises à jour du serveur sont

effectuées en temps opportun. L'application rapide des mises à jour, en particulier des mises à jour de sécurité, vous aide à bloquer les attaques en

fonction des vulnérabilités que les mises à jour corrigent.

La gestion des mises à jour pour les serveurs sur site et basés sur le cloud peut être particulièrement difficile car peu
d'outils peuvent gérer les deux environnements. Vous pouvez étendre Microsoft Endpoint Configuration Manager
pour gérer les serveurs cloud. Avec le service Azure Update Management, vous pouvez gérer les mises à jour pour les
serveurs cloud et locaux.

Dans cette leçon, vous découvrirez la gestion des mises à jour dans des scénarios hybrides et comment implémenter
Azure Update Management pour les serveurs locaux.

Objectifs de la leçon
Après avoir terminé cette leçon, vous serez en mesure de:

● Décrivez la gestion des mises à jour Windows dans les scénarios hybrides.

● Décrivez comment implémenter Azure Update Management dans des scénarios hybrides.

Vue d'ensemble de la gestion de Windows Update dans les


scénarios hybrides
La gestion des mises à jour du serveur dans un environnement hybride revient à gérer les mises à jour dans un environnement sur site. La

principale exigence est que les outils que vous utilisez pour gérer les mises à jour doivent pouvoir communiquer avec les deux ensembles de

serveurs. Étant donné que les environnements d'infrastructure en tant que service (IaaS) basés sur le cloud ont également tendance à être

des environnements de système d'exploitation mixtes, il est souhaitable de disposer d'outils capables de gérer les mises à jour pour les

serveurs Windows et Linux.

Une option consiste à étendre un site Microsoft Endpoint Configuration Manager local à Azure. Cela peut être une
bonne option si vous êtes déjà fortement investi dans votre infrastructure Endpoint Configuration Manager.

Lecture supplémentaire: Pour plus d'informations sur l'extension d'un site Endpoint Configuration
Manager local à Azure, reportez-vous à Étendre et migrer le site local vers Microsoft Azure 11 .

Une alternative à l'extension d'une solution de gestion des mises à jour sur site au cloud consiste à utiliser une solution
basée sur le cloud qui peut également gérer les mises à jour pour les serveurs sur site. Azure Update Management, une
fonctionnalité d'Azure Automation, peut gérer les mises à jour pour les serveurs Windows ou Linux à la fois dans Azure et
sur site. Vous pouvez également connecter Automation et Azure Update Management à Endpoint Configuration Manager.

Quelle que soit l'option que vous choisissez pour gérer les mises à jour du serveur Windows, gardez à l'esprit qu'Azure
Update Management, Windows Server Update Services (WSUS) et Windows Update reposent tous sur le client Windows
Update sur un serveur. Vous pouvez gérer les paramètres du client Windows Update en utilisant:

● Stratégie de groupe

● Windows PowerShell

11 https://aka.ms/azure-migration-tool
Gérer les mises à jour Windows 143

● Registre Windows

Vous pouvez configurer Windows Update pour télécharger les mises à jour en prévision du déploiement ultérieur des mises à jour, garantissant

ainsi que les mises à jour se déploient plus rapidement.

Azure Update Management suit les paramètres locaux dans la plupart des cas. Par exemple, si vous configurez Windows
Update pour gérer les mises à jour non Windows, Azure Update Management gérera également ces mises à jour.

Implémenter la solution de gestion des mises à jour dans


Azure Automation
Microsoft Azure Automation est un service basé sur le cloud qui fournit l'automatisation des processus, la gestion de la
configuration, la gestion des mises à jour et d'autres fonctionnalités de gestion pour les environnements Azure et non
Azure, y compris les environnements locaux.

Update Management est un service gratuit d'automatisation qui vous aide à gérer les mises à jour du système
d'exploitation pour les ordinateurs Windows et Linux, à la fois dans le cloud et sur site. Le seul coût associé à l'utilisation
de Update Management est le coût du stockage des journaux dans Azure Log Analytics.

Update Management inclut des fonctionnalités qui vous permettent de:

● Vérifiez l'état des mises à jour sur vos serveurs. Le service comprend une console basée sur le cloud dans laquelle vous
pouvez évaluer l'état des mises à jour dans votre organisation et pour un ordinateur spécifique.

● Configurez les groupes dynamiques d'ordinateurs à cibler. Cela vous permet de définir une requête basée sur un
groupe d'ordinateurs, qui est un groupe d'ordinateurs définis sur la base d'une autre requête ou importés d'une
autre source telle que Windows Server Update Services (WSUS) ou Microsoft Endpoint Configuration Manager.

● Recherchez dans les journaux Azure Monitor. Les enregistrements collectés par Update Management apparaissent dans les journaux de

À Monitor. implémentez la gestion des mises à jour dans un environnement hybride:

1. Créez un compte Automation.

2. Activez la gestion des mises à jour.

3. Intégrez vos serveurs sur site. Planifiez

4. les mises à jour.

Créer un compte Automation


Lors de la création d'un compte Automation, vous choisirez une région Azure pour le compte. Bien que les ressources
associées au compte soient situées dans cette région, il peut gérer toutes les ressources de votre abonnement. Vous pouvez
également choisir de créer un compte d'identification, qui est un moyen de gérer l'authentification pour les runbooks qui
utilisent PowerShell. Vous n'avez pas besoin de créer un compte d'identification pour activer la gestion des mises à jour.

Lecture supplémentaire: Pour plus d'informations sur les régions Azure prenant en charge la liaison de Analyse des journaux

espaces de travail et comptes d'automatisation, reportez-vous à Régions prises en charge pour l'espace de travail Log Analytics lié 12 .

12 https://aka.ms/region-mappings
144 Module 4 Implémentation de solutions de sécurité dans des scénarios hybrides

Activer la gestion des mises à jour


L'activation de la gestion des mises à jour nécessite que, en plus d'avoir un compte Automation, vous devez également avoir
un Azure Analyse des journaux espace de travail lié à ce compte Automation. le Analyse des journaux
l'espace de travail doit exister avant d'activer la gestion des mises à jour.

Vous pouvez activer la gestion des mises à jour dans Azure à l'aide de:

● Modèle Azure Resource Manager. Utilisez un modèle Resource Manager pour créer un Analyse des journaux
espace de travail, créez un compte Automation, liez le compte Automation au Analyse des journaux l'espace de
travail et activez la gestion des mises à jour en une seule opération.

● Tableau de bord des machines virtuelles dans le portail Azure. Vous pouvez activer la gestion des mises à jour et les machines
virtuelles (VM) intégrées Azure à partir de plusieurs groupes de ressources et régions en même temps dans le tableau de bord
Machines virtuelles. Lorsque vous choisissez cette option, laissez Azure configurer Log Analytics automatiquement ou créer une
configuration personnalisée.

● Machine virtuelle page dans le portail Azure. Vous pouvez intégrer une seule VM et activer la gestion des mises
à jour en même temps en sélectionnant Gestion des mises à jour parmi les options du Opérations
section, puis en sélectionnant Activer.

● Compte d'automatisation. Vous pouvez activer la gestion des mises à jour à partir d'un compte Automation. Avec cette option, vous

pouvez automatiquement intégrer des machines virtuelles Azure et fournir des instructions pour l'intégration de machines virtuelles non

Azure, telles que des serveurs locaux. Vous pouvez également utiliser un runbook Azure pour intégrer des machines virtuelles Azure à

Update Management. Pour ce faire, vous devez d'abord intégrer au moins une VM.

Lecture supplémentaire: Pour plus d'informations sur l'utilisation d'un runbook Azure, reportez-vous à Activer la gestion des mises à jour à

partir d'un runbook 13 .

Intégrez vos serveurs sur site


Vos serveurs locaux doivent être ajoutés manuellement à Update Management dans Automation. Avant de faire cela, vous devez installer l'agent

Log Analytics pour Windows sur les serveurs ou machines virtuelles que vous souhaitez gérer. Exécutez le fichier d'installation de manière

interactive ou à partir de la ligne de commande si vous souhaitez utiliser la stratégie de groupe ou d'autres options pour installer l'agent à

grande échelle. Une fois que l'agent s'est installé et a commencé à générer des rapports sur votre compte d'automatisation, choisissez les

ordinateurs que vous souhaitez gérer.

Lecture supplémentaire: Pour plus d'informations sur l'installation de l'agent Log Analytics à partir de la ligne de commande,
reportez-vous à Installez l'agent à l'aide de la ligne de commande 14 .

Lecture supplémentaire: Pour plus d'informations sur l'ajout de liens de machine non Azure dans Update Management,
reportez-vous à Présentation de l'agent Log Analytics 15 .

Utilisation de Runbook Workers hybrides


Tout comme pour répondre aux alertes de sécurité, vous pouvez utiliser un Runbook Worker hybride pour vous aider à effectuer des mises à

jour de serveur sur vos serveurs locaux. Vous déployez le nœud de calcul sur une machine hôte et exécutez des runbooks d'automatisation sur

cette machine hôte ou d'autres serveurs dans votre environnement sur site.

Lecture supplémentaire: Pour plus d'informations sur le déploiement de Hybrid Runbook Workers, reportez-vous à Déployer un
Windows Hybrid Runbook Worker 16 .

13 https://aka.ms/automation-onboard-solutions
14 https://aka.ms/install-agent-using-command-line
15 https://aka.ms/log-analytics-agent
16 https://aka.ms/automation-windows-hrw-install
Gérer les mises à jour Windows 145

Planifier les mises à jour


Planifiez les mises à jour à déployer quand vous le souhaitez, sur les ordinateurs de votre choix et en fonction du type de mise à
jour.

Lecture supplémentaire: Pour plus d'informations sur la planification des déploiements de mises à jour, reportez-vous à Gérez les mises à jour

et les correctifs pour vos VM 17 .

Lecture supplémentaire: Pour plus d'informations sur Azure Update Management, reportez-vous à Présentation de la gestion
des mises à jour 18 .

Testez vos connaissances


Utilisez les questions suivantes pour vérifier ce que vous avez appris dans cette leçon.

question 1
Lequel des éléments suivants est une condition préalable à la mise en œuvre de la gestion des mises à jour?

?? Créez un compte Microsoft Azure Automation.

?? Mettez à niveau Azure Security Center vers le niveau de tarification Standard.

?? Mettez à niveau l'automatisation vers le niveau de tarification Standard.

?? Activez Azure Sentinel.

question 2
Lequel des éléments suivants n'est pas une fonctionnalité de gestion des mises à jour?

?? Vérifiez l'état de mise à jour des serveurs gérés.

?? Recherchez dans les journaux Azure Monitor.

?? Ciblez des groupes dynamiques de machines pour les mises à jour.

?? Désinstallez les mises à jour après leur déploiement.

17 https://aka.ms/schedule-an-update-deployment
18 https://aka.ms/update-management
146 Module 4 Implémentation de solutions de sécurité dans des scénarios hybrides

Laboratoire et revue du module 04

Atelier: Utilisation d'Azure Security Center dans des scénarios


hybrides

Scénario
Pour identifier les fonctionnalités d'intégration liées à la sécurité de Microsoft Azure avec lesquelles vous pouvez améliorer davantage
votre environnement de sécurité sur site, vous avez décidé d'ajouter des serveurs dans votre environnement de validation de principe
à Security Center.

Votre objectif est d'intégrer les serveurs locaux qui exécutent Windows Server 2019 dans Security Center,
puis de vérifier les capacités hybrides de Security Center.

Objectifs
Après avoir terminé cet atelier, vous serez en mesure de:

● Configurez Security Center.

● Intégrez les ordinateurs Windows Server 2019 locaux dans Security Center.

● Vérifiez les capacités hybrides de Security Center.

Durée estimée: 45 minutes

Revue du module
question 1

Pouvez-vous utiliser le niveau gratuit de Microsoft Azure Security Center pour surveiller la sécurité des serveurs locaux?

question 2
Lesquels des éléments suivants sont des conditions préalables à l'activation d'Azure Sentinel. Sélectionnez tout ce qui s'y rapporte.

?? Un espace de travail Log Analytics connecté à Security Center.

?? Un espace de travail Log Analytics qui n'est pas connecté à Security Center.

?? Autorisations de collaborateur sur un abonnement disposant d'un espace de travail Security Center.

?? Autorisations de lecteur sur un abonnement disposant d'un espace de travail Security Center.
Laboratoire et revue du module 04 147

question 3
Azure Update Management fait partie de quel autre service?

?? Centre de sécurité

?? Sentinelle

?? Automatisation Azure

?? Moniteur Azure

Question 4
Qu'ont en commun Azure Update Management, Windows Server Update Services (WSUS) et Windows Update en
ce qui concerne la gestion des mises à jour du serveur Windows?

?? Ils utilisent le service Update Management.

?? Ils utilisent Azure Monitor pour surveiller la progression d'une mise à jour.

?? Ils s'appuient sur le client Windows Update sur un serveur.

?? Ils utilisent Security Center pour déployer des mises à jour critiques.
148 Module 4 Implémentation de solutions de sécurité dans des scénarios hybrides

Réponses
question 1

Lequel des éléments suivants n'est pas une fonctionnalité d'Azure Security Center?

?? Améliorez votre position de sécurité

?? Protégez votre environnement

?? Protégez vos données

■ Gérer les mises à jour du serveur

Explication
Security Center ne vous aide pas à gérer les mises à jour du serveur. Cela vous aide à améliorer votre position en matière de
sécurité. Security Center vous aide à mettre en œuvre les meilleures pratiques de sécurité dans votre infrastructure en tant que
service (IaaS), plateforme en tant que service (PaaS), données et ressources sur site. En plus des meilleures pratiques en matière de
sécurité, il permet également de suivre la conformité aux normes réglementaires. Il vous aide à protéger votre environnement et à
surveiller les menaces de sécurité sur votre cloud et vos serveurs sur site, notamment en identifiant les erreurs de configuration et
en fournissant une détection et une réponse des points de terminaison de serveur (EDR) avec Microsoft Defender Advanced Threat
Protection. Il vous aide également à protéger vos données en identifiant les activités suspectes sur vos serveurs, fichiers, bases de
données, entrepôts de données et comptes de stockage, y compris les éventuelles violations de données.

question 2

Que devez-vous faire pour intégrer des serveurs locaux à Security Center?

?? Passez au niveau de tarification Premium

?? Désactiver l'approvisionnement automatique

?? Désinstaller tous les logiciels antivirus

■ Installez l'agent Log Analytics

Explication
Il n'y a pas de niveau de tarification Premium pour Security Center. Vous devez disposer du niveau de tarification Standard pour
intégrer les serveurs sur site.
Le provisionnement automatique n'affecte pas votre capacité à intégrer des serveurs sur site.
Vous n'avez pas besoin de désinstaller le logiciel antivirus pour installer l'agent Log Analytics et les serveurs sur site
intégrés à Security Center.

question 1

Comment Microsoft Azure Sentinel répond-il aux besoins des solutions SIEM (Security Information and
Event Management) et SOAR (Security Orchestration, Automation and Response)?

?? Collecte des données sur les utilisateurs, les appareils, les applications et l'infrastructure basés sur le cloud et sur site.

?? Utilise l'IA pour identifier les activités suspectes.

?? Répond aux incidents rapidement et automatiquement.

■ Toutes les options sont correctes.

Explication
Tous ces éléments permettent à Sentinel de répondre aux besoins des solutions SIEM et SOAR. De plus, Sentinel détecte
également les menaces avec moins de faux positifs.
Laboratoire et revue du module 04 149

question 2

Laquelle de celles-ci n'est pas une connexion de données de service à service native pour Sentinel?

?? Centre de sécurité Azure

?? AWS CloudTrail

?? Microsoft 365

■ F5 BIG-IP

Explication
F5 BIG-IP n'est pas une option de connexion de données de service à service native. Cependant, vous pouvez vous connecter à F5 BIG-IP
via les API F5 BIG-IP. Toutes les autres options sont des options de connexion de données de service à service natives.

question 1

Lequel des éléments suivants est une condition préalable à la mise en œuvre de la gestion des mises à jour?

■ Créez un compte Microsoft Azure Automation.

?? Mettez à niveau Azure Security Center vers le niveau de tarification Standard.

?? Mettez à niveau l'automatisation vers le niveau de tarification Standard.

?? Activez Azure Sentinel.

Explication
Vous n'avez pas besoin de Security Center pour utiliser la gestion des mises à jour.
Il n'y a pas de niveaux de tarification pour l'automatisation et la gestion des mises à jour est une fonctionnalité gratuite. Vous

n'avez pas besoin de Sentinel pour utiliser la gestion des mises à jour.

question 2

Lequel des éléments suivants n'est pas une fonctionnalité de gestion des mises à jour?

?? Vérifiez l'état de mise à jour des serveurs gérés.

?? Recherchez dans les journaux Azure Monitor.

?? Ciblez des groupes dynamiques de machines pour les mises à jour.

■ Désinstallez les mises à jour après leur déploiement.

Explication
La gestion des mises à jour n'inclut pas la possibilité de désinstaller les mises à jour. Vous pouvez utiliser Update Management pour
consulter l'état des mises à jour sur vos serveurs. Le service comprend une console basée sur le cloud dans laquelle vous pouvez évaluer
l'état des mises à jour au sein de votre organisation et pour une machine spécifique. Vous pouvez l'utiliser pour configurer des groupes
dynamiques d'ordinateurs à cibler. Cela vous permet de définir une requête basée sur un groupe d'ordinateurs, qui est un groupe
d'ordinateurs définis en fonction d'une autre requête ou importés d'une autre source, telle que Windows Server Update Services (WSUS) ou
Microsoft Endpoint Configuration Manager. Vous pouvez également l'utiliser pour rechercher les journaux du moniteur. Les enregistrements
collectés par Update Management apparaissent dans les journaux de Monitor.
question 1

Pouvez-vous utiliser le niveau gratuit de Microsoft Azure Security Center pour surveiller la sécurité des serveurs locaux?

Non. Vous devez disposer du niveau de tarification Security Center Standard pour utiliser Security Center afin de surveiller la
sécurité des serveurs et des machines virtuelles (VM) sur site.
150 Module 4 Implémentation de solutions de sécurité dans des scénarios hybrides

question 2

Lesquels des éléments suivants sont des conditions préalables à l'activation d'Azure Sentinel. Sélectionnez tout ce qui s'y rapporte.

?? Un espace de travail Log Analytics connecté à Security Center.

■ Un espace de travail Log Analytics qui n'est pas connecté à Security Center.

■ Autorisations de collaborateur sur un abonnement disposant d'un espace de travail Security Center.

?? Autorisations de lecteur sur un abonnement disposant d'un espace de travail Security Center.

Explication
L'espace de travail Log Analytics ne peut pas être un espace de travail Log Analytics utilisé par Security Center. Les autorisations de
lecteur sur l'abonnement ne sont pas suffisantes.

question 3

Azure Update Management fait partie de quel autre service?

?? Centre de sécurité

?? Sentinelle

■ Azure Automation

?? Moniteur Azure

Explication
Update Management est un composant gratuit d'Azure Automation. Security Center est un outil basé sur le cloud pour
gérer la sécurité d'un cloud et d'une infrastructure sur site. Sentinel est un service d'informations de sécurité et de
gestion des événements (SIEM) et d'orchestration, d'automatisation et de réponse (SOAR) basé sur le cloud. Azure
Monitor vous aide à surveiller l'intégrité et les performances des applications et des services que vous créez dans Azure.

Question 4

Qu'ont en commun Azure Update Management, Windows Server Update Services (WSUS) et Windows Update
en ce qui concerne la gestion des mises à jour du serveur Windows?

?? Ils utilisent le service Update Management.

?? Ils utilisent Azure Monitor pour surveiller la progression d'une mise à jour.

■ Ils s'appuient sur le client Windows Update sur un serveur.

?? Ils utilisent Security Center pour déployer des mises à jour critiques.

Explication
Le client Windows Update est nécessaire pour gérer les mises à jour du serveur Windows. La gestion des mises à jour est
un composant gratuit d'Azure Automation, mais pas de WSUS et de Windows Update. Azure Monitor vous aide à surveiller
l'intégrité et les performances des applications et des services que vous créez dans Azure. Security Center est un outil basé
sur le cloud pour gérer la sécurité d'un cloud et d'une infrastructure sur site.
Module 5 Implémentation de services de fichiers dans des
scénarios hybrides

Implémentation d'Azure Files

Aperçu de la leçon
Dans les environnements hybrides, vous pouvez migrer des partages de fichiers vers des partages de fichiers Azure sans affecter l'expérience

utilisateur. La structure de fichier migrée préserve les autorisations de fichier que vous définissez sur le serveur de fichiers local, et les

utilisateurs peuvent s'authentifier de manière transparente si vous activez l'authentification des services de domaine Active Directory (AD DS)

sur le bloc de messages serveur (SMB) pour les partages de fichiers Azure. Un chemin d'accès UNC (Universal Naming Convention) pour un

partage de fichiers Azure est différent d'un partage de fichiers local et inclut le déposer. core.windows.net suffixe de domaine. Mais les

utilisateurs peuvent toujours monter un partage de fichiers Azure et accéder au contenu de la même manière que pour accéder à un partage de

fichiers local.

Avec la migration, vous bénéficiez instantanément de plusieurs avantages, tels que la redondance intégrée, le cryptage des données, l'accès de

n'importe où et un stockage pratiquement illimité. Vous pouvez utiliser Azure Backup pour créer des copies de sauvegarde des partages de

fichiers Azure, et les utilisateurs peuvent restaurer les anciennes versions de leurs fichiers à l'aide du Versions précédentes fonctionnalité dans

l'Explorateur de fichiers. Vous pouvez même conserver des serveurs locaux pour mettre en cache les partages de fichiers Azure et fournir un

accès plus rapide aux clients connectés à un réseau organisationnel en implémentant Azure File Sync. Vous en apprendrez plus sur la

synchronisation de fichiers dans la deuxième leçon.

Objectifs de la leçon
Après avoir terminé cette leçon, vous serez en mesure de:

● Décrivez Azure Files.

● Décrivez comment configurer l'authentification, l'autorisation et le chiffrement pour Azure Files.

● Décrivez comment configurer la connectivité à Azure Files.


152 Module 5 Implémentation de services de fichiers dans des scénarios hybrides

Vue d'ensemble d'Azure Files


Azure Files est un service Azure qui fournit les fonctionnalités d'un partage de fichiers local avec les avantages d'un
service cloud de plate-forme en tant que service (PaaS), notamment:

● Déploiement sans serveur. Un partage de fichiers Azure est une offre PaaS d'un partage de fichiers entièrement géré qui ne nécessite

aucune infrastructure. Vous n'avez pas besoin de vous occuper des machines virtuelles, des systèmes d'exploitation ou des mises à jour.

● Stockage presque illimité. Un seul partage de fichiers Azure peut stocker jusqu'à 100 téraoctets (To) de fichiers, et un fichier peut avoir une

taille maximale de 4 To. Les fichiers sont organisés dans une structure de dossiers hiérarchique de la même manière que sur les serveurs

de fichiers locaux.

● Redondance des données. Les données de partage de fichiers Azure se répliquent vers plusieurs emplacements dans le même centre de

données Azure ou dans de nombreux centres de données Azure. Le paramètre de réplication du compte de stockage Azure qui inclut le

partage de fichiers contrôle la redondance des données.

● Cryptage des données. Les données sur un partage de fichiers Azure sont chiffrées au repos lorsqu'elles sont stockées dans un

centre de données Azure et en transit sur un réseau.

● Accès de n'importe où. Par défaut, les clients peuvent accéder aux partages de fichiers Azure de n'importe où s'ils disposent d'une

connectivité Internet. Vous pouvez limiter la connectivité en configurant des pare-feu, des réseaux virtuels et des connexions de points de

terminaison privés.

● Utilisation de protocoles standards. Vous pouvez accéder aux partages de fichiers Azure à l'aide des protocoles Server Message
Block (SMB), Network File System (NFS) et Hypertext Transfer Protocol (HTTP). Les clients peuvent se connecter aux partages de
fichiers Azure à partir d'appareils Windows, Linux et macOS.

● Intégration dans un environnement existant. Vous pouvez contrôler l'accès aux partages de fichiers Azure à l'aide des identités
d'Azure Active Directory (Azure AD) ou des services de domaine Active Directory (AD DS), qui se synchronisent avec Azure AD.
Cela permet de garantir que les utilisateurs peuvent avoir la même expérience d'accès à un partage de fichiers Azure que
lorsqu'ils accèdent à un serveur de fichiers local.

● Autorisations de fichiers granulaires. Vous pouvez utiliser les autorisations NTFS pour contrôler l'accès aux fichiers sur les partages de

fichiers Azure et le niveau d'accès, de la même manière qu'avec les serveurs de fichiers locaux.

● Payez à l'utilisation. Azure Files est disponible en deux niveaux, premium et standard, qui offrent des performances et des prix
différents. Vous sélectionnez le niveau de stockage lorsque vous créez un compte de stockage Azure, qui contient Azure Files.
Après cela, le niveau de stockage ne peut pas être modifié. Pour les partages de fichiers standard, le paiement est basé sur la
quantité d'espace de stockage utilisé et le nombre d'opérations d'E / S effectuées. Pour les partages de fichiers premium, le
paiement est basé sur la taille de partage provisionnée. Les opérations d'E / S sont gratuites.

● Versions et sauvegardes précédentes. Vous pouvez créer des instantanés de partage de fichiers Azure qui s'intègrent à
Versions précédentes fonctionnalité dans l'Explorateur de fichiers. Vous pouvez également utiliser Azure Backup pour sauvegarder les partages de fichiers Azure.

● (Facultatif) Intégration avec des serveurs de fichiers sur site. Les partages de fichiers Azure peuvent se synchroniser avec les partages de fichiers locaux

pour offrir des avantages tels qu'un accès local plus rapide et plus d'espace libre disponible dans les serveurs de fichiers locaux lors de l'utilisation de la

hiérarchisation cloud.

Niveaux de stockage Azure Files


Les deux niveaux de stockage ont les attributs clés suivants: Partages

de fichiers Premium:

● Sont stockés sur des disques SSD (SSD) et ne sont disponibles que dans le type de compte de stockage
FileStorage.
Implémentation d'Azure Files 153

● Offrez des performances élevées constantes et une faible latence avec 100 000 opérations d'E / S par seconde (IOPS) et des
rafales jusqu'à 300 000 IOPS. Cela les rend appropriés pour les charges de travail telles que les bases de données.

● Sont disponibles uniquement pour le stockage localement redondant (LRS) et le stockage redondant de zone

● (ZRS). Peut être provisionné jusqu'à 100 tebibytes (Tio) sans aucun travail supplémentaire.

● Ne sont pas disponibles dans toutes les régions Azure. La prise en charge redondante de zone est disponible dans un plus petit sous-ensemble de régions.

