Cet article décrit les prérequis pour la mise en place des services CoreView sur site, notamment les spécifications matérielles des serveurs, la configuration du pare-feu et les versions logicielles requises. Il aborde également les recommandations de sécurité ainsi que l’impact de l’authentification multifacteur sur le système.
Exigences d’infrastructure
Les exigences suivantes s’appliquent aux principaux composants d’infrastructure qui prennent en charge la fonctionnalité sur site de CoreView.
Tous les prérequis doivent être remplis et validés avant qu’une réunion de déploiement puisse avoir lieu.
| Composant d'architecture | Exigence minimale | |
|---|---|---|
| Hybrid Agent Server | Matériel1 | Serveur Wintel virtuel ou physique |
| CPU | 2 cœurs | |
| RAM | 8 Go | |
| Stockage | 200 Go2 | |
| OS | Windows Server 2019, 20223 | |
| Membre du domaine | Optionnel | |
| Navigateur | Microsoft Edge, Google Chrome4 | |
| Active Directory | Topologie | Toutes |
| Niveau fonctionnel | Windows 2003 | |
| Azure AD Connect | Synchronisation | Version 2.x |
| Exchange Services | Serveur CAS2 | Exchange Server 2013 |
| Docker | Version | Environnement d'exécution Docker Community Edition (CE) - version la plus récente disponible |
1 Le Hybrid Connector doit être installé sur un serveur virtuel ou physique autonome et ne doit pas coexister avec d'autres services métiers.
Avec Exchange 2013 et les versions ultérieures, chaque serveur Exchange fait également office de serveur d’accès client (CAS). Il est nécessaire de configurer le Hybrid Connector CoreView pour cibler un serveur Exchange spécifique plutôt qu’une adresse IP Virtuelle (VIP).
2 Les 200 Go de stockage doivent être situés dans le disque C. Évitez de répartir le stockage sur plusieurs disques.
3Les versions suivantes de machines virtuelles sur Azure avec Windows 2022 ne sont pas prises en charge, n’utilisez donc pas ces versions : https://learn.microsoft.com/fr-fr/windows-server/get-started/hotpatch
4 Veuillez noter qu’Internet Explorer n’est pas pris en charge.
Comptes de service multiforêts
La structure de la version multi-forêts du Hybrid Connector CoreView reprend celle de Microsoft AD Connect. Bien qu’il n’y ait qu’un seul serveur sur site hébergeant l’agent, ce serveur doit pouvoir atteindre le contrôleur de domaine choisi pour chaque forêt que vous souhaitez intégrer.
La technologie de connexion repose systématiquement sur Powershell Remoting (plus d’informations dans cet article Microsoft). Il est donc nécessaire d’équiper chaque contrôleur de domaine de chaque forêt d’un compte de service dédié. Cela signifie qu’il n’est pas nécessaire d’avoir un Active Directory Trust ou des administrateurs d’entreprise.
Si une forêt comporte plus d’un serveur Exchange, nous recommandons d’attribuer un compte de service supplémentaire à chaque organisation Exchange supplémentaire.
Comme pour la version mono-forêt, il est conseillé d’utiliser un contrôleur de domaine de chaque forêt détenant le rôle de catalogue global. Cela répond au besoin d’importer des membres de groupes couvrant plusieurs domaines et forêts. Sans connexion à un catalogue global, ces éléments ne pourraient pas être importés.
Pour des forêts en relation parent-enfant, il suffit de disposer d’un contrôleur de domaine du domaine parent. Le processus d’importation de données CoreView peut découvrir chaque domaine enfant et importer les données correspondantes.
Un compte distinct est requis pour chaque forêt ; un seul compte ne peut pas être utilisé pour plusieurs forêts.
Exigences réseau / pare-feu
Les exigences suivantes s’appliquent au trafic réseau qui prend en charge la fonctionnalité sur site de CoreView. Veuillez noter que ces exigences réseau concernent uniquement le trafic entre le connecteur sur site et CoreView ou l’infrastructure Microsoft Azure Service Bus.
Le Connecteur On-premises CoreView devra également communiquer avec l’Active Directory du client et, de manière optionnelle, avec un serveur Exchange sélectionné.
