Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Commencer à utiliser AWS Managed Microsoft AD
AWS Managed Microsoft AD crée un environnement entièrement géré, Microsoft Active Directory dans le AWS Cloud et est alimenté par Windows Server 2019 et fonctionne aux niveaux fonctionnels de la forêt et du domaine R2 R2 2012. Lorsque vous créez un annuaire avec AWS Managed Microsoft AD, vous Directory Service créez deux contrôleurs de domaine et ajoutez le service DNS en votre nom. Les contrôleurs de domaine sont créés dans différents sous-réseaux d'un Amazon VPC. Cette redondance permet de garantir que votre répertoire reste accessible même en cas de panne. Si vous avez besoin de contrôleurs de domaine supplémentaires, vous pouvez les ajouter ultérieurement. Pour de plus amples informations, veuillez consulter [Déploiement de contrôleurs de domaine supplémentaires pour votre Microsoft AD AWS géré](ms_ad_deploy_additional_dcs.md).
Pour une démonstration et une présentation de AWS Managed Microsoft AD, visionnez la YouTube vidéo suivante.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/MdkhobcciX8?si=o0HpdeTIDwK3YWla)
**Topics**
+ [Conditions préalables à la création d'un Microsoft AWS AD géré](#ms_ad_getting_started_prereqs)
+ [AWS IAM Identity Center prérequis](#prereq_aws_sso_ms_ad)
+ [Prérequis pour l'authentification multifactorielle](#prereq_mfa_ad)
+ [Création de votre Microsoft AD AWS géré](#ms_ad_getting_started_create_directory)
+ [Qu'est-ce qui est créé avec votre Microsoft AD AWS géré](ms_ad_getting_started_what_gets_created.md)
+ [AWS Compte administrateur Microsoft AD géré et autorisations de groupe](ms_ad_getting_started_admin_account.md)
## Conditions préalables à la création d'un Microsoft AWS AD géré
Pour créer un annuaire Microsoft AD Active Directory AWS géré, vous avez besoin d'un Amazon VPC avec les éléments suivants :
+ Au moins deux sous-réseaux. Chacun des sous-réseaux doit se trouver dans une zone de disponibilité différente et doit être du même type de réseau.
Vous pouvez l'utiliser IPv6 pour votre VPC. Pour plus d'informations, consultez la section relative à [la prise en IPv6 charge de votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) dans le guide de l'*utilisateur d'Amazon Virtual Private Cloud*.
+ Le VPC doit avoir la location matérielle par défaut.
+ Vous ne pouvez pas créer un Microsoft AD AWS géré dans un VPC en utilisant les adresses de l'espace d'adressage 198.18.0.0/15.
Si vous devez intégrer votre domaine Microsoft AD AWS géré à un domaine Active Directory local existant, les niveaux fonctionnels de forêt et de domaine de votre domaine local doivent être définis sur Windows Server 2003 ou une version ultérieure.
Directory Service utilise une structure à deux VPC. Les instances EC2 qui constituent votre répertoire s'exécutent en dehors de votre AWS compte et sont gérées par AWS. Elles ont deux cartes réseau, `ETH0` et `ETH1`. `ETH0` est la carte de gestion et existe en dehors de votre compte. `ETH1` est créé au sein de votre compte.
La plage d'adresses IP de gestion du ETH0 réseau de votre annuaire est 198.18.0.0/15.
Pour un didacticiel sur la création de l' AWS environnement et sur AWS Managed Microsoft AD, consultez[AWS Tutoriels de laboratoire de test Microsoft AD gérés](ms_ad_tutorial_test_lab.md).
## AWS IAM Identity Center prérequis
Si vous envisagez d'utiliser IAM Identity Center avec AWS Managed Microsoft AD, vous devez vous assurer que les conditions suivantes sont réunies :
+ Votre répertoire Microsoft AD AWS géré est configuré dans le compte de gestion de votre AWS organisation.
+ Votre instance d'IAM Identity Center se trouve dans la même région que celle dans laquelle votre répertoire Microsoft AD AWS géré est configuré.
Pour plus d'informations, consultez les [conditions requises pour IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html) dans le guide de l'*AWS IAM Identity Center utilisateur*.