● Sont disponibles uniquement dans un modèle de facturation provisionné.

Partages de fichiers standard:

● Sont stockés sur des disques durs et déployés dans le type de compte de stockage à usage général version 2 (GPv2).

● Fournit des performances pour les charges de travail d'E / S telles que les partages de fichiers à usage général et les environnements de développement /

test.

● Sont disponibles pour LRS, ZRS, le stockage géo-redondant (GRS) et le stockage géo-zone-redondant (GZRS).

● Jusqu'à 5 Tio par défaut. Activation du Compte de stockage de partage de fichiers volumineux peut augmenter la limite de
partage jusqu'à 100 Tio.

● Sont disponibles dans chaque région Azure.

● Sont disponibles uniquement dans un modèle de facturation à l'utilisation.

Créer des partages de fichiers Azure


Azure Files se déploie dans le cadre d'un compte de stockage Azure. Les paramètres que vous spécifiez lors de la création d'un compte de

stockage Azure, tels que l'emplacement, la réplication et la méthode de connectivité, s'appliquent également à Azure Files. Certains paramètres

de compte de stockage Azure, tels que les performances et le type de compte, peuvent limiter les options disponibles pour Azure Files. Par

exemple, si vous souhaitez utiliser des partages de fichiers premium, qui utilisent des disques SSD, vous devez sélectionner des performances

premium et le type de compte de stockage FileStorage lors de la création du compte de stockage Azure.

Informations Complémentaires: Pour plus d'informations sur le déploiement de partages de fichiers Azure, reportez-vous à Planification

d'un déploiement Azure Files 1 .

Une fois qu'un compte de stockage Azure est en place, vous pouvez créer un partage de fichiers Azure à l'aide du portail Azure,
Azure PowerShell, Azure CLI ou l'API REST. Un compte de stockage Azure peut également être créé dans Centre d'administration
Windows lorsque vous déployez Azure File Sync. Lorsque vous créez un partage de fichiers Azure, vous devez fournir le nom du
partage de fichiers et éventuellement définir le quota. Un quota limite la taille totale des fichiers qui peuvent être stockés sur le
partage de fichiers.

1 https://aka.ms/storage-files-planning
154 Module 5 Implémentation de services de fichiers dans des scénarios hybrides

Figure 1: création d'un partage Azure Files à l'aide du portail Azure

Un partage de fichiers Azure utilise la convention de dénomination suivante:

● Un nom de partage doit avoir un nom DNS (Domain Name System) valide.

● Les noms de partage doivent commencer par une lettre ou un chiffre et ne peuvent contenir que des lettres, des chiffres et le caractère

tiret (-).

● Chaque caractère tiret doit être immédiatement précédé et suivi d'une lettre ou d'un chiffre. Les tirets consécutifs ne
sont pas autorisés dans les noms de partage.

● Toutes les lettres d'un nom de partage doivent être en minuscules.

● Les noms de partage doivent comprendre entre 3 et 63 caractères.

Utilisations courantes d'Azure Files

Remplacer ou compléter les serveurs de fichiers sur site


Toutes les entreprises utilisent des serveurs de fichiers. Azure Files peut complètement remplacer ou compléter les serveurs de fichiers locaux

traditionnels ou les périphériques de stockage en réseau. Avec les partages de fichiers Azure et l'authentification AD DS, vous pouvez migrer

des données vers Azure Files et tirer parti de la haute disponibilité et de l'évolutivité tout en minimisant les modifications des clients.

Soulever et déplacer
Azure Files permet de «soulever et déplacer» facilement les applications qui s'attendent à ce qu'un partage de fichiers stocke les données des applications ou des

utilisateurs dans le cloud.

Sauvegarde et reprise après sinistre


Vous pouvez utiliser les partages de fichiers Azure comme stockage pour les sauvegardes ou pour la reprise après sinistre afin d'améliorer la continuité de

l'activité. Vous pouvez utiliser les partages de fichiers Azure pour sauvegarder vos données à partir de serveurs de fichiers existants tout en préservant les

listes de contrôle d'accès discrétionnaire Windows configurées. Les données stockées sur les partages de fichiers Azure ne sont pas affectées par les

catastrophes susceptibles d'affecter les emplacements sur site.

Synchronisation de fichiers Azure


Avec File Sync, les partages de fichiers Azure peuvent être répliqués sur Windows Server, en local ou dans le cloud, pour des
performances et une mise en cache distribuée des données là où elles sont utilisées.

Informations Complémentaires: Pour plus d'informations sur Azure Files, reportez-vous à Qu'est-ce que Azure Files? 2 .

Informations Complémentaires: Pour plus d'informations sur la migration vers des partages de fichiers Azure, reportez-vous à Migrer vers des

partages de fichiers Azure 3 .

Configurer Azure Files


Azure Files est un déploiement sans serveur de partages de fichiers dans le cloud. Alors qu'un réseau local a besoin de serveurs de fichiers ou de

périphériques de stockage en réseau pour créer des partages de fichiers, les partages de fichiers Azure ne nécessitent aucun

2 https://aka.ms/storage-files-introduction
3 https://aka.ms/storage-files-migration-overview
Implémentation d'Azure Files 155

Infrastructure. Azure Files est une plate-forme que vous pouvez utiliser sans jamais penser au système d'exploitation
sous-jacent ou aux mises à jour.

Avant de pouvoir accéder à Azure Files, vous devez d'abord vous authentifier car l'accès anonyme n'est pas pris en charge. Azure Files
prend en charge les méthodes d'authentification suivantes:

● L'authentification basée sur l'identité sur SMB (Server Message Block) est préférable lors de l'accès à Azure Files. Il offre la
même expérience d'authentification unique transparente lors de l'accès aux partages de fichiers Azure que pour l'accès aux
partages de fichiers locaux. L'authentification basée sur l'identité prend en charge l'authentification Kerberos qui utilise les
identités d'Azure Active Directory (Azure AD) ou des services de domaine Active Directory (AD DS).

● Une clé d'accès est une option plus ancienne et moins flexible. Un compte de stockage Azure dispose de deux clés d'accès qui peuvent

être utilisées lors de la demande au compte de stockage, y compris à Azure Files. Les clés d'accès sont statiques et fournissent un accès

de contrôle total à Azure Files. Les clés d'accès doivent être sécurisées et non partagées avec les utilisateurs, car elles contournent toutes

les restrictions de contrôle d'accès. Une bonne pratique consiste à éviter de partager les clés de compte de stockage et à utiliser

l'authentification basée sur l'identité chaque fois que cela est possible.

● Une signature d'accès partagé (SAS) est un identificateur de ressource uniforme généré dynamiquement basé sur la clé d'accès
au stockage. Il fournit des droits d'accès restreints à un compte de stockage Azure, y compris à Azure Files. Les restrictions
incluent les autorisations autorisées, les heures de début et d'expiration, les adresses IP autorisées à partir desquelles les
demandes peuvent être envoyées et les protocoles autorisés. Un SAS est principalement utilisé pour fournir un accès API à partir
du code.

Utiliser l'authentification basée sur l'identité

Figure 1: l'authentification basée sur l'identité peut être activée sur le compte de stockage Azure

L'authentification basée sur l'identité peut être activée sur les comptes de stockage Azure. Avant de pouvoir activer l'authentification basée

sur l'identité, vous devez d'abord configurer votre environnement de domaine. Pour l'authentification Azure AD, vous devez activer les

services de domaine Azure AD. Pour l'authentification AD DS, vous devez vous assurer que AD DS se synchronise avec Azure AD, puis le

domaine rejoint le compte de stockage. Dans les deux cas, les utilisateurs peuvent s'authentifier et accéder aux partages de fichiers Azure

uniquement à partir d'appareils ou de machines virtuelles qui sont joints au domaine.

Figure 2: authentification basée sur l'identité pour Azure Files

Une fois que vous avez activé l'authentification basée sur l'identité pour un compte de stockage, les utilisateurs peuvent accéder aux fichiers sur le partage

de fichiers Azure avec leurs informations d'identification de connexion. Lorsqu'un utilisateur tente d'accéder aux données dans Azure Files, la demande est

envoyée à Azure AD pour l'authentification. Si l'authentification réussit, Azure AD renvoie un jeton Kerberos. L'utilisateur
156 Module 5 Implémentation de services de fichiers dans des scénarios hybrides

envoie ensuite une demande qui inclut le jeton Kerberos, et le partage de fichiers Azure utilise ce jeton pour
autoriser la demande. L'authentification AD DS fonctionne de la même manière, où AD DS fournit le jeton Kerberos.

Configurer les autorisations de partage de fichiers Azure


Si l'authentification basée sur l'identité est activée, vous pouvez utiliser des rôles de contrôle d'accès basé sur les rôles (RBAC) pour contrôler les

droits d'accès (autorisations) aux partages de fichiers Azure. Azure inclut les rôles associés aux partages de fichiers Azure suivants:

● Contributeur de partage de données de fichier de stockage SMB. Les utilisateurs de ce rôle disposent d'un accès en lecture, en écriture et en suppression

dans les partages de fichiers Azure Storage sur SMB.

● Données de fichier de stockage SMB Share Elevated Contributor. Les utilisateurs de ce rôle ont accès aux autorisations de lecture, d'écriture, de

suppression et de modification NTFS dans les partages de fichiers Azure Storage sur SMB. Ce rôle dispose d'autorisations de contrôle total sur

le partage de fichiers Azure.

● Lecteur de partage de données de fichier de stockage SMB. Les utilisateurs de ce rôle ont un accès en lecture au partage de fichiers Azure sur SMB.

Si nécessaire, vous pouvez également créer et utiliser des rôles RBAC personnalisés. Les rôles RBAC n'accordent l'accès qu'à un partage. Pour accéder aux

fichiers, un utilisateur doit également disposer d'autorisations de niveau fichier. Les partages de fichiers Azure appliquent les autorisations de fichiers

Windows standard au niveau des dossiers et des fichiers. Vous pouvez monter le partage et configurer les autorisations sur SMB de la même manière

qu'avec les partages de fichiers locaux.

Noter: Le contrôle administratif complet d'un partage de fichiers Azure, y compris la possibilité de s'approprier un fichier, nécessite l'utilisation

de la clé de compte de stockage. Le contrôle administratif n'est pas pris en charge avec les informations d'identification Azure AD.

Informations Complémentaires: Pour plus d'informations sur l'authentification basée sur l'identité, reportez-vous à Vue d'ensemble des

options d'authentification basée sur l'identité Azure Files pour l'accès SMB 4 .

Cryptage des données


Toutes les données stockées dans un compte de stockage Azure, qui incluent les données sur les partages de fichiers Azure, sont toujours

chiffrées au repos à l'aide du chiffrement du service de stockage. Les données sont chiffrées au fur et à mesure qu'elles sont écrites dans les

centres de données Azure, et sont automatiquement déchiffrées lorsque vous y accédez. Par défaut, les données sont chiffrées à l'aide de clés

gérées par Microsoft, mais vous pouvez choisir d'apporter votre propre clé de chiffrement.

Par défaut, tous les comptes de stockage Azure ont le chiffrement en transit activé. Cela garantit que toutes les données sont
chiffrées lors du transfert du centre de données Azure vers votre appareil. Accès non chiffré à l'aide de SMB
2.1 et SMB 3.0 sans chiffrement ni HTTP ne sont pas autorisés par défaut, et les clients ne peuvent pas se connecter aux partages de
fichiers Azure sans chiffrement. Cela peut être configuré pour un compte de stockage Azure et est efficace pour tous les services de
compte de stockage.

4 https://aka.ms/storage-files-active-directory-overview
Implémentation d'Azure Files 157

Figure 3: paramètre de transfert sécurisé requis pour le compte de stockage Azure

Démonstration: configurer Azure Files


Dans cette démonstration, vous apprendrez à:

● Créez un compte de stockage Azure et un partage de fichiers, puis téléchargez un fichier.

● Configurez l'authentification de partage de fichiers Azure.

Informations Complémentaires: Pour plus d'informations sur la configuration de l'authentification du partage de fichiers Azure, reportez-vous à

Vue d'ensemble - Authentification des services de domaine Active Directory sur site sur SMB pour les partages de fichiers
Azure 5 .

Configurer la connectivité à Azure Files


Azure Files est un service cloud auquel toute personne disposant d'un accès Internet et des autorisations appropriées peut accéder par défaut.

La plupart des utilisateurs se connectent à Azure Files à l'aide du protocole SMB (Server Message Block), bien que le système de fichiers réseau

(NFS) soit également pris en charge. SMB utilise le port TCP 445 pour établir les connexions. De nombreuses entreprises et fournisseurs de

services Internet bloquent ce port, ce qui est une raison courante pour laquelle les utilisateurs ne peuvent pas accéder à Azure Files. Si le

déblocage du port 455 n'est pas une option, vous pouvez toujours accéder à Azure Files en établissant d'abord un réseau privé virtuel (VPN)

point à site, un VPN de site à site ou en utilisant une connexion Azure ExpressRoute pour Bleu azur. La société peut également utiliser Azure File

Sync pour synchroniser un partage de fichiers Azure avec un serveur de fichiers local, auquel les utilisateurs peuvent toujours accéder.

Pare-feu et réseaux virtuels Azure Storage


Azure Storage, qui inclut Azure Files, fournit un modèle de sécurité en couches. Ce modèle vous permet de sécuriser et de contrôler
le niveau d'accès à vos comptes de stockage en fonction du type et du sous-ensemble de réseaux d'où provient la demande. Par
défaut, un pare-feu de compte de stockage autorise l'accès à partir de tous les réseaux, mais vous pouvez modifier sa configuration
pour autoriser l'accès uniquement à partir d'adresses IP, de plages IP ou d'une liste de sous-réseaux dans un réseau virtuel Azure.
La configuration du pare-feu vous permet également de sélectionner des services de plateforme Azure approuvés pour accéder à un
compte de stockage en toute sécurité.

En plus du point de terminaison public par défaut, les comptes de stockage, qui incluent Azure Files, offrent la possibilité d'avoir un ou
plusieurs points de terminaison privés. UNE point de terminaison privé est un point de terminaison accessible uniquement dans un
réseau virtuel Azure. Lorsque vous créez un point de terminaison privé pour un compte de stockage, le compte de stockage obtient
une adresse IP privée à partir de l'espace d'adressage du réseau virtuel, de la même manière qu'un

5 https://aka.ms/storage-files-identity-auth-AD-enable
158 Module 5 Implémentation de services de fichiers dans des scénarios hybrides

un serveur de fichiers sur site ou un périphérique de stockage connecté au réseau reçoit une adresse IP de l'espace d'adressage
dédié d'un réseau sur site. Cela sécurise tout le trafic entre le réseau virtuel et le compte de stockage via un lien privé. Vous pouvez
également utiliser le pare-feu du compte de stockage pour bloquer tous les accès via un point de terminaison public lors de
l'utilisation de points de terminaison privés.

Informations Complémentaires: Pour plus d'informations sur la configuration de la connectivité, reportez-vous à Considérations

relatives au réseau Azure Files 6 .

Connectez-vous à un partage de fichiers Azure


Pour utiliser un partage de fichiers Azure avec le système d'exploitation Windows, vous devez soit le monter, ce qui
signifie lui attribuer une lettre de lecteur ou un chemin de point de montage, soit y accéder via son chemin UNC
(Universal Naming Convention). Le chemin UNC inclut le nom du compte de stockage Azure, le file.core.windows.net
suffixe de domaine et le nom du partage. Par exemple, si le compte de stockage Azure est nommé stockage1 et le
le nom de partage est part1, le chemin UNC serait \\ storage1.file.core.windows.net \ share1.

Si l'authentification de l'identité de l'utilisateur est activée pour le compte de stockage et que vous vous connectez à un partage de fichiers

Azure à partir d'un appareil Windows joint au domaine, vous n'avez pas besoin de fournir manuellement les informations d'identification.

Sinon, vous devez fournir des informations d'identification. Vous pouvez utiliser < Nom du compte de stockage Azure> comme nom

d'utilisateur et la clé d'accès au stockage comme mot de passe. Les mêmes informations d'identification sont utilisées si vous vous connectez
à un partage de fichiers Azure à l'aide du script fourni par le portail Azure. Sachez qu'une clé d'accès au stockage fournit un accès illimité à

un partage de fichiers Azure et que l'authentification de l'identité de l'utilisateur doit être utilisée à la place si possible.

Figure 1: le script fourni par le portail Azure pour la connexion à un partage de fichiers Azure

Informations Complémentaires: Pour plus d'informations sur la connexion à Azure Files, reportez-vous à Résoudre les
problèmes de fichiers Azure dans Windows 7 .

Instantanés de partage de fichiers Azure


Dans Windows Server, vous pouvez créer un cliché instantané d'un volume, qui capture l'état du volume à ce moment-là. Vous pouvez

accéder ultérieurement au cliché instantané sur un réseau à l'aide de l'Explorateur de fichiers La version précédente fonctionnalité. Une

fonctionnalité similaire est disponible avec les instantanés de partage de fichiers Azure. Un instantané de partage est une copie ponctuelle en

lecture seule des données de partage de fichiers Azure.

6 https://aka.ms/storage-files-networking-overview
7 https://aka.ms/storage-troubleshoot-file-connection
Implémentation d'Azure Files 159

Vous créez un instantané de partage au niveau du partage de fichiers. Vous pouvez ensuite restaurer des fichiers individuels dans le portail

Azure ou dans l'Explorateur de fichiers, où vous pouvez également restaurer un partage entier. Vous pouvez avoir jusqu'à 200 instantanés par

partage, ce qui vous permet de restaurer des fichiers vers différentes versions ponctuelles. Si vous supprimez un partage, tous ses clichés sont

également supprimés.

Les instantanés de partage sont incrémentiels. Seules les données qui ont changé après votre instantané de partage le plus récent sont

enregistrées. Cela minimise le temps nécessaire pour créer l'instantané de partage et permet d'économiser sur les coûts de stockage.

Figure 2: instantanés de fichiers Azure dans le portail Azure et en tant que versions précédentes dans l'Explorateur de fichiers

Quand utiliser les instantanés de partage


● Utilisez les instantanés de partage comme protection contre les suppressions accidentelles ou les modifications involontaires. Un instantané de

partage contient des copies ponctuelles des fichiers du partage. Si les fichiers de partage sont modifiés par inadvertance, vous pouvez utiliser des

instantanés de partage pour revoir et restaurer les versions précédentes des fichiers.

● Utilisez des instantanés de partage à des fins de sauvegarde générales. Après avoir créé un partage de fichiers, vous pouvez

régulièrement créer un instantané de partage. Cela vous permet de conserver les versions précédentes des données qui peuvent être

utilisées pour les futures exigences d'audit ou la reprise après sinistre.

Démonstration: configurer la connectivité à Azure


Files
Dans cette démonstration, vous apprendrez à:

● Connectez-vous à un partage Azure Files à l'aide d'une clé d'accès au stockage.

● Gérez les instantanés de partage de fichiers Azure.

Démonstration étapes
Tâches

● Connectez-vous à un partage de fichiers Azure à l'aide d'une clé d'accès au stockage.

● Gérez les instantanés de partage de fichiers Azure.

Laissez les VM en cours d'exécution pour les démonstrations suivantes.


160 Module 5 Implémentation de services de fichiers dans des scénarios hybrides

Testez vos connaissances


Utilisez les questions suivantes pour vérifier ce que vous avez appris dans cette leçon.

question 1

À partir de quels appareils pouvez-vous vous connecter à un partage de fichiers Azure?

question 2

Pouvez-vous vous connecter à un partage de fichiers Azure si vos fournisseurs de services Internet bloquent le trafic SMB (port TCP
445)?

question 3

Quelle est la limite de taille pour un partage de fichiers Azure?

Question 4

Quelles deux étapes devez-vous effectuer avant de pouvoir utiliser les services de domaine Active Directory (AD DS) en tant que magasin
d'identités pour contrôler l'accès aux partages de fichiers Azure?

Question 5

Combien d'instantanés un partage de fichiers Azure peut-il avoir?


Implémentation d'Azure File Sync 161

Implémentation d'Azure File Sync

Aperçu de la leçon
Les serveurs de fichiers sur site traditionnels sont confrontés à plusieurs défis, par exemple devoir toujours augmenter la capacité de
stockage local, garantir la disponibilité des données rarement utilisées et effectuer des sauvegardes régulières de grandes quantités
de données. Azure File Sync intègre des serveurs de fichiers locaux avec Azure Files et conserve le meilleur des deux mondes. Il
centralise les partages de fichiers dans Azure Files tout en conservant la flexibilité, les performances et la compatibilité d'un serveur
de fichiers local. File Sync transforme un serveur de fichiers Windows Server en un cache rapide d'un partage de fichiers Azure. Les
utilisateurs accèdent aux données localement, comme ils l'ont toujours fait, tandis que le serveur de fichiers ne manque jamais de
stockage. Étant donné que tous les fichiers sont synchronisés avec un partage de fichiers Azure, vous pouvez les sauvegarder dans le
cloud à l'aide d'Azure Backup. Si un sinistre se produit dans votre emplacement sur site, vous pouvez rapidement reconstruire un
nouveau serveur de fichiers,

La synchronisation de fichiers dépend des partages de fichiers Azure. Il synchronise le contenu d'un serveur de fichiers vers un partage de fichiers Azure,

puis du partage de fichiers Azure vers d'autres serveurs de fichiers dans le même groupe de synchronisation. Dans la leçon précédente, vous avez appris à

accéder directement aux partages de fichiers Azure. Dans cette leçon, vous apprendrez à mettre en cache un partage de fichiers Azure en local avec File

Sync.

Objectifs de la leçon
Après avoir terminé cette leçon, vous serez en mesure de:

● Décrivez File Sync.

● Décrivez comment implémenter la synchronisation de fichiers.

● Décrivez comment gérer la hiérarchisation du cloud.

● Décrivez comment migrer de la réplication DFS vers la synchronisation de fichiers.

Vue d'ensemble d'Azure File Sync


Azure File Sync est un service qui vous permet de mettre en cache les partages de fichiers Azure sur un serveur de fichiers Windows Server local.

Lorsque la hiérarchisation cloud est activée, File Sync permet de garantir qu'un serveur de fichiers dispose toujours d'espace libre disponible

tout en rendant plus de fichiers disponibles qu'un serveur de fichiers ne pourrait en stocker localement. Il présente l'ensemble de la structure
des dossiers et des fichiers comme s'ils étaient disponibles localement, bien que certains fichiers puissent être hiérarchisés vers le partage de

fichiers Azure. Si un utilisateur tente d'accéder à un tel fichier, le fichier est rappelé (téléchargé de manière transparente à partir du partage de

fichiers Azure) en arrière-plan, puis présenté à l'utilisateur. En faisant cela, File Sync transforme un serveur Windows local en un cache rapide de

votre partage de fichiers Azure. File Sync prend en charge le modèle multimaître et peut synchroniser les données entre plusieurs serveurs de

fichiers.

Terminologie Azure File Sync


Si vous souhaitez comprendre le fonctionnement de File Sync, vous devez comprendre la terminologie qui s'y rapporte:
162 Module 5 Implémentation de services de fichiers dans des scénarios hybrides

Figure 1: architecture de synchronisation de fichiers

Service de synchronisation du stockage


Le service de synchronisation de stockage est la ressource Azure de niveau supérieur pour la synchronisation de fichiers. Il est utilisé pour créer des groupes de

synchronisation, qui connectent des comptes de stockage Azure, des partages de fichiers Azure (également appelés points de terminaison cloud), et points de

terminaison du serveur ( emplacements de fichiers sur un serveur de fichiers Windows Server enregistré).

Groupe de synchronisation
UNE groupe de synchronisation définit la topologie de synchronisation pour un ensemble de fichiers. Les points de terminaison d'un groupe de synchronisation sont

synchronisés les uns avec les autres. Si, par exemple, vous avez deux ensembles distincts de fichiers que vous souhaitez gérer avec File Sync, vous devez créer deux

groupes de synchronisation et ajouter des points de terminaison différents à chaque groupe de synchronisation. Le service de synchronisation de stockage peut avoir

jusqu'à 100 groupes de synchronisation, et un groupe de synchronisation peut avoir jusqu'à 50 points de terminaison de serveur (un groupe de synchronisation a toujours

un point de terminaison cloud).

Serveur enregistré
L'objet serveur enregistré représente une relation d'approbation entre un serveur qui exécute Windows Server (ou un cluster) et le
service de synchronisation de stockage. Vous pouvez enregistrer jusqu'à 99 ordinateurs Windows Server par service de
synchronisation de stockage, quelle que soit leur appartenance à un domaine. Les serveurs uniques qui exécutent Windows Server
(ou un cluster) peuvent être enregistrés auprès d'un seul service de synchronisation de stockage à la fois.

Agent Azure File Sync


L'agent File Sync est un package téléchargeable qui permet à Windows Server de se synchroniser avec un partage de fichiers
Azure. L'agent File Sync se met à jour régulièrement et comporte trois composants principaux:

● Le service Windows d'arrière-plan qui surveille les modifications sur les points de terminaison du serveur et lance des sessions de

synchronisation vers Azure. Après avoir détecté une modification, le fichier est chiffré et synchronisé avec le partage de fichiers Azure.
Implémentation d'Azure File Sync 163

● Le filtre du système de fichiers File Sync, qui est responsable de la hiérarchisation des fichiers vers Azure Files lorsque la hiérarchisation cloud est

activée pour le point de terminaison du serveur. La hiérarchisation se produit de manière dynamique en arrière-plan.

● Les applets de commande de gestion PowerShell que vous pouvez utiliser pour gérer la synchronisation de fichiers.

Point de terminaison du serveur


UNE point de terminaison du serveur représente un emplacement spécifique sur un ordinateur Windows Server enregistré, tel qu'un dossier ou un

volume.Vous ne pouvez synchroniser que des fichiers sur des volumes au format NTFS car le système de fichiers résilient (ReFS) et les autres systèmes de

fichiers ne sont pas pris en charge. Vous pouvez ajouter plusieurs points de terminaison de serveur pour le même ordinateur Windows Server, mais ils

doivent être dans des groupes de synchronisation différents. Les points de terminaison de serveur peuvent se trouver sur le même volume du même

ordinateur Windows Server si leurs espaces de noms ne se chevauchent pas. Par example, D: \ Dossier1 et D: \ Dossier2 peut être deux points de

terminaison de serveur sur le même ordinateur Windows Server. Vous pouvez configurer la hiérarchisation cloud individuellement pour chaque point de

terminaison de serveur.

