Intégrer votre Active Directory Domain Services (AD) local (et synchroniser) avec Azure AD se fait en utilisant l’interface graphique du Gestionnaire de service de synchronisation ou via PowerShell.
Il existe deux façons d’utiliser Azure AD sur site : l’authentification par passage (envoie la demande d’authentification directement à Azure AD) ou la synchronisation de répertoires qui synchronise les hachages de mots de passe entre AD local et Azure AD. Dans cet article de blog, nous allons couvrir comment configurer le logiciel Azure Active Directory Connect pour synchroniser les hachages de mots de passe.
Nous verrons comment mettre en place une synchronisation récurrente et aussi comment utiliser Azure AD Connect pour forcer une synchronisation des hachages de mots de passe.
En bref, pour forcer Azure AD à se synchroniser avec PowerShell, les étapes suivantes sont nécessaires :
- Installer Azure Active Directory Connect
- Importer le module PowerShell de synchronisation ADSync
- Exécuter la commande
Start-AdSyncSchedulequi lit les hachages de mots de passe du contrôleur de domaine et les synchronise avec Azure AD.
Si vous préférez apprendre via une vidéo, assurez-vous de consulter cette vidéo informative de TechSnips.
Installer Azure AD Connect
Pour synchroniser l’annuaire Active Directory local avec un locataire Azure AD, vous devrez d’abord télécharger et installer le logiciel Azure AD Connect. Pour ce faire, vous avez deux options. Vous pouvez soit le télécharger depuis le portail Azure, soit en allant directement vers le package logiciel.
Téléchargement depuis le portail Azure
Si vous avez choisi de ne pas télécharger le package depuis le site de Microsoft, vous devrez obtenir le package depuis le portail Azure.
Recherchez « Azure Active Directory » dans le portail. Dans la section Azure Active Directory, cliquez sur Azure AD Connect. Vous trouverez ici une section État de synchronisation avec un lien vers Télécharger Azure AD Connect.
Outils de synchronisation
Lorsque vous installez Azure AD Connect, il installera deux outils principaux que vous pouvez utiliser pour planifier une synchronisation ou forcer une synchronisation.
- Le module PowerShell ADSync
- Le Gestionnaire de service de synchronisation
En utilisant ces deux outils, vous pouvez configurer une synchronisation récurrente (planifiée) pour effectuer régulièrement une synchronisation Azure AD. Ou, vous pouvez utiliser l’un ou l’autre pour forcer une synchronisation ponctuelle. Les deux outils effectuent le même comportement. La seule différence est que l’un se fait via la ligne de commande (PowerShell) et l’autre est une application GUI.
Configuration du module PowerShell ADSync
Lorsque vous installez Azure AD Connect, il installera un module PowerShell appelé ADSync. Ce module contient des outils qui vous permettent de gérer le processus de synchronisation à l’aide de PowerShell.
Notez que dans cet article, j’utilise Windows PowerShell 5.1. Votre expérience peut varier si vous utilisez une version plus ancienne.
Comme avec tous les modules PowerShell, l’importation du module est simple. Cependant, le module n’est pas situé dans un dossier connu des modules Windows PowerShell. L’installation place le module PowerShell dans le dossier C:\Program Files\Microsoft Azure AD Connect Sync\Bin.
Pour importer le module, ouvrez une console PowerShell et saisissez ce qui suit:
Pour vérifier que le module a bien été importé, utilisez Get-Module. Vous devriez voir le module ADSync répertorié.
Planning de synchronisation par défaut d’Azure AD
Par défaut, Azure AD Connect crée une tâche planifiée qui lance une synchronisation delta (ne synchronisant que les objets différents) toutes les 30 minutes. Vous pouvez trouver le planning en ouvrant le Planificateur de tâches. Vous devriez remarquer une tâche planifiée sous Microsoft –> Windows appelée Azure AD Sync Scheduler.
Vous pouvez modifier ce planning, mais gardez à l’esprit que 30 minutes est l’intervalle minimum pris en charge. L’objectif est de définir l’intervalle de synchronisation de manière à ce qu’elle se produise suffisamment souvent pour détecter les changements. Si la synchronisation est trop courte, vous risquez de saturer votre réseau.
Le planificateur gère deux tâches:
- Cycle de synchronisation – Le processus d’importation, de synchronisation et d’exportation des changements.
- Tâches de maintenance – Renouvelle les clés et certificats pour les réinitialisations de mot de passe et le Service d’Enregistrement des Appareils (SEA). Il élimine également les anciennes entrées dans le journal des opérations.
Le planificateur lui-même est toujours en cours d’exécution, mais il peut être configuré pour exécuter uniquement une ou aucune de ces tâches.
