Cet article présente les prérequis pour la mise en place des services CoreView sur site, y compris les spécifications matérielles pour les serveurs, les paramètres du pare-feu et les versions des logiciels. Il couvre également les recommandations de sécurité et l’impact de l’authentification multifacteur sur le système.
Exigences d’infrastructure
Les exigences suivantes s’appliquent aux principaux composants d’infrastructure qui prennent en charge les fonctionnalités CoreView sur site.
Tous les prérequis doivent être complétés et validés avant de pouvoir organiser une réunion de déploiement.
| Composant d’architecture | Exigence minimale | |
|---|---|---|
| Serveur d’agent hybride | Matériel1 | Serveur Wintel virtuel ou physique |
| CPU | 2 cœurs | |
| RAM | 8 Go | |
| Stockage | 200 Go2 | |
| OS | Windows Server 2019, 20223 | |
| Membre du domaine | Optionnel | |
| Navigateur | Microsoft Edge, Google Chrome4 | |
| Active Directory | Topologie | Toutes |
| Niveau fonctionnel | Windows 2003 | |
| Azure AD Connect | Synchronisation | Version 2.x |
| Services Exchange | Serveur CAS2 | Exchange Server 2013 |
| Docker | Version | Environnement d’exécution Docker Community Edition (CE) – version la plus récente disponible |
1 Le Hybrid Connector doit être installé sur un serveur virtuel ou physique autonome et ne pas coexister avec d’autres services professionnels.
Avec Exchange 2013 et les versions ultérieures, chaque serveur Exchange fait également office de Client Access Server (CAS). Vous devez configurer le CoreView Hybrid Connector pour cibler un serveur Exchange spécifique plutôt qu’une adresse IP virtuelle (VIP).
2 Les 200Go de stockage doivent être situés sur le disque C. Évitez de répartir le stockage sur plusieurs disques.
3Les versions suivantes de machines virtuelles Azure avec Windows 2022 ne sont pas prises en charge, n’utilisez donc pas ces versions : https://learn.microsoft.com/fr-fr/windows-server/get-started/hotpatch
4 Veuillez noter qu’Internet Explorer n’est pas pris en charge.
Comptes de service multiforêts
La structure de la version multiforêt du CoreView Hybrid Connector reflète celle de Microsoft AD Connect. Il y aura un serveur sur site hébergeant l’agent, ce serveur doit pouvoir joindre le contrôleur de domaine choisi pour chaque forêt que vous souhaitez intégrer.
La technologie de connexion s’appuie systématiquement sur Remoting Powershell (plus d’informations dans cet article Microsoft). Il est donc nécessaire d’équiper chaque contrôleur de domaine de forêt avec un compte de service dédié. Cela signifie qu’il n’est pas nécessaire d’avoir une relation de confiance Active Directory ou des droits Enterprise Admins.
Si une forêt comporte plusieurs serveurs Exchange, il est recommandé d’attribuer un compte de service supplémentaire à chaque organisation Exchange supplémentaire.
Pour les forêts organisées en relation parent-enfant, il suffit d’avoir un contrôleur de domaine du domaine parent. Le processus d’importation de données CoreView peut détecter chaque domaine enfant et importer les données associées.
Un compte distinct est requis pour chaque forêt, un seul compte ne peut pas être utilisé pour plusieurs forêts.
Exigences réseau / pare-feu
Les exigences suivantes s’appliquent au trafic réseau lié aux fonctionnalités sur site CoreView. Ces exigences réseau concernent seulement le trafic entre le connecteur sur site et CoreView ou l’infrastructure Microsoft Azure Service Bus.
Le connecteur sur site CoreView devra également communiquer avec l’Active Directory du client et, facultativement, un serveur Exchange sélectionné.
Veuillez noter que certains noms d’hôtes fournis ci-dessous peuvent comporter des sous-domaines supplémentaires. Par exemple, "*.usgovcloudapi.net" peut inclure "example.blob.core.usgovcloudapi.net". Assurez-vous que vos paramètres de pare-feu permettent le trafic pour tous les noms de sous-domaines mentionnés dans la liste suivante.
Client enregistré dans les centres de données commerciaux CoreView
Clients enregistrés dans les centres de données CoreView Gov :
Pour plus d’informations sur les exigences d’accès à Azure Service Bus, veuillez consulter la documentation Microsoft.
Note importante concernant l’authentification multifacteur
Si vous avez activé l’authentification multifacteur (MFA) pour vos services Microsoft 365 dans le cloud, pensez à mettre en place une politique d’accès conditionnel. Cette politique doit exclure l’adresse IP de votre Hybrid Connector sur site de la demande d’un deuxième facteur d’authentification pour le compte de service CoreView nommé :
4ward365.admin@yourdomain.onmicrosoft.comSans cette politique d’exception, votre tenant CoreView ne pourra pas initier de session de gestion.
Gardez à l’esprit que l’adresse IP de votre Hybrid Connector peut être soumise à une traduction d’adresse réseau (NAT) par votre passerelle réseau lors des connexions à des réseaux publics comme Internet. Nous vous conseillons de consulter votre spécialiste réseau pour déterminer l’adresse IP publique utilisée par vos systèmes sur site pour ces connexions.
Pour en savoir plus sur la politique d’exception d’accès conditionnel, veuillez consulter la documentation Microsoft.
Exigences de sécurité
Les exigences de sécurité suivantes s’appliquent aux fonctionnalités sur site CoreView :
| Type | Permissions minimales |
|---|---|
| Configuration CoreView | Administrateur Tenant |
| Déploiement de l’agent hybride | Administrateur local ou de domaine |
| Compte de service Active Directory | Permissions déléguées sur les unités d’organisation (**) |
| Compte de service Exchange | Gestion de l’organisation |
| Répertoire virtuel Exchange PowerShell | Définir sur Authentification basique ou intégrée (*) |
(*) Remarque importante concernant la configuration du répertoire virtuel Exchange :
Il existe deux méthodes pour configurer l’authentification lors de la création du répertoire virtuel PowerShell pour l’accès à distance. Si l’authentification Basique est activée, SSL doit également être activé et configuré avec un certificat public valide.
(**) Pour plus de détails, consultez notre guide sur le renforcement des permissions des comptes de service CoreView Hybrid Connector.
Si SSL n’est pas activé, vous devez alors activer l’authentification Windows. Dans ce cas, configurez un gMSA pour le serveur hébergeant le Hybrid Connector et ajustez votre CoreView Hybrid Connector pour prendre en charge la configuration gMSA.
Pour plus d’informations concernant la configuration du répertoire virtuel Exchange PowerShell, veuillez consulter la documentation Microsoft.
Exigences logicielles
Les exigences logicielles suivantes s’appliquent aux fonctionnalités sur site de CoreView :
| Logiciels ou services | Exigences minimales | |
|---|---|---|
| Solution CoreView SaaS | SKUs | CoreSuite, ONPREM SKU, OS2019 SKU |
| Agent hybride CoreView | Version | > 1.0.6 |
| Docker | Version | Voir le chapitre ci-dessous |
Installation du moteur Docker
Pour les instructions sur le déploiement du service Docker sur votre serveur d’hébergement, veuillez consulter la documentation Microsoft.
Attention, poursuivre cette opération entraînera le redémarrage automatique du serveur.
Exigences Active Directory multi-domaines
Pour les forêts configurées avec des relations de domaine parent-enfant, le compte de service AD et le contrôleur de domaine utilisé pour la connexion CoreView doivent tous deux se trouver dans le domaine racine. De plus, le contrôleur de domaine doit être chargé du rôle Global Catalog.