Point de terminaison cloud


UNE point de terminaison cloud est un partage de fichiers Azure qui fait partie d'un groupe de synchronisation. L'ensemble du partage de fichiers Azure se

synchronise et un partage de fichiers Azure peut être membre d'un seul groupe de synchronisation. Si vous ajoutez un partage de fichiers Azure qui a un ensemble de

fichiers existant en tant que point de terminaison cloud à un groupe de synchronisation, les fichiers existants seront synchronisés avec les points de terminaison de

serveur que vous ajoutez au même groupe de synchronisation.

Avantages d'Azure File Sync

Synchronisation multisite
L'agent File Sync synchronise un point de terminaison de serveur avec un partage de fichiers Azure. Une fois que vous avez ajouté, supprimé ou modifié

des fichiers, des dossiers ou leurs autorisations sur un point de terminaison de serveur, l'agent détecte la modification et la réplique dans le cloud. Les

modifications sont détectées immédiatement et les fichiers ajoutés sont visibles sur le partage de fichiers Azure en quelques secondes. Les fichiers plus

volumineux mettent plus de temps à être disponibles en fonction de leur taille et de la vitesse de la connexion Internet.

Lorsque vous avez plusieurs points de terminaison de serveur dans le même groupe de synchronisation, l'agent de synchronisation de fichiers synchronise

leur contenu quels que soient les emplacements des points de terminaison. Ils peuvent se trouver sur le même réseau ou dans différentes parties du

monde. De cette façon, File Sync peut être utilisé pour la synchronisation multisite; une fonctionnalité similaire fournit le service de rôle de réplication DFS

sur Windows Server.

File Sync implémente la réplication multimaître, ce qui signifie que les modifications qui se produisent à n'importe quel point de terminaison

de serveur se synchronisent avec tous les autres points de terminaison dans le même groupe de synchronisation. File Sync ne fournit pas de

verrouillage, ce qui signifie qu'un conflit se produit si le même fichier est modifié sur plusieurs points de terminaison en même temps avant

la synchronisation de la première modification. File Sync détecte de tels conflits, ce qui entraîne plusieurs copies du fichier (les noms de

fichiers en conflit incluent le nom du point de terminaison à l'origine du conflit).

Noter: Si vous modifiez le fichier au niveau du point de terminaison du serveur, la modification se synchronise immédiatement avec les autres points de

terminaison. Mais si vous apportez une modification directement sur le partage de fichiers Azure, la modification peut prendre jusqu'à 24 heures avant

d'être synchronisée avec les points de terminaison du serveur. Cela est dû au fait que le partage de fichiers Azure n'a pas de mécanisme de détection des

modifications. Le travail de détection des modifications s'exécute une fois par jour, mais vous pouvez le déclencher immédiatement en exécutant le Invoke-AzStorageSyncChange

Applet de commande PowerShell.


164 Module 5 Implémentation de services de fichiers dans des scénarios hybrides

Hiérarchisation du cloud
Hiérarchisation du cloud est une fonctionnalité facultative que vous pouvez activer et configurer pour les points de terminaison de serveur. Si la hiérarchisation cloud

n'est pas activée, tous les fichiers sont conservés localement dans le point de terminaison du serveur et dans le partage de fichiers Azure. L'espace disque disponible

localement limite un point de terminaison de serveur et vous pouvez manquer d'espace lors de la copie d'un trop grand nombre de fichiers volumineux vers un point

de terminaison de serveur.

Avec la hiérarchisation cloud, vous pouvez définir le pourcentage d'espace libre qui doit toujours être disponible dans le point de terminaison du

serveur et, éventuellement, stocker localement uniquement les fichiers récemment consultés. Vous pouvez copier autant de fichiers que vous le

souhaitez sur un point de terminaison de serveur, et tous les fichiers sont synchronisés avec le point de terminaison cloud. Cependant, les

fichiers qui dépassent le seuil d'espace libre pour le volume ou qui n'ont pas été accédés récemment sont supprimés du stockage local mais

restent sur le partage de fichiers Azure. Ces fichiers sont toujours disponibles et sont visibles sur le point de terminaison du serveur en tant que

point d'analyse avec l'attribut hors ligne, et les utilisateurs peuvent y accéder, mais les fichiers ne prennent pas de place sur le point de

terminaison du serveur.

Sauvegarde sur le cloud


L'agent File Sync permet de garantir que tous les fichiers de point de terminaison du serveur se synchronisent avec un partage de fichiers Azure. Vous pouvez créer

jusqu'à 200 instantanés de partage de fichiers Azure, que vous pouvez utiliser pour restaurer les versions précédentes de n'importe quel fichier; par exemple, en

utilisant le La version précédente fonctionnalité dans l'Explorateur de fichiers. Les versions précédentes sont également disponibles pour les fichiers qui ne sont pas

mis en cache sur un point de terminaison de serveur en raison de la hiérarchisation cloud.

Vous pouvez utiliser Azure Backup pour effectuer une sauvegarde quotidienne planifiée des partages de fichiers Azure ou jusqu'à quatre sauvegardes

quotidiennes à la demande. La sauvegarde utilise des instantanés pour créer une sauvegarde de partage de fichiers Azure et, en fonction de votre

politique de rétention, une sauvegarde de partage de fichiers Azure peut être conservée jusqu'à 10 ans.

Reprise après sinistre


Tous les fichiers de point de terminaison du serveur se synchronisent avec les partages de fichiers Azure, ce qui permet de créer rapidement un nouveau

point de terminaison de serveur; par exemple, en cas de sinistre ou si vous devez ajouter un autre point de terminaison de serveur à votre réseau. Vous

devez uniquement installer l'agent de synchronisation de fichiers sur un nouvel ordinateur Windows Server, enregistrer le serveur, puis l'ajouter en tant que

point de terminaison de serveur au groupe de synchronisation. Quelle que soit la quantité de données sur un partage de fichiers Azure, l'agent de

synchronisation extrait d'abord tout l'espace de noms, ce qui rend la structure des dossiers et les fichiers presque immédiatement visibles et disponibles sur

le nouveau serveur. Ce processus s'appelle reprise après sinistre rapide ou un restauration rapide de l'espace de noms. Alors que l'agent de synchronisation

commence à mettre en cache les fichiers sur le point de terminaison du serveur en arrière-plan, en fonction des paramètres de hiérarchisation du cloud, les

utilisateurs peuvent déjà accéder aux fichiers. S'ils essaient d'accéder à un fichier qui n'est pas encore mis en cache, l'agent de synchronisation rappelle

immédiatement et de manière transparente les données de fichier à partir du partage de fichiers Azure. Un utilisateur peut accéder et ouvrir le fichier sans

remarquer que le fichier n'a pas été mis en cache localement sur le point de terminaison du serveur.

Informations Complémentaires: Pour plus d'informations sur Azure File Sync, reportez-vous à Planification d'un déploiement
Azure File Sync 8 .

Implémenter Azure File Sync


Vous pouvez implémenter la synchronisation de fichiers manuellement ou en utilisant Centre d'administration Windows, qui satisfait toutes les

conditions préalables. Il vous suffit de fournir les paramètres de configuration de base. Pour un déploiement manuel, lorsque vous utilisez le

portail Azure ou Azure PowerShell, vous devez déjà disposer d'un compte de stockage Azure avec un partage de fichiers Azure qui sera un point

de terminaison cloud. Dans les deux cas, vous devez disposer de serveurs de fichiers Windows locaux que vous souhaitez utiliser comme points

de terminaison de serveur.

8 https://aka.ms/storage-sync-files-planning
Implémentation d'Azure File Sync 165

Implémenter manuellement Azure File Sync

1. Déployez le service de synchronisation du stockage


Le service de synchronisation de stockage est la ressource Azure de niveau supérieur pour la synchronisation de fichiers. Vous pouvez avoir plusieurs instances du service

de synchronisation de stockage, mais Windows Server peut s'enregistrer auprès d'un seul service de synchronisation de stockage et les serveurs enregistrés avec

différentes instances de service de synchronisation de stockage ne peuvent pas se synchroniser entre eux. Le service de synchronisation de stockage ne peut être utilisé

qu'avec des partages de fichiers Azure qui se trouvent dans la même région Azure.

Vous déployez le service de synchronisation de stockage dans le portail Azure en sélectionnant Créer une ressource, à la recherche de Synchronisation

de fichiers Azure, puis en sélectionnant Créer.

Vous déployez le service de synchronisation de stockage dans Azure PowerShell à l'aide du Nouveau-AzStorageSyncService cmdlet.

2. Installez l'agent Azure File Sync


Vous pouvez télécharger le package d'installation de l'agent File Sync à partir du portail Azure sur le Centre de téléchargement
Microsoft. Vous devez installer l'agent sur tous les serveurs qui seront des points de terminaison de serveur. Si vous souhaitez
utiliser File Sync avec un cluster de basculement, vous devez installer l'agent sur chaque nœud du cluster.

Par défaut, l'agent installé tente de se mettre à niveau dans les 21 jours suivant sa date d'expiration publiée. 21 jours avant son
expiration, il commencera à essayer de se mettre à niveau une fois par semaine et dans la fenêtre de maintenance sélectionnée.

Vous installez l'agent de synchronisation de fichiers sur Windows Server 2019 en exécutant le StorageSyncAgent_WS2019.msi
package d'installation sur Windows Server.

3. Enregistrez Windows Server avec le service de synchronisation de stockage


Une fois l'installation de l'agent File Sync terminée, le Enregistrement du serveur la fenêtre s'ouvre automatiquement. L'enregistrement de Windows

Server auprès du service de synchronisation de stockage établit une relation d'approbation entre votre serveur (ou cluster) et le service de synchronisation

de stockage. Une fois que vous vous êtes authentifié avec les informations d'identification Azure, l'inscription nécessite des informations sur votre

abonnement Azure, votre groupe de ressources et le service de synchronisation de stockage, que vous avez créés à la première étape. Vous pouvez

enregistrer un serveur (ou un cluster) avec un seul service de synchronisation de stockage à la fois.

Vous pouvez enregistrer un agent File Sync en exécutant le Register-AzStorageSyncServer cmdlet. Cette applet de commande doit s'exécuter
localement sur l'ordinateur Windows Server que vous souhaitez enregistrer. Si vous souhaitez enregistrer Server Core, vous avez besoin d'un

deuxième ordinateur avec Expérience utilisateur pour effectuer la connexion de l'appareil.

4. Créez un groupe de synchronisation


UNE groupe de synchronisation contient des points de terminaison que vous souhaitez synchroniser les uns avec les autres. Il définit efficacement la topologie de

synchronisation. Un groupe de synchronisation doit toujours avoir un point de terminaison cloud et peut avoir jusqu'à 50 points de terminaison de serveur. Les points

de terminaison de serveur dans le même groupe de synchronisation doivent provenir de serveurs enregistrés différents. Tous les points de terminaison de serveur se

synchronisent avec un point de terminaison cloud, ce qui fait du point de terminaison cloud le hub.

Vous pouvez apporter des modifications à un point de terminaison cloud ou à n'importe quel point de terminaison de serveur, car File Sync utilise la réplication

multimaître. Si vous apportez une modification à un point de terminaison de serveur, la modification est détectée immédiatement, synchronisée avec le point de

terminaison du cloud, puis synchronisée avec d'autres points de terminaison de serveur. Mais si vous apportez directement une modification au point de terminaison

cloud, la modification doit d'abord être découverte par une tâche de détection de modification de File Sync. Un travail de détection des modifications ne s'exécute qu'une

fois toutes les 24 heures pour un point de terminaison cloud.

Vous créez un groupe de synchronisation dans le portail Azure en sélectionnant Groupe de synchronisation dans le Service de synchronisation du

stockage vitre. Vous créez un groupe de synchronisation dans Azure PowerShell à l'aide du Nouveau-AzStorageSyncGroup cmdlet.
166 Module 5 Implémentation de services de fichiers dans des scénarios hybrides

5. Ajouter des points de terminaison de serveur


Vous ajoutez un point de terminaison de serveur dans le portail Azure en sélectionnant Ajouter un point de terminaison de serveur dans le groupe de synchronisation vitre.

Vous ajoutez un point de terminaison de serveur dans Azure PowerShell à l'aide de la Nouveau-AzStorageSyncServerEndpoint

cmdlet.

Lors de l'ajout d'un point de terminaison de serveur, vous pouvez également configurer la hiérarchisation cloud et le transfert de données hors ligne.

Avec le transfert de données hors ligne, vous pouvez utiliser d'autres moyens, tels qu'Azure Data Box, pour transporter de grandes quantités de fichiers

vers Azure. La hiérarchisation cloud transforme un point de terminaison de serveur en cache de fichiers sur un partage de fichiers Azure. Sachez que la

hiérarchisation cloud n'est prise en charge que sur les volumes de données; la hiérarchisation cloud n'est pas prise en charge sur un volume système.

Informations Complémentaires: Pour plus d'informations sur le déploiement de la synchronisation de fichiers Azure, reportez-vous à Déployer Azure File Sync 9 .

Implémenter Azure File Sync à l'aide du centre d'administration


Windows
Centre d'administration Windows simplifie le déploiement de File Sync. Il peut créer automatiquement tous les prérequis (service de

synchronisation de stockage, un compte de stockage et un partage de fichiers Azure) si nécessaire ou utiliser ceux existants s'ils existent déjà

dans l'abonnement Azure. Tout ce dont vous avez besoin, ce sont des informations d'identification d'abonnement Azure et un ordinateur

Windows Server dont vous souhaitez créer un point de terminaison de serveur.

Noter: Pour pouvoir configurer File Sync, vous devez vous inscrire Centre d'administration Windows avec Azure.

Après connexion Centre d'administration Windows sur l'ordinateur Windows Server approprié, vous devez sélectionner
Synchronisation de fichiers Azure puis sélectionnez Mettre en place. Centre d'administration Windows détecte si les prérequis File Sync existent déjà

dans l'abonnement ou s'il doit les créer. Lorsque les prérequis sont en place, vous pouvez les modifier puis sélectionner Mettre en place, qui télécharge et

installe un agent de synchronisation de fichiers et enregistre Windows Server avec le groupe de synchronisation. La dernière étape consiste à sélectionner Synchroniser

un dossier, où vous pouvez spécifier le dossier local que vous souhaitez ajouter en tant que point de terminaison de serveur et à quel groupe de

synchronisation.

Noter: Vous pouvez ajouter Windows Server en tant que point de terminaison de serveur à un groupe de synchronisation et activer la hiérarchisation

cloud à l'aide de la Centre d'administration Windows. Mais vous devez toujours utiliser le portail Azure pour d'autres configurations, telles que la

configuration de la hiérarchisation cloud politique de date.

Démonstration: implémenter Azure File Sync


Dans cette démonstration, vous apprendrez à implémenter Azure File Sync.

Démonstration étapes
1. Déployez le service de synchronisation de stockage et un groupe de synchronisation de fichiers.

2. Ajouter SEA-SVR1 en tant que point de terminaison de serveur.

3. Testez la synchronisation des fichiers.

Gérer la hiérarchisation du cloud


La hiérarchisation cloud est une fonctionnalité facultative d'Azure File Sync qui permet de garantir que les serveurs de fichiers locaux disposent toujours

de suffisamment d'espace libre. Cela peut également aider à garantir que les fichiers fréquemment consultés sont mis en cache localement

9 https://aka.ms/storage-sync-files-deployment-guide
Implémentation d'Azure File Sync 167

sur un serveur de fichiers tandis que tous les autres fichiers sont hiérarchisés vers un partage de fichiers Azure. Lorsqu'un fichier est hiérarchisé, le filtre du

système de fichiers File Sync remplace le fichier localement par un pointeur, appelé point d'analyse, qui représente une URL vers le fichier sur un partage de

fichiers Azure. Lorsqu'un utilisateur demande un fichier hiérarchisé, File Sync rappelle de manière transparente les données de fichier d'Azure Files sans que

l'utilisateur ait besoin de savoir que la date du fichier est stockée sur un partage de fichiers Azure.

Configurer la hiérarchisation cloud


Vous pouvez configurer la hiérarchisation cloud pour chaque point de terminaison de serveur. Si la hiérarchisation cloud est désactivée, ce qui est la valeur par défaut,

toutes les données de fichier se synchronisent d'un point de terminaison cloud vers un point de terminaison de serveur. Après avoir activé la hiérarchisation cloud, vous

pouvez configurer deux stratégies:

● Conservez toujours le pourcentage spécifié d'espace libre sur le volume. Pour cette politique, également appelée politique
d'espace libre de volume, vous spécifiez le pourcentage d'espace libre qui doit toujours être disponible sur le volume sur lequel
se trouve un point de terminaison de serveur. Par exemple, si la taille du volume est de 100 gigaoctets (Go) et que l'espace libre du
volume est défini sur 20%, jusqu'à 80% de l'espace disque peut être utilisé par les fichiers les plus souvent utilisés. Les fichiers qui
sont utilisés moins souvent et dépasseraient le seuil de 20% d'espace libre sont hiérarchisés vers le point de terminaison cloud.
Lorsqu'un utilisateur se connecte à un point de terminaison de serveur, tous les fichiers, y compris ceux qui sont hiérarchisés vers
un partage de fichiers Azure, sont visibles et l'utilisateur peut y accéder en toute transparence.

● Uniquement les fichiers en cache qui ont été consultés ou modifiés dans le nombre de jours spécifié. Cette politique, également

appelée politique de date, spécifie que seuls les fichiers les plus récemment consultés sont mis en cache localement. Vous définissez le

nombre de jours, et si un fichier n'est pas lu ou écrit pendant autant de jours, il est automatiquement hiérarchisé.

le politique d'espace libre de volume a toujours la priorité sur le politique de date. Par exemple, si le politique de date spécifie
que les fichiers qui ont été consultés au cours des sept derniers jours doivent être conservés localement et que le
politique d'espace libre de volume définit que 20% du volume doit être libre, les fichiers qui ont été accédés au cours des
sept derniers jours sont également hiérarchisés s'ils dépassent 80% de l'espace disque libre du volume.

Si plusieurs points de terminaison de serveur se trouvent sur le même volume (chaque point de terminaison de serveur est dans un groupe de

synchronisation différent), le seuil d'espace libre effectif pour le volume est le plus grand espace libre spécifié pour le volume sur tout point de

terminaison de serveur sur ce volume. Par exemple, si le premier point de terminaison de serveur a un politique d'espace libre de volume défini

sur 20 pour cent et un deuxième point de terminaison de serveur a un politique d'espace libre de volume de 30 pour cent, le volume aura

toujours au moins 30 pour cent d'espace libre.

Noter: La hiérarchisation cloud n'est pas prise en charge sur un volume système Windows.

Fonctionnement de la hiérarchisation cloud


Le filtre système File Sync crée un carte de chaleur de votre espace de noms sur chaque point de terminaison de serveur. Il surveille les

tentatives d'accès (opérations de lecture et d'écriture) au fil du temps, puis, en fonction de la fréquence et de la récence d'accès, attribue un

score de chaleur à chaque fichier. Un fichier fréquemment consulté qui a été récemment ouvert est considéré comme chaud, alors qu'un fichier

auquel on a rarement accédé et qui n'a pas été ouvert pendant une longue période est considéré comme cool. Lorsque le volume de fichiers sur

un serveur dépasse le seuil d'espace libre du volume, File Sync hiérarchise les fichiers les plus intéressants vers Azure Files jusqu'à ce que le

pourcentage d'espace libre soit atteint.

Avec la hiérarchisation cloud, les fichiers peuvent être mis en cache localement ou hiérarchisés vers un partage de fichiers Azure. Certains formats de

fichiers, tels que les fichiers multimédias ou les fichiers .zip compressés, peuvent également être dans un troisième état, partiellement hiérarchisés. Dans un

fichier partiellement hiérarchisé, seule une partie du fichier est mise en cache localement. Cela se produit lorsque vous ouvrez un fichier hiérarchisé et que le

format de fichier prend en charge la lecture partielle, ce qui signifie que vous pouvez utiliser le fichier sans le télécharger complètement. Par exemple, vous

pouvez commencer à faire référence à un fichier multimédia et, pendant que vous le parcourez, seules les parties nécessaires du cache du fichier multimédia

localement.
168 Module 5 Implémentation de services de fichiers dans des scénarios hybrides

Reconnaître les fichiers hiérarchisés


Les fichiers hiérarchisés sont facilement accessibles et vous pouvez les utiliser de la même manière que les fichiers mis en cache localement sur un serveur

de fichiers. Vous pouvez reconnaître un fichier hiérarchisé de plusieurs manières:

1. Les fichiers hiérarchisés n'utilisent pas l'espace disque local car ils sont stockés sur un partage de fichiers Azure. Quelle que soit leur taille

réelle, la taille sur le disque est de 0 octet. Dans l'Explorateur de fichiers, vous pouvez observer les propriétés du fichier, y compris l'espace

qu'il occupe sur le disque. Pour les fichiers partiellement hiérarchisés, la taille du disque est supérieure à 0 octet mais inférieure à la taille

réelle du fichier.

2. Attributs, à savoir Hors ligne, point d'analyse, et Rappel sur l'accès aux données sont définis sur des fichiers hiérarchisés. Dans l'Explorateur de

fichiers, vous pouvez observer les propriétés du fichier sur le Des détails onglet du fichier ou en ajoutant le Les attributs

colonne.

3. Les fichiers hiérarchisés ont des pointeurs d'analyse définis. UNE pointeur d'analyse est un pointeur spécial pour le filtre du système de

fichiers File Sync. Pour vérifier si un fichier a un point d'analyse, vous pouvez exécuter la commande suivante:

fsutil reparsepoint query <nom-fichier>

Si le fichier a un point d'analyse, la sortie inclut «Reparse Tag Value: 0x8000001e».

Tier ou rappel des fichiers manuellement


Lorsque la hiérarchisation cloud est activée, les fichiers sont automatiquement hiérarchisés en fonction de la politique d'espace libre de volume et

politique de date. Vous pouvez forcer manuellement un fichier à être hiérarchisé; par exemple, si vous venez d'enregistrer un fichier volumineux que vous

n'avez pas l'intention de réutiliser pendant une longue période et que vous ne souhaitez pas attendre que la stratégie hiérarchise le fichier. Vous pouvez

déclencher la hiérarchisation en exécutant le Invoke-StorageSyncCloudTiering cmdlet.

Si un fichier est déjà hiérarchisé et que vous souhaitez le rappeler, le moyen le plus simple de le mettre en cache localement est d'ouvrir le fichier; par

exemple, en double-cliquant ou en le sélectionnant dans l'Explorateur de fichiers. Vous pouvez également exécuter le Invoke-StorageSyncFil- eRecall applet

de commande, ce qui peut être particulièrement utile si vous souhaitez rappeler plusieurs fichiers à la fois.

Noter: le Versions précédentes fonctionnalité (instantanés) est compatible avec la hiérarchisation cloud; vous pouvez restaurer les versions

précédentes des fichiers cloud. Si un fichier a le Rappel sur l'accès aux données ensemble d'attributs, le logiciel antivirus analysera

uniquement les métadonnées du fichier; il ne rappelle pas le fichier.

Informations Complémentaires: Pour plus d'informations sur la hiérarchisation cloud, reportez-vous à Présentation de la hiérarchisation du cloud dix .

Migrer de la réplication DFS vers Azure File Sync


Les entreprises ont généralement plusieurs serveurs de fichiers dans des emplacements distincts. Avec DFS (Distributed File System), vous

pouvez répliquer le contenu du dossier entre les serveurs de fichiers et publier des partages de fichiers dans un seul espace de noms. Windows

Server dispose des deux services de rôle liés à DFS suivants:

● Les espaces de noms DFS vous permettent de regrouper les dossiers partagés qui se trouvent sur différents serveurs dans un ou plusieurs

espaces de noms structurés de manière logique. Chaque espace de noms apparaît aux utilisateurs comme un dossier partagé unique avec

une série de sous-dossiers. Cependant, la structure sous-jacente de l'espace de noms peut être constituée de nombreux partages de

fichiers situés sur différents serveurs sur plusieurs sites.

● La réplication DFS est un moteur de réplication multimaître que vous pouvez utiliser pour synchroniser des dossiers sur
plusieurs serveurs sur des connexions réseau locales ou étendues (WAN). Il utilise le protocole de compression différentielle à
distance (RDC) pour mettre à jour uniquement les parties de fichiers qui ont changé depuis la dernière réplication. La
réplication DFS peut être utilisée avec les espaces de noms DFS ou par elle-même.

dix https://aka.ms/storage-sync-cloud-tiering
Implémentation d'Azure File Sync 169

DFS et Azure File Sync


File Sync est compatible avec les espaces de noms DFS et la réplication DFS. Vous pouvez installer l'agent de synchronisation de fichiers sur les serveurs de

réplication DFS, puis synchroniser les données entre ces points de terminaison de serveur et le point de terminaison cloud. La réplication DFS et la

synchronisation de fichiers sont toutes deux des solutions de réplication qui peuvent fonctionner côte à côte, mais File Sync remplace souvent la réplication

DFS car elle présente plusieurs avantages, tels que la synchronisation des fichiers sur un partage de fichiers Azure (où il peut être sauvegardé de manière

centralisée), un espace de noms rapide restauration et hiérarchisation cloud. Cependant, vous souhaiterez utiliser la réplication DFS et la synchronisation

de fichiers ensemble dans plusieurs scénarios:

● Vous êtes en train de migrer d'un déploiement de réplication DFS vers un déploiement de synchronisation de fichiers. Une fois la
migration terminée, vous retirez la réplication DFS.

● Certains serveurs de réplication DFS dans un groupe de réplication ne disposent pas de connectivité Internet. File Sync nécessite
une connexion Internet.

● Vous devez avoir une réplication unidirectionnelle; par exemple, lors de la consolidation de données de serveurs de succursale vers un serveur

concentrateur unique, à partir duquel vous souhaitez les synchroniser avec un partage de fichiers Azure à l'aide de File Sync. Le dossier sur le serveur

concentrateur dans lequel vous consolidez les données peut être un point de terminaison de serveur dans un seul groupe de synchronisation Azure.

Si vous souhaitez utiliser la synchronisation de fichiers et la réplication DFS côte à côte, vous devez:

● Désactivez la hiérarchisation cloud de File Sync sur les volumes avec des dossiers répliqués par réplication DFS.

● Ne pas configurer les dossiers de réplication en lecture seule de la réplication DFS en tant que points de terminaison de serveur.

Comment migrer de la réplication DFS vers Azure File Sync


Pour migrer un déploiement de réplication DFS vers File Sync, vous devez effectuer les étapes suivantes:

1. Créez un compte de stockage Azure, un partage de fichiers Azure et une ressource de service de synchronisation de stockage dans

votre abonnement Azure.

2. Créez un groupe de synchronisation du service de synchronisation du stockage pour représenter la topologie de réplication DFS que

vous remplacez. Réplication InDFS, les groupes de réplication définissent la topologie de réplication. Vous devez définir la même

topologie dans File Sync à l'aide de groupes de synchronisation.

