Cet article présente les prérequis nécessaires pour la mise en place des services CoreView sur site, comprenant les spécifications matérielles des serveurs, les paramètres de pare-feu et les versions logicielles. Il inclut aussi les consignes de sécurité et l’impact de l’authentification multifacteur sur le système.
Exigences d’infrastructure
Les exigences suivantes s’appliquent aux principaux composants d’infrastructure qui prennent en charge la fonctionnalité CoreView sur site.
Tous les prérequis doivent être terminés et validés avant qu’une réunion de déploiement puisse être organisée.
| Composant d’architecture | Exigence minimale | |
|---|---|---|
| Serveur Hybrid Agent | Matériel1 | Serveur Wintel virtuel ou physique |
| CPU | 2 cœurs | |
| RAM | 8 Go | |
| Stockage | 200 Go2 | |
| OS | Windows Server 2019, 20223 | |
| Membre du domaine | Optionnel | |
| Navigateur | Microsoft Edge, Google Chrome4 | |
| Active Directory | Topologie | Toutes |
| Niveau fonctionnel | Windows 2003 | |
| Azure AD Connect | Synchronisation | Version 2.x |
| Services Exchange | CAS Server2 | Exchange Server 2013 |
| Docker | Version | Environnement d’exécution Docker Community Edition (CE) – dernière version disponible. |
1 Le Hybrid Connector doit être installé sur un serveur virtuel ou physique dédié et ne doit pas coexister avec d’autres services métiers.
Avec Exchange 2013 et versions ultérieures, chaque serveur Exchange agit également en tant que Client Access Server (CAS). Vous devez configurer le Hybrid Connector CoreView pour cibler un serveur Exchange spécifique plutôt qu’une adresse VIP.
2 Les 200 Go de stockage doivent être situés sur le disque C. Ne répartissez pas l’espace sur plusieurs disques.
3Les versions suivantes de VM sur Azure avec Windows 2022 ne sont pas prises en charge, ne les utilisez donc pas : https://learn.microsoft.com/en-us/windows-server/get-started/hotpatch
4 Veuillez noter qu’Internet Explorer n’est pas pris en charge.
Comptes de service multiforêt
La structure de la version multifornêt du Hybrid Connector CoreView ressemble à celle de Microsoft AD Connect. Un seul serveur sur site héberge l’agent, mais ce serveur doit pouvoir accéder au contrôleur de domaine choisi pour chaque forêt à intégrer.
La connexion se fait toujours via PowerShell Remoting (plus d’informations dans cet article Microsoft). Il est donc nécessaire de doter chaque contrôleur de domaine de chaque forêt d’un compte de service dédié. Il n’est donc pas nécessaire de disposer d’une relation de confiance Active Directory ou d’une appartenance Enterprise Admins.
Si une forêt dispose de plusieurs serveurs Exchange, il est conseillé d’attribuer un compte de service supplémentaire à chaque organisation Exchange supplémentaire.
Tout comme pour la version single forest, il est recommandé d’utiliser un contrôleur de domaine par forêt ayant le rôle de Global Catalog. Cela est nécessaire pour importer les membres de groupes couvrant plusieurs domaines et forêts. Sans connexion à un Global Catalog, ces données ne pourraient pas être importées.
Pour les forêts organisées en relations parent-enfant, seul un contrôleur de domaine du domaine parent est nécessaire. Le processus d’importation des données CoreView détectera chaque domaine enfant et importera les données associées.
Un compte distinct est requis pour chaque forêt, un seul compte ne peut pas être utilisé pour plusieurs forêts.
Exigences réseau / pare-feu
Les exigences suivantes s’appliquent au trafic réseau prenant en charge la fonctionnalité CoreView sur site. Ces réglages concernent uniquement le trafic entre le connecteur sur site et CoreView ou l’infrastructure Microsoft Azure Service Bus.
