Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurisez votre Microsoft AD AWS géré
Vous pouvez utiliser des politiques de mot de passe, des fonctionnalités telles que l'authentification multifactorielle (MFA) et des paramètres pour sécuriser votre AWS Managed Microsoft AD. Vous pouvez notamment sécuriser votre répertoire :
+ [Découvrez comment fonctionnent les politiques de mot de passe d'Active Directory](ms_ad_password_policies.md) afin qu'elles puissent être appliquées aux utilisateurs de AWS Managed Microsoft AD. Vous pouvez également déléguer les utilisateurs autorisés à gérer vos politiques de mot de passe Microsoft AD AWS gérées.
+ [Activez le MFA](ms_ad_mfa.md) pour renforcer la sécurité de votre AWS Managed Microsoft AD.
+ [>Activez le protocole Lightweight Directory Access Protocol via Secure Socket Layer (SSL) /Transport Layer Security (TLS) (LDAPS)](ms_ad_ldap.md) afin que les communications via LDAP soient cryptées et améliorent la sécurité.
+ [Gérez votre conformité AWS à Microsoft AD géré](ms_ad_compliance.md) avec des normes telles que le Federal Risk and Authorization Management Program (FedRAMP) et la norme de sécurité des données (DSS) du secteur des cartes de paiement (PCI).
+ [Améliorez la configuration de sécurité de votre réseau Microsoft AD AWS géré >](ms_ad_network_security.md) en modifiant le groupe AWS de sécurité pour répondre aux besoins de votre environnement.
+ [Modifiez les paramètres de sécurité de votre annuaire Microsoft AD AWS géré](ms_ad_directory_settings.md), tels que l'authentification par certificat, le chiffrement par canal sécurisé et le protocole, pour répondre à vos besoins.
+ [Configurez AWS Autorité de certification privée Connector for AD](ms_ad_pca_connector.md) afin de pouvoir émettre et gérer des certificats pour votre Microsoft AD AWS géré avec AWS CA privée.
# Comprendre les politiques de AWS gestion des mots de passe Microsoft AD
AWS Managed Microsoft AD vous permet de définir et d'attribuer différentes politiques de verrouillage des mots de passe et des comptes (également appelées politiques de [mot de passe détaillées) pour les](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-#fine_grained_pswd_policy_mgmt) groupes d'utilisateurs que vous gérez dans votre domaine AWS Microsoft AD géré. Lorsque vous créez un annuaire Microsoft AD AWS géré, une politique de domaine par défaut est créée et appliquée à Active Directory. Cette stratégie contient les paramètres suivants :
****
| Politique | Paramètre |
| --- | --- |
| Appliquer l'historique des mots de passe | 24 mots de passe mémorisés |
| Durée de vie maximale du mot de passe | 42 jours \$1 |
| Durée de vie minimale du mot de passe | 1 jour |
| Longueur minimum du mot de passe | 7 caractères |
| Le mot de passe doit respecter des exigences de complexité | Activé |
| Enregistrer les mots de passe en utilisant un chiffrement réversible | Désactivé |
**Note**
\$1 L'âge maximum du mot de passe de 42 jours inclut le mot de passe administrateur.
Par exemple, vous pouvez attribuer un paramètre de stratégie moins strict pour les employés qui n'ont accès qu'à des informations de faible importance. Pour les cadres supérieurs qui accèdent régulièrement à des informations confidentielles, vous pouvez appliquer des paramètres plus stricts.
Les ressources suivantes fournissent des informations supplémentaires sur les politiques de mot de passe et les politiques de sécurité affinées d'MicrosoftActive Directory :
+ [Configuration des paramètres de politique de sécurité](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings)
+ [Exigences de complexité des mots de passe](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
+ [Complexité des mots de passe et considérations](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements#security-considerations)
AWS fournit un ensemble de politiques de mot de passe détaillées dans AWS Managed Microsoft AD que vous pouvez configurer et attribuer à vos groupes. Pour configurer les politiques, vous pouvez utiliser des outils de Microsoft stratégie standard tels que le [centre d'administration Active Directory](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/active-directory-administrative-center). Pour commencer à utiliser les outils Microsoft de politique, voir[Installation des outils d'administration Active Directory pour Microsoft AD AWS géré](ms_ad_install_ad_tools.md).
## Comment les politiques relatives aux mots de passe sont appliquées
Il existe des différences dans la façon dont les politiques de mot de passe affinées sont appliquées selon que le mot de passe a été réinitialisé ou modifié. Les utilisateurs du domaine peuvent modifier leur propre mot de passe. Un administrateur ou un utilisateur Active Directory disposant des autorisations nécessaires peut [réinitialiser les mots de passe des utilisateurs](ms_ad_manage_users_groups_reset_password.md). Consultez le tableau suivant pour plus d'informations.
****
| Politique | Réinitialisation du mot | Changement de mot de passe |
| --- | --- | --- |
| Appliquer l'historique des mots de passe | ![\[No\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/icon-no.png) Non | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/icon-yes.png) Oui |
| Durée de vie maximale du mot de passe | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/icon-yes.png) Oui |
| Durée de vie minimale du mot de passe | ![\[No\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/icon-no.png) Non | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/icon-yes.png) Oui |
| Longueur minimum du mot de passe | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/icon-yes.png) Oui |
| Le mot de passe doit respecter des exigences de complexité | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/icon-yes.png) Oui |
Ces différences ont des implications en termes de sécurité. Par exemple, chaque fois que le mot de passe d'un utilisateur est réinitialisé, les politiques relatives à l'historique des mots de passe et à l'âge minimum des mots de passe ne sont pas appliquées. Pour plus d'informations, consultez la documentation Microsoft sur les considérations de sécurité liées à l'application de l'[historique des mots de passe](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/enforce-password-history#security-considerations) et des politiques relatives à l'[âge minimum des mots de passe](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/minimum-password-age#security-considerations).
## Paramètres de stratégie pris en charge
AWS Managed Microsoft AD inclut cinq politiques détaillées avec une valeur de priorité non modifiable. Les stratégies possèdent un certain nombre de propriétés que vous pouvez configurer pour mettre en œuvre vos mots de passe et actions de verrouillage de compte en cas d'échecs de connexion. Vous pouvez attribuer des stratégies à zéro ou plusieurs groupes Active Directory. Si un utilisateur final est membre de plusieurs groupes et reçoit plus d'une stratégie de mot de passe, Active Directory applique la stratégie avec la valeur de priorité la plus faible.
### AWS politiques de mots de passe prédéfinies
Le tableau suivant répertorie les cinq politiques incluses dans votre répertoire Microsoft AD AWS géré et la valeur de priorité qui leur est attribuée. Pour de plus amples informations, veuillez consulter [Priorité](#precedence).
****
| Nom de la politique | Priorité |
| --- | --- |
| CustomerPSO-01 | 10 |
| CustomerPSO-02 | 20 |
| CustomerPSO-03 | 30 |
| CustomerPSO-04 | 40 |
| CustomerPSO-05 | 50 |
#### Propriétés de stratégie de mot de passe
Vous pouvez modifier les propriétés suivantes dans vos stratégies de mot de passe pour respecter les normes de conformité qui répondent à vos besoins métier.
+ Nom de la politique
+ [Appliquer l'historique des mots de passe](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/enforce-password-history)
+ [Longueur minimum du mot de passe](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-length)
+ [Durée de vie minimale du mot de passe](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-age)
+ [Durée de vie maximale du mot de passe](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-password-age)
+ [Enregistrer les mots de passe en utilisant un chiffrement réversible](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption)
+ [Le mot de passe doit respecter des exigences de complexité](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
Vous ne pouvez pas modifier les valeurs de priorité pour ces stratégies. Pour plus de détails sur la manière dont ces paramètres affectent l'application des mots de passe, voir [AD DS : politiques de mot de passe précises sur le site](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) Web de *Microsoft TechNet*. Pour obtenir des informations générales sur ces politiques, consultez la section [Politique en matière de mots de passe](https://technet.microsoft.com/en-us/library/hh994572(v=ws.11).aspx) sur le TechNet site Web de *Microsoft*.
### Stratégies de verrouillage de compte
Vous pouvez également modifier les propriétés suivantes de vos stratégies de mot de passe pour indiquer si et comment Active Directory doit verrouiller un compte en cas d'échecs de connexion :
+ Nombre d'échecs de connexion autorisés
+ Durée de verrouillage du compte
+ Réinitialiser les tentatives de connexion échouées après une période donnée
Pour obtenir des informations générales sur ces politiques, consultez la section [Politique de verrouillage des comptes](https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx) sur le TechNet site Web de *Microsoft*.
### Priorité
Les stratégies avec une valeur de priorité inférieure ont une priorité plus élevée. Vous pouvez attribuer des stratégies de mot de passe à des groupes de sécurité Active Directory. Même si vous devez appliquer une seule stratégie à un groupe de sécurité, un même utilisateur peut recevoir plus d'une stratégie de mot de passe. Par exemple, si `jsmith` est membre du groupe RESSOURCES HUMAINES et également membre du groupe RESPONSABLES. Si vous attribuez **CustomerPSO-05** (avec une priorité de 50) au groupe RESSOURCES HUMAINES, et **CustomerPSO-04** (avec une priorité de 40) au groupe RESPONSABLES, **CustomerPSO-04** a la priorité la plus élevée et Active Directory applique cette stratégie à `jsmith`.
Si vous attribuez plusieurs stratégies à un utilisateur ou un groupe, Active Directory détermine la stratégie résultante comme suit :
1. Une stratégie que vous attribuez directement à l'objet utilisateur s'applique.
1. Si aucune stratégie n'est attribuée directement à l'objet utilisateur, la stratégie avec la valeur de priorité la plus faible reçue par l'utilisateur suite à son adhésion à un groupe s'applique.
Pour plus de détails, voir [AD DS : politiques de mot de passe détaillées sur le site](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) Web de *Microsoft TechNet*.
**Topics**
+ [Comment les politiques relatives aux mots de passe sont appliquées](#how_password_policies_applied)
+ [Paramètres de stratégie pris en charge](#supportedpolicysettings)
+ [Affectation de politiques de mot de passe à vos AWS utilisateurs Microsoft AD gérés](assignpasswordpolicies.md)
+ [Délégation des personnes habilitées à gérer vos politiques de mot de passe Microsoft AD AWS gérées](delegatepasswordpolicies.md)
**Article AWS de blog sur la sécurité connexe**
+ [Comment configurer des politiques de mot de passe encore plus strictes pour répondre à vos normes de sécurité à l'aide Directory Service de AWS Managed Microsoft AD](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
# Affectation de politiques de mot de passe à vos AWS utilisateurs Microsoft AD gérés
Les comptes utilisateurs membres du groupe de sécurité **AWS Delegated Fine Grained Password Policy Administrators** (Administrateurs délégués de stratégies de mot de passe affinées) peuvent recourir à la procédure suivante pour attribuer des stratégies à des utilisateurs et des groupes de sécurité.
**Pour attribuer des stratégies de mot de passe à vos utilisateurs**
1. Lancez le [centre d'administration Active Directory (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) à partir de n'importe quelle instance EC2 gérée que vous avez jointe à votre domaine AWS Microsoft AD géré.
1. Passez à l'**arborescence** et accédez à **System\$1Password Settings Container**.
1. Double-cliquez sur la stratégie affinée que vous souhaitez modifier. Cliquez sur **Ajouter** pour modifier les propriétés de la stratégie et ajouter des utilisateurs ou des groupes de sécurité à la stratégie. Pour plus d'informations sur les stratégies affinées fournies par défaut avec AWS Managed Microsoft AD, veuillez consulter [AWS politiques de mots de passe prédéfinies](ms_ad_password_policies.md#supportedpwdpolicies).
