Les organisations utilisent Active Directory pour gérer de manière centralisée les ordinateurs et les utilisateurs Windows. Configurer un contrôleur de domaine Active Directory (ADDC) sur un serveur Windows est pratique, et les administrateurs peuvent utiliser ce serveur pour authentifier les utilisateurs, configurer les autorisations et gérer l’accès aux ressources partagées.
De nombreuses entreprises utilisant déjà Windows ont migré vers une plateforme cloud Microsoft telle que Microsoft 365 (anciennement Office 365) ou Azure. Dans ce cas, un administrateur système doit créer des comptes pour les utilisateurs dans Microsoft 365. Parfois, les organisations préfèrent utiliser les mêmes identifiants pour les comptes d’utilisateurs locaux et les comptes d’utilisateurs cloud. Les administrateurs peuvent synchroniser les utilisateurs d’un domaine local sur site avec Office 365 et Azure Active Directory (Azure AD) afin d’utiliser le même compte utilisateur pour l’authentification locale et cloud. Cela est connu sous le nom de déploiement hybride, et il est populaire parmi les organisations utilisant des produits logiciels Microsoft.
Cet article de blog couvre la synchronisation d’AD Office 365 et explique comment vous pouvez effectuer une synchronisation Active Directory Office 365 pour synchroniser les comptes d’utilisateurs sur site et cloud pour les produits Microsoft.
Office 365 et Azure AD
Office 365 est un locataire dans Azure Active Directory et utilise le portail pour stocker les données utilisées pour l’authentification et pour configurer les autorisations d’accès à l’environnement cloud Microsoft. L’administrateur du locataire Office 365 peut accéder au portail Azure pour gérer les autorisations et configurer d’autres paramètres. Si vous avez un ADDC (Contrôleur de domaine Active Directory) en cours d’exécution sur site, vous pouvez synchroniser Office 365 avec AD (synchroniser votre Active Directory local et Azure Active Directory avec Office 365) et, par conséquent, réaliser l’intégration de l’annuaire Active Directory d’Office 365.
Cette approche vous offre une identité hybride et permet aux utilisateurs d’utiliser les mêmes informations d’identification pour accéder aux services Office 365 et aux ressources locales dans votre bureau/centre de données. Les données Active Directory telles que les utilisateurs, les groupes et les contacts sont synchronisées dans ce cas. La synchronisation d’annuaire est une étape importante dans le passage au cloud si vous souhaitez avoir un environnement hybride.
Qu’est-ce que Azure AD Connect?
Azure AD Connect est un outil léger qui est installé sur un serveur local, qui agit comme un ADDC. Azure AD Connect synchronise vos données d’identité Active Directory locales avec Azure Active Directory utilisé par Office 365 dans le cloud. Cet outil peut être installé sur un contrôleur de domaine ou sur un serveur Windows qui est membre du domaine. Azure AD Connect a remplacé l’outil de synchronisation d’annuaire (DirSync), qui a été déprécié.
Azure AD Connect prend en charge les fonctionnalités suivantes:
- Synchronisation des hachages de mots de passe
- Authentification par transit
- Authentification fédérée. L’authentification peut être demandée pour un autre fournisseur d’identité par un ordinateur client.
Par défaut, la synchronisation des répertoires est effectuée de l’AD sur site vers l’AD Azure utilisé par Office 365. Cependant, vous pouvez configurer la synchronisation de l’Active Directory dans le sens inverse et synchroniser le changement de l’AD Azure vers votre AD sur site. Par défaut, la synchronisation est programmée pour s’exécuter toutes les 30 minutes. Vous pouvez modifier la configuration de planification et forcer la synchronisation du répertoire Office 365 dans PowerShell. Vous pouvez configurer la synchronisation delta pour synchroniser uniquement les données modifiées depuis la précédente synchronisation de l’AD Office 365. Il est recommandé qu’une synchronisation delta soit effectuée dans les 7 jours suivant la dernière synchronisation.
Exigences
Pour installer et exécuter Azure AD Connect, assurez-vous des éléments suivants :
- Un contrôleur de domaine Active Directory exécutant le système d’exploitation Windows Server doit être installé et configuré sur site.
- Le niveau de fonctionnalité de l’Active Directory sur site doit être Windows Server 2003 ou ultérieur.
- Vous devez disposer des autorisations d’administrateur de domaine ou des autorisations pour un administrateur local sur un ordinateur qui est membre du domaine.