Notez que certains noms d’hôtes fournis ci-dessous peuvent avoir des sous-domaines supplémentaires. Par exemple, "*.usgovcloudapi.net" peut inclure "exemple.blob.core.usgovcloudapi.net". Assurez-vous que les réglages de votre pare-feu autorisent le trafic pour tous les sous-domaines mentionnés dans la liste suivante.
Client enregistré dans les centres de données commerciaux CoreView
| Composants réseau | Cible | Nom d’hôte | Exigence de port |
|---|---|---|---|
| Windows Services | CoreView API Service |
.4ward365.com .coreview.com |
443 (TCP) |
| Windows Services | CoreView API Service | *.loginportal.online | 443 (TCP) |
| Windows Services | Azure Service Bus | *.windows.net | 443, 5671, 9354 (TCP, AMQP) |
| Windows Services | Azure Container Registry | *.azurecr.io | 443 (TCP) |
| Hybrid Agent | Azure Service Bus | *.windows.net | 443, 5671, 9354 (TCP, AMQP) |
| Hybrid Agent | CoreView API Service | *.coreview.com | 443 (TCP) |
| Hybrid Agent | Azure Blob Storage | *.windows.net | 443 (TCP) |
| Hybrid Agent | Contrôleur de domaine AD | À définir par le client | 443 (TCP), 5985 (TCP), 5986 (TCP) |
| Hybrid Agent | Exchange PowerShell Host | À définir par le client | 443 (TCP), 5985 (TCP), 5986 (TCP) |
| Hybrid Agent | Visual Studio Services | *.visualstudio.com | 443 (TCP) |
| Hybrid Agent | Microsoft O365 workloads | *.microsoft.com | 443 (TCP) |
| Hybrid Agent | Azure AD |
*.windows.net *.microsoftonline.com *.microsoft.com |
443 (TCP), 5985 (TCP), 5986 (TCP) |
| Hybrid Agent | MSOL |
*.microsoftonline.com *.windows.net |
443 (TCP), 5985 (TCP), 5986 (TCP) |
| Hybrid Agent | Exchange Online |
*.office365.com *.outlook.com |
443 (TCP), 5985 (TCP), 5986 (TCP) |
| Hybrid Agent | SharePoint Online | *.sharepoint.com | 443 (TCP), 5985 (TCP), 5986 (TCP) |
| Hybrid Agent | Teams |
*.lync.com *.digicert.com |
443 (TCP), 5985 (TCP), 5986 (TCP) |
| Hybrid Agent | GoDaddy Certification Authority | *.godaddy.com | 443 (TCP) |
| Hybrid Agent | CoreView All Services |
*.4ward365.com *.loginportal.online *.windows.net *.azurecr.io *.windows.net |
443 (TCP), 5985 (TCP), 5986 (TCP) |
| Diagnostic Tool | Azure Container Registry | cvhybridtool.azurecr.io | 443 (TCP) |
| Diagnostic Tool | Azure Service Bus | *.windows.net | 443, 5671, 9354 (TCP, AMQP) |
| Diagnostic Tool | Azure Blob Storage | *.windows.net | 443 (TCP) |
| Diagnostic Tool | Contrôleur de domaine AD | À définir par le client | 443 (TCP), 5985 (TCP), 5986 (TCP) |
| Diagnostic Tool | Exchange PowerShell Host | À définir par le client | 443 (TCP), 5985 (TCP), 5986 (TCP) |
| Diagnostic Tool | Microsoft O365 workloads | *.microsoft.com | 443 (TCP) |
| Diagnostic Tool | Azure AD |
*.windows.net *.microsoftonline.com *.microsoft.com |
443 (TCP), 5985 (TCP), 5986 (TCP) |
| Diagnostic Tool | MSOL |
*.microsoftonline.com *.windows.net |
443 (TCP), 5985 (TCP), 5986 (TCP) |
| Diagnostic Tool | Exchange Online |
*.office365.com *.outlook.com |
443 (TCP), 5985 (TCP), 5986 (TCP) |
| Diagnostic Tool | SharePoint Online | *.sharepoint.com | 443 (TCP), 5985 (TCP), 5986 (TCP) |
| Diagnostic Tool | Teams |
*.lync.com *.digicert.com |
443 (TCP), 5985 (TCP), 5986 (TCP) |
| Diagnostic Tool | GoDaddy Certification Authority | *.godaddy.com | 443 (TCP) |
| Diagnostic Tool | CoreView All Services |
