Beaucoup d’entre vous utilisent Azure Active Directory Connect pour gérer vos identités hybrides et la synchronisation des utilisateurs de Active Directory vers Azure Active Directory (récemment renommé Microsoft Entra ID). Cette technologie moderne est appelée Azure AD Connect cloud sync. Dans cet article, je vais vous guider à travers l’installation et la configuration de base de Azure AD Connect cloud sync et expliquer comment l’implémenter dans votre infrastructure Active Directory/Azure AD.
Qu’est-ce que Azure Active Directory Connect cloud sync?
De nombreux professionnels de l’informatique sont familiers avec Azure AD Connect – le logiciel de synchronisation que vous utilisez pour synchroniser vos identités de votre annuaire Active Directory local vers Azure Active Directory et offrir une connexion unique transparente. La prochaine évolution consiste à tout amener dans le cloud.
Ainsi, Microsoft est passé d’une application logicielle installée sur un serveur joint à un domaine dans votre environnement local à un agent de provisionnement simple. Une empreinte beaucoup plus légère car tout le « travail lourd » est désormais effectué dans Azure. Plus besoin de base de données sur site – tout est fait dans le cloud.
Les agents légers ont été la voie à suivre récemment. C’est un avantage si vous venez de vivre une fusion ou une acquisition récemment ou si vous en prévoyez une.
La synchronisation cloud Azure AD Connect est conçue pour répondre à vos objectifs d’identité hybride en synchronisant vos utilisateurs, contacts, groupes, appareils, et plus encore vers Azure AD. Une note importante – vous pouvez utiliser Azure AD Connect côte à côte avec l’agent de provisionnement de synchronisation cloud !
Quelles sont les différences entre la synchronisation Azure AD Connect et la synchronisation cloud Azure AD Connect ?
Excellente question ! Voici un tableau de Microsoft qui compare les fonctionnalités des deux produits.
| Feature | Azure AD Connect sync | Azure AD Connect cloud sync |
|---|---|---|
| Connect to a single on-premises AD forest | ● | ● |
| Connect to multiple on-premises AD forests | ● | ● |
| Connect to multiple disconnected on-premises AD forests | ● | |
| Lightweight agent installation model | ● | |
| Multiple active agents for high availability | ● | |
| Connect to LDAP directories | ● | |
| Support for user objects | ● | ● |
| Support for group objects | ● | ● |
| Support for contact objects | ● | ● |
| Support for device objects | ● | |
| Allow basic customization for attribute flows | ● | ● |
| Synchronize Exchange online attributes | ● | ● |
| Synchronize extension attributes 1-15 | ● | ● |
| Synchronize customer-defined AD attributes (directory extensions) | ● | ● |
| Support for Password Hash Sync | ● | ● |
| Support for Pass-Through Authentication | ● | |
| Support for federation | ● | ● |
| Seamless Single Sign-on | ● | ● |
| Supports installation on a Domain Controller | ● | ● |
| Support for Windows Server 2016 | ● | ● |
| Filter on Domains/OUs/groups | ● | ● |
| Filter on objects’ attribute values | ● | |
| Allow a minimal set of attributes to be synchronized (MinSync) | ● | ● |
| Allow removing attributes from flowing from AD to Azure AD | ● | ● |
| Allow advanced customization for attribute flows | ● | |
| Support for password writeback | ● | ● |
| Support for device writeback | ● | Customers should use Cloud Kerberos trust for this moving forward |
| Support for group writeback | ● | |
| Support for merging user attributes from multiple domains | ● | |
| Azure AD Domain Services support | ● | |
| Exchange hybrid writeback | ● | |
| Unlimited number of objects per AD domain | ● | |
| Support for up to 150,000 objects per AD domain | ● | ● |
| Groups with up to 50,000 members | ● | ● |
| Large groups with up to 250,000 members | ● | |
| Cross-domain references | ● | ● |
| On-demand provisioning | ● | |
| Support for US Government | ● | ● |
Il existe un scénario majeur et courant qui n’est actuellement pas pris en charge par la nouvelle fonctionnalité de synchronisation cloud Azure AD Connect, à savoir Exchange Hybrid. Voici la réponse actuelle de la documentation de Microsoft :
La fonctionnalité Exchange Hybrid Deployment permet la coexistence de boîtes aux lettres Exchange en local et dans Microsoft 365. Azure AD Connect synchronise un ensemble spécifique d’attributs d’Azure AD vers votre annuaire local. L’agent de provisionnement cloud ne synchronise actuellement pas ces attributs vers votre annuaire local et ne peut donc pas être utilisé comme remplacement pour Azure AD Connect.
