Cet article décrit les prérequis pour la configuration des services CoreView sur site, y compris les spécifications matérielles des serveurs, les paramètres du pare-feu et les versions logicielles. Il aborde également les recommandations de sécurité et l’impact de l’authentification multifacteur sur le système.
Exigences d’infrastructure
Les exigences ci-dessous s’appliquent aux principaux composants d’infrastructure qui prennent en charge la fonctionnalité CoreView sur site.
Tous les prérequis doivent être réalisés et validés avant de pouvoir organiser une réunion de déploiement.
| Composant d’architecture | Exigence minimale | |
|---|---|---|
| Serveur Hybrid Agent | Matériel1 | Serveur Wintel virtuel ou physique |
| CPU | 2 cœurs | |
| RAM | 8 Go | |
| Stockage | 200 Go2 | |
| OS | Windows Server 2019, 20223 | |
| Membre du domaine | Optionnel | |
| Navigateur | Microsoft Edge, Google Chrome4 | |
| Active Directory | Topologie | Toutes |
| Niveau fonctionnel | Windows 2003 | |
| Azure AD Connect | Synchronisation | Version 2.x |
| Exchange Services | Serveur CAS2 | Exchange Server 2013 |
| Docker | Version | Docker Community Edition (CE) environnement d’exécution - dernière version disponible |
1 Le Hybrid Connector doit être installé sur un serveur virtuel ou physique dédié et ne pas coexister avec d’autres services métiers.
Avec Exchange 2013 et versions ultérieures, chaque serveur Exchange fait aussi office de Client Access Server (CAS). Vous devez configurer le CoreView Hybrid Connector pour cibler un serveur Exchange précis plutôt qu’une adresse IP virtuelle (VIP).
2 Les 200 Go d’espace disque doivent être situés sur le disque principal C. Évitez de répartir le stockage sur plusieurs disques.
3Les versions VM Azure suivantes avec Windows 2022 ne sont pas prises en charge. N’utilisez donc pas ces versions : https://learn.microsoft.com/fr_FR/windows-server/get-started/hotpatch
4 Notez qu’Internet Explorer n’est pas pris en charge.
Comptes de service multi-forêts
La structure de la version multi-forêt du CoreView Hybrid Connector s’inspire de Microsoft AD Connect. Un serveur sur site héberge l’agent, mais celui-ci doit pouvoir atteindre chaque contrôleur de domaine choisi pour chaque forêt à intégrer.
La connexion repose constamment sur Remoting Powershell (voir détails dans cet article Microsoft). Par conséquent, chaque contrôleur de domaine de forêt doit disposer d’un compte de service dédié. Il n’est donc pas nécessaire d’avoir une relation de confiance Active Directory ni d’Enterprise Admins.
Si une forêt contient plus d’un serveur Exchange, nous conseillons d’attribuer un compte de service distinct à chaque organisation Exchange supplémentaire.
Comme pour la version mono-forêt, il est recommandé d’utiliser un contrôleur de domaine possédant le rôle Global Catalog dans chaque forêt. Cela est requis pour importer les membres des groupes couvrant plusieurs domaines et forêts. Sans connexion au Global Catalog, ces membres ne pourraient pas être importés.
Pour les forêts en relation parent-enfant, un seul contrôleur de domaine du domaine parent suffit. Le processus d’import de données CoreView découvre les domaines enfants et importe les informations correspondantes.
Un compte distinct est requis pour chaque forêt : un même compte ne peut pas servir à plusieurs forêts.
Exigences réseau / pare-feu
Les exigences suivantes concernent le trafic réseau qui prend en charge les fonctionnalités CoreView sur site. Veuillez noter que ces exigences réseau ne concernent que le trafic entre le connecteur sur site et CoreView ou l’infrastructure Microsoft Azure Service Bus.
Le connecteur CoreView sur site devra également communiquer avec l’Active Directory du client et, si besoin, avec un serveur Exchange spécifique.