1. Pour vérifier que la politique de mot de passe a été appliquée, exécutez la PowerShell commande suivante :
```
[Get-ADUserResultantPasswordPolicy](https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-aduserresultantpasswordpolicy?view=windowsserver2022-ps) -Identity 'username'
```
**Note**
Évitez d'utiliser la commande `net user`, car ses résultats peuvent être inexacts.
Si vous ne configurez aucune des cinq politiques de mot de passe de votre annuaire Microsoft AD AWS géré, Active Directory utilise la stratégie de groupe de domaines par défaut. Pour plus d'informations sur l'utilisation du **Conteneur de paramètres de mots de passe**, veuillez consulter ce [billet de blog Microsoft](https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad/).
# Délégation des personnes habilitées à gérer vos politiques de mot de passe Microsoft AD AWS gérées
Vous pouvez déléguer les autorisations de gestion des politiques de mot de passe à des comptes utilisateur spécifiques que vous avez créés dans votre AWS Managed Microsoft AD en ajoutant les comptes au groupe de sécurité **AWS Delegated Fine Grained Password Policy Administrators**. Lorsqu'un compte devient membre de ce groupe, il dispose des autorisations nécessaires pour modifier et configurer les stratégies de mot de passe [précédemment](ms_ad_password_policies.md#supportedpwdpolicies) mentionnées.
**Pour déléguer des autorisations de gestion de vos stratégies de mot de passe**
1. Lancez le [centre d'administration Active Directory (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) à partir de n'importe quelle instance EC2 gérée que vous avez jointe à votre domaine AWS Microsoft AD géré.
1. Basculez vers l'**arborescence** et accédez à l'unité d'organisation **AWS Delegated Groups** (Groupes délégués). Pour plus d'informations sur cette unité d'organisation, veuillez consulter [Qu'est-ce qui est créé avec votre Microsoft AD AWS géré](ms_ad_getting_started_what_gets_created.md).
1. Recherchez le groupe d'utilisateurs **AWS Delegated Fine Grained Password Policy Administrators** (Administrateurs délégués de stratégies de mot de passe affinées). Ajoutez des utilisateurs ou des groupes de votre domaine à ce groupe.
# Activation de l'authentification multifactorielle pour AWS Managed Microsoft AD
Vous pouvez activer l'authentification multifactorielle (MFA) pour votre annuaire Microsoft AD AWS géré afin de renforcer la sécurité lorsque vos utilisateurs spécifient leurs informations d'identification AD pour accéder aux applications Amazon Enterprise prises en charge. Lorsque vous activez la MFA, vos utilisateurs saisissent leur nom d'utilisateur et leur mot de passe (premier facteur), comme ils en ont l'habitude, mais ils doivent également saisir un code d'authentification (deuxième facteur) qui leur est fourni par votre solution MFA matérielle ou virtuelle. Ensemble, ces facteurs offrent une sécurité supplémentaire en empêchant l'accès à vos applications d'entreprise Amazon si les utilisateurs ne sont pas en mesure d'indiquer des informations d'identification utilisateur valides et un code MFA valide.
Pour activer l'authentification MFA, vous devez posséder une solution MFA qui est un serveur [Remote authentication dial-in user service](https://en.wikipedia.org/wiki/RADIUS) (RADIUS), ou disposer d'un plugin sur un serveur RADIUS déjà installé dans votre infrastructure sur site. Votre solution d'authentification MFA doit utiliser des codes secrets uniques que les utilisateurs obtiennent à partir d'un périphérique physique ou d'un logiciel exécuté sur un périphérique, par exemple un téléphone portable.
RADIUS est un client/server protocole standard qui assure l'authentification, l'autorisation et la gestion de la comptabilité afin de permettre aux utilisateurs de se connecter aux services réseau. AWS Managed Microsoft AD inclut un client RADIUS qui se connecte au serveur RADIUS sur lequel vous avez implémenté votre solution MFA. Votre serveur RADIUS valide le nom d'utilisateur et le code secret unique. Si votre serveur RADIUS valide correctement l'utilisateur, AWS Managed Microsoft AD authentifie ensuite l'utilisateur auprès d'Active Directory. Une fois l'authentification Active Directory réussie, les utilisateurs peuvent accéder à l' AWS application. La communication entre le client Microsoft AD RADIUS AWS géré et votre serveur RADIUS nécessite que vous configuriez des groupes AWS de sécurité qui permettent la communication via le port 1812.
Vous pouvez activer l'authentification multifactorielle pour votre annuaire Microsoft AD AWS géré en suivant la procédure suivante. Pour plus d'informations sur la configuration de votre serveur RADIUS pour être utilisé avec Directory Service et MFA, veuillez consulter [Prérequis pour l'authentification multifactorielle](ms_ad_getting_started.md#prereq_mfa_ad).
## Considérations
Voici quelques considérations relatives à l'authentification multifactorielle pour votre Microsoft AD AWS géré :
+ L'authentification multifactorielle n'est pas disponible pour Simple AD. Toutefois, l'authentification MFA peut être activée pour votre annuaire AD Connector. Pour de plus amples informations, veuillez consulter [Activation de l'authentification multifactorielle pour AD Connector](ad_connector_mfa.md).
+ Le MFA est une fonctionnalité régionale de Managed AWS Microsoft AD. Si vous utilisez [la réplication multirégionale](ms_ad_configure_multi_region_replication.md), vous ne pourrez utiliser le MFA que dans la région principale de votre Microsoft AD AWS géré.
+ Si vous avez l'intention d'utiliser AWS Managed Microsoft AD pour les communications externes, nous vous recommandons de configurer une passerelle Internet ou une passerelle Internet de traduction d'adresses réseau (NAT) en dehors du AWS réseau pour ces communications.
+ Si vous souhaitez prendre en charge les communications externes entre votre Microsoft AD AWS géré et votre serveur RADIUS hébergé sur le AWS réseau, veuillez contacter [Support](https://console.aws.amazon.com/support/home#/).
+ Toutes les applications informatiques Amazon Enterprise WorkSpaces, y compris Amazon, Amazon WorkMail Quick WorkDocs, ainsi que l'accès à AWS IAM Identity Center Managed Microsoft AD et AD Connector avec MFA, AWS Management Console sont prises en charge lors de l'utilisation de AWS Managed Microsoft AD et AD Connector. Ces AWS applications utilisant le MFA ne sont pas prises en charge dans plusieurs régions.
Pour plus d'informations, consultez [Comment activer l'authentification multifactorielle pour les AWS services à l'aide de AWS Managed Microsoft AD et des informations d'identification locales](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/).
+ Pour plus d'informations sur la configuration de l'accès utilisateur de base aux applications Amazon Enterprise, à l'authentification AWS unique et à l' AWS Management Console utilisation Directory Service, consultez [Accès aux AWS applications et aux services depuis votre Microsoft AD AWS géré](ms_ad_manage_apps_services.md) et[Activation de AWS Management Console l'accès avec les informations d'identification Microsoft AD AWS gérées](ms_ad_management_console_access.md).
+ Consultez ce billet de blog sur la AWS sécurité suivant pour savoir comment activer l'authentification MFA pour les WorkSpaces utilisateurs d'Amazon sur votre compte AWS Microsoft AD géré, [comment activer l'authentification multifactorielle pour les AWS services à l'aide de Managed AWS Microsoft AD et d'](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/)informations d'identification sur site
## Activer l'authentification multifactorielle pour AWS Managed Microsoft AD
La procédure suivante explique comment activer l'authentification multifactorielle pour AWS Managed Microsoft AD.
1. Identifiez l'adresse IP de votre serveur MFA RADIUS et de votre répertoire AWS Managed Microsoft AD.
1. Modifiez vos groupes de sécurité Virtual Private Cloud (VPC) pour permettre les communications via le port 1812 entre vos points de terminaison IP AWS Microsoft AD gérés et votre serveur MFA RADIUS.
1. Dans le volet de navigation de la [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), sélectionnez **Directories** (Annuaires).
1. Choisissez le lien d'ID de répertoire pour votre annuaire Microsoft AD AWS géré.
1. Sur la page **Détails de l'annuaire**, exécutez l'une des opérations suivantes :
+ Si plusieurs régions apparaissent sous **Réplication sur plusieurs régions**, sélectionnez la région dans laquelle vous souhaitez activer l'authentification MFA, puis cliquez sur l'onglet **Mise en réseau et sécurité**. Pour de plus amples informations, veuillez consulter [Régions principales et régions supplémentaires](multi-region-global-primary-additional.md).
+ Si aucune région n'apparaît sous **Réplication sur plusieurs régions**, choisissez l'onglet **Mise en réseau et sécurité**.
1. Dans la section **Authentification multifactorielle**, choisissez **Actions**, puis sélectionnez **Activer**.
1. Dans la page **Activer l'authentification multifactorielle (MFA)**, indiquez les valeurs suivantes :
**Afficher l'étiquette**
Indiquez un nom d'étiquette.
**Nom DNS ou adresses IP du serveur RADIUS**
Adresses IP des points de terminaison de votre serveur RADIUS ou adresse IP de l'équilibreur de charge de votre serveur RADIUS. Vous pouvez entrer plusieurs adresses IP en les séparant par une virgule (par exemple, `192.0.0.0,192.0.0.12`).
La MFA RADIUS s'applique uniquement pour authentifier l' AWS Management Console accès aux applications et services Amazon Enterprise tels qu'Amazon Quick ou WorkSpaces Amazon Chime ou à ceux-ci. Les applications et services Amazon Enterprise ne sont pris en charge dans la région principale que si la réplication multirégionale est configurée pour votre Microsoft AD AWS géré. Il ne fournit pas de MFA aux charges de travail Windows exécutées sur des instances EC2 ou pour la connexion à une instance EC2. Directory Service ne prend pas en charge l'authentification RADIUS Challenge/Response.
Les utilisateurs doivent disposer de leur code MFA au moment d'entrer leurs noms d'utilisateur et leurs mots de passe. Vous devez également utiliser une solution qui exécute l'authentification multifacteur, out-of-band telle que les notifications push ou les mots de passe à usage unique (OTP) d'authentification pour l'utilisateur. Dans les solutions out-of-band MFA, vous devez vous assurer de définir la valeur du délai d'expiration RADIUS de manière appropriée pour votre solution. Lorsque vous utilisez une solution out-of-band MFA, la page de connexion invite l'utilisateur à saisir un code MFA. Dans ce cas, les utilisateurs doivent entrer leurs mots de passe dans la zone de mot de passe et dans la zone MFA.
**Port**
Port que votre serveur RADIUS utilise pour les communications. Votre réseau local doit autoriser le trafic entrant via le port du serveur RADIUS par défaut (UDP:1812) en provenance des serveurs. Directory Service
**Shared secret code**
Code secret partagé qui a été spécifié lorsque vos points de terminaison RADIUS ont été créés.
**Confirmer le code secret partagé**
Confirmez le code secret partagé pour vos points de terminaison RADIUS.
**Protocole**
Sélectionnez le protocole qui a été spécifié lorsque vos points de terminaison RADIUS ont été créés.
**Délai d'attente du serveur (en secondes)**
Durée, en secondes, d'attente de la réponse du serveur RADIUS. La valeur doit être comprise entre 1 et 50.
Nous vous recommandons de configurer le délai d'attente de votre serveur RADIUS à 20 secondes ou moins. Si le délai d'attente est supérieur à 20 secondes, le système ne peut pas réessayer avec un autre serveur RADIUS, ce qui peut entraîner un échec lié au délai d'attente.
**Nombre maximal de tentatives RADIUS**
Nombre de tentatives de communication avec le serveur RADIUS. La valeur doit être comprise entre 0 et 10.
L'authentification multifactorielle est disponible lorsque le paramètre **RADIUS Status** passe à l'état **Enabled**.