Conditions préalables à l’installation d’Azure Active Directory Connect cloud sync
Microsoft mentionne quelques conditions préalables à prendre en compte avant de commencer l’installation. Passons-les en revue ici.
- Dans le portail Azure:
- Vous devez avoir accès à un compte Global Administrator cloud-only.
- Vous aurez besoin d’un nom de domaine personnalisé dans Azure pour correspondre au nom de domaine UPN de votre Active Directory. Si vous migrez à partir d’Azure AD Connect, cela devrait déjà être en place, mais cela vaut la peine d’être noté.
- Dans votre environnement sur site
- Vous aurez besoin d’une machine jointe au domaine exécutant Windows Server 2016 ou plus récent. Vous avez besoin d’au moins 4 Go de RAM et de .NET Framework 4.7.1 ou supérieur. Le serveur doit simplement avoir un accès réseau à au moins un contrôleur de domaine dans la forêt AD sur site.
- Votre pare-feu de bordure devra autoriser les ports sortants 80 et 443 à partir de votre serveur vers Azure AD.
La seule autre étape (facultative) est de désinstaller d’abord Azure AD Connect si vous l’avez installé. Ce n’est pas obligatoire, mais pour les besoins de cet article, je vais vous guider à travers les étapes simples suivantes.
Oh, et il est très facile de tirer parti de la haute disponibilité avec cette configuration. Il suffit d’installer l’agent de provisionnement sur plus d’un serveur dans votre réseau. Vous verrez les étapes ci-dessous.
Désinstallation d’Azure AD Connect (facultatif)
- Connectez-vous à votre serveur Azure AD Connect et ouvrez le Panneau de configuration.
- Ouvrez le menu «Désinstaller un programme».
- Cliquez sur l’entrée Microsoft Azure AD Connect et cliquez sur le bouton de barre d’outils Désinstaller.
Ma suggestion ici est de s’assurer que la case à cocher est cochée pour supprimer tout. J’aime toujours désinstaller les logiciels aussi proprement que possible, en faisant de mon mieux pour ne laisser aucune trace.
- Cliquez sur Supprimer et laissez-le se terminer.
Voilà, tout est parti. Maintenant, nous pouvons passer aux étapes d’installation nouvelle.
Comment intégrer la synchronisation cloud Azure AD Connect dans votre infrastructure AD / AAD
Comme je l’ai dit, vous pouvez installer un agent de synchronisation cloud Azure AD Connect avec ou sans une installation existante d’Azure AD Connect dans votre environnement. Dans ce cas, je viens de supprimer mon logiciel Azure AD Connect existant, donc nous avons un tableau propre. Commençons!
Installation
Nous allons commencer sur mon serveur Windows Server 2022 joint à un domaine, WS22-FS02.
- Tout d’abord, connectez-vous au Portail Azure et accédez au site Azure Active Directory (Azure AD).
- Dans le menu de navigation sur la gauche, faites défiler vers le bas et cliquez sur Azure AD Connect. Ensuite, cliquez à nouveau sur Synchronisation cloud sur la gauche.
- Il n’est pas surprenant que nous ayons un bel état neuf. Cliquez sur le menu Agents à gauche, puis cliquez sur Télécharger l’agent local.