3. Installez l'agent de synchronisation de fichiers sur le serveur de réplication DFS qui contient toutes les données que vous souhaitez migrer.

4. Enregistrez le serveur dans File Sync, puis créez le premier point de terminaison de serveur. N'activez pas la hiérarchisation cloud pour le premier

point de terminaison du serveur.

5. Attendez que toutes les données du point de terminaison du serveur se synchronisent avec le partage de fichiers Azure (point de

6. terminaison cloud). Installez et enregistrez l'agent de synchronisation de fichiers sur chaque serveur de réplication DFS restant.

7. Désactivez la réplication DFS.

8. Créez un point de terminaison de serveur sur chacun des serveurs de réplication DFS. N'activez pas la hiérarchisation cloud.

9. Assurez-vous que la synchronisation est terminée, puis testez votre topologie comme vous le souhaitez.

10. Réplication RetireDFS.

11. La hiérarchisation du cloud peut désormais être activée sur n'importe quel point de terminaison de serveur comme vous le souhaitez.
170 Module 5 Implémentation de services de fichiers dans des scénarios hybrides

Testez vos connaissances


Utilisez les questions suivantes pour vérifier ce que vous avez appris dans cette leçon.

question 1

Quelle ressource Azure devez-vous déployer si vous souhaitez utiliser Azure File Sync?

question 2

Windows Server peut-il être enregistré avec plusieurs instances du service de synchronisation de stockage? Windows Server peut-il avoir
plusieurs points de terminaison de serveur?

question 3

Pouvez-vous exclure certains dossiers de la hiérarchisation cloud?

Question 4

Un fichier de point de terminaison de serveur peut-il être partiellement hiérarchisé?

Question 5

Pouvez-vous toujours remplacer la réplication DFS par File Sync?


Laboratoire et revue du module 05 171

Laboratoire et revue du module 05

Atelier: Implémentation d'Azure File Sync

Scénario
Pour résoudre les problèmes concernant la réplication DFS (Distributed File System) entre le siège de Contoso à
Londres et sa succursale basée à Seattle, vous décidez de tester Azure File Sync comme mécanisme de
réplication alternatif entre deux partages de fichiers locaux.

Objectifs
Après avoir terminé cet atelier, vous serez en mesure de:

● Implémentez la réplication DFS dans votre environnement local.

● Créez et configurez un groupe de synchronisation.

● Remplacez la réplication DFS par la réplication basée sur Azure File Sync.

● Vérifiez la réplication et activez la hiérarchisation cloud.

● Résolvez les conflits de réplication.


172 Module 5 Implémentation de services de fichiers dans des scénarios hybrides

Durée estimée: 45 minutes

Revue du module
Utilisez les questions suivantes pour vérifier ce que vous avez appris dans ce module.

question 1

Quels deux niveaux de stockage pouvez-vous utiliser pour Azure Files?

question 2

Quels protocoles pouvez-vous utiliser pour vous connecter aux partages de fichiers Azure?

question 3

Quels deux fournisseurs d'identité pouvez-vous utiliser avec Azure Files?

Question 4

Pouvez-vous limiter les autorisations à un partage de fichiers Azure si l'utilisateur se connecte à l'aide d'une clé d'accès au stockage?

Question 5

Server Core peut-il être un point de terminaison de serveur dans un groupe de synchronisation?

Question 6

Vous disposez de 5 téraoctets (To) de données sur un point de terminaison cloud. Combien de temps devez-vous attendre avant de pouvoir accéder à ces données sur

un point de terminaison de serveur que vous venez d'ajouter au même groupe de synchronisation?
Laboratoire et revue du module 05 173

Réponses
question 1

À partir de quels appareils pouvez-vous vous connecter à un partage de fichiers Azure?

Vous pouvez vous connecter à un partage de fichiers Azure à partir de n'importe quel appareil prenant en charge le protocole Server
Message Block (SMB) 3.0. Cela inclut les appareils Windows 10, Android et iOS.

question 2

Pouvez-vous vous connecter à un partage de fichiers Azure si vos fournisseurs de services Internet bloquent le trafic SMB (port TCP

445)?

Si le port SMB est bloqué, vous ne pouvez pas vous connecter directement à un partage de fichiers Azure. Mais vous pouvez d'abord établir
une connexion de réseau privé virtuel (VPN) à Azure, puis accéder aux partages de fichiers Azure via VPN. Vous pouvez également déployer
Azure File Sync et accéder au contenu du serveur de fichiers Azure sur un serveur de fichiers local.

question 3

Quelle est la limite de taille pour un partage de fichiers Azure?

Un partage de fichiers Azure peut stocker jusqu'à 100 téraoctets (To) de données.

Question 4

Quelles deux étapes devez-vous effectuer avant de pouvoir utiliser les services de domaine Active Directory (AD DS) en tant que magasin

d'identités pour contrôler l'accès aux partages de fichiers Azure?

Pour pouvoir utiliser AD DS avec l'authentification basée sur l'identité, vous devez d'abord synchroniser AD DS avec Azure Active Directory.
Après cela, vous devez créer un compte d'ordinateur ou un compte de service pour le compte de stockage Azure dans AD DS.

Question 5

Combien d'instantanés un partage de fichiers Azure peut-il avoir?

Un partage de fichiers Azure peut avoir jusqu'à 200 instantanés.

question 1

Quelle ressource Azure devez-vous déployer si vous souhaitez utiliser Azure File Sync?

Si vous souhaitez utiliser File Sync, vous devez déployer le service de synchronisation de stockage.

question 2
174 Module 5 Implémentation de services de fichiers dans des scénarios hybrides

Windows Server peut-il être enregistré avec plusieurs instances du service de synchronisation de stockage? Windows Server peut-il avoir

plusieurs points de terminaison de serveur?

Non. Windows Server ne peut être enregistré qu'avec une seule instance du service de synchronisation de stockage, mais Windows Server peut avoir

plusieurs points de terminaison de serveur.

question 3

Pouvez-vous exclure certains dossiers de la hiérarchisation cloud?

Non. Vous pouvez activer ou désactiver la hiérarchisation cloud pour un point de terminaison de serveur entier, mais vous ne pouvez pas configurer la

hiérarchisation cloud pour des dossiers individuels.

Question 4

Un fichier de point de terminaison de serveur peut-il être partiellement hiérarchisé?

Ça dépend. La plupart des fichiers et formats de fichiers sont soit complètement mis en cache localement sur un serveur de fichiers, soit complètement hiérarchisés

vers un partage de fichiers Azure. Mais certains formats de fichiers, tels que les dossiers compressés (.zip) ou les fichiers multimédias, prennent également en charge

la hiérarchisation partielle, où une partie d'un flux de données de fichier se met en cache localement tandis que d'autres parties du même niveau de fichiers sur un

partage de fichiers Azure.

Question 5

Pouvez-vous toujours remplacer la réplication DFS par File Sync?

File Sync nécessite une connexion Internet. Si un serveur de fichiers n'a pas de connectivité Internet, vous ne pouvez pas synchroniser ses données à

l'aide de File Sync. Dans la plupart des cas, cependant, les serveurs de fichiers disposent d'une connectivité Internet.

question 1

Quels deux niveaux de stockage pouvez-vous utiliser pour Azure Files?

Vous pouvez utiliser des niveaux de stockage standard et premium (partages de fichiers standard et premium).

question 2

Quels protocoles pouvez-vous utiliser pour vous connecter aux partages de fichiers Azure?

Le protocole SMB (Server Message Block) est le plus souvent utilisé, mais vous pouvez également vous connecter à l'aide du système de
fichiers réseau (NFS) ou HTTP.

question 3

Quels deux fournisseurs d'identité pouvez-vous utiliser avec Azure Files?

Vous pouvez utiliser les services de domaine Azure Active Directory (AD) et les services de domaine Active Directory (AD DS) comme
fournisseurs d'identité.

Question 4
Laboratoire et revue du module 05 175

Pouvez-vous limiter les autorisations à un partage de fichiers Azure si l'utilisateur se connecte à l'aide d'une clé d'accès au stockage?

Une clé d'accès au stockage offre un accès illimité et vous ne pouvez pas le limiter.

Question 5

Server Core peut-il être un point de terminaison de serveur dans un groupe de synchronisation?

Un point de terminaison de serveur peut exécuter Server Core ou la version Expérience utilisateur de Windows Server.

Question 6

Vous disposez de 5 téraoctets (To) de données sur un point de terminaison cloud. Combien de temps devez-vous attendre avant de pouvoir accéder à

ces données sur un point de terminaison de serveur que vous venez d'ajouter au même groupe de synchronisation?

Vous pouvez accéder aux données immédiatement - les fichiers seront rappelés immédiatement.
Module 6 Déploiement et configuration des machines virtuelles
Azure

Déployer des machines virtuelles Azure

Aperçu de la leçon
Le déploiement de systèmes d'exploitation Windows Server dans des machines virtuelles Azure présente un certain nombre de défis.
La majorité des méthodes de déploiement sur site traditionnelles ne sont pas prises en charge dans le cloud, ce qui oblige les clients à
concevoir une nouvelle stratégie de déploiement qui minimise la duplication des efforts et les frais de gestion.

L'objectif de cette leçon est d'explorer différentes méthodes de déploiement et de configuration de Windows Server sur des machines virtuelles Azure. Cela

comprend l'installation du système d'exploitation, la personnalisation à l'aide d'extensions de machine virtuelle Azure et la mise en œuvre de la résilience à

l'aide des fonctionnalités de la plate-forme et du système d'exploitation.

Objectifs de la leçon
Après avoir terminé cette leçon, vous serez en mesure de:

● Décrivez les méthodes de déploiement de Windows Server 2019 dans les machines virtuelles Azure.

● Implémentez la résilience au niveau de la plate-forme de machine virtuelle Azure.

● Implémentez la résilience au niveau du système d'exploitation Windows Server 2019 dans les machines virtuelles Azure.

● Expliquez les considérations relatives au stockage partagé dans le contexte de la résilience au niveau du système d'exploitation Windows Server 2019 dans les

machines virtuelles Azure.

● Implémentez les extensions de machine virtuelle Azure pour Windows Server 2019.

Vue d'ensemble du déploiement de Windows Server 2019 dans des


machines virtuelles Azure
Le déploiement de machines virtuelles Azure diffère du déploiement d'ordinateurs physiques ou virtuels locaux de
plusieurs manières. Ces différences sont principalement dues aux caractéristiques uniques du cloud public opérationnel
178 Module 6 Déploiement et configuration des machines virtuelles Azure

maquette. Ils reflètent également certaines des fonctionnalités distinctes qui distinguent les machines virtuelles Azure des

ordinateurs résidant dans des centres de données locaux. En particulier:

● Lors du déploiement de machines virtuelles Azure, vous ne pouvez pas spécifier de paramètres de traitement, de mémoire ou de stockage

arbitraires. Au lieu de cela, vous sélectionnez dans une liste d'options de configuration prédéfinies qui représentent une plage de

différentes séries et tailles de VM. La série et la taille de VM déterminent des caractéristiques telles que:

● Nombre et type de ses processeurs.

● Quantité de mémoire.

● Nombre maximum d'adaptateurs réseau et de disques de données que vous pouvez y attacher.

● Prise en charge du stockage SSD (Solid State Drive) et de son type (SSD standard ou SSD Premium).

● Taille maximale d'un disque temporaire.

Bien que cette liste puisse sembler trop contraignante, compte tenu du nombre important de séries et de tailles de machines virtuelles

Azure disponibles, vous devriez être en mesure de trouver la solution appropriée pour la majorité de vos charges de travail. En outre, si vos

exigences en matière de charge de travail changent, vous avez la possibilité de modifier la taille actuellement attribuée.

Noter: La modification de la taille d'une machine virtuelle Azure déclenche automatiquement son redémarrage.

Noter Pour plus d'informations sur les tailles de machine virtuelle Azure, reportez-vous à Tailles des machines virtuelles Windows dans Azure 1 .

● Les machines virtuelles Azure, comme les autres types de ressources cloud, sont intrinsèquement plus agiles que les ordinateurs virtuels

ou physiques locaux. Vous pouvez les provisionner et les mettre à l'échelle en fonction des besoins.

Méthodes de déploiement
Pour déployer Windows Server sur des machines virtuelles Azure, vous pouvez utiliser l'une des méthodes suivantes:

● Le portail Azure. Cette méthode est la plus simple car elle fournit une interface pilotée par un assistant avec des valeurs par défaut qui

représentent les options de configuration les plus courantes. Cependant, cette méthode a une flexibilité limitée. Par exemple, il ne prend

pas en charge les images personnalisées ou la connexion de cartes d'interface réseau supplémentaires lors de l'approvisionnement.

Cette méthode n'est pas non plus adaptée au déploiement d'un grand nombre de machines virtuelles Azure.

● Azure PowerShell. Cette méthode offre une automatisation et une flexibilité totale, y compris la prise en charge de plusieurs
cartes d'interface réseau et d'images personnalisées.

● Interface de ligne de commande Azure (Azure CLI). Cette méthode équivaut à utiliser Azure PowerShell en
termes de flexibilité et de capacités d'automatisation. La différence est simplement la préférence de la personne
effectuant le déploiement.

● Modèles Azure Resource Manager (ARM). Cette méthode offre une flexibilité totale et les meilleures performances pour les
grands déploiements de machines virtuelles Azure.

● Centre d'administration Windows. Cette méthode vous permet de créer une machine virtuelle Azure avec des paramètres personnalisés à l'aide du

service de migration de stockage ou à l'aide du réplica de stockage. Le processus de création d'une machine virtuelle Azure personnalisée à partir du

centre d'administration Windows comporte un certain nombre de conditions préalables. Tout d'abord, vous devez enregistrer Windows Admin

Center avec Azure. Ensuite, vous devez vous connecter à l'aide d'un compte avec un rôle de contrôle d'accès basé sur les rôles Azure (RBAC) suffisant

pour provisionner des machines virtuelles Azure. Enfin, vous devez également disposer d'un groupe de ressources existant qui hébergera les

ressources de la machine virtuelle Azure et d'un réseau virtuel Azure avec un sous-réseau auquel la nouvelle machine virtuelle Azure sera connectée.

1 https://aka.ms/Windows-VM-sizes-Azure
Déployer des machines virtuelles Azure 179

Noter: Pour plus d'informations sur la création de machines virtuelles Azure à l'aide du service de migration de stockage et du réplica de stockage,

reportez-vous au module 8, «Planification et mise en œuvre des services de migration et de récupération dans des scénarios hybrides».

Noter: Depuis mai 2020, la création de machines virtuelles Azure à partir du centre d'administration Windows est en préversion publique.

Déployer des machines virtuelles Azure à l'aide de modèles Azure


Resource Manager (ARM)
ARM prend en charge une méthodologie de déploiement déclarative basée sur des modèles de déploiement. Dans ARM, un

modèle est un fichier au format JSON qui définit une collection de ressources que vous avez l'intention de provisionner
ensemble dans le même groupe de ressources ou un abonnement. Le déploiement résultant remplit le groupe de
ressources cible ou l'abonnement en fonction du contenu du modèle.

Les modèles offrent des avantages uniques par rapport aux méthodes de déploiement traditionnelles qui reposent sur
l'interface utilisateur graphique (GUI) ou les langages de script et de programmation. Semblables aux scripts, ils facilitent le
déploiement de solutions multi-composants de manière automatisée. Cependant, contrairement aux scripts, ils ne spécifient
pas explicitement les étapes individuelles requises pour provisionner ces solutions. Au lieu de cela, ils définissent
simplement leur état final prévu. Ce faisant, ils s'appuient sur l'intelligence intégrée à la plateforme Azure pour déployer
toutes les ressources nécessaires de la manière la plus optimale. Cela réduit le temps de déploiement et réduit le risque
d'erreurs. Si nécessaire, vous avez la possibilité de définir des dépendances entre les ressources pour contrôler la séquence
de provisionnement des ressources.

Les modèles de déploiement sont idéaux si vous devez provisionner plusieurs solutions avec la même conception générale. Par
exemple, vous pouvez déployer le même modèle dans des groupes de ressources distincts représentant les environnements de
développement, de test, d'assurance qualité et de production. Pour tenir compte de toute différence potentielle entre eux, vous
pouvez remplacer des valeurs spécifiques dans le modèle par des paramètres, puis attribuer des valeurs à ces paramètres au moment
du déploiement.

Les modèles sont idempotent, ce qui signifie que vous pouvez les déployer plusieurs fois dans le même groupe de ressources avec le
même résultat. Cela est utile lorsque vous souhaitez recréer un déploiement d'origine ou résoudre les problèmes résultant des
modifications post-déploiement. Les modèles prennent en charge les extensions de machine virtuelle, qui vous permettent de
configurer les systèmes d'exploitation dans les machines virtuelles Azure dans le cadre de leur déploiement. Ces extensions incluent
des services de gestion de configuration tels que PowerShell Desired State Configuration (DSC), Chef ou Puppet.

Un modèle ARM contient une définition au format JSON d'une ou plusieurs ressources Azure, ainsi que des paramètres et des
variables qui facilitent la personnalisation de leur configuration. Lors de la création et de l'utilisation de modèles de ressources, vous
devez tenir compte des éléments suivants:

● Quelles ressources vous allez déployer.

● Où seront situées vos ressources.

● Quelle version de l'API du fournisseur de ressources vous utiliserez.

● S'il existe des dépendances entre les ressources.

● Quand vous allez spécifier les valeurs des propriétés de la ressource.

Noter Vous pouvez inclure ces valeurs dans le modèle, mais il est préférable de les spécifier lors du déploiement à l'aide des
paramètres correspondants.

Création de modèles ARM


Un modèle de ressource comprend les sections suivantes:
180 Module 6 Déploiement et configuration des machines virtuelles Azure

{
"$ schema": "http://schema.management.azure.com/schemas/2015-01-01/" contentVersion ":"
deploymentTemplate.json # ",
",
"paramètres": { },
"variables": {},
"les fonctions": [ ],
"Ressources": [ ],
"les sorties": { }
}

Le tableau suivant décrit les sections de l'exemple de code précédent.

Tableau 1: éléments du modèle ARM

Nom de l'élément La description

$ schéma L'URL prédéfinie identifiant l'emplacement du fichier


de schéma JSON, qui décrit la syntaxe du modèle.

contentVersion Une valeur personnalisée que vous définissez pour suivre les modifications

apportées au contenu du modèle.

paramètres Paramètres que vous pouvez fournir lors du déploiement, soit de

manière interactive, soit à l'aide d'un fichier de paramètres.

variables Variables contenant des valeurs référencées lors du


déploiement du modèle
les fonctions Fonctions personnalisées qui facilitent les calculs lors du
déploiement du modèle
Ressources Ressources qui seront provisionnées ou modifiées à
la suite du déploiement
les sorties Valeurs renvoyées par le déploiement

Noter: Pour plus d'informations sur la structure des modèles ARM, reportez-vous à l'article Microsoft Docs
Comprendre la structure et la syntaxe des modèles Azure Resource Manager 2 .

Noter: Pour obtenir un exemple de modèle qui déploie une machine virtuelle Azure, reportez-vous à l'article Microsoft Docs Créer une

machine virtuelle Windows à partir d'un modèle Resource Manager 3 .

Noter: Vous pouvez trouver des centaines d'exemples de modèles ARM entièrement fonctionnels dans le référentiel GitHub Modèles de

démarrage rapide Azure 4 .

Déployer des machines virtuelles Azure à l'aide de modèles ARM


Une fois que vous disposez d'un modèle ARM, vous pouvez déployer ses ressources à l'aide de l'une des méthodes suivantes:

● Azure PowerShell. Vous pouvez lancer le déploiement en exécutant le Nouveau-AzResourceGroupDeployment


cmdlet. Pour référencer le fichier modèle, vous utilisez le - TemplateFile ou alors - TemplateUri selon que le modèle est
stocké localement sur votre ordinateur ou réside dans un emplacement accessible au public. Cette applet de commande
déploiera les ressources définies dans le modèle vers le groupe de ressources que vous spécifiez comme valeur de - ResourceGroupName
paramètre. Vous devrez peut-être également fournir les valeurs

2 https://aka.ms/syntax-ARM-templates
3 https://aka.ms/windows-vm-from-rm-template
4 https://aka.ms/azure-quick-start-templates
Déployer des machines virtuelles Azure 181

des paramètres spécifiés dans le modèle. Au cours du déploiement, vous pouvez également attribuer des valeurs par
défaut à ces paramètres directement dans le modèle ou référencer un fichier de paramètres contenant leurs valeurs.

● Azure CLI. Vous pouvez obtenir le même résultat en exécutant le déploiement de groupe az créer bleu azur
Commande CLI avec soit le –Fichier-modèle ou alors –Template-uri * paramètre et le –Resource_group
paramètres. Tout comme avec le déploiement basé sur PowerShell, vous devrez peut-être également fournir les valeurs
des paramètres spécifiés dans le modèle. Au cours du déploiement, vous pouvez également attribuer des valeurs par
défaut à ces paramètres directement dans le modèle ou référencer un fichier de paramètres contenant leurs valeurs.

● Le portail Azure. le Déploiement personnalisé Le volet dans le portail Azure offre un moyen pratique de déployer des
ressources basées sur des modèles ARM. Pour y accéder, dans le portail Azure, recherchez et sélectionnez le
Déployer un modèle personnalisé Élément de la place de marché Azure. Du Déploiement personnalisé , vous pouvez
créer votre propre modèle dans l'éditeur de modèle basé sur un navigateur, choisir l'un des modèles prédéfinis ou
charger un modèle GitHub QuickStart existant.

● Référentiel GitHub des modèles Azure QuickStart. Chaque modèle QuickStart publié sur GitHub a un lien
Déployer vers Azure correspondant. Lorsque vous sélectionnez le lien, le navigateur sera automatiquement
redirigé vers le Déploiement personnalisé volet dans le portail Azure. Pour lancer un déploiement, il vous suffit
de fournir les valeurs des paramètres requis.

● Microsoft Visual Studio ou Visual Studio Code. Vous pouvez créer et déployer des modèles à l'aide de Visual
Studio et de Visual Studio Code.

Noter Pour plus d'informations, reportez-vous à Création et déploiement de groupes de ressources Azure via Visual
Studio 5 et Démarrage rapide: créer des modèles Azure Resource Manager avec Visual Studio Code 6 .

Mettre en œuvre la résilience au niveau de la plate-forme de machine virtuelle Azure


Tout comme pour les scénarios sur site, vous devez prendre en compte les résistances au niveau de l'infrastructure et au niveau du système

d'exploitation lors de la conception et de l'implémentation de la résilience pour les charges de travail s'exécutant sur des machines

virtuelles. Malgré une visibilité limitée sur l'infrastructure Azure sous-jacente du point de vue de la résilience, vous disposez d'un certain

nombre d'options qui vous permettent d'influencer la façon dont les machines virtuelles Azure sont provisionnées. Le but de cette rubrique

est d'explorer ces options de résilience au niveau de la plate-forme.

Si votre charge de travail prend en charge l'équilibrage de charge ou le basculement sur plusieurs instances de système d'exploitation, vous

pouvez utiliser l'une des deux méthodes suivantes pour implémenter la résilience au niveau de la plate-forme dans la même région:

● Ensembles de disponibilité. Cette fonctionnalité offre un contrat de niveau de service (SLA) de disponibilité de 99,95% en

déployant des machines virtuelles Azure sur plusieurs emplacements physiques au sein du même centre de données Azure.

● Zones de disponibilité. Cette fonctionnalité offre un SLA de disponibilité de 99,99% en déployant des machines virtuelles Azure sur

plusieurs centres de données Azure.

Les ensembles de disponibilité et les zones de disponibilité fournissent la résilience pour les charges de travail qui peuvent s'exécuter côte à

côte sur plusieurs machines virtuelles Azure dans les modes actif-actif ou actif-passif. Cependant, il existe des applications et des services qui ne

prennent pas en charge ce type de configuration et, bien que vous puissiez les installer sur des machines virtuelles Azure individuelles, vous

perdez les avantages associés aux ensembles de disponibilité et aux zones de disponibilité. Heureusement, même dans de tels cas, la

plate-forme Azure fournit un SLA de disponibilité de 99,9%, à condition que vous vous assuriez que tous les disques de machine virtuelle Azure

résident dans le stockage Premium.

5 https://aka.ms/create-visual-studio-deployment-project
6 https://aka.ms/vscode-extension
182 Module 6 Déploiement et configuration des machines virtuelles Azure

Si vous souhaitez implémenter la résilience pour les machines virtuelles Azure dans plusieurs régions Azure, l'approche
recommandée consiste à tirer parti des fonctionnalités d'Azure Site Recovery. Pour plus d'informations à ce sujet, reportez-vous au
module 8, «Planification et mise en œuvre des services de migration et de récupération dans des scénarios hybrides».

Ensembles de disponibilité
Un ensemble de disponibilité est un type de ressource Azure qui contient généralement au moins deux machines virtuelles. En déployant des machines

virtuelles dans le même ensemble de disponibilité, vous informez la plate-forme que ces machines virtuelles hébergeront une charge de travail hautement

disponible. Par conséquent, la plate-forme provisionnera ces machines virtuelles sur des racks distincts au sein du même centre de données Azure.

Les ensembles de disponibilité corrigent deux types d'événements qui entraînent des temps d'arrêt de machines virtuelles Azure individuelles:

● Événements de maintenance planifiés qui nécessitent le redémarrage des hôtes sur lesquels les machines virtuelles Azure sont en cours d'exécution. Alors

que la plupart des mises à jour de la plate-forme Azure ont un impact nul ou minime sur une machine virtuelle Azure, certaines peuvent nécessiter un

redémarrage.

● Pannes matérielles. Bien que Microsoft ait conçu la plate-forme Azure pour qu'elle soit hautement résiliente, une panne matérielle peut
affecter un ou plusieurs hôtes et leurs invités de machine virtuelle.

Les ensembles de disponibilité offrent une résilience aux événements de maintenance planifiés en associant des machines virtuelles Azure

dans le même ensemble de disponibilité à différents domaines de mise à jour. De même, le placement améliore la résilience face aux pannes

matérielles en associant des machines virtuelles Azure dans le même jeu de disponibilité à différents domaines de pannes.

Mettre à jour les domaines


Un ensemble de disponibilité comprend jusqu'à 20 domaines de mise à jour (vous pouvez augmenter ce nombre à partir de sa valeur par défaut

de 5 domaines de mise à jour). Chaque domaine de mise à jour représente un ensemble d'hôtes physiques que la plateforme Azure peut mettre

à jour et redémarrer simultanément sans affecter la disponibilité globale des machines virtuelles Azure dans le même ensemble de disponibilité.