1. Sélectionnez **Activer**.
# Activer le protocole LDAP ou LDAPS sécurisé
LDAP (Lightweight Directory Access Protocol) est un protocole de communication standard utilisé pour lire et écrire des données vers et depuis Active Directory. Certaines applications utilisent LDAP pour ajouter, supprimer ou rechercher des utilisateurs et des groupes dans Active Directory ou pour transférer des informations d'identification afin d'authentifier des utilisateurs dans Active Directory. Chaque communication LDAP comprend un client (par exemple une application) et un serveur (comme Active Directory).
Par défaut, les communications via LDAP ne sont pas chiffrées. Cela permet à un utilisateur malveillant d'utiliser un logiciel de surveillance réseau pour afficher les paquets de données sur le réseau. C'est pourquoi de nombreuses stratégies de sécurité d'entreprise imposent généralement aux organisations de chiffrer toutes les communications LDAP.
Pour atténuer cette forme d'exposition des données, AWS Managed Microsoft AD propose une option : vous pouvez activer LDAP via Secure Sockets Layer (SSL) /Transport Layer Security (TLS), également connu sous le nom de LDAPS. Avec LDAPS, vous pouvez renforcer la sécurité de votre réseau. Vous pouvez également répondre aux exigences de conformité en chiffrant toutes les communications entre vos applications compatibles LDAP et Managed AWS Microsoft AD.
AWS Managed Microsoft AD prend en charge le protocole LDAPS dans les scénarios de déploiement suivants :
+ **LDAPS côté serveur** chiffre les communications LDAP entre vos applications LDAP commerciales ou locales et votre annuaire AWS Managed Microsoft AD (tenant lieu de serveur LDAP). Pour de plus amples informations, veuillez consulter [Activation du protocole LDAPS côté serveur à l'aide de Managed Microsoft AD AWS](ms_ad_ldap_server_side.md).
+ Le protocole **LDAPS côté client** chiffre les communications LDAP entre des AWS applications telles que WorkSpaces (agissant en tant que clients LDAP) et votre Active Directory autogéré (sur site) (agissant en tant que serveur LDAP). Pour de plus amples informations, veuillez consulter [Activation du protocole LDAPS côté client à l'aide de Managed Microsoft AD AWS](ms_ad_ldap_client_side.md).
Pour plus d'informations sur les meilleures pratiques relatives à la sécurisation de votre implémentation d'MicrosoftActive DirectoryCertificate Services, consultez [Microsoftla documentation](https://learn.microsoft.com/en-us/defender-for-identity/security-assessment-prevent-users-request-certificate).
**Topics**
+ [Activation du protocole LDAPS côté serveur à l'aide de Managed Microsoft AD AWS](ms_ad_ldap_server_side.md)
+ [Activation du protocole LDAPS côté client à l'aide de Managed Microsoft AD AWS](ms_ad_ldap_client_side.md)
# Activation du protocole LDAPS côté serveur à l'aide de Managed Microsoft AD AWS
Le Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS) support côté serveur chiffre les LDAP communications entre vos applications commerciales ou locales et votre LDAP annuaire Microsoft AD géré AWS . Cela permet d'améliorer la sécurité sur le réseau et de répondre aux exigences de conformité à l'aide du protocole Secure Sockets Layer (SSL) cryptographique.
## Activez LDAPS côté serveur à l'aide de AWS Autorité de certification privée
Pour obtenir des instructions détaillées sur la façon de configurer et de configurer le protocole LDAPS côté serveur et votre serveur d'autorité de certification (CA) à l'aide AWS CA privée de. [Configurer le AWS CA privée connecteur pour AD pour Microsoft AD AWS géré](ms_ad_pca_connector.md)
## Activer le protocole LDAPS côté serveur à l'aide de CA Microsoft
Pour obtenir des instructions détaillées sur la façon de configurer et de configurer le protocole LDAPS côté serveur et votre serveur d'autorité de certification (CA), consultez la section [Comment activer le protocole LDAPS côté serveur pour votre annuaire Microsoft AD AWS géré](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) sur le blog de sécurité. AWS
Vous devez effectuer la plupart des tâches de configuration à partir de l'instance Amazon EC2 que vous utilisez pour gérer vos contrôleurs de domaine AWS Managed Microsoft AD. Les étapes suivantes vous indiquent comment activer LDAPS pour votre domaine dans le AWS Cloud.
Si vous souhaitez utiliser l'automatisation pour configurer votre PKI infrastructure, vous pouvez utiliser l'[infrastructure à clé Microsoft publique sur AWS QuickStart Guide](https://aws.amazon.com/quickstart/architecture/microsoft-pki/). Plus précisément, vous devez suivre les instructions du guide pour charger le modèle de [déploiement MicrosoftPKI dans un système existant VPCAWS](https://aws-quickstart.github.io/quickstart-microsoft-pki/#_deployment_steps). Une fois que vous avez chargé le modèle, assurez-vous de choisir **`AWSManaged`** quand vous accédez à l'option **Type de services de domaine Active Directory**. Si vous avez utilisé le QuickStart guide, vous pouvez accéder directement à[Étape 3 : créer un modèle de certificat](#createcustomcert).
**Topics**
+ [Étape 1 : déléguer les rôles autorisés à activer LDAPS](#grantpermsldaps)
+ [Étape 2 : configurer votre autorité de certification](#setupca)
+ [Étape 3 : créer un modèle de certificat](#createcustomcert)
+ [Étape 4 : Ajouter des règles de groupe de sécurité](#addgrouprules)
### Étape 1 : déléguer les rôles autorisés à activer LDAPS
Pour activer le protocole LDAPS côté serveur, vous devez être membre du groupe Admins ou AWS Delegated Enterprise Certificate Authority Administrators de votre annuaire AWS Microsoft AD géré. Vous pouvez également être l'utilisateur administratif par défaut (compte Admin). Si vous préférez, vous pouvez faire en sorte qu'un autre utilisateur que le compte Admin configure LDAPS. Dans ce cas, ajoutez cet utilisateur au groupe Admins ou AWS Delegated Enterprise Certificate Authority Administrators dans votre répertoire AWS Managed Microsoft AD.
### Étape 2 : configurer votre autorité de certification
Avant de pouvoir activer LDAPS côté serveur, vous devez créer un certificat. Ce certificat doit être émis par un Microsoft Enterprise CA serveur joint à votre domaine Microsoft AD AWS géré. Une fois créé, le certificat doit être installé sur chacun des contrôleurs de domaine qui se trouvent dans ce domaine. Ce certificat permet au LDAP service des contrôleurs de domaine d'écouter et d'accepter automatiquement les SSL connexions des LDAP clients.
**Note**
Le protocole LDAPS côté serveur avec AWS Microsoft AD géré ne prend pas en charge les certificats émis par une autorité de certification autonome. Il ne prend pas non plus en charge les certificats émis par une autorité de certification tierce.
Selon vos besoins spécifiques, vous disposez de différentes options pour configurer une autorité de certification ou pour vous connecter à une autorité de certification dans votre domaine :
+ **Créer un serveur subordonné Microsoft Enterprise CA** — (recommandé) Avec cette option, vous pouvez déployer un Microsoft Enterprise CA serveur subordonné dans le AWS cloud. Le serveur peut utiliser Amazon EC2 afin de fonctionner avec votre autorité de certification racine Microsoft existante. Pour plus d'informations sur la configuration d'un subordonné MicrosoftEnterprise CA, voir **Étape 4 : Ajouter un Microsoft Enterprise CA à votre AWS Microsoft AD annuaire** dans [Comment activer le protocole LDAPS côté serveur pour votre annuaire AWS Microsoft AD géré](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/).
+ **Créer une racine Microsoft Enterprise CA** : avec cette option, vous pouvez créer une racine Microsoft Enterprise CA dans le AWS cloud à l'aide d'Amazon EC2 et la joindre à votre domaine AWS Microsoft AD géré. Cette autorité de certification racine peut émettre le certificat sur vos contrôleurs de domaine. Pour plus d'informations sur la configuration d'une nouvelle autorité de certification racine, voir **Étape 3 : Installation et configuration d'une autorité de certification hors ligne** dans [Comment activer le protocole LDAPS côté serveur pour votre annuaire AWS Microsoft AD géré](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/).
Pour en savoir plus sur la manière d'associer votre instance EC2 à votre domaine, veuillez consulter [Comment joindre une instance Amazon EC2 à votre AWS Microsoft AD géré](ms_ad_join_instance.md).
### Étape 3 : créer un modèle de certificat
Une fois votre Enterprise CA configuration terminée, vous pouvez configurer le modèle de certificat Kerberos d'authentification.
**Pour créer un modèle de certificat**
1. Lancez **Microsoft Windows Server Manager**. Sélectionnez **Outils > Autorité de certification**.
1. Dans la fenêtre **Autorité de certification**, développez l'arborescence **Autorité de certification** dans le volet de gauche. Cliquez avec le bouton droit sur **Modèles de certificats**, puis sélectionnez**Gérer**.
1. Dans la fenêtre **Console de modèles de certificats**, cliquez avec le bouton droit sur **Authentification Kerberos**, puis sélectionnez **Dupliquer le modèle**.
1. La fenêtre **Propriétés du nouveau modèle** s'ouvre.
1. Dans la fenêtre **Propriétés du nouveau modèle**, accédez à l'onglet **Compatibilité**, puis procédez comme suit :
1. Remplacez **l'autorité de certification** par celle OS qui correspond à votre autorité de certification.
1. Si une fenêtre **Modifications résultantes** s'affiche, sélectionnez **OK**.
1. Changez **le destinataire de la certification** en **Windows 10/Windows Server 2016**.
**Note**
AWS Managed Microsoft AD est alimenté parWindows Server 2019.
1. Si la fenêtre **Modifications résultantes** s'affiche, sélectionnez **OK**.
1. Cliquez sur l'onglet **Général** et remplacez le **nom d'affichage du modèle LDAPOver** **par SSL** ou par tout autre nom que vous préférez.
1. Cliquez sur l'onglet **Sécurité** et sélectionnez **Contrôleurs de domaine** dans la section **Noms de groupes ou d'utilisateurs**. Dans la section **Autorisations pour les contrôleurs de domaine**, vérifiez que les cases **Autoriser** pour **la lecture**, **l'inscription** et **l'inscription automatique** sont cochées.
1. Cliquez **sur OK** pour créer le modèle de certificat **LDAPOverSSL** (ou le nom que vous avez spécifié ci-dessus). Fermez la fenêtre de la **Console des modèles de certificats**.
1. Dans la fenêtre **Autorité de certificats**, cliquez avec le bouton droit sur **Modèles de certificats**, puis sélectionnez **Nouveau > Modèle de certificat à émettre**.
1. Dans la fenêtre **Activer les modèles de certificats**, choisissez **LDAPOverSSL** (ou le nom que vous avez spécifié ci-dessus), puis cliquez **sur OK**.
### Étape 4 : Ajouter des règles de groupe de sécurité
Dans la dernière étape, vous devez ouvrir la console Amazon EC2 et ajouter des règles de groupe de sécurité. Ces règles permettent à vos contrôleurs de domaine de se connecter Enterprise CA à votre pour demander un certificat. Pour ce faire, vous ajoutez des règles entrantes afin de Enterprise CA pouvoir accepter le trafic entrant en provenance de vos contrôleurs de domaine. Vous ajoutez ensuite des règles de sortie pour autoriser le trafic de vos contrôleurs de domaine vers leEnterprise CA.
Une fois les deux règles configurées, vos contrôleurs de domaine vous demandent Enterprise CA automatiquement un certificat et activent LDAPS pour votre annuaire. Le LDAP service de vos contrôleurs de domaine est désormais prêt à accepter les connexions LDAPS.