- Après avoir téléchargé l’agent, allez-y et double-cliquez sur le fichier MSI. L’installation commencera.
- Cochez la case et cliquez sur Installer !
Ensuite, passons à la Configuration.
Configuration de l’annuaire Active Directory
Après l’installation initiale de l’agent, l’assistant de Configuration de l’agent de provisionnement Microsoft Azure Active Directory Connect va démarrer. Dites ça 5 fois vite. Oups, Microsoft. Toujours des noms de produits percutants !
- Sur l’écran de bienvenue, cliquez sur Suivant.
- Sur l’écran ‘Sélectionner l’extension‘, choisissez Provisionnement basé sur les ressources humaines (Workday et SuccessFactors) / Synchronisation Cloud Azure AD Connect. C’est le scénario le plus probable. Seulement si vous prévoyez de provisionner des applications sur site vers Azure, vous choisiriez la 2ème option.
- Cliquez sur Suivant.
- Ensuite, l’écran de Connexion à Azure AD apparaît, demandant les identifiants de votre Administrateur Global Azure AD. Entrez-les, et soyez prêt pour l’authentification multifacteur !
- Ensuite, l’écran de Configuration du compte de service. Ici, nous accepterons la valeur par défaut, Créer un compte gMSA. Parce que nous lui demandons de créer un compte gMSA pour gérer la synchronisation de l’AD vers Azure AD, nous devons entrer un compte avec des privilèges d’Administrateur de domaine. Entrez cela et cliquez sur Suivant.
- En continuant, nous arrivons à l’écran ‘Connecter l’Active Directory‘. Oui, vous avez raison. Cela ressemble plutôt à l’assistant d’installation pour installer Azure AD Connect.
- Quoi qu’il en soit, vérifiez que le domaine Active Directory correct est défini. Si vous voyez des erreurs, vous avez peut-être mal tapé vos identifiants. Corrigez si nécessaire et cliquez sur Suivant.
- Nous sommes arrivés à l’écran de confirmation final. Vérifiez que tout semble bon et cliquez sur le bouton Confirmer.
Configuration Azure AD
Nous passons maintenant à Azure Active Directory. Pour gérer la synchronisation cloud Azure AD, accédez à nouveau au Portail Azure.
- Cliquez sur Azure AD Connect, et cliquez sur Synchronisation cloud.
- Cliquez sur le bouton ‘Nouvelle configuration‘ en haut pour démarrer le processus de configuration dans le cloud.
- Ici, nous avons la Nouvelle configuration de synchronisation cloud. Les paramètres par défaut devraient être OK si vous ne synchronisez qu’un seul domaine AD – dans mon cas ‘reinders.local.’ Nous garderons ‘Activer la synchronisation de hachage de mot de passe‘ coché pour permettre une gestion automatique des mots de passe.
- Cliquez sur Créer en bas.
Eh bien, regardez ça ! Nous avons terminé. Je ne sais pas pour vous, mais je préfère presque TOUJOURS les configurations basées sur le cloud par rapport aux logiciels clients ‘lourds’ traditionnels. C’est plus propre. De plus, ils peuvent itérer sur l’interface utilisateur et ajouter des fonctionnalités beaucoup plus rapidement. Et, comme c’est basé sur le cloud, vous n’avez pas à vous soucier des mises à jour du logiciel, des serveurs qui tombent en panne, etc. Ça marche tout simplement. Le cloud, 100% du temps, n’est-ce pas ?
Test – Vérification
Allons-y et activons simplement la configuration. Nous pourrons aborder les filtres de portée, la correspondance des attributs, etc. un peu plus tard.
- Cliquez sur le bouton Examiner et activer la configuration en haut, puis cliquez sur Activer la configuration.
- Une fois que c’est fait, attendez environ 2 minutes, rafraîchissez votre navigateur, et cliquez sur l’onglet Vue d’ensemble en haut.