Pour forcer une synchronisation Azure AD Connect
Il peut y avoir des moments où vous devez forcer la synchronisation de vos objets. Par exemple, si vous avez besoin d’avoir votre propre cycle de processus de synchronisation, vous pouvez désactiver cette tâche dans le planificateur mais exécuter quand même la tâche de maintenance.
Pour utiliser Azure Active Directory Connect afin de forcer une synchronisation de mot de passe et d’autres informations, vous pouvez utiliser le Gestionnaire de Service de Synchronisation ou PowerShell.
Forcer une synchronisation avec le Gestionnaire de Service de Synchronisation
Sur un serveur avec Azure AD Connect installé, accédez au menu Démarrer et sélectionnez AD Connect, puis Service de Synchronisation.
À première vue, cela peut sembler écrasant, mais vous êtes uniquement concerné par l’onglet Connecteurs et le volet de sélection à droite. En regardant le volet de droite, vous pouvez voir des options pour arrêter (Arrêter) et démarrer (Exécuter) la synchronisation.
Notez que lorsqu’un cycle de synchronisation est en cours, vous ne pouvez pas apporter de modifications de configuration. Arrêter le cycle en cours n’est pas nuisible, et les modifications en attente seront traitées lors du prochain cycle.
Obtention de l’état de synchronisation avec PowerShell
Avant de forcer une synchronisation, il est judicieux d’obtenir l’état du cycle de synchronisation actuel. Si vous forcez la synchronisation pendant un cycle en cours, vous pourriez rencontrer des problèmes plus tard.
Pour voir les paramètres actuels, ouvrez une console PowerShell sur le serveur où Azure Active Directory Connect est installé et exécutez Get-ADSyncScheduler. Vous verrez plusieurs propriétés fournissant des informations utiles.
Get-AdSyncSchedulerIl y a beaucoup d’informations à parcourir. Examinons-les ligne par ligne:
AllowedSyncCycleInterval– C’est le temps le plus court entre les synchronisations. Par défaut, il est réglé à 30 minutes, le temps le plus court autorisé.CurrentlyEffectiveSyncCycleInterval– Le calendrier actuellement en vigueur. Il a la même valeur queCustomizedSyncInterval(si défini) s’il n’est pas plus fréquent queAllowedSyncInterval. Si vous utilisez une version antérieure à 1.1.281 et que vous modifiezCustomizedSyncCycleInterval, ce changement prend effet après le prochain cycle de synchronisation. À partir de la version 1.1.281, le changement prend effet immédiatement.CustomizedSyncCycleInterval– Cela est défini si vous souhaitez exécuter le planificateur à une fréquence autre que la valeur par défaut de 30 minutes.TypeNextSyncCyclePolicy– Ce paramètre définit le prochain traitement à effectuer lors du prochain cycle. Si le prochain cycle est une synchronisation complète, il s’affichera initialement.NextSyncCycleStartTimeInUTC– C’est l’heure à laquelle le planificateur démarre le prochain cycle de synchronisation.IntervalPurgeRunHistory– Définit pendant combien de temps les journaux d’opérations sont conservés. Par défaut, les journaux sont conservés pendant 7 jours.SyncCycleEnabled– Indique si le planificateur exécute les processus d’importation, de synchronisation et d’exportation dans le cadre de son fonctionnement.MaintenanceEnabled– L’activation de la maintenance met à jour les certificats/clés et purge le journal des opérations.StagingModeEnabled– S’il est activé, il supprime l’exécution des exportations. synchronisation.SchedulerSuspended– Défini pour bloquer temporairement le planificateur d’exécution.
Forcer une synchronisation avec PowerShell
Trouvez les mots de passe divulgués et non sécurisés dans votre Active Directory en les vérifiant contre la liste de mots de passe du NCSC.
Vous avez quelques options lorsque vous forcez une synchronisation. Vous pouvez soit forcer une synchronisation complète, soit une synchronisation delta. Une synchronisation complète vérifie tous les objets à travers AD. Une synchronisation delta ne vérifie et ne synchronise que les changements depuis la dernière exécution.
Pour démarrer une synchronisation complète, vous pouvez utiliser la cmdlet Start-AdSyncSyncCycle. Utilisez le paramètre PolicyType pour choisir entre Full ou Delta en fonction de la synchronisation que vous souhaitez démarrer. Les deux méthodes forceront une synchronisation AD pour Office 365, les comptes d’identité utilisateur et tous les autres attributs.
Arrêt d’une synchronisation
Si vous souhaitez arrêter une synchronisation en cours, vous pouvez également utiliser la cmdlet Stop-ADSyncSyncCycle.
Résumé
Que vous choisissiez d’utiliser l’interface graphique ou PowerShell, vous devriez maintenant connaître différentes façons d’utiliser l’outil Azure Active Directory Connect pour planifier ou forcer une synchronisation avec votre environnement Active Directory local avec Azure AD.