**Pour configurer des règles de groupe de sécurité**
1. Accédez à votre console Amazon EC2 à l'adresse [https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2) et connectez-vous à l'aide des informations d'identification d'administrateur.
1. Dans le volet de gauche, sélectionnez **Security Groups** sous l'onglet **Network & Security**.
1. Dans le volet principal, choisissez le groupe AWS de sécurité pour votre autorité de certification.
1. Sélectionnez l'onglet **Inbound** (Entrant), puis **Edit** (Modifier).
1. Dans la boîte de dialogue **Edit inbound rules**, exécutez l'une des actions suivantes :
+ Choisissez **Add Rule** (Ajouter une règle).
+ Choisissez l'option **All traffic** pour le champ **Type** et l'option **Custom** pour le champ **Source**.
+ Entrez le groupe AWS de sécurité (par exemple,`sg-123456789`) pour votre répertoire dans la zone à côté de **Source**.
+ Choisissez **Enregistrer**.
1. Choisissez maintenant le groupe de AWS sécurité de votre annuaire Microsoft AD AWS géré. Sélectionnez l'onglet **Outbound**, puis **Edit**.
1. Dans la boîte de dialogue **Edit outbound rules**, exécutez l'une des actions suivantes :
+ Choisissez **Add Rule** (Ajouter une règle).
+ Choisissez l'option **All traffic** pour le champ **Type** et l'option **Custom** pour le champ **Destination**.
+ Entrez le groupe AWS de sécurité de votre autorité de certification dans le champ **Destination**.
+ Choisissez **Enregistrer**.
Vous pouvez tester la connexion LDAPS au répertoire AWS Managed Microsoft AD à l'aide de l'LDPoutil. L'LDPoutil est livré avec leActive Directory Administrative Tools. Pour de plus amples informations, veuillez consulter [Installation des outils d'administration Active Directory pour Microsoft AD AWS géré](ms_ad_install_ad_tools.md).
**Note**
Avant de tester la connexion LDAPS, vous devez attendre jusqu'à 30 minutes pour que l'autorité de certification secondaire transmette un certificat à vos contrôleurs de domaine.
Pour plus de détails sur le protocole LDAPS côté serveur et pour voir un exemple de cas d'utilisation expliquant comment le configurer, consultez la section [Comment activer le protocole LDAPS côté serveur pour votre annuaire Microsoft AD AWS géré](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/) sur le blog de sécurité. AWS
# Activation du protocole LDAPS côté client à l'aide de Managed Microsoft AD AWS
La prise en charge du protocole SSL (Lightweight Directory Access Protocol) /Transport Layer Security (TLS) (LDAPS) côté client dans Managed AWS Microsoft AD chiffre les communications entre Microsoft Active Directory (AD) autogéré (sur site) et les applications. AWS Des exemples de telles applications incluent WorkSpaces, AWS IAM Identity Center, Quick et Amazon Chime. Ce chiffrement vous aide à mieux protéger les données d'identité de votre entreprise et à répondre à vos exigences en matière de sécurité.
## Conditions préalables
Avant d'activer LDAPS côté client, vous devez satisfaire les exigences suivantes.
**Topics**
+ [Créez une relation de confiance entre votre Microsoft AD AWS géré et votre Microsoft Active Directory autogéré](#trust_relationship_MAD_and_self_managed)
+ [Déployer des certificats de serveur dans Active Directory](#ldap_client_side_deploy_server_certs)
+ [Exigences relatives aux certificats de l'autorité de certification](#ldap_client_side_get_certs_ready)
+ [Exigences liées à la mise en réseau](#ldap_client_side_considerations_enabling)
### Créez une relation de confiance entre votre Microsoft AD AWS géré et votre Microsoft Active Directory autogéré
Tout d'abord, vous devez établir une relation de confiance entre votre Microsoft AD AWS géré et votre Microsoft Active Directory autogéré pour activer le protocole LDAPS côté client. Pour de plus amples informations, veuillez consulter [Création d'une relation de confiance entre votre Microsoft AD AWS géré et votre AD autogéré](ms_ad_setup_trust.md).
### Déployer des certificats de serveur dans Active Directory
Afin d'activer LDAPS côté client, vous devez obtenir et installer des certificats de serveur pour chaque contrôleur de domaine dans Active Directory. Ces certificats seront utilisés par le service LDAP pour écouter et accepter automatiquement les connexions SSL provenant de clients LDAP. Vous pouvez utiliser des certificats SSL émis par un déploiement ADCS (services de certificat Active Directory) interne ou achetés auprès d'un émetteur commercial. Pour plus d'informations sur les exigences relatives aux certificats de serveur Active Directory, veuillez consulter [LDAP over SSL (LDAPS) Certificate](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx) (français non garanti) sur le site web de Microsoft.
### Exigences relatives aux certificats de l'autorité de certification
Un certificat d'autorité de certification (CA), qui représente l'émetteur de vos certificats de serveur, est requis pour le fonctionnement de LDAPS côté client. Les certificats d'une autorité de certification sont mis en correspondance avec les certificats de serveur présentés par vos contrôleurs de domaine Active Directory pour chiffrer les communications LDAP. Notez les exigences suivantes relatives aux certificats d'autorité de certification :
+ L'autorité de certification d'entreprise (CA) est requise pour activer le protocole LDAPS côté client. Vous pouvez utiliser le service de certificats Active Directory, une autorité de certification commerciale tierce ou [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html). Pour plus d'informations sur Microsoft l'autorité de certification d'entreprise, consultez [Microsoftla documentation](https://learn.microsoft.com/en-us/previous-versions/tn-archive/cc875810(v=technet.10)?redirectedfrom=MSDN).
+ Pour que vous puissiez enregistrer un certificat, celui-ci doit expirer dans plus de 90 jours.
+ Les certificats doivent être au format PEM (Privacy-Enhanced Mail). Si vous exportez des certificats d'autorité de certification à partir d'Active Directory, choisissez X.509 codé en base64 (.CER) comme format de fichier d'exportation.
+ Un maximum de cinq (5) certificats CA peuvent être stockés par répertoire Microsoft AD AWS géré.
+ Les certificats utilisant l'algorithme de signature RSASSA-PSS ne sont pas pris en charge.
+ Les certificats d'autorité de certification qui sont chaînés à chaque certificat de serveur dans chaque domaine approuvé doivent être enregistrés.
### Exigences liées à la mise en réseau
AWS le trafic LDAP de l'application s'exécutera exclusivement sur le port TCP 636, sans retour sur le port LDAP 389. Toutefois, les communications LDAP Windows prenant en charge la réplication, les approbations, etc. continueront d'utiliser le port LDAP 389 avec une sécurité native Windows. Configurez les groupes de AWS sécurité et les pare-feux réseau pour autoriser les communications TCP sur le port 636 dans Managed AWS Microsoft AD (sortie) et Active Directory autogéré (entrée). Laissez le port LDAP 389 ouvert entre AWS Managed Microsoft AD et Active Directory autogéré.
## Activer LDAPS côté client
Pour activer LDAPS côté client, vous importez votre certificat d'une autorité de certification (CA) dans AWS Managed Microsoft AD, puis vous activez LDAPS sur votre annuaire. Lors de l'activation, tout le trafic LDAP entre les applications AWS et votre Active Directory autogéré est transmis avec le chiffrement de canal Secure Sockets Layer (SSL).
Vous pouvez utiliser deux méthodes différentes pour activer LDAPS côté client pour votre annuaire. Vous pouvez utiliser la AWS Management Console méthode ou la AWS CLI méthode.
**Note**
Le LDAPS côté client est une fonctionnalité régionale de Managed AWS Microsoft AD. Si vous utilisez [la réplication multirégionale](ms_ad_configure_multi_region_replication.md), les procédures suivantes doivent être appliquées séparément dans chaque région. Pour de plus amples informations, veuillez consulter [Caractéristiques mondiales et régionales](multi-region-global-region-features.md).
**Topics**
+ [Étape 1 : enregistrer un certificat dans Directory Service](#ms_ad_registercert)
+ [Étape 2 : Vérifier l'état d'enregistrement](#ms_ad_check-registration-status)
+ [Étape 3 : Activer LDAPS côté client](#ms_ad_enableclientsideldapssteps)
+ [Étape 4 : Vérifier l'état LDAPS](#ms_ad_check-ldaps-status)
### Étape 1 : enregistrer un certificat dans Directory Service
Utilisez l'une des méthodes suivantes pour enregistrer un certificat dans Directory Service.
**Méthode 1 : Pour enregistrer votre certificat dans Directory Service (AWS Management Console)**
1. Dans le volet de navigation de la [AWS Directory Service console](https://console.aws.amazon.com/directoryservicev2/), sélectionnez **Annuaires**.
1. Choisissez le lien de l'ID correspondant à votre annuaire.
1. Sur la page **Détails de l'annuaire**, effectuez l'une des opérations suivantes :
+ Si plusieurs régions apparaissent sous **Réplication multirégionale**, sélectionnez la région dans laquelle vous souhaitez enregistrer votre certificat, puis cliquez sur l'onglet **Réseau et sécurité**. Pour de plus amples informations, veuillez consulter [Régions principales et régions supplémentaires](multi-region-global-primary-additional.md).
+ Si aucune région n'apparaît sous **Réplication multirégionale**, cliquez sur l'onglet **Réseau et sécurité**.
1. Dans la section **LDAPS côté client** sélectionnez le menu **Actions**, puis **Enregistrer le certificat**.
1. Dans la boîte de dialogue **Enregistrer un certificat d'une autorité de certification**, sélectionnez **Parcourir**, puis le certificat et choisissez **Ouvrir**.
1. Choisissez **Register certificate** (Enregistrer le certificat).
**Méthode 2 : Pour enregistrer votre certificat dans Directory Service (AWS CLI)**
+ Exécutez la commande suivante. Pour les données de certificat, pointez vers l'emplacement de votre fichier de certificat de CA. Un ID de certificat sera fourni dans la réponse.
```
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
```
### Étape 2 : Vérifier l'état d'enregistrement
Pour afficher l'état d'un enregistrement de certificat ou d'une liste de certificats enregistrés, utilisez l'une des méthodes suivantes.
**Méthode 1 : pour vérifier le statut d'enregistrement du certificat dans Directory Service (AWS Management Console)**
1. Accédez à la section **LDAPS côté client** sur la page **Détails de l'annuaire**.
1. Vérifiez l'état de l'enregistrement de certificat actuel qui s'affiche sous la colonne **État de l'enregistrement**. Lorsque la valeur de l'état de l'enregistrement passe à **Enregistré**, cela signifie que votre certificat a été enregistré avec succès.
**Méthode 2 : pour vérifier le statut d'enregistrement du certificat dans Directory Service (AWS CLI)**
+ Exécutez la commande suivante. Si la valeur de l'état renvoie `Registered`, cela signifie que votre certificat a été enregistré avec succès.
```
aws ds list-certificates --directory-id your_directory_id
```
### Étape 3 : Activer LDAPS côté client
Utilisez l'une des méthodes suivantes pour activer le protocole LDAPS côté client dans. Directory Service
**Note**
Avant de pouvoir activer LDAPS côté client, vous devez avoir enregistré avec succès au moins un certificat.
**Méthode 1 : pour activer le protocole LDAPS côté client dans () Directory Service AWS Management Console**
1. Accédez à la section **LDAPS côté client** sur la page **Détails de l'annuaire**.
1. Sélectionnez **Activer**. Si cette option n'est pas disponible, vérifiez qu'un certificat valide a bien été enregistré, puis réessayez.
1. Dans la boîte de dialogue **Activer LDAPS côté client** choisissez **Activer**.
**Méthode 2 : pour activer le protocole LDAPS côté client dans () Directory Service AWS CLI**
+ Exécutez la commande suivante.