Lorsque vous attribuez plus de cinq machines virtuelles Azure au même ensemble de disponibilité (en supposant que vous utilisez les paramètres par

défaut), la sixième machine virtuelle Azure est placée dans le même domaine de mise à jour que la première machine virtuelle Azure, la septième est

placée dans le même domaine de mise à jour que le deuxième machine virtuelle Azure, et ainsi de suite. Lors des événements de maintenance planifiés,

seuls l'hôte (ou les hôtes) de l'un de ces cinq domaines de mise à jour est (ou sont) arrêté simultanément, tandis que les hôtes des quatre autres restent

en ligne. Il existe un intervalle de 30 minutes entre les arrêts des machines virtuelles Azure dans les domaines de mise à jour consécutifs.

Domaines de pannes
UNE domaine de pannes est un groupe d'hôtes qui peuvent subir des temps d'arrêt en raison d'une panne matérielle localisée (telle qu'une panne d'un

bloc d'alimentation ou d'un commutateur réseau en haut de rack). La plate-forme provisionne les machines virtuelles Azure dans le même ensemble de

disponibilité sur jusqu'à trois domaines d'erreur.

Implémentation d'ensembles de disponibilité pour les machines virtuelles Azure


Il n'est pas possible d'ajouter une machine virtuelle Azure existante à un ensemble de disponibilité. Vous pouvez spécifier qu'une machine virtuelle Azure

fera partie d'un ensemble de disponibilité uniquement pendant le déploiement de la machine virtuelle Azure. En règle générale, pour répartir correctement

les charges entre les machines virtuelles Azure dans le même ensemble de disponibilité, vous les ajoutez au pool de backend d'un équilibreur de charge.

Vous pouvez utiliser à cette fin Azure Load Balancer Basic, Azure Load Balancer Standard et Azure Application Gateway v1 ou v2.
Déployer des machines virtuelles Azure 183

Zones de disponibilité
Les zones de disponibilité Azure vous permettent de déployer des machines virtuelles Azure dans jusqu'à trois centres de données distincts au sein de

la même région Azure, avec des zones individuelles représentant différents centres de données. Cela offre une résilience accrue par rapport aux

ensembles de disponibilité.

Un Zone de disponibilité dans une région Azure est une combinaison d'un domaine d'erreur et d'un domaine de mise à jour. Par
exemple, si vous créez trois machines virtuelles Azure ou plus sur trois zones de la même région Azure, les machines virtuelles Azure
sont effectivement réparties sur trois domaines d'erreur et trois domaines de mise à jour. La plateforme Azure reconnaît cette
distribution sur les domaines de mise à jour pour garantir que les machines virtuelles Azure dans différentes zones ne sont pas mises
à jour en même temps.

Noter: Toutes les régions Azure ne prennent pas en charge les zones de disponibilité. Pour les informations à jour à ce sujet,

reportez-vous à la liste Régions prenant en charge les zones de disponibilité dans Azure 7 .

Bien que les zones de disponibilité offrent une résilience plus élevée, leur utilisation justifie quelques considérations
supplémentaires. Vous devez tenir compte des faits suivants lors de l'évaluation de leur rôle dans votre stratégie de résilience:

● Il n'y a aucune garantie concernant les distances entre les différentes zones de disponibilité au sein d'une région Azure. Par conséquent, les

distances entre les zones de disponibilité d'une même région peuvent ne pas être suffisamment importantes pour permettre une reprise
après sinistre.

● Vous devez utiliser des disques managés Azure lorsque vous déployez des machines virtuelles Azure dans les zones de disponibilité

● Azure. Certaines tailles de machine virtuelle peuvent ne pas être disponibles dans plusieurs zones de la même région Azure.

● Le mappage des énumérations de zone aux zones physiques est fixe, en fonction d'un abonnement Azure individuel.
Si vous utilisez des abonnements différents, les numéros de zone correspondants dans ces abonnements peuvent ne
pas représenter les mêmes emplacements physiques.

● Il n'y a pas de prise en charge pour l'implémentation des ensembles de disponibilité Azure dans une zone de disponibilité

● Azure. La latence du réseau entre les zones de disponibilité n'est pas la même dans toutes les régions Azure.

● Lorsque vous décidez où utiliser les zones de disponibilité, basez votre décision sur la latence du réseau entre les zones. La
latence du réseau joue un rôle clé dans deux domaines impliquant des solutions à plusieurs niveaux comme:

● la latence entre les deux machines virtuelles Azure hébergeant une charge de travail configurée pour la réplication
synchrone. Plus la latence du réseau est élevée, plus elle affectera l'évolutivité de votre charge de travail.

● la différence de latence du réseau entre une machine virtuelle Azure dans un niveau sans état avec l'instance de base de données

active et une machine virtuelle Azure équivalente dans une autre zone.

Implémentation de zones de disponibilité pour les machines virtuelles Azure


Tout comme avec les ensembles de disponibilité, il n'est pas possible d'attribuer une zone de disponibilité pour une machine virtuelle Azure existante; une

telle affectation n'est prise en charge qu'au moment du déploiement. Encore une fois, tout comme avec les ensembles de disponibilité, pour répartir

correctement les charges entre les machines virtuelles Azure dans différentes zones de disponibilité, vous les ajoutez au pool backend d'un équilibreur de

charge. Cela peut être un Azure Load Balancer Standard ou Azure Application Gateway v2 redondant de zone ou zonal.

Un équilibreur de charge redondant de zone distribuera le trafic entre les machines virtuelles Azure dans différentes zones de disponibilité.

L'échec d'une zone individuelle n'affectera pas la disponibilité de la charge de travail en cours d'exécution sur ces machines virtuelles Azure.

Vous pouvez utiliser la configuration zonale en combinaison avec des solutions d'équilibrage de charge DNS (Domain Name System) telles

qu'Azure Traffic Manager pour fournir la résilience entre les zones de disponibilité et plusieurs

7 https://aka.ms/availability-zones-az-region
184 Module 6 Déploiement et configuration des machines virtuelles Azure

Régions. La configuration zonale vous permet également de configurer une surveillance personnalisée de la disponibilité de votre charge de travail dans des

zones individuelles.

Considérations relatives à la résilience des machines virtuelles Azure


Pour résumer, lors de l'implémentation de la résilience pour les machines virtuelles Azure:

● Si votre charge de travail le prend en charge, configurez au moins deux machines virtuelles dans un ensemble de disponibilité ou une zone de disponibilité pour la

redondance. L'objectif principal d'un ensemble de disponibilité et d'une zone de disponibilité est de fournir une résilience en cas de défaillance de machines

virtuelles Azure individuelles.

● Pour les solutions à plusieurs niveaux, configurez chaque niveau comme un ensemble de disponibilité distinct. Si les machines virtuelles Azure de

votre déploiement fournissent les mêmes fonctionnalités, comme un service Web ou un système de gestion de base de données, configurez-les

comme faisant partie du même ensemble de disponibilité. Cela augmentera le niveau d'assurance qu'au moins une machine virtuelle Azure dans

chaque niveau est toujours disponible.

● Le cas échéant, combinez l'équilibrage de charge avec des ensembles de disponibilité ou des zones de disponibilité. Vous
pouvez implémenter Azure Load Balancer Basic conjointement avec un ensemble de disponibilité ou Azure Load Balancer
Standard conjointement avec une zone de disponibilité pour distribuer le trafic entrant.

Démonstration: implémenter la résilience au niveau de la


plate-forme de machine virtuelle Azure
Dans cette démonstration, vous apprendrez à implémenter la résilience au niveau de la plate-forme Azure VM.

Conditions préalables
Vous avez besoin des éléments suivants pour effectuer cette démonstration:

● Un abonnement Azure.

● Un compte avec le rôle Contributeur ou Propriétaire dans l'abonnement Azure.

Démonstration étapes
1. Déployez deux machines virtuelles Azure dans différentes zones de disponibilité dans la même région Azure en suivant les
étapes décrites dans Créer une machine virtuelle Windows dans une zone de disponibilité avec le portail Azure 8 .

● Ne créez pas d'adresses IP publiques. Assurez-vous de choisir la région Azure qui prend en charge les zones. Pour la
liste à jour, reportez-vous à la liste Régions prenant en charge les zones de disponibilité dans Azure 9 .

● Dans le portail Azure, déployez un équilibreur de charge Azure standard public redondant de zone en suivant les instructions sur Démarrage

rapide: créer un équilibreur de charge pour équilibrer la charge des machines virtuelles à l'aide du portail Azure dix . Veillez à

sélectionner les options de référence SKU standard, de type public et de zone de disponibilité redondante de zone.

8 https://aka.ms/create-portal-availability-zone
9 https://aka.ms/availability-zones-az-region
dix https://aka.ms/quickstart-load-balancer-standard-public-portal
Déployer des machines virtuelles Azure 185

Implémenter la résilience au niveau du système d'exploitation Windows


Server 2019 dans les machines virtuelles Azure
Lorsque vous tenez compte des capacités de résilience au niveau de la plate-forme de machine virtuelle Azure décrites dans la rubrique précédente,

vous devez également prendre en compte les dispositions de résilience disponibles dans le système d'exploitation s'exécutant dans les machines

virtuelles Azure. La résilience des charges de travail basées sur les machines virtuelles Azure repose soit sur les fonctionnalités de haute disponibilité

intégrées à la charge de travail, soit sur la fonctionnalité de haute disponibilité implémentée au niveau du système d'exploitation. Dans cette rubrique,

vous vous concentrerez sur la fonctionnalité de haute disponibilité implémentée au niveau du système d'exploitation.

UNE cluster de basculement est un groupe de serveurs indépendants qui travaillent ensemble pour augmenter la disponibilité des
applications et des services. En cas de défaillance d'un nœud, le cluster effectue un arbitrage de nœud et, en fonction du résultat,
transfère la charge de travail vers l'un des nœuds restants. Le clustering de basculement Windows Server est l'implémentation
Windows Server d'un cluster de basculement.

Noter: Windows Server propose également la fonctionnalité d'équilibrage de la charge réseau (NLB), qui facilite la résilience en
implémentant l'équilibrage de charge sur plusieurs serveurs configurés de manière identique. Toutefois, en raison de la dépendance
de Windows Server NLB sur la multidiffusion et la diffusion, cette fonctionnalité n'est pas prise en charge dans Azure.

Le clustering de basculement Windows Server repose sur la construction de quorum pour éviter les scénarios de fractionnement du cerveau. Bien qu'il

existe plusieurs modes de quorum différents, notamment la majorité des nœuds, la majorité des nœuds et des disques, la majorité des partages de nœuds

et de fichiers et le disque uniquement, le choix recommandé dans les déploiements de machines virtuelles Azure est Cloud Witness, introduit dans

Windows Server 2016.

Pour configurer Cloud Witness, vous devez disposer d'un compte de stockage Azure valide que vous pouvez utiliser pour
stocker l'objet blob utilisé pour l'arbitrage. Cloud Witness crée un conteneur nommé msft-cloud-witness dans le compte de
stockage Microsoft. Cloud Witness écrit un seul fichier blob avec l'ID unique du cluster correspondant utilisé comme nom de
fichier du fichier blob sous ce conteneur msft-cloud-witness. Cela signifie que vous pouvez utiliser le même compte de
stockage Azure pour configurer un témoin Cloud pour plusieurs clusters différents.

Lorsque vous utilisez le même compte de stockage Azure pour configurer Cloud Witness pour plusieurs clusters
différents, un seul conteneur msft-cloud-witness est créé automatiquement. Ce conteneur contiendra un fichier
blob par cluster.

Lors de la création d'un compte de stockage, gardez à l'esprit que:

● Vous devez utiliser le compte de stockage Azure v1 à usage général ou v2 à usage général. Les comptes
Stockage Blob Azure et Stockage Premium ne sont pas pris en charge.

● Pour la réplication, choisissez le stockage localement redondant (LRS). Le clustering de basculement utilise le fichier blob
comme point d'arbitrage, ce qui nécessite des garanties de cohérence lors de la lecture des données.

Lorsque vous créez un compte de stockage, il est associé à deux clés d'accès générées automatiquement, appelées le clé
d'accès primaire et le clé d'accès secondaire. Pour une première création de Cloud Witness, utilisez la clé d'accès principale. Il
n'y a aucune restriction concernant la clé à utiliser pour Cloud Witness. Vous pouvez identifier les valeurs des clés de compte
de stockage directement à partir du portail Azure ou par programme.

Lors de la configuration d'un témoin Cloud en tant que témoin de quorum pour votre cluster de basculement, tenez compte des faits suivants:

● Au lieu de stocker la clé d'accès, votre cluster de basculement génère et stocke en toute sécurité un jeton de
sécurité d'accès partagé (SAS).

● Le jeton SAS généré est valide tant que la clé d'accès reste valide. Lors de la rotation de la clé d'accès principale,
il est important de mettre d'abord à jour le témoin Cloud (sur tous vos clusters qui utilisent ce compte de
stockage) avec la clé d'accès secondaire avant de régénérer la clé d'accès principale.

● Cloud Witness utilise l'interface HTTPS REST du service de compte de stockage Azure. Cela signifie que le port HTTPS doit
être ouvert sur tous les nœuds du cluster.
186 Module 6 Déploiement et configuration des machines virtuelles Azure

Implémentation du clustering de basculement Windows Server dans des machines


virtuelles Azur
La procédure d'implémentation de la fonctionnalité de clustering de basculement Windows Server sur les machines virtuelles Azure

comprend les tâches suivantes:

1. Installez le clustering de basculement sur toutes les instances Windows Server 2019 exécutées sur des machines virtuelles Azure qui formeront un cluster.

2. Créez un cluster à l'aide de la première instance de Windows Server 2019. Cela nécessitera de fournir le
nom de réseau du cluster.

3. Exécutez la validation du cluster. Vous pouvez ignorer les avertissements concernant les disques et le quorum à ce

4. stade. Ajoutez les instances Windows Server 2019 restantes au cluster.

5. Configurez Cloud Witness.

6. Déployez et configurez une instance d'Azure Load Balancer Basic ou Azure Load Balancer Standard, puis ajoutez les
nœuds de cluster d'hébergement Azure VMs à son pool de backend.

1. Configurez l'adresse IP de l'objet ordinateur virtuel (VCO) du cluster de basculement en l'attribuant au


frontal de Azure Load Balancer.

2. Configurez la sonde d'intégrité et les règles d'équilibrage de charge d'Azure Load Balancer. Ces détails de
configuration dépendent de la charge de travail en cluster.

Noter: Azure Load Balancer Standard est requis pour les déploiements redondants de zone.

Noter: Pour plus d'informations sur la configuration de Cloud Witness, reportez-vous à Déployer un témoin cloud pour un

cluster de basculement 11 .

Noter: À partir de Windows Server 2019, le clustering de basculement est capable de détecter qu'il s'exécute dans une machine virtuelle

Azure. Cela facilite la mise en œuvre d'un certain nombre de fonctionnalités supplémentaires telles que le basculement proactif avant les

événements de maintenance planifiés Azure.

Identification des charges de travail adaptées au clustering de basculement dans les


machines virtuelles Azure
En général, les charges de travail hautement disponibles implémentées dans Azure ne reposent généralement pas sur le stockage
partagé, bien qu'il existe des exceptions que vous explorerez dans la rubrique suivante de cette leçon. Ces charges de travail
fonctionnent plutôt en mode actif / passif et tirent parti de leur propre mécanisme de réplication pour garantir que leur état est
conservé de manière à faciliter le basculement entre les nœuds du cluster sans perte de données. Cette approche est implémentée à
l'aide des groupes de disponibilité Always On à l'aide de Microsoft SQL Server pour répliquer les données.

Cette solution de haute disponibilité SQL Server Always On s'intègre au clustering de basculement Windows Server et, pour un
déploiement basé sur une machine virtuelle Azure, implique l'utilisation d'un Azure Load Balancer et d'un ensemble de disponibilité.
SQL Server Always On réplique les données et les fichiers journaux à l'aide de sa propre réplication. Cela élimine le besoin de
stockage partagé. Azure Load Balancer implémente un serveur d'écoute de groupe de disponibilité SQL Server.

Les considérations supplémentaires à l'aide d'un écouteur de groupe de disponibilité incluent:

● Des étapes spéciales sont requises lors de la création de la configuration de clustering de basculement Windows
Server et le cluster a besoin d'une adresse IP spéciale attribuée. En effet, Azure avec ses fonctionnalités actuelles

11 https://aka.ms/deploy-cloud-witness
Déployer des machines virtuelles Azure 187

attribuerait au nom du cluster la même adresse IP que le nœud sur lequel le cluster est créé. Cela signifie que vous
devez effectuer une étape manuelle pour attribuer une adresse IP différente au cluster.

● L'écouteur du groupe de disponibilité va être créé dans Azure avec des points de terminaison TCP / IP, qui sont affectés
aux machines virtuelles exécutant les réplicas principal et secondaire du groupe de disponibilité.

Noter: Pour plus d'informations à ce sujet, reportez-vous à Présentation des groupes de disponibilité SQL Server sur les machines

virtuelles Azure 12 et Configurer un équilibreur de charge pour un groupe de disponibilité dans les machines virtuelles Azure SQL

Server 13 .

Considérations relatives au stockage partagé


Les disques partagés Azure sont une fonctionnalité qui permet d'attacher un disque managé à plusieurs machines virtuelles (VM)

simultanément. Cela facilite la mise en œuvre de nouvelles charges de travail en cluster existantes et la migration de celles-ci qui reposent sur un

stockage partagé. Les charges de travail en cluster dans les machines virtuelles Azure obtiennent l'accès au disque attaché en fonction des

réservations persistantes d'interface système petit ordinateur (SCSI PR). Les disques gérés partagés fournissent un stockage de bloc partagé

accessible sous forme de numéros d'unité logique (LUN). Du point de vue du système d'exploitation, ces LUN ont l'apparence et les

caractéristiques équivalentes au stockage en attachement direct (DAS) ou à un lecteur local de la machine virtuelle Azure.

Cette fonctionnalité est disponible uniquement lors de l'utilisation de disques SSD Ultra ou Premium gérés. Le nombre de machines virtuelles

que vous pouvez attacher à un seul disque partagé dépend des facteurs suivants:

● taille du disque.

● la valeur du paramètre maxShares que vous affectez au disque partagé lors de son approvisionnement. Si vous souhaitez
modifier la valeur initiale, vous devez d'abord détacher le disque de toutes les machines virtuelles. Pour les disques SSD
Premium, la valeur maximale de maxShares dépend de la taille du disque. Pour les disques Ultra, la valeur maximale de
maxShares est 5.

Tableau 1: Corrélation entre les tailles de SSD Premium et la limite de la valeur maxShares

Taille de disque SSD Premium limite maxShares


P15, P20 2
P30, P40, P50 5
P60, P70, P80 dix

Pour créer un disque géré partagé, incluez une référence à la propriété maxShares au moment de la mise en service.
Vous pouvez utiliser à cet effet les modèles Azure PowerShell, Azure CLI et Azure Resource Manager.

Noter: Pour plus d'informations, reportez-vous à Disques partagés Azure 14 .

Si votre charge de travail nécessite un partage de fichiers SMB (Server Message Block) hautement disponible, plutôt qu'un accès au
stockage au niveau du bloc, il existe quelques solutions viables qui reposent sur les technologies Microsoft:

● Azure Files, y compris les partages de fichiers premium, comme décrit dans Planification d'un déploiement Azure
Files 15 .

Noter: Pour plus d'informations sur l'utilisation d'Azure Files, reportez-vous au module 5, «Implémentation de services de

fichiers dans des scénarios hybrides».

● Les espaces de stockage Direct VM clustering qui implémente le serveur de fichiers avec montée en puissance parallèle (partages, comme décrit dans

Utilisation d'espaces de stockage direct dans des clusters de machines virtuelles invitées 16 .

12 https://aka.ms/sql-availability-group-overview
13 https://aka.ms/alwayson-int-listener
14 https://aka.ms/Azure-shared-disks
15 https://aka.ms/storage-files-planning
16 https://aka.ms/storage-spaces-direct-in-vm
188 Module 6 Déploiement et configuration des machines virtuelles Azure

Implémenter les extensions de machine virtuelle Azure pour


Windows Server 2019
Lors du déploiement de machines virtuelles Azure, vous implémentez des ressources spécifiques à la plate-forme, telles que des disques de stockage Azure

ou des interfaces réseau virtuelles. Vous pouvez également configurer des charges de travail s'exécutant dans les machines virtuelles Azure en tirant parti

d'un composant logiciel installé localement dans le système d'exploitation cible, appelé le Agent de machine virtuelle Azure.

L'une des responsabilités de VM Agent est de prendre en charge les extensions de VM.

Extensions de machine virtuelle Azure sont des composants logiciels légers qui automatisent les tâches de configuration dans le système
d'exploitation de la machine virtuelle Azure. Par exemple, une extension peut effectuer l'installation de logiciels, implémenter une protection

antivirus ou exécuter un script de configuration personnalisé. Certaines des extensions de VM les plus couramment utilisées incluent:

● Extension Azure VM Access. Sur les machines virtuelles Azure exécutant Windows, cette extension vous permet de réinitialiser les informations

d'identification administratives locales et de corriger les paramètres RDP mal configurés.

● Chef Client et agent Puppet Enterprise. Ces extensions embarquent des machines virtuelles Windows et Linux dans
des solutions de gestion d'entreprise multiplateformes Chef et Puppet (respectivement).

● Extension de script personnalisé Azure pour Windows. Cette extension vous permet d'exécuter des scripts Windows PowerShell

personnalisés dans des machines virtuelles Azure.

● Extension de script personnalisé pour Linux. Cette extension est équivalente à son homologue Windows, vous permettant d'exécuter des

scripts Linux personnalisés dans les machines virtuelles Azure. L'extension prend en charge tous les langages de script pris en charge par le

système d'exploitation, tels que Python ou Bash. Les scripts peuvent résider dans le stockage Azure ou dans tout emplacement accessible

sur Internet, tel que GitHub.

● Extension PowerShell DSC pour Windows. Cette extension implémente une configuration basée sur Azure PowerShell des
composants et applications Windows, y compris la possibilité de modifier les paramètres tels que les fichiers, les dossiers, les
registres, les services et les fonctionnalités du système d'exploitation.

● Extension DSC pour Linux. Cette extension implémente une configuration basée sur Azure PowerShell des
composants Linux, équivalente à ce que PowerShell DSC fournit pour Windows.

● Extension Azure Diagnostics. Cette extension active les diagnostics de machine virtuelle Azure qui collectent les données du système

d'exploitation et de ses composants sur les machines virtuelles Windows et Linux. L'extension copie les données dans le stockage standard

Azure, ce qui permet un stockage à long terme et une analyse plus approfondie à l'aide d'outils de veille stratégique.

● Extension Microsoft Antimalware. Cette extension permet de protéger les machines virtuelles Windows contre les virus, les logiciels espions et les

logiciels malveillants.

Dans
Dans le contexte de cette rubrique, deux extensions de machine virtuelle Azure sont particulièrement pertinentes: Extension

● de script personnalisé pour Windows

● Extension PowerShell DSC pour Windows

Noter: Comme mentionné précédemment, les extensions de machine virtuelle Azure dépendent de la présence de l'agent de machine virtuelle Azure

dans le système d'exploitation des machines virtuelles Azure. Les images de machine virtuelle sont disponibles sur Azure Marketplace et incluent l'agent

de machine virtuelle par défaut. Lors de la création d'images personnalisées, vous devez installer l'agent manuellement avant de généraliser le système

d'exploitation. L'agent Windows VM est disponible à partir de Téléchargements Microsoft 17 en tant que package Windows Installer.

17 https://aka.ms/Windows-Azure-VM-Agent
Déployer des machines virtuelles Azure 189

Extension de script personnalisé pour Windows


L'extension de script personnalisé vous permet d'exécuter automatiquement des scripts personnalisés dans le système d'exploitation d'une

machine virtuelle Azure. L'extension de script personnalisé pour Windows prend en charge les scripts PowerShell. Le script doit être non

interactif, doit se terminer dans les 90 minutes et doit être accessible à partir de la machine virtuelle Azure sur laquelle l'extension est déployée.

Lorsque vous utilisez le portail Azure pour implémenter l'extension, vous devez d'abord télécharger le script en tant qu'objet blob dans un

conteneur de stockage Azure. L'utilisation la plus courante de l'extension de script personnalisé consiste à appliquer des paramètres de

configuration personnalisés lors du provisionnement de VM. Cependant, vous pouvez également l'utiliser pour effectuer toute action scriptable

après le déploiement initial.

Implémentation de l'extension de script personnalisé via la création de scripts


Vous pouvez implémenter l'extension de script personnalisé en exécutant le Set-AzVMExtension Applet de commande PowerShell,
comme dans l'exemple suivant:

Set-AzVMExtension -ResourceGroupName <nom_group_ressource> `


- Emplacement <Azure_region> `
- VMName <nom_vm> `
- Nom 'sampleCustomScriptExtension' ``
- Éditeur 'Microsoft.Compute' ''
- ExtensionType 'CustomScriptExtension' ''
- TypeHandlerVersion '1.10' '
- FileUri <url_fichier> `
- Exécutez <nom_script.ps1>

L'applet de commande fait référence à l'emplacement qualifié complet du fichier de script à l'aide de < file_url> valeur
affectée au - FileUri paramètre. Il fait également référence au nom du script en utilisant le < nom_script.ps1> valeur affectée
au - Cours paramètre. Le - ResourceGroupName et - VmName Les paramètres identifient de manière unique la machine
virtuelle Azure cible.

Noter: Pour la syntaxe complète du Set-AzVMExtension applet de commande et des exemples plus avancés de son utilisation, reportez-vous à Extension

de script personnalisé pour Windows 18 .

Implémentation d'une extension de script personnalisée via des modèles ARM


L'incorporation de tâches basées sur une extension de script personnalisé dans des modèles ARM est une pratique courante. À titre
d'exemple, le fragment suivant d'un modèle montre comment appliquer un script nommé script1.ps1 à une machine virtuelle Azure
s'exécutant dans un système d'exploitation Windows et identifié par le vmName et emplacement paramètres:

{
"type": "Microsoft.Compute / virtualMachines / extensions", "name":
"sampleCustomScriptExtension",
"apiVersion": "01/07/2019",
"location": "[paramètres ('location')]",
"dépend de": [
"[concat ('Microsoft.Compute / virtualMachines /', paramètres ('vmName'))]"],

"Propriétés": {
"éditeur": "Microsoft.Compute",

18 https://aka.ms/custom-script-windows
190 Module 6 Déploiement et configuration des machines virtuelles Azure

"type": "CustomScriptExtension",
"typeHandlerVersion": "1.7",
"autoUpgradeMinorVersion": vrai,
"Les paramètres": {
"fileUris": [
"http://storageaccountname.blob.core.windows.net/customscriptfiles/ script.ps1"

],
"commandToExecute": "powershell.exe -ExecutionPolicy Unrestricted
- Fichier script.ps1 "
}
}
}

Noter: Pour plus d'informations sur les extensions de script personnalisées pour les systèmes d'exploitation Windows, reportez-vous à

Extension de script personnalisé pour Windows 19 .