- Tout d’abord, vous voudrez entrer une adresse e-mail de notification. Cliquez sur l’onglet Propriétés et cliquez sur l’icône crayon (Modifier) à côté de Bases.
- Entrez une adresse e-mail d’administrateur pour recevoir des alertes concernant l’infrastructure de synchronisation. Cliquez sur Appliquer en bas.
Maintenant, en ce qui concerne la validation et la personnalisation avancée, revenez à la Vue des utilisateurs dans le portail Azure AD pour voir tous vos utilisateurs. J’ai remarqué que le nombre d’utilisateurs est passé de 31 à 32. Donc, je sais QU’IL S’EST PASSÉ quelque chose. Et, si vous êtes vraiment attentif, vous vous souviendrez peut-être que j’ai filtré un utilisateur dans une OU spécifique lorsque j’ai configuré Azure AD Connect. Donc, comme je n’ai encore effectué aucun filtrage, un nouvel utilisateur a été synchronisé – John Reinders.
Laissez-moi passer en revue les trois écrans de configuration principaux que vous utiliserez pour maintenir et ajuster vos paramètres de synchronisation. Le premier est Filtres de portée.
Le paramètre par défaut consiste à synchroniser tous les utilisateurs de votre Active Directory. Vous pouvez choisir de ne synchroniser que des groupes de sécurité sélectionnés OU des unités d’organisation (OUs) spécifiques. Et oui, c’est un exemple de logiciel en nuage qui, pour le moment, est moins configurable que les logiciels sur site. Mais cela évolue constamment. Finalement, ils intégreront TOUTES les fonctionnalités et options dans la synchronisation en nuage Azure AD Connect.
Ensuite, examinons la mappage d’attributs. Ici, nous pouvons choisir d’éditer la liste par défaut des attributs et de définir la manière dont ils sont synchronisés à partir d’Active Directory vers Azure AD, et même ajouter des éléments supplémentaires en cliquant sur ‘+ Ajouter un mappage d’attribut’.
Soyez assurés qu’il y a de nombreuses options ici. Comme je l’ai dit, Microsoft ajoute constamment de nouvelles fonctionnalités à cette fonctionnalité. Donc, ne soyez pas surpris si vous remarquez que certaines de ces écrans changent ou ajoutent/suppriment des éléments. C’est le nuage, les amis!
Enfin, examinons le constructeur d’expressions. C’est là que vous pouvez vraiment ajouter une certaine personnalisation à la manière dont certains attributs sont synchronisés, et comment utiliser des expressions pour associer des attributs utilisateur spécifiques d’un domaine Active Directory et d’autres attributs d’un autre domaine AD pour produire le meilleur objet unique dans Azure AD. Encore une fois, il y a beaucoup de puissance ici, et vous serez familier avec l’ensemble général si vous avez utilisé des fonctionnalités personnalisées comme les règles de synchronisation dans le logiciel Azure AD Connect.
Conclusion
Eh bien, c’est beaucoup d’informations. Et je tiens à souligner le plus grand inconvénient de la synchronisation en nuage Azure AD Connect – elle a moins de fonctionnalités et peut prendre en charge moins de scénarios que Azure AD Connect.
C’est normal et fait partie de la conception. Azure AD Connect existe depuis des années et Azure AD Connect cloud sync a été lancé il y a environ un an. Par conséquent, il y a naturellement plus de fonctionnalités dans l’ancien logiciel.
Mon conseil : Dès que les scénarios pris en charge avec Azure AD Connect cloud sync correspondent à votre environnement, prenez les mesures nécessaires pour migrer vers celui-ci. Après avoir utilisé Azure AD Connect pendant quelques années dans mes ‘day jobs’, la fonctionnalité cloud semble très agréable – et BEAUCOUP plus facile à administrer et à suivre.
N’hésitez pas à laisser un commentaire ou une question ci-dessous et merci de votre lecture!
Source:
https://petri.com/install-azure-ad-connect-cloud-sync/