```
aws ds enable-ldaps --directory-id your_directory_id --type Client
```
### Étape 4 : Vérifier l'état LDAPS
Utilisez l'une des méthodes suivantes pour vérifier l'état du LDAPS dans Directory Service.
**Méthode 1 : pour vérifier l'état du LDAPS dans Directory Service ()AWS Management Console**
1. Accédez à la section **LDAPS côté client** sur la page **Détails de l'annuaire**.
1. Si la valeur d'état est affichée en tant que **Activé**, cela signifie que LDAPS a été configuré avec succès.
**Méthode 2 : pour vérifier l'état du LDAPS dans Directory Service ()AWS CLI**
+ Exécutez la commande suivante. Si la valeur d'état renvoie `Enabled`, cela signifie que LDAPS a été configuré avec succès.
```
aws ds describe-ldaps-settings –-directory-id your_directory_id
```
## Gérer LDAPS côté client
Utilisez ces commandes pour gérer votre configuration LDAPS.
Vous pouvez utiliser deux méthodes différentes pour gérer les paramètres LDAPS côté client. Vous pouvez utiliser la AWS Management Console méthode ou la AWS CLI méthode.
### Afficher les détails du certificat
Utilisez l'une des méthodes suivantes pour voir lorsqu'un certificat est défini pour expirer.
**Méthode 1 : pour afficher les détails du certificat dans Directory Service (AWS Management Console)**
1. Dans le volet de navigation de la [AWS Directory Service console](https://console.aws.amazon.com/directoryservicev2/), sélectionnez **Annuaires**.
1. Choisissez le lien de l'ID correspondant à votre annuaire.
1. Sur la page **Détails de l'annuaire**, exécutez l'une des opérations suivantes :
+ Si plusieurs régions apparaissent sous **Réplication multirégionale**, sélectionnez la région dans laquelle vous souhaitez afficher le certificat, puis cliquez sur l'onglet **Réseau et sécurité**. Pour de plus amples informations, veuillez consulter [Régions principales et régions supplémentaires](multi-region-global-primary-additional.md).
+ Si aucune région n'apparaît sous **Réplication multirégionale**, cliquez sur l'onglet **Réseau et sécurité**.
1. Les informations relatives au certificat sont affichées dans la section **LDAPS côté client** sous **Certificats d'une autorité de certification**.
**Méthode 2 : pour afficher les détails du certificat dans Directory Service (AWS CLI)**
+ Exécutez la commande suivante. Pour l'ID de certificat, utilisez l'identifiant renvoyé par `register-certificate` ou `list-certificates`.
```
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
### Annuler l'enregistrement d'un certificat
Utilisez l'une des méthodes suivantes pour annuler l'enregistrement d'un certificat.
**Note**
Si un seul certificat est enregistré, vous devez d'abord désactiver LDAPS avant de pouvoir annuler l'enregistrement d'un certificat.
**Méthode 1 : pour annuler l'enregistrement d'un certificat dans Directory Service ()AWS Management Console**
1. Dans le volet de navigation de la [AWS Directory Service console](https://console.aws.amazon.com/directoryservicev2/), sélectionnez **Annuaires**.
1. Choisissez le lien de l'ID correspondant à votre annuaire.
1. Sur la page **Détails de l'annuaire**, exécutez l'une des opérations suivantes :
+ Si plusieurs régions apparaissent sous **Réplication multirégionale**, sélectionnez la région dans laquelle vous souhaitez annuler l'enregistrement d'un certificat, puis cliquez sur l'onglet **Réseau et sécurité**. Pour de plus amples informations, veuillez consulter [Régions principales et régions supplémentaires](multi-region-global-primary-additional.md).
+ Si aucune région n'apparaît sous **Réplication multirégionale**, cliquez sur l'onglet **Réseau et sécurité**.
1. Dans la section **LDAPS côté client** choisissez **Actions**, puis **Annuler l'enregistrement du certificat**.
1. Dans la boîte de dialogue **Annuler l'enregistrement d'un certificat d'une autorité de certification**, choisissez **Annuler l'enregistrement**.
**Méthode 2 : pour annuler l'enregistrement d'un certificat dans Directory Service ()AWS CLI**
+ Exécutez la commande suivante. Pour l'ID de certificat, utilisez l'identifiant renvoyé par `register-certificate` ou `list-certificates`.
```
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
### Désactiver LDAPS côté client
Utilisez l'une des méthodes suivantes pour désactiver LDAPS côté client.
**Méthode 1 : pour désactiver le protocole LDAPS côté client dans () Directory Service AWS Management Console**
1. Dans le volet de navigation de la [AWS Directory Service console](https://console.aws.amazon.com/directoryservicev2/), sélectionnez **Annuaires**.
1. Choisissez le lien de l'ID correspondant à votre annuaire.
1. Sur la page **Détails de l'annuaire**, exécutez l'une des opérations suivantes :
+ Si plusieurs régions apparaissent sous **Réplication multirégionale**, sélectionnez la région dans laquelle vous souhaitez désactiver LDAPS côté client, puis cliquez sur l'onglet **Réseau et sécurité**. Pour de plus amples informations, veuillez consulter [Régions principales et régions supplémentaires](multi-region-global-primary-additional.md).
+ Si aucune région n'apparaît sous **Réplication multirégionale**, cliquez sur l'onglet **Réseau et sécurité**.
1. Dans la section **LDAPS côté client** choisissez **Désactiver**.
1. Dans la boîte de dialogue **Désactiver LDAPS côté client**, choisissez **Désactiver**.
**Méthode 2 : pour désactiver le protocole LDAPS côté client dans () Directory Service AWS CLI**
+ Exécutez la commande suivante.
```
aws ds disable-ldaps --directory-id your_directory_id --type Client
```
## Problèmes liés à l'inscription aux certificats
Le processus d'inscription de vos contrôleurs de domaine Microsoft AD AWS gérés avec les certificats CA peut prendre jusqu'à 30 minutes. Si vous rencontrez des problèmes lors de l'inscription des certificats et que vous souhaitez redémarrer vos contrôleurs de domaine Microsoft AD AWS gérés, vous pouvez contacter Support. Pour créer un dossier d'assistance, consultez les sections [Création de dossiers d'assistance et gestion des dossiers](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html).
# Gérez la conformité pour AWS Managed Microsoft AD
Vous pouvez utiliser AWS Managed Microsoft AD pour prendre en charge vos applications compatibles Active Directory, dans le AWS cloud, qui sont soumises aux exigences de conformité suivantes. Sachez toutefois que vos applications ne respecteront pas ces exigences de conformité si vous utilisez Simple AD.
## Normes de conformité prises en charge
AWS Managed Microsoft AD a fait l'objet d'un audit selon les normes suivantes et peut être utilisé dans le cadre de solutions pour lesquelles vous devez obtenir une certification de conformité.
****
| | |
| --- |--- |
| ![\[FedRamp Logo\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/FedRAMP.png) | AWS Managed Microsoft AD répond aux exigences de sécurité du Federal Risk and Authorization Management Program (FedRAMP) et a reçu l'autorisation provisoire d'exploitation (P-ATO) du FedRAMP Joint Authorization Board (JAB) sur la base de référence modérée et élevée du FedRAMP. Pour de plus amples informations sur FedRAMP, veuillez consulter [FedRAMP compliance](https://aws.amazon.com/compliance/fedramp/) (français non garanti). |
| ![\[PCI Logo\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/PCI.png) | AWS Managed Microsoft AD possède une attestation de conformité à la norme de sécurité des données (DSS) de l'industrie des cartes de paiement (PCI) version 3.2 au niveau 1 du fournisseur de services. Les clients qui utilisent AWS des produits et services pour stocker, traiter ou transmettre les données des titulaires de cartes peuvent utiliser AWS Managed Microsoft AD pour gérer leur propre certification de conformité à la norme PCI DSS. Pour plus d'informations sur la norme PCI DSS, notamment sur la manière de demander une copie du Package de AWS conformité PCI, consultez la section [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) DSS niveau 1. Il est important de noter que vous devez configurer des politiques de mot de passe précises dans AWS Managed Microsoft AD afin qu'elles soient conformes aux normes PCI DSS version 3.2. Pour plus de détails sur les politiques qui doivent être appliquées, consultez la section ci-dessous intitulée Activer la conformité PCI pour votre annuaire Microsoft AD AWS géré. |
| ![\[HIPPA Logo\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/images/HIPAA.jpg) | AWS a étendu son programme de conformité à la loi HIPAA (Health Insurance Portability and Accountability Act) pour inclure Managed AWS Microsoft AD en tant que service éligible à la loi [HIPAA](https://aws.amazon.com/compliance/hipaa-eligible-services-reference/). Si vous avez signé un accord de partenariat commercial (BAA) avec AWS, vous pouvez utiliser AWS Managed Microsoft AD pour créer vos applications conformes à la loi HIPAA. AWS propose un [livre blanc axé sur la loi HIPAA](https://docs.aws.amazon.com/pdfs/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.pdf) aux clients qui souhaitent en savoir plus sur la manière dont ils peuvent tirer parti AWS pour le traitement et le stockage des informations de santé. Pour de plus amples informations, veuillez consulter [HIPAA compliance](https://aws.amazon.com/compliance/hipaa-compliance/) (français non garanti). |
## Responsabilité partagée
La sécurité, et notamment la conformité aux réglementations FedRAMP, HIPAA et PCI, est une [responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/). Il est important de comprendre que le statut de conformité de AWS Managed Microsoft AD ne s'applique pas automatiquement aux applications que vous exécutez dans le AWS cloud. Vous devez vous assurer que votre utilisation des AWS services est conforme aux normes.
Pour obtenir la liste complète des différents programmes de AWS conformité pris en charge par AWS Managed Microsoft AD, consultez la section [AWS Services concernés par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/).
## Assurez la conformité à la norme PCI pour votre AWS annuaire Microsoft AD géré
Pour activer la conformité PCI pour votre annuaire Microsoft AD AWS géré, vous devez configurer des politiques de mot de passe détaillées, comme indiqué dans le document d'attestation de conformité (AOC) et de résumé des responsabilités PCI DSS fourni par. AWS Artifact
Pour plus d'informations sur l'utilisation de politiques de mots de passe détaillées, veuillez consulter [Comprendre les politiques de AWS gestion des mots de passe Microsoft AD](ms_ad_password_policies.md).
# Amélioration de la configuration de sécurité de votre réseau AWS Managed Microsoft AD
Le groupe AWS de sécurité configuré pour le répertoire Microsoft AD AWS géré est configuré avec le minimum de ports réseau entrants requis pour prendre en charge tous les cas d'utilisation connus de votre répertoire AWS Microsoft AD géré. Pour plus d'informations sur le groupe de AWS sécurité provisionné, consultez[Qu'est-ce qui est créé avec votre Microsoft AD AWS géré](ms_ad_getting_started_what_gets_created.md).
Pour améliorer encore la sécurité réseau de votre annuaire Microsoft AD AWS géré, vous pouvez modifier le groupe AWS de sécurité en fonction des scénarios courants suivants.
**Contrôleurs de domaine clients CIDR** : ce bloc CIDR est l'endroit où résident les contrôleurs de domaine locaux de votre domaine.
**CIDR du client** : ce bloc CIDR permet à vos clients, tels que les ordinateurs ou les utilisateurs, de s'authentifier auprès de votre AWS Microsoft AD géré. Vos contrôleurs de domaine Microsoft AD AWS gérés résident également dans ce bloc CIDR.