Extension PowerShell DSC pour Windows


PowerShell DSC est une technologie qui implémente la gestion déclarative de la configuration. Initialement introduit dans
Windows Management Framework 4.0, il était disponible exclusivement sur les ordinateurs exécutant les systèmes
d'exploitation Windows. Dans sa version actuelle, PowerShell DSC vous permet d'appliquer une configuration basée sur
des scripts aux systèmes d'exploitation Windows et Linux, à la fois sur site et dans le cloud. Pour implémenter DSC sur les
machines virtuelles Azure exécutant Windows Server, vous comptez sur l'extension PowerShell DSC pour Windows.

Le DSC basé sur Windows repose sur le composant Local Configuration Manager (LCM), qui sert de moteur d'exécution des
scripts Windows PowerShell DSC. Le LCM est chargé de coordonner la mise en œuvre des paramètres DSC et de surveiller
leur état en cours. Comme DSC, LCM fait partie intégrante de toutes les versions actuellement prises en charge de Windows
Server. Le DSC Mode de configuration LCM La propriété prend l'une des trois valeurs possibles qui déterminent la manière
dont LCM applique les scripts PowerShell DSC:

● Appliquer uniquement. LCM n'exécute le script qu'une seule fois.

● ApplyAndMonitor. LCM exécute le script une seule fois, mais surveille ensuite la configuration résultante et enregistre toute
dérive de configuration dans les journaux.

● ApplyAndAutoCorrect. LCM exécute le script à intervalles réguliers, corrigeant automatiquement toute dérive de
configuration.

Vous pouvez déployer la configuration DSC en mode push ou pull. Le mode push implique l'appel du déploiement à partir
d'un ordinateur de gestion sur un ou plusieurs ordinateurs gérés. En mode d'extraction, les ordinateurs gérés agissent
indépendamment en obtenant des données de configuration à partir d'un emplacement désigné (appelé serveur
d'extraction). Dans cette rubrique, nous aborderons le mode push, mais pour plus d'informations sur le mode pull,
consultez le module 3, «Facilitation de la gestion hybride et de la surveillance opérationnelle dans les scénarios hybrides».

Les scripts DSC utilisent une syntaxe unique, le composant principal étant appelé configuration. Par exemple, le script
suivant indique au LCM exécuté sur l'ordinateur local d'installer le rôle serveur Web Server et la fonctionnalité
ASP.NET 4.5 et de désactiver le site Web par défaut. La présence du Dépend de element montre que vous pouvez
contrôler la séquence dans laquelle les tâches sont exécutées en définissant des dépendances entre elles:

19 https://aka.ms/custom-script-windows
Déployer des machines virtuelles Azure 191

configuration IISConfig
{
Import-DscResource -Module xWebAdministration

node ("localhost") {

WindowsFeature IIS {
Ensure = "Présent"
Nom = "Serveur Web"
}
WindowsFeature AspNet45 {
Ensure = "Présent"
Nom = "Web-Asp-Net45"
}
xWebsite DefaultSite {
Assurer = "Présent"
Nom = "Site Web par défaut"
État = "Arrêté"
PhysicalPath = "C: \ inetpub \ wwwroot"
Dépend de = "[WindowsFeature] IIS"
}
}
}

Lors de l'implémentation de l'extension PowerShell DSC pour Windows, en plus du script de configuration (avec l'extension
.ps1), vous devez fournir des données de configuration sous la forme d'un fichier .psd1. Le contenu de ce fichier définit les
données qui peuvent être utilisées dans une configuration. Les données de configuration vous permettent de personnaliser
la manière dont le même fichier de configuration est traité par le système d'exploitation en fonction du serveur cible auquel
vous appliquez l'extension.

Noter: Pour plus d'informations sur les données de configuration, reportez-vous à Utilisation des données de configuration dans DSC 20 .

Comme avec les scripts d'extension de script personnalisé, vous pouvez référencer la configuration DSC et les fichiers de données résidant dans

n'importe quel emplacement accessible sur Internet, y compris le stockage Azure. Lorsque vous utilisez le portail Azure pour implémenter

l'extension, vous devez d'abord télécharger le script de configuration et les fichiers de données dans un conteneur de stockage Azure.

Implémentation de l'extension PowerShell DSC via un script


Vous pouvez implémenter l'extension PowerShell DSC en exécutant le Set-AzVMDscExtension Applet de commande PowerShell,
comme dans l'exemple suivant:

Publish-AzVMDscConfiguration -ConfigurationPath. \ Sampledscconfig.ps1 `


- ResourceGroupName <nom_groupe_ressources> `
- StorageAccountName <storage_account_name> -Force

Set-AzVMDscExtension -ResourceGroupName <nom_group_ressource> `


- VMName <nom_vm> `
- ArchiveStorageAccountName <storage_account_name> `
- ArchiveBlobName 'sampledscconfig.ps1.zip' '
- ConfigurationName 'sampledscconfig' ''

20 https://aka.ms/configuration-data-in-DSC
192 Module 6 Déploiement et configuration des machines virtuelles Azure

- Mise à jour automatique `

- Version «2.76»

Cet exemple publie d'abord une copie locale du script de configuration DSC sampledscconfig.ps1 dans un compte de
stockage. Il applique ensuite la configuration compilée sous la forme de l'archive .zip au système d'exploitation de la
machine virtuelle Azure identifiée de manière unique par les valeurs de - ResourceGroupName et - VmName
paramètres.

Noter: Pour la syntaxe complète du Set-AzVMDSCExtension applet de commande et des exemples plus avancés de son utilisation,
reportez-vous à Introduction au gestionnaire d'extensions Azure Desired State Configuration 21 .

Implémentation de l'extension PowerShell DSC via des modèles de


gestionnaire de ressources
L'incorporation de tâches PowerShell DSC basées sur des extensions dans des modèles ARM est également une pratique
courante. L'exemple de fragment suivant d'un modèle montre comment vous pouvez appliquer une configuration nommée
sampledscconfig, qui est stockée dans le script sampledscconfig.ps1, à une machine virtuelle Azure exécutant un système
d'exploitation Windows et identifiée par le vmName et emplacement paramètres:

{
"type": "Microsoft.Compute / virtualMachines / extensions", "name":
"Microsoft.Powershell.DSC",
"apiVersion": "01/07/2019",
"location": "[paramètres ('location')]",
"dépend de": [
"[concat ('Microsoft.Compute / virtualMachines /', paramètres ('vmName'))]"],

"Propriétés": {
"éditeur": "Microsoft.Powershell",
"type": "DSC",
"typeHandlerVersion": "2.77",
"autoUpgradeMinorVersion": vrai,
"Les paramètres": {
"wmfVersion": "dernière",
"configuration": {
"url": "http: // <url_configuration>",
"script": "sampledscconfig.ps1",
"function": "sampledscconfig"
},
"configurationArguments": {},
"configurationData": {
"url": "https: // <url_données_configuration>"
},
"intimité": {
"dataCollection": "activer"
},
"options avancées": {
"forcePullAndApply": false,
"downloadMappings": {}
}

21 https://aka.ms/dsc-overview
Déployer des machines virtuelles Azure 193

},
"protectedSettings": {},
"configurationUrlSasToken": "<token1>",
"configurationDataUrlSasToken": "<token2>"
}
}

Noter: Pour plus d'informations sur l'implémentation des extensions de machine virtuelle Azure pour Windows Server 2019, reportez-vous à

Extension PowerShell DSC 22 .

Démonstration: implémenter les extensions de machine virtuelle


Azure pour Windows Server 2019
Dans cette démonstration, vous apprendrez à implémenter les extensions de machine virtuelle Azure pour Windows Server 2019.

Conditions préalables
Vous avez besoin des éléments suivants pour effectuer cette démonstration:

● Un abonnement Azure.

● Un compte avec le rôle Contributeur ou Propriétaire dans l'abonnement Azure.

Démonstration étapes
1. Sur la machine virtuelle Azure que vous avez déployée dans la démo précédente, installez le rôle de serveur Web Windows
Server 2019 à l'aide de l'extension de script personnalisé Azure en fonction des étapes décrites dans Tutoriel - Déployer des
applications sur une machine virtuelle Windows dans Azure avec l'extension de script personnalisé 23 .

2. Sur l'équilibreur de charge que vous avez créé dans la démo précédente, créez une règle d'équilibrage de charge pour le port 80 en suivant les

instructions sur Démarrage rapide: créer un équilibreur de charge pour équilibrer la charge des machines virtuelles à l'aide du portail

Azure 24 .

3. Testez l'extension de script personnalisé Azure en suivant les étapes décrites dans Tutoriel - Déployer des
applications sur une machine virtuelle Windows dans Azure avec l'extension de script personnalisé 25 .

Testez vos connaissances


Utilisez les questions suivantes pour vérifier ce que vous avez appris dans cette leçon.

22 https://aka.ms/PowerShell-DSC-Extension
23 https://aka.ms/tutorial-automate-vm-deployment
24 https://aka.ms/quickstart-load-balancer-standard-public-portal
25 https://aka.ms/test-web-site
194 Module 6 Déploiement et configuration des machines virtuelles Azure

question 1
Laquelle des fonctionnalités suivantes distingue les machines virtuelles Azure des machines virtuelles locales?

?? Les machines virtuelles Azure sont disponibles uniquement dans des tailles prédéfinies.

?? La taille des machines virtuelles Azure ne peut pas être modifiée après son déploiement.

?? L'augmentation de la quantité de mémoire affectée à une machine virtuelle Azure est une opération en ligne.

?? Les machines virtuelles Azure ne prennent en charge qu'une seule interface réseau.

question 2
Laquelle des méthodes suivantes pour déployer des ressources Azure est un exemple de provisionnement déclaratif?

?? Utilisation du portail Azure

?? Utilisation d'Azure PowerShell

?? Utilisation d'Azure CLI

?? Utilisation des modèles Azure Resource Manager

question 3
Quel est le SLA de disponibilité de plusieurs machines virtuelles Azure déployées dans le même ensemble de disponibilité?

?? 99 pour cent

?? 99,9 pour cent

?? 99,95 pour cent

?? 99,99 pour cent

Question 4
Quel type de ressource est requis pour implémenter le type de quorum Cloud Witness?

?? Réseau virtuel Azure

?? Machine virtuelle Azure

?? Compte de stockage Azure

?? Azure Key Vault


Configuration de la mise en réseau des machines virtuelles Azure 195

Configuration de la mise en réseau des machines virtuelles Azure

Aperçu de la leçon
La mise en réseau est l'un des principaux éléments constitutifs des solutions d'infrastructure dans Azure. Avoir une compréhension claire de la

configuration des composants de mise en réseau Azure est un élément essentiel de pratiquement tous les déploiements basés sur des machines

virtuelles Azure. Les composants de mise en réseau Azure permettent la connectivité entre les machines virtuelles Azure sur le même réseau

virtuel et les relient en toute sécurité à d'autres réseaux virtuels et à des infrastructures de réseau locales. Les principes fondamentaux de la mise

en réseau Azure correspondent à ceux applicables aux réseaux locaux traditionnels. Cependant, il existe également plusieurs caractéristiques de

mise en réseau uniques spécifiques à Azure que vous devez prendre en compte lors du déploiement de machines virtuelles Azure. Dans cette

leçon, vous apprendrez à configurer la mise en réseau des machines virtuelles Azure et à optimiser ses performances.

Objectifs de la leçon
Après avoir terminé cette leçon, vous serez en mesure de:

● Configurez les interfaces réseau de machine virtuelle Azure.

● Optimisez les performances de mise en réseau des machines virtuelles Azure.

Configurer les interfaces réseau de la machine virtuelle Azure


Les réseaux virtuels Azure fournissent une connectivité IP privée directe entre les ressources connectées au réseau telles que les
machines virtuelles Azure. Si vous souhaitez fournir une connectivité IP privée directe entre différents réseaux virtuels, les interfaces
réseau de machine virtuelle Azure vous offrent cette option. Vous pouvez également connecter des réseaux virtuels à vos réseaux
locaux, faisant ainsi d'Azure une extension de votre propre centre de données.

Un réseau virtuel contient généralement un ou plusieurs sous-réseaux. Les sous-réseaux facilitent la segmentation des réseaux,
fournissant un moyen de contrôler la communication entre les ressources du réseau. Chaque sous-réseau contient une plage
d'adresses IP qui constituent un sous-ensemble de l'espace d'adressage réseau virtuel. Chaque interface réseau doit résider sur un
sous-réseau différent, mais elles doivent toutes être connectées au même réseau virtuel.

Une machine virtuelle Azure se connecte à un sous-réseau via une interface réseau virtuelle. Cette interface réseau leur permet de communiquer avec d'autres machines

virtuelles Azure et d'autres ressources en réseau telles que des équilibreurs de charge ou des passerelles. Les machines virtuelles Azure peuvent avoir plusieurs

interfaces réseau, généralement pour faciliter les scénarios d'isolation du réseau.

Le nombre maximal d'interfaces réseau que vous pouvez attacher à une machine virtuelle Azure dépend de sa taille. La
plate-forme Azure nécessite que vous attachiez au moins une interface réseau à chaque machine virtuelle Azure. Cela
devient l'interface réseau principale. Toutes les interfaces réseau supplémentaires sont appelées réseau secondaire
les interfaces.

La plateforme Azure attribue la passerelle par défaut à l'interface réseau principale d'une machine virtuelle Azure. Par défaut, les
interfaces réseau secondaires de cette machine virtuelle Azure peuvent communiquer uniquement avec les ressources résidant sur
le même sous-réseau auquel elles sont connectées. Si vous souhaitez autoriser le trafic vers d'autres sous-réseaux, vous devez
définir une table de routage personnalisée dans le système d'exploitation de la machine virtuelle Azure. En outre, vous devez créer
des itinéraires définis par l'utilisateur qui redirigent le trafic de ces sous-réseaux vers la même interface réseau.

Adresses IP dans Azure


La plateforme Azure alloue deux types d'adresses IP aux ressources Azure connectées à un réseau virtuel:
privé et public.
196 Module 6 Déploiement et configuration des machines virtuelles Azure

Adresses IP privées
Une adresse IP privée est allouée à l'interface réseau d'une machine virtuelle Azure, d'un équilibreur de charge Azure
interne ou d'une passerelle d'application Azure. Cette adresse IP privée provient de la plage d'adresses IP du sous-réseau
auquel ils sont connectés. L'adresse est utilisée pour:

● Communication au sein du même réseau virtuel.

● Communication sur plusieurs réseaux virtuels connectés.

● Avec des réseaux sur site via un tunnel de réseau privé virtuel (VPN) ou une connexion privée connue
comme Azure ExpressRoute.

Par défaut, chaque interface réseau reçoit une seule adresse IP privée de la plage d'adresses IP du sous-réseau. Cette
adresse IP fait partie de la configuration IP principale de l'interface réseau. Vous pouvez également attribuer une
adresse IP statique à chaque interface. Vous pouvez également créer plusieurs configurations secondaires avec leurs
propres adresses IP, jusqu'à la limite imposée par la plate-forme.

Azure utilise le protocole DHCP (Dynamic Host Configuration Protocol) pour gérer les adresses IP statiques et dynamiques qui
appartiennent à la plage d'adresses IP que vous avez allouée lorsque vous avez créé le sous-réseau de réseau virtuel auquel
l'interface réseau de la machine virtuelle Azure est connectée. Le bail DHCP est infini, ce qui signifie que les adresses IP restent
allouées tant que la machine virtuelle Azure est en cours d'utilisation. Toutefois, si vous placez la machine virtuelle Azure dans l'état
arrêté (désalloué), la plate-forme libère son adresse IP dynamique, la renvoyant à un pool géré par DHCP. Par conséquent, DHCP
peut attribuer cette adresse IP à une autre ressource sur le même sous-réseau. Pour éviter cette situation, par exemple, si une
machine virtuelle Azure héberge un service DNS ou si vous contrôlez l'accès au réseau à l'aide d'un pare-feu avec des règles
référençant une adresse IP source ou cible, vous pouvez désigner son adresse IP comme statique.

Vous attribuez une adresse IP privée statique lorsque vous créez la machine virtuelle Azure ou à tout moment après. L'attribution
d'adresse se produit au niveau de l'interface réseau de la machine virtuelle Azure, plutôt que dans le système d'exploitation
lui-même. Pour créer des attributions d'adresses IP statiques et privées, vous pouvez utiliser un modèle de portail Azure, Azure
PowerShell, Azure CLI ou Azure Resource Manager (ARM).

Noter: La définition d'une adresse IP statique déclenche un redémarrage du système d'exploitation dans la machine virtuelle Azure.

Noter: Ne modifiez pas une configuration IP dans un système d'exploitation s'exécutant sur une machine virtuelle Azure, car cela entraînera

des problèmes de connectivité.

Adresses IP publiques
Les adresses IP publiques permettent aux ressources Azure d'être accessibles directement à partir d'Internet. Par exemple, pour fournir une

connectivité entrante depuis Internet vers une machine virtuelle Azure, vous pouvez attribuer une adresse IP publique à l'interface réseau de la

machine virtuelle Azure. Vous pouvez également attribuer une adresse IP publique à un équilibreur de charge (tel qu'un équilibreur de charge

Azure externe ou une passerelle d'application Azure) qui inclut la machine virtuelle Azure dans son pool de backend.

Les adresses IP publiques sont disponibles dans deux unités de gestion des stocks (SKU): de base et standard. Les adresses IP
publiques de SKU de base ont les caractéristiques suivantes:

● Ils prennent en charge les méthodes d'allocation dynamiques et statiques.

● Vous pouvez les attribuer aux interfaces réseau de machines virtuelles Azure, aux équilibreurs de charge Azure SKU de base connectés à Internet, aux

passerelles d'applications Azure et aux passerelles VPN.

● Ils facilitent les attributions d'adresses IP publiques IPv6 aux Azure Load Balancers Basic accessibles sur Internet. Les

adresses IP publiques de SKU standard ont les caractéristiques suivantes:

● Ils prennent uniquement en charge la méthode d'allocation statique.


Configuration de la mise en réseau des machines virtuelles Azure 197

● Vous pouvez les attribuer à la fois à Azure VM et aux interfaces réseau Azure Load Balancer de référence
Internet standard.

● Vous pouvez les affecter à une zone spécifique ou les configurer comme zone redondante.

● Vous pouvez attribuer les deux types d'adresses IP au même Équilibreur de charge Azure SKU standard.

● Ils facilitent l'attribution d'adresses IP publiques IPv6 à Azure Load Balancers Standard accessible sur Internet.

Noter: Depuis mai 2020, les réseaux virtuels Azure ne prennent pas en charge la connectivité IPv6. Cependant, comme
mentionné précédemment, vous pouvez fournir un accès entrant aux machines virtuelles Azure sur un réseau virtuel via une
adresse IPv6 publique allouée dynamiquement et affectée à un Azure Load Balancer accessible sur Internet.

Type de ressource d'interface réseau ARM


ARM définit l'interface réseau comme un type de ressource distinct. Chaque interface réseau possède plusieurs
propriétés qui vous permettent de personnaliser sa configuration. Ces propriétés comprennent:

● machine virtuelle. Spécifie la machine virtuelle Azure actuelle associée à cette interface réseau.

● Adresse Mac. Présente l'adresse MAC (Media Access Control) de l'interface réseau.

● networkecuritygroup. Fournit une référence à la ressource de groupe de sécurité réseau associée à


l'interface réseau.

● dnsSettings. Fournit les paramètres DNS de l'interface réseau.

● ipconfigurations. Contient les configurations d'adresse IP de l'interface réseau.

Vous pouvez gérer toutes ces propriétés à l'exception de Adresse Mac. Azure attribue automatiquement une adresse MAC
après avoir attaché l'interface réseau à une machine virtuelle Azure et mis cette machine virtuelle Azure en ligne.

Démonstration: configurer les interfaces réseau de machine


virtuelle Azure
Dans cette démonstration, vous apprendrez à configurer les interfaces réseau de machine virtuelle Azure.

Conditions préalables
Vous avez besoin des éléments suivants pour effectuer cette démonstration:

● Un abonnement Azure.

● Un compte avec le rôle Contributeur ou Propriétaire dans l'abonnement Azure.

Démonstration étapes
1. Déployez une machine virtuelle Azure dans l'abonnement Azure en suivant les étapes décrites dans Démarrage rapide:
Créer une machine virtuelle Windows dans le portail Azure 26 . Vous pouvez également utiliser la machine virtuelle Azure que
vous avez utilisée dans la démo précédente. Assurez-vous de sélectionner l'option de ne pas associer son interface réseau à une
adresse IP publique.

2. Configurez une adresse IP privée statique pour la machine virtuelle Azure que vous avez déployée à l'étape précédente en suivant les étapes

décrites dans Configurer une adresse IP privée pour une machine virtuelle à l'aide du portail Azure 27 .

26 https://aka.ms/quick-create-portal
27 https://aka.ms/config-private-ip-add-VM-AP
198 Module 6 Déploiement et configuration des machines virtuelles Azure

3. Utilisez le Exécuter la commande fonctionnalité de la machine virtuelle Azure pour afficher sa configuration IP et vérifier que le

la modification a été effectuée avec succès en suivant les étapes décrites dans Exécutez des scripts PowerShell dans votre machine

virtuelle Windows à l'aide de la commande Exécuter 28 .

4. Configurez une adresse IP publique statique pour la même machine virtuelle Azure en suivant les étapes décrites dans
Associer une adresse IP publique à une machine virtuelle 29 .

5. Vérifiez que vous pouvez vous connecter à la machine virtuelle Azure via Remote Desktop en ciblant son adresse IP publique.

Optimiser les performances de mise en réseau des machines virtuelles Azure


Chaque machine virtuelle Azure est soumise à une limite de bande passante. La bande passante allouée à une machine virtuelle Azure est

mesurée à la sortie. En d'autres termes, tout le trafic réseau quittant la machine virtuelle Azure est compté dans la limite allouée, quelle que

soit sa destination. Le volume de trafic entrant entrant dans la machine virtuelle Azure n'est pas mesuré ou limité directement. Cependant, il

existe d'autres facteurs tels que les limites de processeur et de stockage qui peuvent avoir un impact sur la capacité à traiter le trafic réseau

entrant.

Le débit sortant attendu et le nombre maximal d'interfaces réseau dépendent de la taille de la machine virtuelle.
La limite de débit s'applique à la machine virtuelle Azure. Le débit n'est pas affecté par les facteurs suivants:

● Nombre d'interfaces réseau. La limite de bande passante est cumulative de tout le trafic sortant de la machine virtuelle
Azure. En effet, l'ajout d'une autre interface réseau n'entraînera pas une augmentation de la bande passante.

● Mise en réseau accélérée. Bien que la fonctionnalité puisse être utile pour atteindre la limite publiée, elle ne
change pas la limite.

● Destination du trafic. Toutes les destinations sont prises en compte dans la limite de sortie.

● Protocole. Tout le trafic sortant sur tous les protocoles compte dans la limite.

Dans
en plus de la bande passante, le nombre de connexions réseau vers et depuis une machine virtuelle Azure à tout moment
le temps peut affecter les performances de son réseau. La pile de mise en réseau Azure maintient l'état pour chaque direction d'une
connexion TCP (Transmission Control Protocol) et UDP (User Datagram Protocol) dans des structures de données appelées les flux. Une
connexion TCP / UDP typique aura deux flux directionnels créés, un pour le trafic entrant et un autre pour le trafic sortant. Le transfert
de données entre les terminaux nécessite la création de plusieurs flux en plus de ceux qui effectuent le transfert de données. Certains
exemples sont des flux créés pour la résolution DNS et des flux créés pour les sondes d'intégrité de l'équilibreur de charge.

La pile de mise en réseau Azure prend en charge 250000 flux réseau totaux pour les machines virtuelles Azure avec 8 cœurs de processeur ou

plus, et 100000 flux totaux pour les machines virtuelles Azure avec moins de 8 cœurs de processeur. Au-delà de cette limite, les performances du

réseau se dégradent progressivement pour des flux supplémentaires jusqu'à une limite stricte de 500 000 flux totaux - 250 000 entrants et 250
000 sortants - après quoi les flux supplémentaires sont supprimés.

Mise en réseau accélérée


L'activation de la mise en réseau accélérée optimise les performances de débit du réseau pour les machines virtuelles Azure
exécutant Windows Server et toutes les principales distributions Linux. La mise en réseau accélérée permet la virtualisation d'E / S à
racine unique (SR-IOV) pour une machine virtuelle Azure, améliorant considérablement ses performances de mise en réseau. Le
chemin hautes performances contourne l'hôte, réduisant la latence, la gigue et l'utilisation du processeur. Cela en fait un choix
approprié pour les charges de travail réseau les plus exigeantes sur les types de VM pris en charge.

La mise en réseau accélérée est prise en charge sur la plupart des tailles d'instances à usage général et optimisées pour le calcul
avec au moins deux processeurs virtuels (D / DSv2 et F / F). Sur les instances prenant en charge l'hyperthreading, accéléré

28 https://aka.ms/VM-windows-run-command
29 https://aka.ms/associate-public-ip-address-vm
Configuration de la mise en réseau des machines virtuelles Azure 199

la mise en réseau est prise en charge sur les instances de VM avec quatre processeurs virtuels ou plus (D / Dsv3, E / Esv3, Fsv2, Lsv2, Ms / Mms

et Ms / Mmsv2).

Noter: Pour plus de détails sur ce sujet, reportez-vous à Optimiser le débit du réseau pour les machines virtuelles
Azure 30 .

Testez vos connaissances


Utilisez les questions suivantes pour vérifier ce que vous avez appris dans cette leçon.

question 1
Laquelle des fonctionnalités suivantes est disponible uniquement pour la référence SKU de base de la ressource d'adresse IP publique Azure?

?? Prise en charge de la méthode d'allocation dynamique

?? Prise en charge des ensembles de disponibilité

?? Prise en charge des zones de disponibilité

?? Prise en charge des passerelles VPN

question 2
Laquelle des fonctionnalités suivantes est disponible uniquement pour la référence SKU standard de la ressource d'adresse IP
publique Azure?

?? Prise en charge de la méthode d'allocation statique

?? Prise en charge des ensembles de disponibilité

?? Prise en charge des zones de disponibilité

?? Prise en charge des passerelles VPN

question 3
Que pouvez-vous faire pour augmenter la bande passante disponible pour une machine virtuelle Azure?