Veuillez noter que les noms d’hôtes ci-dessous peuvent inclure des sous-domaines supplémentaires. Par exemple, « *.usgovcloudapi.net » peut s’étendre à « example.blob.core.usgovcloudapi.net ». Veillez à ce que la configuration de votre pare-feu autorise le trafic pour tous les sous-domaines cités dans la liste ci-dessous.
Client enregistré dans les centres de données commerciaux CoreView
| Composants réseau | Cible | Nom d’hôte | Ports à ouvrir |
|---|
Clients enregistrés dans les centres de données gouvernementaux CoreView :
| Composants réseau | Cible | Nom d’hôte | Ports à ouvrir |
|---|
Pour plus d’informations sur les exigences d’accès à Azure Service Bus, consultez la documentation Microsoft.
Note importante concernant l’authentification multifacteur
Si vous avez activé l’authentification multifacteur (MFA) pour vos services cloud Microsoft 365, pensez à créer une politique d’accès conditionnel. Cette politique doit exclure l’adresse IP de votre Hybrid Connector sur site de l’exigence d’un second facteur pour le compte de service CoreView nommé :
4ward365.admin@yourdomain.onmicrosoft.comEn l’absence de cette politique, votre tenant CoreView ne pourra pas lancer de session d’administration.
Notez que l’adresse IP de votre Hybrid Connector peut être soumise à une traduction d’adresse réseau (NAT) par votre passerelle lors de la connexion à des réseaux publics (Internet). Nous vous recommandons de demander à votre expert réseau quelle est l’adresse IP publique utilisée par vos systèmes sur site pour ces connexions.
Pour plus d’informations sur l’exception d’accès conditionnel politique, consultez la documentation Microsoft.
Exigences de sécurité
Les exigences de sécurité suivantes s’appliquent à la fonctionnalité CoreView sur site :
| Type | Permissions minimales |
|---|---|
| Configuration CoreView | Administrateur du tenant |
| Déploiement Hybrid Agent | Administrateur local ou du domaine |
| Compte de service Active Directory | Permissions déléguées sur les unités d’organisation (**) |
| Compte de service Exchange | Gestion de l’organisation |
| Exchange PowerShell Virtual Directory | Configuré en authentification Basic ou Intégrée (*) |
(*) Note importante concernant la configuration du répertoire virtuel Exchange :
Deux méthodes existent pour configurer l’authentification lors de la création du répertoire virtuel PowerShell pour l’accès distant. Si l’authentification Basic est activée, SSL doit être également activé et configuré avec un certificat public valide.
(**) Pour plus de détails, consultez notre guide Renforcement des permissions des comptes de service CoreView Hybrid Connector.
Si SSL n’est pas activé, activez plutôt l’authentification Windows. Dans ce cas, configurez un gMSA pour le serveur hôte du Hybrid Connector et ajustez le CoreView Hybrid Connector pour prendre en charge la configuration gMSA.
Pour plus d’informations concernant la configuration du répertoire virtuel Exchange PowerShell, consultez la documentation Microsoft.
Exigences logicielles
Les exigences logicielles suivantes s’appliquent à la fonctionnalité CoreView sur site :
| Logiciels ou Services | Exigences minimales | |
|---|---|---|
| CoreView SaaS Solution | SKUs | CoreSuite, ONPREM SKU, OS2019 SKU |
| CoreView Hybrid Agent | Version | > 1.0.6 |
| Docker | Version | Voir chapitre ci-dessous |
Installation du moteur Docker
Pour obtenir des instructions sur le déploiement du service Docker sur votre serveur hôte, consultez la documentation Microsoft.
Sachez que poursuivre cette opération entraînera le redémarrage automatique du serveur.
Exigences Active Directory multidomaine
Pour les forêts structurées en relation domaine parent-enfant, le compte de service AD et le contrôleur de domaine utilisé pour la connexion CoreView doivent tous deux être dans le domaine racine. De plus, le contrôleur de domaine doit disposer du rôle Global Catalog.