**Topics**
+ [AWS prise en charge des applications uniquement](#aws_apps_support)
+ [AWS applications uniquement avec support de confiance](#aws_apps_trust_support)
+ [AWS support natif des applications et de la charge de travail Active Directory](#aws_apps_native_ad_support)
+ [AWS prise en charge des applications et de la charge de travail Active Directory native avec prise en charge de la confiance](#aws_apps_native_ad_trust_support)
## AWS prise en charge des applications uniquement
Tous les comptes utilisateur sont configurés uniquement dans votre Microsoft AD AWS géré pour être utilisés avec les AWS applications prises en charge, telles que les suivantes :
+ Amazon Chime
+ Amazon Connect
+ Rapide
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ AWS Client VPN
+ AWS Management Console
Vous pouvez utiliser la configuration AWS de groupe de sécurité suivante pour bloquer tout le trafic non essentiel vers vos contrôleurs de domaine Microsoft AD AWS gérés.
**Note**
Les éléments suivants ne sont pas compatibles avec cette configuration AWS de groupe de sécurité :
Instances Amazon EC2
Amazon FSx
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS pour PostgreSQL
Amazon RDS for SQL Server
WorkSpaces
Active Directory approuve
Clients ou serveurs joints au domaine
**Règles entrantes**
Aucune.
**Règles sortantes**
Aucune.
## AWS applications uniquement avec support de confiance
Tous les comptes utilisateur sont configurés dans votre Microsoft AD AWS géré ou dans votre Active Directory approuvé pour être utilisés avec les AWS applications prises en charge, telles que les suivantes :
+ Amazon Chime
+ Amazon Connect
+ Rapide
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ Amazon WorkSpaces
+ AWS Client VPN
+ AWS Management Console
Vous pouvez modifier la configuration du groupe AWS de sécurité provisionné pour bloquer tout le trafic non essentiel vers vos contrôleurs de domaine AWS Microsoft AD gérés.
**Note**
Les éléments suivants ne sont pas compatibles avec cette configuration AWS de groupe de sécurité :
Instances Amazon EC2
Amazon FSx
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS pour PostgreSQL
Amazon RDS for SQL Server
WorkSpaces
Active Directory approuve
Clients ou serveurs joints au domaine
Cette configuration nécessite que vous vous assuriez que le réseau « Customer Domain Controllers CIDR » est sécurisé.
TCP 445 est utilisé uniquement pour la création d'une approbation et peut être supprimé une fois que l'approbation a été établie.
TCP 636 est requis uniquement lorsque LDAP sur SSL est en cours d'utilisation.
**Règles entrantes**
****
| Protocole | Plage de ports | Source | Type de trafic | Utilisation d'Active Directory |
| --- | --- | --- | --- | --- |
| TCP et UDP | 53 | Contrôleurs de domaine clients CIDR | DNS | Authentification d'utilisateur et d'ordinateur, résolution de noms, approbations |
| TCP et UDP | 88 | Contrôleurs de domaine clients CIDR | Kerberos | Authentification d'utilisateur et d'ordinateur, approbations au niveau de la forêt |
| TCP et UDP | 389 | Contrôleurs de domaine clients CIDR | LDAP | Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations |
| TCP et UDP | 464 | Contrôleurs de domaine clients CIDR | Mot de passe Kerberos (modification/définition) | Réplication, authentification d'utilisateur et d'ordinateur, approbations |
| TCP | 445 | Contrôleurs de domaine clients CIDR | SMB / CIFS | Réplication, authentification d'utilisateur et d'ordinateur, approbations de stratégie de groupe |
| TCP | 135 | Contrôleurs de domaine clients CIDR | Réplication | RPC, EPM |
| TCP | 636 | Contrôleurs de domaine clients CIDR | LDAP SSL | Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations |
| TCP | 49152 - 65535 | Contrôleurs de domaine clients CIDR | RPC | Réplication, authentification d'utilisateur et d'ordinateur, stratégie de groupe, approbations |
| TCP | 3268 ‑ 3269 | Contrôleurs de domaine clients CIDR | LDAP GC et LDAP GC SSL | Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations |
| UDP | 123 | Contrôleurs de domaine clients CIDR | Heure Windows | Heure Windows, approbations |
**Règles sortantes**
****
| Protocole | Plage de ports | Source | Type de trafic | Utilisation d'Active Directory |
| --- | --- | --- | --- | --- |
| Tous | Tous | Contrôleurs de domaine clients CIDR | Tout le trafic | |
## AWS support natif des applications et de la charge de travail Active Directory
Les comptes utilisateur sont fournis uniquement dans votre Microsoft AD AWS géré pour être utilisés avec les AWS applications prises en charge, telles que les suivantes :
+ Amazon Chime
+ Amazon Connect
+ Instances Amazon EC2
+ Amazon FSx
+ Rapide
+ Amazon RDS for MySQL
+ Amazon RDS for Oracle
+ Amazon RDS pour PostgreSQL
+ Amazon RDS for SQL Server
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ WorkSpaces
+ AWS Client VPN
+ AWS Management Console
Vous pouvez modifier la configuration du groupe AWS de sécurité provisionné pour bloquer tout le trafic non essentiel vers vos contrôleurs de domaine AWS Microsoft AD gérés.
**Note**
Les approbations Active Directory ne peuvent pas être créées et AWS gérées entre votre annuaire Microsoft AD géré et le CIDR des contrôleurs de domaine clients.
Cela vous oblige à vous assurer que le réseau « client-client CIDR » est sécurisé.
TCP 636 est requis uniquement lorsque LDAP sur SSL est en cours d'utilisation.
Si vous souhaitez utiliser une autorité de certification d'entreprise avec cette configuration, vous devez créer une règle sortante « TCP, 443, CA CIDR ».
**Règles entrantes**
****
| Protocole | Plage de ports | Source | Type de trafic | Utilisation d'Active Directory |
| --- | --- | --- | --- | --- |
| TCP et UDP | 53 | Client : CIDR | DNS | Authentification d'utilisateur et d'ordinateur, résolution de noms, approbations |
| TCP et UDP | 88 | Client : CIDR | Kerberos | Authentification d'utilisateur et d'ordinateur, approbations au niveau de la forêt |
| TCP et UDP | 389 | Client : CIDR | LDAP | Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations |
| TCP et UDP | 445 | Client : CIDR | SMB / CIFS | Réplication, authentification d'utilisateur et d'ordinateur, approbations de stratégie de groupe |
| TCP et UDP | 464 | Client : CIDR | Mot de passe Kerberos (modification/définition) | Réplication, authentification d'utilisateur et d'ordinateur, approbations |
| TCP | 135 | Client : CIDR | Réplication | RPC, EPM |
| TCP | 636 | Client : CIDR | LDAP SSL | Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations |
| TCP | 49152 - 65535 | Client : CIDR | RPC | Réplication, authentification d'utilisateur et d'ordinateur, stratégie de groupe, approbations |
| TCP | 3268 ‑ 3269 | Client : CIDR | LDAP GC et LDAP GC SSL | Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations |
| TCP | 9389 | Client : CIDR | SOAP | Services Web AD DS |
| UDP | 123 | Client : CIDR | Heure Windows | Heure Windows, approbations |
| UDP | 138 | Client : CIDR | DFSN et NetLogon | DFS, stratégie de groupe |
**Règles sortantes**
Aucune.
## AWS prise en charge des applications et de la charge de travail Active Directory native avec prise en charge de la confiance
Tous les comptes utilisateur sont configurés dans votre Microsoft AD AWS géré ou dans votre Active Directory approuvé pour être utilisés avec les AWS applications prises en charge, telles que les suivantes :
+ Amazon Chime
+ Amazon Connect
+ Instances Amazon EC2
+ Amazon FSx
+ Rapide
+ Amazon RDS for MySQL
+ Amazon RDS for Oracle
+ Amazon RDS pour PostgreSQL
+ Amazon RDS for SQL Server
+ AWS IAM Identity Center
+ WorkDocs
+ Amazon WorkMail
+ WorkSpaces
+ AWS Client VPN
+ AWS Management Console
Vous pouvez modifier la configuration du groupe AWS de sécurité provisionné pour bloquer tout le trafic non essentiel vers vos contrôleurs de domaine AWS Microsoft AD gérés.
**Note**
Cela vous oblige à vous assurer que les réseaux « contrôleurs de domaine client CIDR » et « CIDR client client » sont sécurisés.
Le protocole TCP 445 avec le « CIDR des contrôleurs de domaine client » est utilisé uniquement pour la création de confiance et peut être supprimé une fois que la confiance a été établie.
Le protocole TCP 445 avec le « CIDR client » doit être laissé ouvert car il est requis pour le traitement des politiques de groupe.
TCP 636 est requis uniquement lorsque LDAP sur SSL est en cours d'utilisation.
Si vous souhaitez utiliser une autorité de certification d'entreprise avec cette configuration, vous devez créer une règle sortante « TCP, 443, CA CIDR ».
**Règles entrantes**
****
| Protocole | Plage de ports | Source | Type de trafic | Utilisation d'Active Directory |
| --- | --- | --- | --- | --- |
| TCP et UDP | 53 | Contrôleurs de domaine clients CIDR | DNS | Authentification d'utilisateur et d'ordinateur, résolution de noms, approbations |
| TCP et UDP | 88 | Contrôleurs de domaine clients CIDR | Kerberos | Authentification d'utilisateur et d'ordinateur, approbations au niveau de la forêt |
| TCP et UDP | 389 | Contrôleurs de domaine clients CIDR | LDAP | Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations |
| TCP et UDP | 464 | Contrôleurs de domaine clients CIDR | Mot de passe Kerberos (modification/définition) | Réplication, authentification d'utilisateur et d'ordinateur, approbations |
| TCP | 445 | Contrôleurs de domaine clients CIDR | SMB / CIFS | Réplication, authentification d'utilisateur et d'ordinateur, approbations de stratégie de groupe |
| TCP | 135 | Contrôleurs de domaine clients CIDR | Réplication | RPC, EPM |
| TCP | 636 | Contrôleurs de domaine clients CIDR | LDAP SSL | Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations |
| TCP | 49152 - 65535 | Contrôleurs de domaine clients CIDR | RPC | Réplication, authentification d'utilisateur et d'ordinateur, stratégie de groupe, approbations |
| TCP | 3268 ‑ 3269 | Contrôleurs de domaine clients CIDR | LDAP GC et LDAP GC SSL | Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations |
| UDP | 123 | Contrôleurs de domaine clients CIDR | Heure Windows | Heure Windows, approbations |
| TCP et UDP | 53 | Contrôleurs de domaine clients CIDR | DNS | Authentification d'utilisateur et d'ordinateur, résolution de noms, approbations |
| TCP et UDP | 88 | Contrôleurs de domaine clients CIDR | Kerberos | Authentification d'utilisateur et d'ordinateur, approbations au niveau de la forêt |
| TCP et UDP | 389 | Contrôleurs de domaine clients CIDR | LDAP | Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations |
| TCP et UDP | 445 | Contrôleurs de domaine clients CIDR | SMB / CIFS | Réplication, authentification d'utilisateur et d'ordinateur, approbations de stratégie de groupe |
| TCP et UDP | 464 | Contrôleurs de domaine clients CIDR | Mot de passe Kerberos (modification/définition) | Réplication, authentification d'utilisateur et d'ordinateur, approbations |
| TCP | 135 | Contrôleurs de domaine clients CIDR | Réplication | RPC, EPM |
| TCP | 636 | Contrôleurs de domaine clients CIDR | LDAP SSL | Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations |
| TCP | 49152 - 65535 | Contrôleurs de domaine clients CIDR | RPC | Réplication, authentification d'utilisateur et d'ordinateur, stratégie de groupe, approbations |
| TCP | 3268 ‑ 3269 | Contrôleurs de domaine clients CIDR | LDAP GC et LDAP GC SSL | Directory, réplication, stratégie de groupe d'authentification d'utilisateur et d'ordinateur, approbations |
| TCP | 9389 | Contrôleurs de domaine clients CIDR | SOAP | Services Web AD DS |
| UDP | 123 | Contrôleurs de domaine clients CIDR | Heure Windows | Heure Windows, approbations |
| UDP | 138 | Contrôleurs de domaine clients CIDR | DFSN et NetLogon | DFS, stratégie de groupe |
**Règles sortantes**
****
| Protocole | Plage de ports | Source | Type de trafic | Utilisation d'Active Directory |
| --- | --- | --- | --- | --- |
| Tous | Tous | Contrôleurs de domaine clients CIDR | Tout le trafic | |
# Modification des paramètres de sécurité de l'annuaire Microsoft AD AWS géré
Vous pouvez configurer des paramètres d'annuaire précis pour votre AWS Microsoft AD géré afin de répondre à vos exigences de conformité et de sécurité sans augmenter la charge de travail opérationnelle. Dans les paramètres de l'annuaire, vous pouvez mettre à jour la configuration des canaux sécurisés pour les protocoles et les chiffrements utilisés dans votre annuaire. Par exemple, vous avez la possibilité de désactiver les anciens chiffrements individuels, tels que RC4 le DES, et les protocoles, tels que SSL 2.0/3.0 et TLS 1.0/1.1. AWS Managed Microsoft AD déploie ensuite la configuration sur tous les contrôleurs de domaine de votre annuaire, gère les redémarrages des contrôleurs de domaine et maintient cette configuration à mesure que vous augmentez ou que vous en déployez d'autres. Régions AWS Pour plus d'informations sur tous les paramètres disponibles, veuillez consulter [Liste des paramètres de sécurité de l'annuaire](#list-ds-settings).