?? Joindre une interface réseau supplémentaire

?? Configurer l'association d'interface réseau

?? Augmenter la taille de la machine virtuelle Azure

?? Configurer la mise en réseau accélérée

30 https://aka.ms/virtual-network-optimize-network-bandwidth
200 Module 6 Déploiement et configuration des machines virtuelles Azure

Configurer le stockage de machine virtuelle Azure

Aperçu de la leçon
Lors du déploiement de machines virtuelles Azure, vous devrez faire un certain nombre de choix concernant leur stockage local. Vous
avez le choix entre plusieurs options et votre décision a des implications importantes en termes de fonctionnalité, de gérabilité et de
tarification. L'objectif de cette leçon est d'explorer ces options, y compris la mise en cache de disque et les volumes à disques
multiples, et de fournir des recommandations concernant leurs cas d'utilisation prévus.

Vous découvrirez également comment implémenter les tâches liées au stockage les plus courantes en ajoutant des disques supplémentaires, en

augmentant la taille des disques existants et en modifiant les niveaux de performances des disques.

Objectifs de la leçon
Après avoir terminé cette leçon, vous serez en mesure de:

● Configurez les disques de machine virtuelle Azure.

● Faites évoluer le stockage de machine virtuelle Azure.

Configurer les disques de machine virtuelle Azure


Lors du déploiement d'une machine virtuelle Azure, vous provisionnez également des disques qui hébergeront le disque du système d'exploitation (OS) (et

éventuellement des disques de données). En outre, chaque machine virtuelle Azure comprend un disque supplémentaire appelé disque temporaire.

Le disque temporaire réside sur l'hôte sur lequel la machine virtuelle Azure s'exécute. En effet, son contenu est perdu si cet hôte change. Cela peut se

produire en tant qu'effet secondaire de plusieurs événements, notamment le redimensionnement de la machine virtuelle Azure, l'arrêt temporaire et la

désallocation de la machine virtuelle Azure ou une défaillance de l'hôte.

Les disques OS présentent les caractéristiques suivantes:

● Un par machine virtuelle Azure

● Taille maximale de 2 To

● Étiqueté comme lecteur C sur les machines virtuelles Azure exécutant Windows Server

● Contient le lecteur du système d'exploitation

● Persiste son contenu en tant qu'objet de page sur les disques

temporaires de stockage Azure ont les caractéristiques suivantes:

● Un par machine virtuelle Azure

● La taille du disque dépend de la taille de la machine virtuelle Azure

● Étiqueté comme lecteur D sur les machines virtuelles Azure exécutant Windows Server

● Fournit un stockage temporaire et non permanent, hébergeant par défaut le fichier d'échange

● Utilise le disque SSD de l'hôte local sur la majorité des tailles de machine virtuelle Azure Les

disques de données présentent les caractéristiques suivantes:

● Nombre maximal de disques de données que vous pouvez attacher à la machine virtuelle Azure en fonction de la taille de la machine virtuelle Azure

● Taille maximale de 32 To, sauf si vous utilisez un stockage Ultra SSD

● Peut attribuer n'importe quelle lettre de lecteur disponible commençant par F sur les machines virtuelles Azure exécutant des systèmes d'exploitation Windows,

ou les monter sans attribuer de lettres de lecteur

● Contient des applications et des données personnalisées


Configurer le stockage de machine virtuelle Azure 201

● Conserver leur contenu sous forme d'objets blob de page dans le stockage Azure

Stockage sur disque standard ou Premium


Azure propose deux niveaux principaux de stockage Azure: Standard et Premium, tous deux capables de stocker des fichiers de disque de

machine virtuelle Azure. Dans les deux cas, les disques de machine virtuelle Azure prennent la forme de fichiers .vhd stockés sous forme d'objets

blob de page, car les objets blob de page sont optimisés pour un accès aléatoire en lecture-écriture. Le stockage Premium offre des

performances supérieures, équivalentes à celles de la technologie SSD. Le stockage standard offre des performances similaires à celles des

disques magnétiques standard, généralement appelés disques durs ( Disque dur).

Toutes les tailles de machine virtuelle Azure prennent en charge le stockage standard. Un grand nombre de tailles de machines virtuelles Azure prennent

également en charge le stockage Premium. Pour la majorité des tailles de VM, vous pouvez facilement distinguer les deux car ce dernier inclut la lettre

S dans la désignation de taille de machine virtuelle Azure.

Disques non gérés et disques gérés


Tous les disques de machine virtuelle Azure résident dans des comptes de stockage Azure. Un compte de stockage Azure est un espace de noms logique

qui, selon son type, est capable d'héberger différents types d'objets, notamment des objets blob, des tables, des files d'attente et des fichiers. Lors du

déploiement d'une machine virtuelle Azure, vous devez choisir le type de disques qui hébergeront le disque du système d'exploitation et, éventuellement,

les disques de données. Vous pouvez utiliser le type de disque non géré ou géré.

L'utilisation de disques non gérés implique une surcharge administrative potentiellement importante. Vous devez décider du nombre de

comptes de stockage que vous allez créer, puis créer ces comptes et décider de la manière dont vous allez distribuer les fichiers de disque .vhd

entre eux. Vous devez également implémenter manuellement les dispositions de résilience en vous assurant que lors du provisionnement de

deux machines virtuelles Azure ou plus dans le même ensemble de disponibilité, leurs comptes de stockage respectifs ne résident pas dans le

même tampon de stockage.

Vous pouvez éliminer cette surcharge en utilisant des disques gérés. Avec cette approche, la plate-forme Azure contrôle le placement
des fichiers disque de la machine virtuelle Azure et masque la complexité associée à la gestion des comptes de stockage Azure. Les
disques gérés présentent les avantages suivants:

● Limites beaucoup plus élevées par rapport aux disques non gérés, vous permettant de créer jusqu'à 50000 disques
par région en un seul abonnement

● Résilience intégrée pour les disques attachés aux machines virtuelles Azure dans le même ensemble de disponibilité Prise

● en charge des machines virtuelles Azure déployées dans les zones de disponibilité

● Autorisations de contrôle d'accès basé sur les rôles granulaires au niveau du

● disque Prise en charge du chiffrement côté serveur et Azure Disk

● Prise en charge de la conversion entre les niveaux de stockage Standard et Premium

● Possibilité de créer une machine virtuelle Azure à partir d'une image personnalisée stockée dans n'importe quel compte de stockage dans la même

région et le même abonnement

● Avec des disques non gérés, vous devez stocker les disques de machine virtuelle Azure dans le même compte de stockage que l'image

Assurez-vous de choisir le type de disque que vous prévoyez d'utiliser au moment du déploiement de la machine virtuelle Azure. Bien que vous puissiez

convertir des disques non gérés de machine virtuelle Azure en disques gérés, cela nécessite l'arrêt et la désallocation de toutes les machines virtuelles dans

l'ensemble de disponibilité. De plus, la conversion des disques gérés en disques non gérés n'est pas prise en charge.

Noter: Nous déconseillons l'utilisation de disques non gérés. Vous devez envisager d'utiliser des disques gérés pour tous les déploiements de machines

virtuelles Azure.
202 Module 6 Déploiement et configuration des machines virtuelles Azure

Caractéristiques de performances des disques gérés


Lorsque vous utilisez des disques gérés, vous avez la possibilité de choisir l'un des types de disque répertoriés dans le tableau
suivant.

Tableau 1: types de disques gérés

Catégorie Disque Ultra SSD haut de gamme SSD standard Disque dur standard

Type de disque SSD SSD SSD Disque dur

Scénario IO-intensive Production et Serveurs Web, Sauvegarde, non critique

charges de travail performance-sen- peu utilisé cal, peu fréquent


charges de travail sitives application d'entreprise accès
tions, dev / test
Taille maximale du disque 65 536 Go 32 767 Go 32 767 Go 32 767 Go
Maximum 2 000 Mo / s 900 Mo / s 750 Mo / s 500 Mo / s
débit
Entrée maximale / 160 000 20 000 6 000 2 000
Opérations de sortie
par seconde (IOPS)

Noter: Tous les types de disques SSD offrent une latence beaucoup plus faible (millisecondes à un chiffre) par rapport au
type de disque HDD standard.

Noter: Pour obtenir la liste à jour des tailles de disques gérés disponibles et leurs caractéristiques de performances, reportez-vous à Tarification

des disques gérés 31 .

Avec les disques SSD Premium et SSD standard, le débit d'E / S disque et le nombre d'IOPS dépendent directement de
la taille du disque. Cependant, dans le cas des disques Azure Ultra, ce n'est pas le cas. En tant que client, vous pouvez
définir les capacités d'Ultra Disk suivantes:

● Taille d'un disque, allant de 4 Go à 65 536 Go

● IOPS va de 100 IOPS à 160000 IOPS

● Débit de stockage de 300 mégaoctets (Mo) par seconde à 2000 Mo par seconde.

Ultra disk offre la possibilité de provisionner un seul disque qui répond aux exigences de taille, d'IOPS et de débit du disque.
Cela élimine potentiellement le besoin de créer et de gérer des volumes à disques multiples, ce qui sera traité dans la
rubrique suivante. Les autres avantages d'Ultra Disk incluent une latence de lecture plus faible par rapport aux SSD Premium
et la possibilité de modifier leurs caractéristiques de performances en ligne, sans avoir à arrêter et désallouer la machine
virtuelle Azure à laquelle ils sont connectés.

Noter: Les disques Ultra sont disponibles uniquement en tant que disques de données avec une taille de secteur physique de 4 Ko, et leur prise en charge est limitée à

une série de VM sélectionnée uniquement.

Il est important de comprendre que pour déterminer les performances globales des disques de stockage Azure Premium
attachés à une machine virtuelle Azure, vous devez calculer le débit cumulatif et les IOPS de tous les disques, et prendre en
compte le débit d'E / S de la machine virtuelle Azure. Cela signifie que si vous attachez, par exemple, 64 des plus grands
disques SSD Premium sur une seule machine virtuelle Azure Standard_DS14_v2, vous n'obtiendrez pas 64 fois le débit
maximal du disque individuel. Au lieu de cela, les caractéristiques de performance de cette taille de machine virtuelle Azure
spécifique détermineront le débit maximal.

Pour plus de détails sur ce sujet, reportez-vous à Tailles des machines virtuelles Windows dans Azure 32 .

31 https://aka.ms/managed-disks-pricing
32 https://aka.ms/Windows-VM-sizes-Azure
Configurer le stockage de machine virtuelle Azure 203

Mise en cache du disque


Lorsque vous montez des disques sur des machines virtuelles Azure, vous pouvez choisir si le trafic d'E / S entre la machine virtuelle
Azure et les disques situés dans le stockage Azure est mis en cache. Le stockage Standard et Premium utilise deux technologies
différentes pour ce type de cache.

Pour le stockage standard, les types de cache possibles sont:

● Rien. Activé par défaut pour les disques de données

● Lecture seulement

● Lire écrire. Activé par défaut pour le disque du système d'exploitation Le

stockage Premium dispose des options de mise en cache suivantes:

● Rien. Pris en charge uniquement pour les disques de données Lecture

● seule. Activé par défaut pour les disques de données Lecture / écriture.

● Activé par défaut pour le disque du système d'exploitation

● None + Write Accelerator (applicable uniquement aux machines virtuelles Azure M-Series) Read +

● Write Accelerator (applicable uniquement aux machines virtuelles Azure M-Series)

Dans
général, la pratique recommandée consiste à utiliser les paramètres de mise en cache dépendant de la charge de travail suivants pour

minimiser la latence:

● Pas de mise en cache pour les charges de travail qui impliquent des opérations d'écriture seule ou un volume élevé d'opérations d'écriture. Il s'agit de la

configuration courante pour les disques stockant les journaux de transactions.

● Mise en cache en lecture seule pour les charges de travail qui impliquent un volume élevé d'opérations de lecture. Il s'agit de la configuration

courante pour les fichiers de base de données.

● Mise en cache en lecture / écriture pour les charges de travail capables de gérer efficacement l'écriture de données mises en cache sur des disques

persistants. Cela minimise la latence sans risquer d'éventuels problèmes de corruption des données.

Noter: La mise en cache de disque n'est pas disponible sur les disques de plus de 4 To et sur les tailles de machines virtuelles Azure série L et série

B.

Accélérateur d'écriture
Accélérateur d'écriture est une capacité de disque pour les machines virtuelles Azure de la série M avec des disques gérés par Azure basés sur le stockage

Premium. Son objectif est d'améliorer la latence d'E / S des écritures. Write Accelerator est conçu pour les scénarios où les mises à jour des fichiers journaux

doivent persister sur le disque de manière hautement performante pour les bases de données modernes. L'accélérateur d'écriture doit être utilisé pour les

volumes contenant le journal des transactions ou les journaux de rétablissement d'un système de gestion de base de données (SGBD). Il n'est pas

recommandé pour les volumes de données SGBD, car la fonctionnalité a été optimisée pour une utilisation avec des disques de journal uniquement.

Lors de l'utilisation de l'accélérateur d'écriture pour un disque de machine virtuelle Azure, les restrictions suivantes s'appliquent:

● La mise en cache du disque doit être définie sur Rien ou alors Lecture seulement. le Lire écrire le mode de mise en cache n'est pas pris en charge.

● Les instantanés ne sont actuellement pas pris en charge pour les disques compatibles avec l’accélérateur d’écriture. Pendant la sauvegarde, le service

de sauvegarde Azure exclut automatiquement les disques activés par Write Accelerator attachés à la machine virtuelle.

● Seules les plus petites tailles d'E / S jusqu'à 512 kilo-octets (Ko) empruntent le chemin accéléré. Dans les situations de charge de
travail où les données sont chargées en masse ou lorsque les différents tampons du journal des transactions du SGBD sont
remplis à un plus grand degré avant d'être persistés dans le stockage, il est probable que les E / S écrites sur le disque ne
prennent pas le chemin accéléré.
204 Module 6 Déploiement et configuration des machines virtuelles Azure

● Il existe des limites sur le nombre de disques de stockage Premium par machine virtuelle Azure que Write Accelerator peut prendre en

charge.

Noter Pour plus d'informations sur ce sujet, reportez-vous à Activer l'accélérateur d'écriture 33 .

Images vs disques
Lorsque vous utilisez le stockage Azure VM, vous travaillez avec des fichiers .vhd, qui représentent des images ou des disques: When working with Azure VM storage, you work with .vhd files, which rep

● Un image est une copie généralisée d'un système d'exploitation, qui vous permet de créer n'importe quel nombre de machines virtuelles

Azure, chacune avec ses propres caractéristiques uniques. Les images servent de modèles à partir desquels vous approvisionnez des

disques pour les machines virtuelles Azure pendant leur déploiement. Un grand nombre d'images prêtes à l'emploi sont disponibles sur la

Place de marché Azure. Vous pouvez également créer vos propres images en téléchargeant des fichiers .vhd à partir de votre

environnement local et en les inscrivant en tant qu'images dans Azure, ou en les créant à partir de machines virtuelles Azure existantes.

● UNE objet disque est soit un disque OS non généralisé, soit un disque de données. Vous pouvez utiliser une copie d'un disque du système d'exploitation pour créer

un réplica exact d'une machine virtuelle Azure individuelle. Vous pouvez également attacher un disque de données à une machine virtuelle Azure existante pour

accéder à son contenu.

Images
Pour identifier des images individuelles, Azure Resource Manager s'appuie sur plusieurs paramètres:

● Nom de l'éditeur. Par example, MicrosoftWindowsServer.

● Offrir. Par example, WindowsServer.

● SKU. Par example, 2019-Datacenter-Core.

● Version. Par exemple, une version spécifique, telle que 2019.0.20190603 ou le dernier que vous pouvez
désigner en définissant la valeur du paramètre version sur dernier.

Vous pouvez utiliser ces paramètres pour identifier les images disponibles qui correspondent à vos besoins lors de l'exécution du Get-AzVMImage
cmdlet.

Noter: Pour plus de détails sur cette procédure, reportez-vous à Trouvez des images de machine virtuelle Windows sur le
marché Azure avec Azure PowerShell 34 .

Opérations de stockage d'images et de disques inter-sites


Lorsque vous créez une machine virtuelle Azure basée sur une image, la plate-forme Azure provisionne automatiquement un nouveau disque de système

d'exploitation. Vous pouvez également attacher un disque existant contenant un système d'exploitation à une nouvelle machine virtuelle Azure. Cela se

produit généralement lorsque vous migrez une machine virtuelle Azure de votre environnement local vers Azure. De même, vous pouvez attacher des

disques de données nouveaux (vides) ou existants à n'importe quelle machine virtuelle Azure, jusqu'à la limite déterminée par sa taille.

Lors de la migration de disques et d'images locaux vers Azure, n'oubliez pas que les disques durs virtuels Microsoft Hyper-V locaux
peuvent utiliser le format .vhd ou .vhdx. Comme mentionné précédemment, Azure ne prend pas en charge le format .vhdx. En effet, si
vous avez l'intention de télécharger un fichier .vhdx local sur Azure et de l'utiliser pour provisionner une nouvelle machine virtuelle
Azure, vous devez d'abord le convertir au format .vhd. Vous pouvez utiliser à cet effet l'assistant d'édition de disque dur virtuel dans la
console Hyper-V Manager.

33 https://aka.ms/enable-write-accelerator
34 https://aka.ms/clips-find-image
Configurer le stockage de machine virtuelle Azure 205

Les autres considérations lors de la migration de fichiers .vhd à partir de vos serveurs Hyper-V locaux incluent:

● La limite de 2 To sur la taille du système d'exploitation et la limite de 32 To sur les disques de données pour les machines virtuelles Azure. Si

vos disques virtuels dépassent cette limite, essayez de les compresser ou de les diviser en plusieurs disques. (Par la suite, vous pouvez créer

un volume à plusieurs disques dans une machine virtuelle Azure pour fournir la taille de lecteur correspondante.)

● Manque de prise en charge pour l'expansion dynamique des fichiers .vhd dans Azure. Vous devez vous assurer que vous
convertissez tous les disques virtuels dans un format fixe avant de les télécharger dans un compte de stockage Azure.

À télécharger un fichier .vhd dans Azure, vous pouvez utiliser le Add-AzVhd Applet de commande Azure PowerShell. Cela automatisera

stocker le fichier comme objet blob de page dans le compte de stockage cible que vous spécifiez (dans le cadre de - Destination
paramètre de l'applet de commande). Inversement, vous pouvez utiliser le Save-AzVhd applet de commande pour télécharger des fichiers

.vhd à partir du stockage Azure vers votre environnement Hyper-V local.

En plus de fournir une fonctionnalité de transfert de données robuste, ces applets de commande offrent de nombreux avantages:

● Add-AzVhd convertit automatiquement les disques dynamiques au format fixe, éliminant ainsi le besoin d'effectuer
cette étape avant le transfert.

● Add-AzVhd et Save-AzVhd inspectez le contenu des fichiers .vhd et copiez uniquement la partie utilisée,
minimisant ainsi la durée des transferts de données.

● Add-AzVhd prend en charge les téléchargements de disques de différenciation lorsque l'image de base réside déjà dans le stockage

Azure. Cela minimise le temps et la bande passante nécessaires pour télécharger une version mise à jour de l'image.

● Les deux applets de commande prennent en charge le multithreading pour un débit accru. Pour appliquer le multithreading, utilisez le

- NumberOfUploaderThreads paramètre.

Vous pouvez obtenir le même résultat en utilisant le téléchargement d'objets blob de stockage az et téléchargement de blob de

stockage az Commandes Azure CLI.

Lorsque le fichier réside dans le stockage Azure, vous pouvez attacher des disques à une machine virtuelle Azure. Par exemple, le Add-Az- VmDataDisk L'applet

de commande prend en charge l'attachement d'un disque de données existant à une machine virtuelle Azure. Inversement, vous pouvez utiliser le Remove-AzVmDataDisk

cmdlet pour détacher un disque de données existant d'une machine virtuelle Azure.

Noter: Le service Azure Data Box offre la possibilité d'expédier des disques physiques contenant des images et des fichiers de disque
locaux comme alternative au téléchargement basé sur le réseau.

Opérations de stockage d'images et de disque de machine virtuelle Azure


Vous avez également la possibilité de gérer des fichiers .vhd représentant des ressources d'image et de disque de machine virtuelle Azure.

Vous pouvez créer un instantané d'un disque géré directement à partir du portail Azure et l'automatiser avec le

Nouveau-AzSnapshot Applet de commande PowerShell ou son équivalent Azure CLI, az instantané créer.

Les instantanés existent indépendamment du disque source. Cela vous permet de créer des instantanés d'un disque et de créer une
réplique exacte de ce disque à des fins de test ou pour faciliter une restauration rapide d'une modification risquée appliquée au
disque d'origine. Vous pouvez copier des instantanés dans les régions et les abonnements Azure, ce qui vous permet de provisionner
des machines virtuelles Azure avec les disques identiques dans la région cible et l'abonnement.

Vous pouvez également capturer des machines virtuelles Azure existantes et généralisées avec des disques gérés pour créer des images gérées

personnalisées, que vous pouvez ensuite utiliser pour provisionner plusieurs machines virtuelles Azure. Ce processus est également pris en

charge directement à partir du portail Azure, ou à l'aide de PowerShell et Azure CLI, avec le New-AzImage cmdlet et

az image créer commande, respectivement. Vous pouvez même créer une image gérée à partir d'une machine virtuelle Azure
généralisée avec des disques non gérés. Comme pour les instantanés, vous avez la possibilité de les copier dans les régions et les
abonnements Azure.
206 Module 6 Déploiement et configuration des machines virtuelles Azure

Noter: Pour plus de détails sur la création d'images personnalisées, reportez-vous à Créer une image gérée d'une machine virtuelle généralisée dans

Azure 35 .

Démonstration: créer et attacher des disques de machine virtuelle


Azure
Dans cette démonstration, vous apprendrez à créer et à attacher des disques de machine virtuelle Azure.

Conditions préalables
Pour compléter cette démonstration, vous avez besoin:

● Un abonnement Azure.

● Un compte avec le rôle Contributeur ou Propriétaire dans l'abonnement Azure.

Démonstration étapes
1. Déployez une machine virtuelle Azure dans l'abonnement Azure en suivant les étapes décrites dans Démarrage rapide: créer
une machine virtuelle Windows dans le portail Azure 36 . Dans le cadre de la création d'image, illustrez les options pour:

1. Choisissez entre les disques gérés et non gérés.

2. Sélectionnez le type de disque du système d'exploitation.

3. Connectez les disques de données. Sur le Disques onglet, attachez un disque de données. Lorsque vous attachez le disque, passez en revue les

2. options de mise en cache du disque.

Mettre à l'échelle le stockage de machine virtuelle Azure


Vous devrez peut-être mettre à l'échelle le stockage de machine virtuelle Azure pour répondre à la demande accrue d'espace disque ou aux

modifications de ses modèles d'utilisation, qui nécessitent des caractéristiques de performances différentes. Souvent, l'augmentation de la taille

du stockage attaché à une machine virtuelle Azure se traduira automatiquement par une amélioration des performances, car des tailles de

disque plus grandes offrent généralement un débit et des IOPS plus élevés. Les disques Ultra constituent l'exception notable car ils vous

permettent généralement de faire évoluer la taille du stockage et ses performances indépendamment les uns des autres.

En général, la mise à l'échelle implique une ou plusieurs des actions suivantes:

● Augmenter ou réduire la taille d'une machine virtuelle Azure pour modifier automatiquement la taille du disque temporaire.

● Attacher ou détacher des disques de données vers et depuis une machine virtuelle Azure.

● Augmentation de la taille du système d'exploitation de la machine virtuelle Azure ou du disque de données existant.

● Modification des caractéristiques de performance d'un compte de stockage Premium ou Standard existant.

● Modification des caractéristiques de performance d'un disque Ultra existant.

35 https://aka.ms/capture-image-resource
36 https://aka.ms/quick-create-portal
Configurer le stockage de machine virtuelle Azure 207

Augmentation ou diminution de la taille d'une machine virtuelle Azure pour


modifier automatiquement la taille du disque temporaire
Comme mentionné dans la rubrique précédente, la taille du disque temporaire dépend de la taille de la machine virtuelle Azure. Si vous constatez que vous

devez améliorer ses performances ou sa taille, vous devrez redimensionner la machine virtuelle Azure. Notez que le contenu du disque temporaire n'est

pas persistant, vous devez donc l'utiliser exclusivement pour les données transitoires, telles qu'un fichier d'échange ou une base de données SQL Server

TempDB. En outre, gardez à l'esprit que le redimensionnement d'une machine virtuelle Azure nécessite le redémarrage du système d'exploitation exécuté

dans cette machine virtuelle Azure.

Noter: Pour obtenir la liste des tailles de machine virtuelle Azure et de leurs tailles de disque temporaires correspondantes, reportez-vous à Tailles des

machines virtuelles Windows dans Azure 37 .

Vous pouvez attacher un ou plusieurs disques de données nouveaux ou existants à une machine virtuelle Azure pendant l'approvisionnement ou à tout

moment par la suite. Cependant, le nombre de disques est limité par la taille de la machine virtuelle Azure. Si vous atteignez cette limite et que vous

souhaitez attacher des disques supplémentaires, vous pouvez redimensionner la machine virtuelle Azure. Pour attacher un disque à une machine virtuelle

Azure, vous pouvez utiliser diverses méthodes, notamment le portail Azure, Azure PowerShell, Azure CLI ou les modèles ARM (Azure Resource Manager).

Une fois que vous avez attaché plusieurs disques de données à une machine virtuelle Azure, vous pouvez créer des volumes multidisques dans le
système d'exploitation s'exécutant dans cette machine virtuelle Azure. En créant des volumes multidisques, vous pouvez augmenter le débit par
volume au-delà de la limite de débit d'un disque individuel. Cela vous permet également de contourner la limite de taille d'un disque de données
Azure VM individuel.

Pour créer des volumes multidisques, vous pouvez utiliser les mêmes outils et techniques que vous utiliseriez pour gérer les disques sur un

ordinateur physique ou une machine virtuelle dans votre environnement sur site. L'approche recommandée pour la gestion de plusieurs disques

sur les machines virtuelles Azure exécutant Windows Server implique la technologie des espaces de stockage, que vous pouvez gérer via le

Gestionnaire de serveur ou PowerShell. Les espaces de stockage offrent des performances améliorées par rapport aux méthodes héritées qui

reposent sur des disques dynamiques. Il vous permet également d'implémenter la mise en miroir à trois voies, qui offre une meilleure résilience

que la mise en miroir bidirectionnelle ou les configurations de parité. Cependant, cet avantage particulier n'est pas pertinent dans ce cas, car les

fichiers de disque de machine virtuelle Azure sont intrinsèquement résilients. Plus spécifiquement, les fichiers de disque Azure prennent la forme

d'objets blob de page résidant dans des comptes de stockage Azure. Chaque compte de stockage Azure possède au moins trois copies qui se

répliquent de manière synchrone dans la même région Azure. En effet, vous pouvez compter sur cette résilience intégrée et choisir la disposition

simple lors de la création de volumes basés sur les espaces de stockage plutôt que de recourir à la résilience au niveau des espaces de stockage.