*.4ward365.com *.loginportal.online *.windows.net *.azurecr.io *.windows.net |
443 (TCP), 5985 (TCP), 5986 (TCP) |
| Diagnostic Tool | CoreView API Service | *.coreview.com | 443 (TCP) |
Clients enregistrés dans les centres de données Gov CoreView :
| Composants réseau | Cible | Nom d’hôte | Exigence de port |
|---|---|---|---|
| Windows Services | CoreView API Service | *.4ward365.com | 443 (TCP) |
| Windows Services | CoreView API Service | *.coreview.com | 443 (TCP) |
| Windows Services | Azure Service Bus | *.usgovcloudapi.net | 443, 5671, 9354 (TCP, AMQP) |
| Windows Services | Azure Container Registry | *.azurecr.us | 443 (TCP) |
| Hybrid Agent | CoreView API Service | *.coreview.com | 443 (TCP) |
| Hybrid Agent | Azure Service Bus | *.usgovcloudapi.net | 443, 5671, 9354 (TCP, AMQP) |
| Hybrid Agent | Azure Blob Storage | *.usgovcloudapi.net | 443 (TCP) |
| Hybrid Agent | Contrôleur de domaine AD | À définir par le client | 443 (TCP), 5985 (TCP), 5986 (TCP) |
| Hybrid Agent | Exchange PowerShell Host | À définir par le client | 443 (TCP), 5985 (TCP), 5986 (TCP) |
| Hybrid Agent | Azure AD |
*.windows.net *.microsoftonline.com *.microsoft.com |
443 (TCP), 5985 (TCP), 5986 (TCP) |
| Hybrid Agent | MSOL |
*.microsoftonline.com *.windows.net |
443 (TCP), 5985 (TCP), 5986 (TCP) |
| Hybrid Agent | Exchange Online |
*.office365.com *.outlook.com |
443 (TCP), 5985 (TCP), 5986 (TCP) |
| Hybrid Agent | SharePoint Online | *.sharepoint.com | 443 (TCP), 5985 (TCP), 5986 (TCP) |
| Hybrid Agent | Teams |
*.lync.com *.digicert.com |
443 (TCP), 5985 (TCP), 5986 (TCP) |
| Hybrid Agent | GoDaddy Certification Authority | *.godaddy.com | 443 (TCP) |
| Hybrid Agent | CoreView All Services |
*.4ward365.com *.loginportal.online *.windows.net *.azurecr.io *.windows.net *.usgovcloudapi.net |
443 (TCP), 5985 (TCP), 5986 (TCP) |
| Diagnostic Tool | Azure Blob Storage | cvhybridtool.azurecr.io | 443 (TCP) |
| Diagnostic Tool | Azure Service Bus | *.windows.net | 443, 5671, 9354 (TCP, AMQP) |
| Diagnostic Tool | Azure Blob Storage |
*.windows.net *.usgovcloudapi.net |
443 (TCP) |
| Diagnostic Tool | Contrôleur de domaine AD | À définir par le client | 443 (TCP), 5985 (TCP), 5986 (TCP) |
| Diagnostic Tool | Exchange PowerShell Host | À définir par le client | 443 (TCP), 5985 (TCP), 5986 (TCP) |
| Diagnostic Tool | Microsoft O365 workloads | *.microsoft.com | 443 (TCP) |
| Diagnostic Tool | Azure AD |
*.windows.net *.microsoftonline.com *.microsoft.com |
443 (TCP), 5985 (TCP), 5986 (TCP) |
| Diagnostic Tool | MSOL |
*.microsoftonline.com *.windows.net |
443 (TCP), 5985 (TCP), 5986 (TCP) |
| Diagnostic Tool | Exchange Online |
*.office365.com *.outlook.com |
443 (TCP), 5985 (TCP), 5986 (TCP) |
| Diagnostic Tool | SharePoint Online | *.sharepoint.com | 443 (TCP), 5985 (TCP), 5986 (TCP) |
| Diagnostic Tool | Teams |
*.lync.com *.digicert.com |
443 (TCP), 5985 (TCP), 5986 (TCP) |
| Diagnostic Tool | GoDaddy Certification Authority | *.godaddy.com | 443 (TCP) |
| Diagnostic Tool | CoreView All Services |
*.4ward365.com *.loginportal.online *.windows.net *.azurecr.io *.windows.net *.usgovcloudapi.net |
443 (TCP), 5985 (TCP), 5986 (TCP) |
| Diagnostic Tool | CoreView API Service | *.coreview.com | 443 (TCP) |
Pour plus d’informations sur les exigences d’accès à Azure Service Bus, veuillez consulter la documentation Microsoft.