## Modifier les paramètres de sécurité de l'annuaire
Vous pouvez configurer et modifier les paramètres de n'importe lequel de vos annuaires.
**Pour modifier les paramètres de l'annuaire**
1. Connectez-vous à la console AWS de gestion et ouvrez-la à l' Directory Service adresse[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Sur la page **Directories (Annuaires)**, choisissez l'ID de votre annuaire.
1. Sous **Networking & security** (Réseau et sécurité), recherchez **Directory settings** (Paramètres de l'annuaire), puis choisissez **Edit settings** (Modifier les paramètres).
1. Dans **Edit settings** (Modifier les paramètres), modifiez la **valeur** des paramètres que vous souhaitez modifier. Lorsque vous modifiez un paramètre, son statut passe de **Default** (Par défaut) à **Ready to Update** (Prêt pour la mise à jour). Si vous avez déjà modifié le paramètre, son statut passe de **Updated** (Mis à jour) à **Ready to Update** (Prêt pour la mise à jour). Choisissez ensuite **Review** (Examiner).
1. Dans **Review and update setting** (Examen et mise à jour des paramètres), veuillez consulter **Directory settings** (Paramètres de l'annuaire) et assurez-vous que les nouvelles valeurs sont toutes correctes. Si vous souhaitez apporter d'autres modifications à vos paramètres, choisissez **Edit settings** (Modifier les paramètres). Lorsque vous êtes satisfait de vos modifications et que vous êtes prêt à implémenter les nouvelles valeurs, choisissez **Mettre à jour les paramètres**. Ensuite, vous êtes redirigé vers la page d'identification du répertoire.
**Note**
Sous **Directory settings** (Paramètres de l'annuaire), vous pouvez consulter le **statut** de vos paramètres mis à jour. Lorsque les paramètres sont implémentés, le **statut** affiche **Updating**(Mise à jour). Vous ne pouvez pas modifier d'autres paramètres lorsqu'un paramètre affiche la mention **Updating** (Mise à jour) sous **Status** (Statut). Le **statut** affiche la mention **Updated** (Mis à jour) si le paramètre est correctement mis à jour avec votre modification. Le **statut** affiche la mention **Failed** (Échec) si le paramètre ne se met pas à jour avec votre modification.
## Échec des paramètres de sécurité de l'annuaire
Si une erreur se produit lors d'une mise à jour des paramètres, le **statut** affiche la mention **Failed** (Échec). En cas d'échec, les paramètres ne sont pas mis à jour avec les nouvelles valeurs et les valeurs d'origine restent implémentées. Vous pouvez réessayer de mettre à jour ces paramètres ou rétablir leurs valeurs précédentes.
**Pour résoudre l'échec de la mise à jour des paramètres**
+ Sous **Directory settings** (Paramètres de l'annuaire), choisissez **Resolve failed settings** (Résoudre l'échec de mise à jour des paramètres). Ensuite, effectuez l'une des actions suivantes :
+ Pour rétablir vos paramètres à leur valeur d'origine avant l'échec de mise à jour, choisissez **Revert failed settings** (Rétablir les paramètres qui n'ont pas pu être mis à jour). Choisissez ensuite **Revert** (Rétablir) dans la fenêtre contextuelle.
+ Pour réessayer de mettre à jour les paramètres de votre annuaire, choisissez **Retry failed settings** (Réessayer les paramètres qui n'ont pas pu être mis à jour). Si vous souhaitez apporter des modifications supplémentaires aux paramètres de votre annuaire avant de réessayer les mises à jour qui ont échoué, choisissez **Continue editing** (Continuer les modifications). Sous **Review and retry failed updates** (Examiner et réessayer les mises à jour qui ont échoué), choisissez **Update settings** (Mettre à jour les paramètres).
## Liste des paramètres de sécurité de l'annuaire
La liste suivante indique le type, le nom du paramètre, le nom de l'API, les valeurs potentielles et la description du paramètre pour tous les paramètres de sécurité d'annuaire disponibles.
TLS 1.2 et AES 256/256 sont les paramètres de sécurité d'annuaire par défaut si tous les autres paramètres de sécurité sont désactivés. Ils ne peuvent pas être désactivés.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)
# Activez le chiffrement à clé publique pour l'authentification initiale (PKINIT) pour vos utilisateurs gérés de AWS Microsoft AD
AWS Les annuaires Microsoft AD gérés utilisent par défaut une liaison de certificats renforcée, ce qui nécessite un mappage explicite entre les certificats et les objets AD. Les mappages suivants sont considérés comme fiables pour AWS Managed Microsoft AD :
+ `altSecurityIdentities`Émetteur et numéro de série
+ `altSecurityIdentities`Identifiant clé du sujet
+ `altSecurityIdentities` SHA1 Hachage de la clé publique
Ces attributs permettent un mappage renforcé des certificats, qui renforce la sécurité de l'authentification basée sur les certificats en exigeant certificate-to-user des relations explicites définies dans Active Directory. Cela permet de prévenir les attaques d'escalade de privilèges basées sur les certificats
Vous pouvez utiliser cette procédure pour configurer des liaisons de certificats renforcées afin de prévenir les attaques par augmentation de privilèges tout en préservant la fonctionnalité d'authentification des certificats.
Pour plus d'informations, voir [Microsoft KB5014754 : Modifications de l'authentification basée sur les certificats sur les contrôleurs de domaine Windows](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)
## Conditions préalables
+ Un annuaire Microsoft AD AWS géré avec une autorité de certification configurée
+ Accès administratif à votre environnement Active Directory
+ PowerShell avec le module Active Directory installé
+ Le certificat que vous souhaitez associer à l'objet AD
## AltSecurityIdentity Attribut de carte
1. Choisissez l'une des méthodes de `AltSecurityIdentity` mappage suivantes en fonction des informations de votre certificat :
+ **SHA1 hash** — Utilise le SHA1 hachage de la clé publique du certificat
Pour le mappage de SHA1 hachage, extrayez le hachage du certificat et appliquez-le à l'objet utilisateur :
```
$Username = 'YourUsername'
$cert = certutil -dump "YourCertificate.cer"
$certHash = ($cert | Select-String -Pattern "(sha1):*" |
Select-String -Pattern "Cert").ToString().TrimStart('Cert Hash(sha1): ').Replace(' ','')
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$CertHash"}
```
+ **Émetteur et numéro de série** : utilise le nom et le numéro de série de l'émetteur du certificat
Pour le mappage de l'émetteur et du numéro de série, utilisez l'émetteur et le numéro de série du certificat :
```
$Username = 'YourUsername'
$IssuerName = 'YourCertificateIssuer'
$SerialNumber = 'YourCertificateSerialNumber'
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$IssuerName$SerialNumber"}
```
+ **Identifiant de clé d'objet** — Utilise l'extension d'identifiant de clé d'objet du certificat
Pour le mappage de l'identifiant de clé d'objet, utilisez l'identifiant de clé d'objet du certificat :
```
$Username = 'YourUsername'
$SubjectKeyIdentifier = 'YourSubjectKeyIdentifier'
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$SubjectKeyIdentifier"}
```
1. Vérifiez que le mappage a été correctement appliqué :
```
Get-ADUser -Identity $Username -Properties altSecurityIdentities |
Select-Object -ExpandProperty altSecurityIdentities
```
1. Attendez que la réplication Active Directory soit terminée (généralement 15 à 30 secondes) avant de tester l'authentification par certificat.
## Exemple : certificat groupé mappant l' AltSecurityIdentity attribut
L'exemple suivant montre comment mapper un `AltSecurityIdentity` attribut pour plusieurs certificats utilisateur à partir d'une autorité de certification :
```
$CertificateTemplateName = 'User'
$Now = $((Get-Date).ToString($(Get-culture).DateTimeFormat.ShortDatePattern))
$Restrict = "Disposition=20,NotAfter>=$Now,Certificate Template=$CertificateTemplateName"
$Out = "SerialNumber,Certificate Hash,User Principal Name,RequesterName,CommonName,CertificateTemplate,NotBefore,NotAfter"
$Certs = certutil -view -restrict $Restrict -out $Out csv | ConvertFrom-CSV
$UserSha1HashMapping = @{}
ForEach ($Cert in $Certs) {
$UPN = $Cert.'User Principal Name'
$Username, $Domain = $UPN.Split('@')
$CertificateThumbprint = ($Cert.'Certificate Hash').Replace(' ','')
$AdUserObject = Get-ADUser -Identity $Username
If ($AdUserObject -And $AdUserObject.Count -gt 1) {
Write-Output "Unable to map user: $Username, multiple user objects found"
Continue
}
If ($AdUserObject) {
If ($UserSha1HashMapping.Keys -Contains $Username) {
$UserSha1HashMapping[$Username] += $CertificateThumbprint
} Else {
$UserSha1HashMapping[$Username] = @($CertificateThumbprint)
}
}
}
ForEach ($User in $UserSha1HashMapping.Keys) {
Write-Output "Mapping altSecurityIdentity for $User"
$UserObject = Get-ADUser -Identity $User | Get-ADObject -Properties 'altSecurityIdentities'
$altSecurityIdentities = $UserObject.altSecurityIdentities
ForEach ($thumbprint in $UserSha1HashMapping[$User]) {
$SHA1PUKEY = "X509:$thumbprint"
If ($altSecurityIdentities -Contains $SHA1PUKEY) {
Write-Output "Skipping $thumbprint, already mapped."
Continue
}
Write-Output "Adding $thumbprint to $User as altSecurityIdentity"
Set-ADUser -Identity $User -Add @{'altSecurityIdentities'=$SHA1PUKEY}
}
}
```
## Étapes suivantes
+ Testez l'authentification basée sur les certificats avec vos certificats mappés
+ Configurez vos applications pour utiliser les certificats mappés pour l'authentification
+ [Surveillez votre Microsoft AD AWS géré](ms_ad_monitor.md)pour les événements d'authentification
# Configurer le AWS CA privée connecteur pour AD pour Microsoft AD AWS géré
Vous pouvez intégrer votre Microsoft AD AWS géré à [AWS Autorité de certification privée (CA)](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad.html) pour émettre et gérer des certificats pour vos contrôleurs de domaine Active Directory, vos utilisateurs joints à un domaine, vos groupes et vos machines. AWS CA privée Connector for Active Directory vous permet d'utiliser une solution de remplacement entièrement gérée AWS CA privée pour votre entreprise autogérée CAs sans qu'il soit nécessaire de déployer, de patcher ou de mettre à jour des agents locaux ou des serveurs proxy.