## Prérequis pour l'authentification multifactorielle
Pour prendre en charge l'authentification multifactorielle avec votre annuaire Microsoft AD AWS géré, vous devez configurer votre serveur RADIUS ([Remote Authentication Dial-In User Service](https://en.wikipedia.org/wiki/RADIUS)) sur site ou basé sur le cloud de la manière suivante afin qu'il puisse accepter les demandes provenant de votre annuaire AWS Microsoft AD géré dans. AWS
1. Sur votre serveur RADIUS, créez deux clients RADIUS pour représenter les deux contrôleurs de domaine Microsoft AD AWS gérés (DCs) dans AWS. Vous devez configurer les deux clients à l'aide des paramètres communs suivants (votre serveur RADIUS peut être différent) :
+ **Adresse (DNS ou IP)** : il s'agit de l'adresse DNS de l'un des AWS services Microsoft AD gérés DCs. Les deux adresses DNS se trouvent dans la console AWS Directory Service sur la page **Détails** de l'annuaire Microsoft AD AWS géré dans lequel vous prévoyez d'utiliser le MFA. Les adresses DNS affichées représentent les adresses IP des deux AWS services Microsoft AD DCs gérés utilisés par AWS.
**Note**
Si votre serveur RADIUS prend en charge les adresses DNS, vous ne devez créer qu'une seule configuration du client RADIUS. Sinon, vous devez créer une configuration client RADIUS pour chaque Microsoft AD DC AWS géré.
+ **Port number** : configurez le numéro de port sur lequel votre serveur RADIUS accepte les connexions client RADIUS. Le port RADIUS standard est 1812.
+ **Shared secret** : entrez ou générez un secret partagé qui sera utilisé par le serveur RADIUS pour se connecter aux clients RADIUS.
+ **Protocole** : vous devrez peut-être configurer le protocole d'authentification entre le AWS Managed Microsoft AD DCs et le serveur RADIUS. Les protocoles pris en charge sont PAP, CHAP MS- CHAPv1 et MS-. CHAPv2 MS- CHAPv2 est recommandé car il offre la plus grande sécurité des trois options.
+ **Application name** : ce paramètre facultatif sur certains serveurs RADIUS, identifie généralement l'application dans des messages ou des rapports.
1. Configurez votre réseau existant pour autoriser le trafic entrant depuis les clients RADIUS (adresses DCs DNS Microsoft AD AWS gérées, voir étape 1) vers le port de votre serveur RADIUS.
1. Ajoutez une règle au groupe de sécurité Amazon EC2 dans votre domaine AWS Microsoft AD géré qui autorise le trafic entrant depuis l'adresse DNS et le numéro de port du serveur RADIUS définis précédemment. Pour plus d'informations, veuillez consulter la section [Adding rules to a security group](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule) (français non garanti) dans le *Guide de l'Utilisateur EC2*.
Pour plus d'informations sur l'utilisation de AWS Managed Microsoft AD avec MFA, consultez. [Activation de l'authentification multifactorielle pour AWS Managed Microsoft AD](ms_ad_mfa.md)
## Création de votre Microsoft AD AWS géré
Pour créer un nouveau répertoire Microsoft AD Active Directory AWS géré, effectuez les étapes suivantes. Avant de commencer cette procédure, assurez-vous que vous avez terminé les prérequis identifiés dans [Conditions préalables à la création d'un Microsoft AWS AD géré](#ms_ad_getting_started_prereqs).
**Pour créer un Microsoft AD AWS géré**
1. Dans le panneau de navigation de la [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), choisissez **Annuaires**, puis **Configurer un annuaire**.
1. Sur la page **Select directory type (Sélectionner un type d'annuaire)**, choisissez **AWS Managed Microsoft AD**, puis **Next (Suivant)**.
1. Sur la page **Enter directory information** (Saisir les détails de l'annuaire), renseignez les informations suivantes :
**Edition**
Choisissez entre l'**édition Standard ou l'édition** **Enterprise** de AWS Managed Microsoft AD. Pour plus d'informations sur les éditions, veuillez consulter [AWS Directory Service for Microsoft Active Directory](what_is.md#microsoftad) (français non garanti).
**Nom de DNS de l'annuaire**
Nom complet de l’annuaire, par exemple `corp.example.com`.
Si vous prévoyez d'utiliser Amazon Route 53 pour le DNS, le nom de domaine de votre AWS Managed Microsoft AD doit être différent de votre nom de domaine Route 53. Des problèmes de résolution DNS peuvent survenir si Route 53 et AWS Managed Microsoft AD partagent le même nom de domaine.
**Nom NetBIOS de l'annuaire**
Nom court de l’annuaire, par exemple `CORP`.
**Description de l'annuaire**
Description facultative de l’annuaire. Cette description peut être modifiée après avoir créé votre AWS Managed Microsoft AD.
**Mot de passe administrateur**
Mot de passe de l’administrateur de l’annuaire. Le processus de création d’un annuaire crée un compte d’administrateur avec le nom d’utilisateur `Admin` et ce mot de passe. Vous pouvez modifier le mot de passe administrateur après avoir créé votre AWS Managed Microsoft AD.
Ce mot de passe ne peut pas contenir le terme « admin ».