Vous pouvez créer des volumes multi-disques à l'aide du Gestionnaire de serveur ou de Windows PowerShell. Avec Server Manager,
vous pouvez définir le nombre total de colonnes jusqu'à 8 pour un volume multi-disque avec une disposition simple. Lorsque vous
attachez plus de huit disques, utilisez PowerShell pour créer le volume. Lorsque vous utilisez PowerShell, vous pouvez définir le
nombre de colonnes égal au nombre de disques. Par exemple, s'il y a 16 disques dans un seul ensemble de bandes, spécifiez 16
comme valeur de Le nombre de colonnes paramètre de la Nouveau-VirtualDisk Applet de commande Power-Shell.

Une configuration importante lors de la combinaison de plusieurs disques en un seul volume avec une disposition simple est la taille
de bande. La taille de bande est le plus petit bloc de données qu'une application peut adresser sur un volume par bandes. La taille de
bande que vous configurez dépend du type d'application et de son modèle de demande. Si vous choisissez la mauvaise taille de
bande, cela pourrait entraîner un désalignement des opérations d'entrée / sortie (IO), ce qui, à son tour, entraînerait une dégradation
des performances de votre application.

Par exemple, si une demande d'E / S générée par votre application est supérieure à la taille de bande de disque, le système
de stockage l'écrit à travers les limites de l'unité de bande sur plusieurs disques. Lorsqu'il est temps d'accéder à ces données,
le système de stockage devra rechercher plusieurs unités de bande pour terminer la demande. L'effet cumulatif d'un tel
comportement peut conduire à une dégradation substantielle des performances. D'autre part,

37 https://aka.ms/Windows-VM-sizes-Azure
208 Module 6 Déploiement et configuration des machines virtuelles Azure

si la taille de la demande d'E / S est inférieure à la taille de bande et si elle est de nature aléatoire, les requêtes d'E / S peuvent s'additionner sur le

même disque, provoquant un goulot d'étranglement et en fin de compte dégrader les performances d'E / S.

En fonction du type de charge de travail exécutée par votre application, choisissez une taille de bande appropriée. Pour les petites demandes d'E / S

aléatoires, utilisez une taille de bande plus petite, telle que 64 Ko. Pour les demandes d'E / S séquentielles volumineuses, utilisez une taille de bande plus

grande, telle que 256 Ko.

Noter: Pour plus d'informations sur les volumes multi-disques, reportez-vous à Stockage Azure Premium: conception pour des
performances élevées 38 .

Vous avez également la possibilité de détacher des disques de données d'une machine virtuelle Azure. Cependant, il s'agit d'une opération en

ligne et vous devez vous assurer que les disques que vous souhaitez supprimer ne font pas partie des volumes Windows Server existants.

Noter: Comme mentionné dans la rubrique précédente, il est important de comprendre que pour déterminer les performances
globales des disques de stockage Azure Premium attachés à une machine virtuelle Azure, vous devez calculer le débit cumulé et
les IOPS de tous les disques, et vous devez également prendre en compte le Débit d'E / S de machine virtuelle Azure.

Noter: Vous ne pouvez pas détacher le disque du système d'exploitation. Si vous souhaitez créer une autre machine virtuelle Azure à l'aide du même disque de

système d'exploitation, vous pouvez utiliser à cette fin un instantané de disque ou supprimer d'abord la machine virtuelle Azure existante.

Augmentation de la taille du système d'exploitation de la machine virtuelle Azure ou


du disque de données existant
Vous avez également la possibilité d'augmenter la taille du système d'exploitation et des disques de données. Notez que le redimensionnement du disque du système

d'exploitation n'est pas une opération en ligne et nécessite l'arrêt et la désallocation de la machine virtuelle Azure. Cependant, vous pouvez redimensionner les disques

de données pendant que la machine virtuelle Azure et le serveur Windows qu'elle contient sont en cours d'exécution.

Vous pouvez redimensionner un disque managé directement à partir du portail Azure ou, à cette fin, utiliser Azure PowerShell, Azure
CLI ou le modèle ARM. Après avoir redimensionné le disque, vous devez étendre le volume du système d'exploitation correspondant
à l'aide de l'un des outils qui prennent en charge cette opération, tels que Windows Admin Center, PowerShell ou l'outil de ligne de
commande diskpart.

Noter: Pour plus de détails sur les opérations de redimensionnement du disque, reportez-vous à Comment étendre le lecteur de système d'exploitation

d'une machine virtuelle 39 .

Modification des caractéristiques de performance d'un disque de


stockage Premium ou de stockage standard existant
Lorsque vous utilisez des disques gérés basés sur le stockage Standard ou Premium, vous pouvez modifier leur type à condition que la
machine virtuelle Azure à laquelle ils sont attachés soit arrêtée et désallouée. Cela vous permet, par exemple, de minimiser le coût des
machines virtuelles Azure en changeant leurs disques de SSD Premium en HDD standard. Vous avez également la possibilité de
modifier le mode de mise en cache de l'hôte.

Modification des caractéristiques de performance d'un Ultra Disk


Ultra Disk prend en charge la possibilité de modifier leurs caractéristiques de performances en ligne sans avoir à arrêter et
désallouer la machine virtuelle Azure à laquelle ils sont connectés. Une fois que vous les avez créés et attachés à une machine
virtuelle Azure, vous pouvez définir leur taille, IOPS du disque et le débit du disque. La taille peut varier entre 4 Go et 64 To. (Une
fois que vous avez atteint 1 To, vous pouvez modifier la taille par incréments de 1 To). Dans la gamme de taille sont neuf

38 https://aka.ms/premium-storage-performance
39 https://aka.ms/expand-os-disk
Configurer le stockage de machine virtuelle Azure 209

seuils: 4 Go, 8 Go, 16 Go, 32 Go, 64 Go, 128 Go, 256 Go, 512 Go et 64 To. Chaque seuil est associé à ses
propres IOPS et débit (en Mo / s). Azure IoT utilise Mo / s. Après avoir défini la taille, vous pouvez ajuster
l'IOPS et le débit dans leurs plages désignées respectives.

Noter: Pour plus de détails sur la modification des performances des disques ultra, reportez-vous à Utilisation de disques Azure Ultra 40 .

Démonstration: configurer le stockage de machine virtuelle Azure


Dans cette démonstration, vous apprendrez à configurer le stockage de machine virtuelle Azure.

Conditions préalables
Pour compléter cette démonstration, vous avez besoin:

● Un abonnement Azure.

● Un compte avec le rôle Contributeur ou Propriétaire dans l'abonnement Azure.

Démonstration étapes
1. Connectez-vous à la machine virtuelle Azure que vous avez déployée dans la démo précédente via Remote Desktop.

2. Dans la session Bureau à distance sur la machine virtuelle Azure, créez un volume simple basé sur le disque de données que vous
avez attaché à l'étape précédente en suivant les étapes décrites dans Déployer des espaces de stockage sur un serveur
autonome 41

3. Dans le portail Azure, arrêtez et désallouez la machine virtuelle Azure et modifiez ses disques de données en
SSD Premium ou HDD standard, selon la configuration actuelle.

Testez vos connaissances


Utilisez les questions suivantes pour vérifier ce que vous avez appris dans cette leçon.

question 1
Quelle est la taille maximale du disque du système d'exploitation d'une machine virtuelle Azure?

?? 1 To

?? 2 To

?? 32 To

?? 64 To

40 https://aka.ms/Using-Azure-ultra-disks
41 https://aka.ms/deploy-standalone-storage-spaces
210 Module 6 Déploiement et configuration des machines virtuelles Azure

question 2
Quelle est la taille maximale d'un disque de données d'une machine virtuelle Azure?

?? 1 To

?? 2 To

?? 32 To

?? 64 To
Configurer la sécurité des machines virtuelles Azure 211

Configurer la sécurité des machines virtuelles Azure

Aperçu de la leçon
La transition vers un environnement hybride présente un certain nombre de défis uniques du point de vue de la sécurité. Cela est
particulièrement évident lorsque l'on considère la sécurité des déploiements de machines virtuelles Azure, où le modèle de
responsabilité partagée conduit une stratégie de défense en profondeur. Une telle stratégie devrait combiner les capacités offertes
par la plate-forme gérée avec celles incluses dans le système d'exploitation et, dans la mesure du possible, tirer parti d'une synergie
entre elles.

Dans cette leçon, vous explorerez les principaux éléments constitutifs du modèle de sécurité applicable au déploiement des
machines virtuelles Azure exécutant Windows Server, y compris l'authentification et l'autorisation, la sécurité au niveau du réseau et
du stockage et la protection de l'accès administratif aux machines virtuelles Azure. Vous explorerez également les autres blocs de
construction principaux: les mécanismes avancés de défense du cloud pris en charge par Azure Security Center, et la solution de
suivi des modifications et d'inventaire fournie par Azure Monitor et Azure Automation.

Objectifs de la leçon
Après avoir terminé cette leçon, vous serez en mesure de:

● Intégrez la sécurité des machines virtuelles Azure à Azure RBAC.

● Implémentez la sécurité au niveau du réseau des machines virtuelles Azure.

● Implémentez la sécurité au niveau du stockage des machines virtuelles Azure.

● Protégez l'accès administratif aux machines virtuelles Azure.

● Mettez en œuvre une défense cloud avancée avec Azure Security Center.

● Mettre en œuvre le suivi des modifications et l'inventaire.

Intégrer la sécurité des machines virtuelles Azure avec Azure RBAC


Gérer qui a accès aux ressources dans Azure est un élément essentiel des exigences de sécurité d'une organisation. RBAC vous
permet d'accorder un accès approprié aux utilisateurs, groupes et services Azure AD en déléguant la possibilité d'effectuer des
actions spécifiques sur les ressources Azure, jusqu'à une ressource individuelle. Ces actions font partie de la définition d'un rôle. Il
existe un certain nombre de rôles prédéfinis, mais vous avez également la possibilité de créer vos propres rôles personnalisés. En
vous appuyant sur RBAC, vous pouvez, par exemple, empêcher les utilisateurs désignés d'effectuer des actions spécifiques, telles que
démarrer ou arrêter une machine virtuelle Azure, attacher ou détacher ses disques ou connecter ses interfaces réseau à un
sous-réseau spécifique.

Pour implémenter RBAC, vous sélectionnez d'abord un rôle qui correspond le mieux à votre modèle de délégation. Vous
attribuez ensuite ce rôle à l'utilisateur, au groupe, au principal de service ou à l'identité gérée résidant dans le locataire
Azure Active Directory associé à l'abonnement où résident vos ressources. Enfin, vous désignez la portée de l'attribution de
rôle. L'étendue du rôle peut être une seule ressource, un groupe de ressources, un seul abonnement ou un groupe de
gestion, qui est une collection d'abonnements partageant le même locataire Azure AD.

RBAC comprend quatre rôles prédéfinis, qui ne sont pas spécifiques aux ressources:

● Propriétaire. Accorde la possibilité d'effectuer toutes les actions dans la portée cible.

● Donateur. Accorde la possibilité d'effectuer toutes les actions dans la portée cible, à l'exception de la délégation
ou de la révocation de l'accès.

● Lecteur. Accorde la possibilité d'examiner les paramètres des ressources à l'exception de leurs secrets, tels que les clés d'un compte de

stockage Azure.
212 Module 6 Déploiement et configuration des machines virtuelles Azure

● Administrateur d'accès utilisateur. Accorde la possibilité de déléguer ou de révoquer l'accès aux ressources, mais sans
la capacité inhérente d'examiner ou de gérer les ressources dans l'étendue cible.

En outre, RBAC comprend un grand nombre de rôles spécifiques aux ressources qui permettent d'exécuter des actions spécifiques
aux ressources. Par exemple, le rôle Contributeur de machine virtuelle définit les actions nécessaires pour gérer une machine
virtuelle Azure, mais n'inclut pas la possibilité de se connecter au système d'exploitation exécuté dans cette machine virtuelle
Azure.

Bien que, en général, il existe une séparation entre RBAC sur le plan de contrôle de la plate-forme Azure (y compris les machines virtuelles

Azure) et la sécurité Windows Server (qui s'applique dans le système d'exploitation d'une machine virtuelle Azure), il existe des exceptions. Par

exemple, Azure fournit une prise en charge (actuellement en préversion) pour contrôler la possibilité de se connecter à Windows Server 2019 en

cours d'exécution dans une machine virtuelle Azure à l'aide des informations d'identification Azure Active Directory (Azure AD). Cette capacité

est contrôlée à l'aide des rôles RBAC Connexion administrateur de machine virtuelle et Connexion utilisateur de machine virtuelle qui sont

étendues à la machine virtuelle Azure. Le rôle de connexion d'administrateur de machine virtuelle accorde automatiquement des privilèges

d'administrateur à Windows Server 2019 s'exécutant dans la machine virtuelle Azure, tandis que le rôle de connexion d'utilisateur de machine

virtuelle fournit uniquement des privilèges d'utilisateur standard.

Noter Pour plus d'informations à ce sujet, reportez-vous à Connectez-vous à la machine virtuelle Windows dans
Azure à l'aide de l'authentification Azure Active Directory (préversion) 42 .

Mettre en œuvre la sécurité au niveau du réseau des machines virtuelles Azure


La sécurité au niveau du réseau a toujours été la principale ligne de défense lors de la protection des charges de travail sur site.
Bien que cela ne soit plus considéré comme suffisant, il joue toujours un rôle clé dans la stratégie globale de défense en
profondeur dans les scénarios hybrides. Pour implémenter des fonctionnalités similaires pour protéger les machines virtuelles
Azure, vous pouvez implémenter le filtrage du trafic et la protection DDoS (Azure Distributed Denial of Service).

Filtrage du trafic
Pour implémenter le filtrage du trafic pour les machines virtuelles Azure, vous pouvez utiliser des groupes de sécurité réseau (NSG)
et le pare-feu Azure. Bien qu'il existe d'autres services que vous pouvez utiliser pour compléter le filtrage du trafic fourni par ces
deux ressources, tels que le pare-feu d'application Web inclus dans Azure Application Gateway et Azure Front Door, ces services ont
tendance à être orientés vers des charges de travail spécifiques plutôt que vers des fonctionnalités au niveau de l'infrastructure. ,
qui est notre objectif principal.

Groupes de sécurité réseau


Les NSG vous permettent d'implémenter une protection basée sur le réseau pour les machines virtuelles Azure en contrôlant le
trafic entrant et sortant sur une interface réseau ou au niveau du sous-réseau. Cela signifie que si nécessaire, vous avez la
possibilité d'appliquer différentes règles de filtrage du trafic à des interfaces réseau individuelles pour une machine virtuelle
Azure avec plusieurs interfaces réseau (communément appelées multi-hébergées).

Un NSG contient des règles entrantes et sortantes qui spécifient s'il faut autoriser ou refuser le trafic. Cette
détermination dépend de certains ou de tous les critères suivants:

● La source. La source identifie l'origine du trafic entrant. Vous pouvez choisir parmi quatre options pour cette
propriété:

● Une plage d'adresses IP en notation CIDR (Classless Interdomain Routing)

● le Quelconque paramètre qui désigne toutes les adresses IP

● le Numéro de service définition de la désignation de réseaux d'un type prédéfini particulier (tel que l'Internet ou alors
Réseau virtuel)

42 https://aka.ms/vm-sign-in-azure-ad-windows
Configurer la sécurité des machines virtuelles Azure 213

● le Groupe de sécurité des applications réglage. Groupe de sécurité des applications est simplement une étiquette qui représente

une collection de machines virtuelles Azure qui partagent les mêmes exigences de connectivité réseau. Pour créer un groupe de

sécurité d'application, vous attribuez simplement cette étiquette aux interfaces réseau individuelles attachées à ces machines

virtuelles Azure.

● Plage de ports source. La plage de ports source désigne les ports source à l'aide d'un seul numéro de port (de 1 à 65
535), d'une plage de ports (par exemple 200 à 400) ou du caractère générique astérisque (*) qui désigne tous les ports.

● Destination. Cela identifie la destination du trafic. Tout comme avec le La source propriété, la destination peut
prendre la forme de:

● Une plage d'adresses IP en notation CIDR.

● le Quelconque valeur qui désigne toutes les adresses IP.

● Une valeur ServiceTag, désignant les réseaux d'un type prédéfini particulier.

● Un Groupe de sécurité des applications valeur.

● Plage de ports de destination. La plage de ports de destination spécifie les ports de destination en utilisant soit un numéro de
port unique de 1 à 65535, soit une plage de ports (comme 200 à 400), ou le caractère générique astérisque (***) qui désigne tous
les ports.

● Protocole. Protocol spécifie le protocole réseau utilisé par le trafic entrant ou sortant. Vous pouvez
réglez-le sur Tout, UDP, TCP, ou alors ICMP.

Noter: Pour plus d'informations sur les groupes de sécurité d'application, reportez-vous à Groupes de sécurité
d'application 43 .

De plus, lors de la définition d'une règle, vous devez également fournir:

● Nom. Il s'agit d'un identifiant unique pour la règle.

● Direction. Direction spécifie si le trafic est entrant ou sortant.

● Priorité. Si plusieurs règles correspondent au trafic, les règles de priorité plus élevée sont prioritaires.

● Accès. Access spécifie si le trafic correspondant aux paramètres de la règle est autorisé ou refusé.

Chaque NSG comprend un ensemble de règles par défaut prédéfinies pour le trafic entrant et sortant. Vous ne pouvez pas supprimer
ces règles; cependant, vous pouvez les remplacer car ils ont la priorité la plus basse. Les règles par défaut autorisent tout le trafic
entrant et sortant au sein d'un réseau virtuel. Ils autorisent également le trafic sortant vers Internet et le trafic entrant que les sondes
d'intégrité Azure Load Balancer utilisent pour déterminer l'état des machines virtuelles à charge équilibrée. Il existe également une
règle par défaut avec la priorité la plus basse dans les ensembles de règles entrantes et sortantes qui refuse toutes les autres
communications réseau non explicitement autorisées par d'autres règles.

Noter: Vous pouvez également affiner l'étendue du trafic autorisé par les règles NSG en fonction de
l'utilisation réelle. Pour ce faire, vous tirez parti du mécanisme de défense cloud avancé d'Azure Security
Center, qui est traité plus loin dans cette leçon.

Pare-feu Azure
Semblable à NSG, Azure Firewall fournit un filtrage du trafic. Cependant, contrairement à NSG, il est implémenté en tant que service
que vous déployez dans un sous-réseau de réseau virtuel dédié. Plutôt que de restreindre le trafic à sa source ou à sa destination
(comme c'est le cas avec NSG), le pare-feu Azure nécessite l'implémentation de routes définies par l'utilisateur qui modifient le
comportement de routage par défaut dans Azure. Cela force le trafic à circuler via l'adresse IP privée attribuée automatiquement au
Pare-feu Azure lors de son déploiement. De plus, par rapport à NSG, Azure Firewall fournit

43 https://aka.ms/application-security-groups
214 Module 6 Déploiement et configuration des machines virtuelles Azure

des fonctionnalités beaucoup plus riches, y compris la possibilité de filtrer en fonction des noms DNS, des caractères génériques et
des balises de nom de domaine complet (FQDN), et la désignation de services tels que Windows Update. Un pare-feu Azure peut
également avoir jusqu'à 100 adresses IP publiques, ce qui lui permet de fonctionner comme un appareil de périphérie avec prise en
charge de la traduction d'adresses réseau de destination entrantes et de la traduction d'adresses réseau source sortantes.

La complexité de l'implémentation du pare-feu Azure et le fait qu'il s'agisse d'un service payant, par rapport aux NSG qui
n'engendrent aucun coût, déterminent leurs cas d'utilisation respectifs. Les NSG sont bien adaptés pour restreindre le trafic
dans des scénarios relativement simples, tels que l'autorisation ou le blocage du trafic réseau provenant ou allant vers des
machines virtuelles Azure individuelles au sein du même réseau virtuel ou vers ses sous-réseaux individuels. Le pare-feu
Azure est conçu pour les scénarios d'entreprise avec plusieurs réseaux connectés ensemble dans une topologie en étoile,
l'un d'entre eux pouvant jouer le rôle du réseau de périmètre.

Noter: Les groupes de sécurité réseau et le pare-feu Azure sont avec état.

Protection DDoS
Azure propose deux offres de services DDoS qui fournissent une protection contre les attaques réseau sur les
couches 3 et 4 du modèle OSI (Open Systems Interconnection): DDoS Protection Basic et DDoS Protection Standard.

Protection DDoS de base


DDoS Protection Basic offre une protection de base intégrée par défaut à Azure sans frais supplémentaires et ne nécessitant aucune
configuration utilisateur ni modification d'application. Conçu pour aider à protéger tous les services Azure, l'échelle et la capacité du
réseau Azure déployé à l'échelle mondiale offrent une défense contre les attaques courantes de la couche réseau grâce à une
surveillance permanente du trafic et à une atténuation en temps réel.

Du point de vue de l'architecture, la protection DDoS comprend à la fois des composants logiciels et matériels. Un plan de
contrôle logiciel décide quand, où et quel type de trafic doit être dirigé via des appliances matérielles qui analysent et
suppriment le trafic d'attaque. Le plan de contrôle prend cette décision sur la base d'une politique de protection DDoS à
l'échelle de l'infrastructure. Cette stratégie est définie de manière statique et appliquée universellement à tous les clients
Azure.

DDoS Protection Basic vise à protéger l'infrastructure et la plate-forme Azure. Il atténue le trafic lorsque le
trafic dépasse un taux si important qu'il peut affecter plusieurs clients dans un environnement à plusieurs
locataires. Cependant, il ne fournit pas d'alertes ni de politiques personnalisées par client.

Norme de protection DDoS


DDoS Protection Standard fournit des fonctionnalités améliorées d'atténuation des DDoS. Il est automatiquement réglé pour vous
aider à protéger vos ressources Azure spécifiques dans un réseau virtuel. Il est simple à activer sur n'importe quel réseau virtuel
nouveau ou existant et ne nécessite aucune modification d'application. Les politiques de protection sont optimisées grâce à des
algorithmes de surveillance du trafic et d'apprentissage automatique dédiés. Les stratégies sont appliquées aux adresses IP publiques
associées aux ressources déployées dans des réseaux virtuels, tels qu'Azure Load Balancer et Application Gateway.

La protection standard DDoS peut atténuer les types d'attaques suivants:

● Attaques volumétriques. Avec ces types d'attaques, l'objectif des pirates malveillants est d'inonder la couche réseau
d'une quantité substantielle de trafic apparemment légitime.

● Attaques de protocole. Ces attaques rendent une cible inaccessible en exploitant une faiblesse dans la pile de
protocoles de couche 3 et 4.

● Attaques de la couche de ressources (application). Ces attaques ciblent des paquets d'applications Web dans le but de
perturber la transmission de données entre les hôtes.
Configurer la sécurité des machines virtuelles Azure 215

Démonstration: implémenter la sécurité au niveau du réseau


des machines virtuelles Azure
Dans cette démonstration, vous apprendrez à implémenter la sécurité au niveau du réseau des machines virtuelles Azure.

Conditions préalables
Pour compléter cette démonstration, vous avez besoin:

● Un abonnement Azure.

● Un compte avec le rôle Contributeur ou Propriétaire dans l'abonnement Azure.

Démonstration étapes
1. Déployez une machine virtuelle Azure dans l'abonnement Azure en suivant les étapes décrites dans Démarrage rapide: créer
une machine virtuelle Windows dans le portail Azure 44 . N'ouvrez pas le port TCP 80 pendant le déploiement.

2. À partir de l'ordinateur local, essayez de vous connecter à l'adresse IP publique de la machine virtuelle Azure via le port 80 et
vérifiez que la connexion échoue.

3. Identifiez l'adresse IP publique de votre ordinateur local.

4. Dans le portail Azure, accédez au volet de la machine virtuelle Azure nouvellement déployée. Modifiez sa règle de groupe de
sécurité réseau pour autoriser le trafic entrant via le port 80, mais limitez-le à la source correspondant à l'adresse IP que vous
avez identifiée à l'étape précédente.

5. À partir de l'ordinateur local, essayez de vous connecter à l'adresse IP publique de la machine virtuelle Azure via le port 80 et
vérifiez que la connexion réussit. Notez que si vous vous connectez à partir d'un emplacement avec un pool d'adresses IP
publiques, vous devrez peut-être remplacer une seule adresse IP par une plage d'adresses IP.

Mettre en œuvre la sécurité au niveau du stockage des machines virtuelles Azure


Dans le contexte des machines virtuelles Azure, la sécurité au niveau du stockage est fournie via le chiffrement de leurs fichiers de
disque virtuel. En général, il existe deux mécanismes principaux qui fournissent cette fonctionnalité: le chiffrement de disque Azure
et le chiffrement côté serveur des disques gérés Azure.

Chiffrement de disque Azure


Chiffrement de disque Azure est une fonctionnalité intégrée à la plate-forme Azure qui vous permet de chiffrer les volumes de système de
fichiers résidant sur des disques de machine virtuelle Windows et Linux Azure. Azure Disk Encryption tire parti des technologies de chiffrement

basées sur le système de fichiers existantes telles que BitLocker Drive Encryption, qui est déjà disponible dans le système d'exploitation Windows

et DM-Crypt sous Linux. Il utilise ces technologies pour fournir le chiffrement des volumes hébergeant le système d'exploitation et les données.

La solution s'intègre à Azure Key Vault, que vous contrôlez pour stocker en toute sécurité les clés de chiffrement de volume. Key Vault stocke les

clés cryptographiques utilisées par BitLocker. Le coffre-fort conserve son contenu sous forme chiffrée, en s'appuyant sur la protection basée sur

le module de sécurité (HSM). Pour fournir des couches de sécurité supplémentaires, vous avez la possibilité de chiffrer également les clés de

chiffrement de volume en utilisant la fonctionnalité de clé de chiffrement de clé du coffre-fort.

44 https://aka.ms/quick-create-portal
216 Module 6 Déploiement et configuration des machines virtuelles Azure

Azure Disk Encryption chiffre automatiquement le disque du système d'exploitation, les disques de données et le disque temporaire. Il prend

également en charge les disques gérés et non gérés. Cependant, il ne prend pas en charge les machines virtuelles Azure de génération 2 et

les machines virtuelles Azure de la série Lsv2.

Vous pouvez utiliser Azure Disk Encryption dans trois scénarios:

● Activation du chiffrement sur les nouvelles machines virtuelles Azure créées à partir d'images de la Place de