Vous pouvez configurer AWS CA privée l'intégration à votre annuaire via la Directory Service console, la console AWS CA privée Connector for Active Directory ou en appelant l'[https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html)API. Pour configurer l'intégration de Private CA via la console AWS CA privée Connector for Active Directory, reportez-vous à la section [Création d'un modèle de connecteur](https://docs.aws.amazon.com/privateca/latest/userguide/create-ad-template.html). Consultez les étapes suivantes pour configurer cette intégration depuis la Directory Service console.
## Configuration AWS CA privée du connecteur pour AD
**Pour créer un connecteur CA privé pour Active Directory**
1. Connectez-vous à la Directory Service console AWS Management Console et ouvrez-la à l'adresse[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Sur la page **Directories (Annuaires)**, choisissez l'ID de votre annuaire.
1. Dans l'onglet **Gestion des AWS applications** **et dans la section Applications et services**, sélectionnez **AWS CA privée Connector for AD**.
1. Sur la page **Créer un certificat d'autorité de certification privée pour Active Directory**, suivez les étapes pour créer votre connecteur d'autorité de certification privée pour Active Directory.
Pour de plus amples informations, veuillez consulter [Creating a connector](https://docs.aws.amazon.com/privateca/latest/userguide/create-connector-for-ad.html) (français non garanti).
## AWS CA privée Connecteur de visualisation pour AD
**Pour afficher les détails du connecteur Private CA**
1. Connectez-vous à la Directory Service console AWS Management Console et ouvrez-la à l'adresse[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Sur la page **Directories (Annuaires)**, choisissez l'ID de votre annuaire.
1. Dans l'onglet **Gestion des AWS applications** **et dans la section Applications et services**, consultez vos connecteurs d'autorité de certification privée et l'autorité de certification privée associée. Les champs suivants s'affichent :
1. **AWS CA privée ID du connecteur** : identifiant unique d'un AWS CA privée connecteur. Sélectionnez-le pour afficher la page de détails.
1. **AWS CA privée objet** — Informations concernant le nom distinctif de l'autorité de certification. Sélectionnez-le pour afficher la page de détails.
1. **État** — Résultats de la vérification de l'état du AWS CA privée connecteur et AWS CA privée :
+ **Actif** — Les deux contrôles sont réussis
+ **1/2 vérification échouée — échec** d'une vérification
+ **Échec** — Les deux vérifications échouent
Pour obtenir des informations sur le statut d'échec, passez le curseur sur le lien hypertexte pour voir quelle vérification a échoué.
1. **État d'inscription des certificats DC** — Vérification de l'état du certificat du contrôleur de domaine :
+ **Activé** — L'inscription aux certificats est activée
+ **Désactivé** — L'inscription au certificat est désactivée
1. **Date de création** : date de création AWS CA privée du connecteur.
Pour plus d'informations, veuillez consulter [View connector details](https://docs.aws.amazon.com/privateca/latest/userguide/view-connector-for-ad.html) (français non garanti).
Le tableau suivant présente les différents statuts d'inscription des certificats de contrôleur de domaine pour AWS Managed Microsoft AD with AWS CA privée.
| État d'inscription au DC | Description | Action requise |
| --- | --- | --- |
| Activé | Les certificats de contrôleur de domaine sont correctement inscrits dans votre annuaire. | Aucune action requise. |
| Échec | L'activation ou la désactivation de l'inscription des certificats de contrôleur de domaine a échoué pour votre annuaire. | Si votre action d'activation échoue, réessayez en désactivant les certificats de contrôleur de domaine, puis en les réactivant. Si votre action de désactivation échoue, réessayez en activant les certificats de contrôleur de domaine, puis en les désactivant à nouveau. Si la nouvelle tentative échoue, contactez le AWS Support. |
| Dégradé | Les contrôleurs de domaine rencontrent des problèmes de connectivité réseau lorsqu'ils communiquent avec les AWS CA privée terminaux. | Vérifiez les politiques relatives aux points de terminaison AWS CA privée VPC et aux compartiments S3 pour autoriser la connectivité réseau avec votre annuaire. Pour plus d'informations, consultez [Résoudre les messages d'exception des autorités de certification AWS privées](https://docs.aws.amazon.com/privateca/latest/userguide/PCATsExceptions.html) et [Résoudre les problèmes de révocation de AWS CA privée certificats](https://docs.aws.amazon.com/privateca/latest/userguide/troubleshoot-certificate-revocation.html). |
| Désactivé | L'inscription des certificats de contrôleur de domaine est correctement désactivée pour votre annuaire. | Aucune action requise. |
| Désactivation | La désactivation de l'inscription des certificats de contrôleur de domaine est en cours. | Aucune action requise. |
| Activation | L'activation de l'inscription des certificats de contrôleur de domaine est en cours. | Aucune action requise. |
## Configuration des politiques AD
AWS CA privée Le Connector for AD doit être configuré de manière AWS à ce que les contrôleurs de domaine et les objets Microsoft AD gérés puissent demander et recevoir des certificats. Configurez votre objet de stratégie de groupe ([GPO](https://learn.microsoft.com/previous-versions/windows/desktop/policy/group-policy-objects)) afin de AWS CA privée pouvoir délivrer des certificats aux objets Microsoft AD AWS gérés.
### Configuration des politiques Active Directory pour les contrôleurs de domaine
**Activer les politiques Active Directory pour les contrôleurs de domaine**
1. Ouvrez l'onglet **Réseau et sécurité**.
1. Choisissez **AWS CA privée Connectors**.
1. Choisissez un connecteur lié au AWS CA privée sujet qui émet des certificats de contrôleur de domaine pour votre annuaire.
1. Choisissez **Actions**, puis **Activer les certificats de contrôleur de domaine**.
**Important**
Configurez un modèle de contrôleur de domaine valide avant d'activer les certificats de contrôleur de domaine afin d'éviter les mises à jour différées.
Une fois que vous avez activé l'inscription des certificats de contrôleur de domaine, les contrôleurs de domaine de votre annuaire demandent et reçoivent des certificats de AWS CA privée Connector for AD.
Pour modifier votre émission AWS CA privée de certificats de contrôleur de domaine, connectez d'abord le nouveau AWS CA privée à votre annuaire à l'aide d'un nouveau AWS CA privée Connector for AD. Avant d'activer l'enregistrement des certificats sur le nouveau AWS CA privée, désactivez l'enregistrement des certificats sur le certificat existant :
**Désactiver les certificats de contrôleur de domaine**
1. Ouvrez l'onglet **Réseau et sécurité**.
1. Choisissez **AWS CA privée Connectors**.
1. Choisissez un connecteur lié au AWS CA privée sujet qui émet des certificats de contrôleur de domaine pour votre annuaire.
1. Choisissez **Actions**, **Désactiver les certificats de contrôleur de domaine**.
### Configuration des politiques Active Directory pour les utilisateurs, ordinateurs et machines joints à un domaine
**Configuration des objets de stratégie de groupe**
1. Connectez-vous à l'instance d'administration Microsoft AD AWS gérée et ouvrez le [Gestionnaire de serveur](https://learn.microsoft.com/windows-server/administration/server-manager/server-manager) depuis le menu **Démarrer**.
1. Sous **Outils**, sélectionnez **Gestion des politiques de groupe**.
1. Sous **Forêt et domaines, recherchez** l'unité organisationnelle (UO) de votre sous-domaine (par exemple, `corp` il s'agit de votre unité organisationnelle de sous-domaine si vous avez suivi les procédures décrites dans[Création de votre Microsoft AD AWS géré](ms_ad_getting_started.md#ms_ad_getting_started_create_directory)) et cliquez avec le bouton droit sur l'unité organisationnelle de votre sous-domaine. Choisissez **Créer un GPO dans ce domaine, liez-le ici et** entrez PCA GPO pour le nom. Choisissez **OK**.
1. Le GPO nouvellement créé apparaît après le nom de votre sous-domaine. Cliquez avec le bouton droit sur `PCA GPO` et choisissez **Modifier**. Si une boîte de dialogue s'ouvre avec un message d'alerte indiquant qu'il s'agit d'un lien et que les modifications sont propagées dans le monde entier, confirmez le message en choisissant **OK** pour continuer. La fenêtre de l'**éditeur de gestion des politiques de groupe** s'ouvre.
1. Dans la fenêtre de l'**éditeur de gestion des stratégies de groupe**, accédez à **Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Politiques de clé publique** (choisissez le dossier).
1. Sous **Type d'objet**, choisissez **Certificate Services Client - Certificate Enrollment Policy**.
1. Dans la fenêtre **Client des services de certificats - Politique d'inscription** des certificats, remplacez le **modèle de configuration** par **Activé**.
1. Vérifiez que la **politique d'inscription Active Directory** est sélectionnée et **activée**. Choisissez **Ajouter**.
1. La boîte de dialogue **du serveur de politiques d'inscription aux certificats** s'ouvre. Entrez le point de terminaison du serveur de politique d'inscription des certificats que vous avez généré lorsque vous avez créé votre connecteur dans le champ **Entrez l'URI de la politique du serveur d'inscription**. Laissez le **type d'authentification** **Windows** intégré.
1. Choisissez **Valider**. Une fois la validation réussie, choisissez **Ajouter**.
1. Revenez à la boîte de dialogue **Client des services de certificats - Politique d'inscription** des certificats et cochez la case à côté du connecteur nouvellement créé pour vous assurer que le connecteur est la politique d'inscription par défaut.
1. Choisissez la **politique d'inscription Active Directory**, puis sélectionnez **Supprimer**.
1. Dans la boîte de dialogue de confirmation, choisissez **Oui** pour supprimer l'authentification basée sur LDAP.
1. Choisissez **Appliquer** puis **OK** dans la fenêtre **Client des services de certificats - Politique d'inscription** des certificats. Fermez ensuite la fenêtre.
1. Sous **Type d'objet** pour le **dossier Public Key Policies, choisissez Certificate Services Client - Auto-Enrollment**.
1. Modifiez l'option **Modèle de configuration** sur **Activé**.
1. Vérifiez que les options **Renouveler les certificats expirés** et **Mettre à jour les certificats** sont toutes deux sélectionnées. Laissez les autres paramètres tels quels.
1. Choisissez **Appliquer**, puis **OK**, puis fermez la boîte de dialogue.
Configurez ensuite les politiques de clé publique pour la configuration utilisateur en répétant les étapes 6 à 17 dans la section **Configuration utilisateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Politiques de clé publique**.
Une fois que vous avez terminé la configuration GPOs et les politiques de clé publique, les objets du domaine demandent des certificats à AWS CA privée Connector for AD et reçoivent des certificats émis par AWS CA privée.
## Confirmation de la AWS CA privée délivrance d'un certificat
Le processus de mise AWS CA privée à jour pour émettre des certificats pour votre Microsoft AD AWS géré peut prendre jusqu'à 8 heures.
Vous pouvez effectuer l’une des actions suivantes :
+ Vous pouvez attendre cette période.
+ Vous pouvez redémarrer les machines jointes au domaine Microsoft AD AWS géré qui ont été configurées pour recevoir des certificats du AWS CA privée. Vous pouvez ensuite confirmer que les certificats ont AWS CA privée été émis aux membres de votre domaine Microsoft AD AWS géré en suivant la procédure décrite dans la [Microsoftdocumentation](https://learn.microsoft.com/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in).
+ Vous pouvez utiliser la PowerShell commande suivante pour mettre à jour les certificats de votre Microsoft AD AWS géré :
```
certutil -pulse
```