Note importante concernant l’authentification multifacteur
Si vous avez activé l’authentification multifacteur (MFA) pour vos services cloud Microsoft 365, pensez à définir une politique d’accès conditionnel. Cette politique doit exclure l’adresse IP de votre Hybrid Connector sur site de l’obligation de saisir un second facteur d’authentification pour le compte de service CoreView nommé :
4ward365.admin@yourdomain.onmicrosoft.comSans cette politique d’exception, votre tenant CoreView ne pourra initier aucune session d’administration.
Gardez à l’esprit que l’adresse IP de votre Hybrid Connector peut être soumise à une traduction d’adresse réseau (NAT) par la passerelle de votre réseau lors des connexions aux réseaux publics, comme Internet. Il est recommandé de consulter votre spécialiste réseau pour déterminer l’adresse IP publique utilisée par vos systèmes sur site pour ces connexions.
Pour plus d’informations sur la politique d’exception d’accès conditionnel, reportez-vous à la documentation Microsoft.
Exigences de sécurité
Les exigences de sécurité suivantes s’appliquent à la fonctionnalité sur site de CoreView :
| Type | Permissions minimales |
|---|---|
| Configuration CoreView | Tenant Admin |
| Déploiement de l’Hybrid Agent | Administrateur local ou du domaine |
| Compte de service Active Directory | Permissions déléguées sur les Unités Organisationnelles (**) |
| Compte de service Exchange | Organization Management |
| Exchange PowerShell Virtual Directory | Configuré en authentification de base ou intégrée (*) |
(*) Note importante sur la configuration du répertoire virtuel Exchange :
Deux méthodes existent pour configurer l’authentification lors de la création du PowerShell Virtual Directory pour l’accès distant. Si l’authentification de base est activée, SSL doit également être activé et configuré avec un certificat public valide.
(**) Pour plus de détails, consultez notre guide sur le renforcement des permissions des comptes de service du CoreView Hybrid Connector.
Si SSL n’est pas activé, vous devez activer l’authentification Windows à la place. Dans ce cas, configurez un gMSA pour le serveur hébergeant le Hybrid Connector et adaptez votre Hybrid Connector CoreView pour la configuration gMSA.
Pour plus d’informations concernant la configuration du répertoire virtuel Exchange PowerShell, reportez-vous à la documentation Microsoft.
Exigences logicielles
Les exigences logicielles suivantes s’appliquent à la fonctionnalité sur site CoreView :
| Logiciels ou services | Exigences minimales | |
|---|---|---|
| CoreView SaaS Solution | SKUs | CoreSuite, ONPREM SKU, OS2019 SKU |
| CoreView Hybrid Agent | Version | > 1.0.6 |
| Docker | Version | Voir le chapitre ci-dessous |
Installation du moteur Docker
Pour des instructions sur le déploiement du service Docker sur votre serveur hôte, veuillez consulter la documentation Microsoft.
Attention, la poursuite de cette opération entraînera le redémarrage automatique du serveur.
Exigences Active Directory multi-domaines
Pour les forêts configurées en relation parent-enfant, le compte de service AD ainsi que le contrôleur de domaine utilisé pour la connexion CoreView doivent tous deux se trouver dans le domaine racine. De plus, le contrôleur de domaine doit porter le rôle de catalogue global.