Le connecteur CoreView sur site devra également pouvoir communiquer avec l’Active Directory du client et, éventuellement, un serveur Exchange sélectionné.
Attention : certains noms d’hôtes fournis ci-dessous peuvent avoir des sous-domaines. Par exemple, "*.usgovcloudapi.net" peut s’étendre à "cvgov.blob.core.usgovcloudapi.net". Assurez-vous que le pare-feu autorise le trafic pour tous les sous-domaines mentionnés dans la liste ci-dessous.
Pour plus d’informations sur les conditions d’accès à Azure Service Bus, veuillez consulter la documentation Microsoft.
Note importante sur l’authentification multifacteur
Si vous avez activé l’authentification multifacteur (MFA) pour vos services cloud Microsoft 365, pensez à mettre en place une politique d’accès conditionnel. Cette politique doit exclure l’adresse IP de votre Hybrid Connector sur site pour ne pas exiger de second facteur d’authentification pour le compte de service CoreView nommé :
4ward365.admin@yourdomain.onmicrosoft.comSans cette exception politique, votre tenant CoreView ne pourra pas initier de session de gestion.
Notez que l’adresse IP de votre Hybrid Connector peut être soumise à la traduction d’adresse réseau (NAT) par votre passerelle réseau lors de la connexion à des réseaux publics comme Internet. Nous vous conseillons de vérifier avec votre spécialiste réseau l’adresse IP publique utilisée par vos systèmes sur site pour ces connexions.
Pour plus d’informations sur l’exception d’accès conditionnel politique, veuillez consulter la documentation Microsoft.
Exigences de sécurité
Les exigences de sécurité suivantes s’appliquent à la fonctionnalité CoreView sur site :
| Type | Autorisations minimales |
|---|---|
| Configuration CoreView | Tenant Admin |
| Déploiement Hybrid Agent | Administrateur local ou de domaine |
| Compte de service Active Directory | Droits délégués sur les unités organisationnelles (**) |
| Compte de service Exchange | Organization Management |
| Répertoire virtuel PowerShell Exchange | Défini sur authentification Basique ou Intégrée (*) |
(*) Note importante sur la configuration du répertoire virtuel Exchange :
Il existe deux méthodes pour configurer l’authentification lors de la configuration du répertoire virtuel PowerShell pour l’accès à distance. Si l’authentification Basique est activée, SSL doit également être activé et configuré avec un certificat public valide.
(**) Pour plus d’informations, consultez notre guide sur le renforcement des droits des comptes de service Hybrid Connector CoreView.
Si SSL n’est pas activé, vous devrez activer l’authentification Windows à la place. Dans ce cas, configurez un gMSA pour le serveur hébergeant le Hybrid Connector et ajustez votre Hybrid Connector CoreView pour prendre en charge cette configuration gMSA.
Pour plus d’informations concernant la configuration du répertoire virtuel PowerShell Exchange, veuillez consulter la documentation Microsoft.
Exigences logicielles
Les exigences logicielles suivantes s’appliquent à la fonctionnalité CoreView sur site :
| Logiciel ou services | Exigence minimale | |
|---|---|---|
| Solution SaaS CoreView | SKUs | CoreSuite, ONPREM SKU, OS2019 SKU |
| Agent hybride CoreView | Version | > 1.0.6 |
| Docker | Version | Voir le chapitre ci-dessous |
Installation de Docker Engine
Pour des instructions sur le déploiement du service Docker sur votre serveur hôte, veuillez consulter la documentation Microsoft.
Attention : poursuivre cette opération entraînera un redémarrage automatique du serveur.
Exigences pour Active Directory multi-domaines
Pour les forêts configurées avec des relations de domaines parent-enfant, le compte de service AD et le contrôleur de domaine utilisé pour la connexion CoreView doivent tous deux se trouver dans le domaine racine. De plus, le contrôleur de domaine doit disposer du rôle de catalogue global.