Le mot de passe de l'administrateur de l'annuaire est sensible à la casse et doit comporter entre 8 et 64 caractères (inclus). Il doit également contenir au moins un caractère de trois des quatre catégories suivantes :
+ Lettres minuscules (a-z)
+ Lettres majuscules (A-Z)
+ Chiffres (0-9)
+ Caractères non alphanumériques (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
**Confirmer le mot de passe**
Saisissez à nouveau le mot de passe de l’administrateur.
**(Facultatif) Gestion des utilisateurs et des groupes**
Pour activer la AWS gestion des utilisateurs et des groupes Microsoft AD depuis le AWS Management Console, sélectionnez **Gérer la gestion des utilisateurs et des groupes dans le AWS Management Console**. Pour plus d'informations sur l'utilisation de la gestion des utilisateurs et des groupes, consultez[Gérez les utilisateurs et les groupes Microsoft AD AWS gérés à l'aide de AWS Management Console AWS CLI, ou Outils AWS pour PowerShell](ms_ad_manage_users_groups_procedures.md).
1. Sur la page **Choose VPC and subnets (Choisir un VPC et des sous-réseaux)**, indiquez les informations suivantes, puis choisissez **Next (Suivant)**.
**VPC**
Sélectionnez le VPC pour l'annuaire.
**Network type** (Type de réseau)
Le système d'adressage IP (Internet Protocol) associé à votre VPC et à vos sous-réseaux.
Sélectionnez le bloc CIDR associé à votre VPC existant. Les ressources de votre sous-réseau peuvent être configurées pour être utilisées IPv4 uniquement, IPv6 uniquement ou les deux IPv4 et IPv6 (double pile). Pour plus d'informations, consultez [Compare IPv4 et](https://docs.aws.amazon.com/vpc/latest/userguide/ipv4-ipv6-comparison.html) le *guide IPv6 de l'utilisateur d'Amazon Virtual Private Cloud*.
**Sous-réseaux**
Sélectionnez les sous-réseaux pour les contrôleurs de domaine. Les deux sous-réseaux doivent être dans des zones de disponibilité différentes.
1. Sur la page **Review & create (Vérifier et créer)**, vérifiez les informations concernant l'annuaire et effectuez les modifications nécessaires. Lorsque les informations sont correctes, choisissez **Create directory** (Créer l'annuaire). La création de l'annuaire prend entre 20 et 40 minutes. Une fois l'annuaire créé, le champ **Statut** prend la valeur **Actif**.
Pour plus d'informations sur ce qui est créé avec votre Microsoft AD AWS géré, consultez ce qui suit :
+ [Qu'est-ce qui est créé avec votre Microsoft AD AWS géré](ms_ad_getting_started_what_gets_created.md)
+ [AWS Compte administrateur Microsoft AD géré et autorisations de groupe](ms_ad_getting_started_admin_account.md)
**Articles AWS de blog sur la sécurité connexes**
+ [Comment déléguer l'administration de votre annuaire Microsoft AD AWS géré à vos utilisateurs Active Directory locaux](https://aws.amazon.com/blogs/security/how-to-delegate-administration-of-your-aws-managed-microsoft-ad-directory-to-your-on-premises-active-directory-users/)
+ [Comment configurer des politiques de mot de passe encore plus strictes pour répondre à vos normes de sécurité en utilisant Directory Service pour AWS Managed Microsoft AD](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
+ [Comment augmenter la redondance et les performances de AWS Microsoft AD Directory Service pour Managed en ajoutant des contrôleurs de domaine](https://aws.amazon.com/blogs/security/how-to-increase-the-redundancy-and-performance-of-your-aws-directory-service-for-microsoft-ad-directory-by-adding-domain-controllers/)
+ [Comment activer l'utilisation de postes de travail distants en déployant le gestionnaire de licences de bureau Microsoft à distance sur AWS Managed Microsoft AD](https://aws.amazon.com/blogs/security/how-to-enable-the-use-of-remote-desktops-by-deploying-microsoft-remote-desktop-licensing-manager-on-aws-microsoft-ad/)
+ [Comment y accéder à l' AWS Management Console aide de AWS Managed Microsoft AD et de vos informations d'identification locales](https://aws.amazon.com/blogs/security/how-to-access-the-aws-management-console-using-aws-microsoft-ad-and-your-on-premises-credentials/)
+ [Comment activer l'authentification multifactorielle pour les AWS services à l'aide de AWS Managed Microsoft AD et d'informations d'identification locales](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/)
+ [Comment vous connecter facilement aux AWS services à l'aide de votre Active Directory local](https://aws.amazon.com/blogs/security/how-to-easily-log-on-to-aws-services-by-using-your-on-premises-active-directory/)