Systèmes d’exploitation pris en charge : Windows Server 2012, Windows Server 2016, Windows Server 2019 avec une interface graphique. Windows Server Core n’est pas pris en charge. L’édition de Windows Server doit être Standard ou supérieure. Les éditions Essentials ne sont pas prises en charge.
.NET Framework 4.5.1 ou ultérieur doit être installé sur un serveur Windows exécutant Azure AD Connect.
PowerShell 3.0 ou ultérieur. La stratégie d’exécution de script doit vous permettre d’exécuter des scripts. La stratégie recommandée est RemoteSigned.
Vous devez disposer d’un domaine externe associé à votre locataire Office 365.
Vous devez avoir accès à un locataire Azure (pour votre compte/administrateur Office 365). Des autorisations d’administrateur global sont nécessaires.
A directory in Azure AD must be created. A domain controller in Azure AD must be configured as writable.
Exigences de réseau :
- Une connexion sortante HTTPS aux serveurs Microsoft
- TCP 80. Le protocole HTTP est utilisé pour télécharger les listes de révocation de certificat pour la vérification des certificats TSL/SSL
- TCP 443. HTTPS est utilisé pour synchroniser les données avec Azure Active Directory
- Le TLS 1.2 doit être activé sur une machine Windows.
Préparation de l’environnement
Vérifiez les suffixes UPN (ou User Principal Name) de votre domaine local utilisé par le Active Directory on-premises. Le domaine local doit être routable, et le suffixe du domaine local ne devrait pas être .local, .test, etc. Les domaines qui ont ce type de suffixes sont classés comme non routables, et ces domaines ne peuvent être synchronisés qu’avec un .onmicrosoft.com domaine. Par exemple, si vous avez le .nakivo.test domaine dans votre Active Directory on-premises et nakivo.onmicrosoft.com dans Azure Active Directory, [email protected] devrait être synchronisé avec [email protected]. Si vous avez un domain.net nom dans votre Active Directory local, et le nom du domaine externe utilisé dans Office 365 et Azure est également domain.net, alors [email protected] à partir d’Active Directory on-premises peut être synchronisé avec [email protected] dans Azure AD utilisé par Office 365 pour l’authentification et pour la configuration des autorisations. Ainsi, le nom de domaine doit être valide et doit avoir des suffixes corrects tels que .com, .net, .uk, .us, .edu, etc. pour une synchronisation complète et pour la correspondance des noms. Les UPN des utilisateurs locaux dans votre Active Directory peuvent être synchronisés avec Azure AD et Office 365.
Note: Les noms de domaine utilisés dans cet article de blog sont utilisés à des fins d’exemple. Veuillez utiliser les noms de domaine corrects en fonction de la configuration de votre environnement.
Vous pouvez vérifier vos noms de domaine pour Office 365 dans le centre d’administration Microsoft 365. Accédez à Paramètres > Domaines pour voir les domaines disponibles pouvant être liés à votre locataire Office 365.
Rendre un domaine routable
Vous pouvez modifier les paramètres de votre domaine sur site pour le rendre routable afin d’améliorer les capacités de synchronisation en ajoutant les suffixes UPN nécessaires. Ajoutez des suffixes UPN à votre domaine sur site existant pour correspondre aux noms des utilisateurs sur site et dans Microsoft 365 (Azure). Tout d’abord, enregistrez un nouveau suffixe, puis mettez à jour les utilisateurs d’Active Directory sur site pour utiliser le suffixe mis à jour.
Ajout du nouveau suffixe UPN
Accédez à Gestionnaire des domaines Active Directory sur votre contrôleur de domaine sur site. Pour ce faire, ouvrez Gestionnaire de serveur, cliquez sur Outils, puis, dans le menu qui s’ouvre, cliquez sur Gestionnaire des domaines Active Directory. En alternative, exécutez domain.msc dans le menu Exécuter (appuyez sur Win+R pour ouvrir le menu Exécuter) ou dans l’invite de commande (CMD).
La fenêtre Gestionnaire des domaines Active Directory s’ouvre. Cliquez avec le bouton droit sur Gestionnaire des domaines Active Directory et, dans le menu contextuel, cliquez sur Propriétés.
Entrez le nom de domaine normalisé correct avec le suffixe correct, par exemple, id.com, ou nakivo.com. Cliquez sur Ajouter, puis sur OK pour enregistrer les paramètres et fermer cette fenêtre.
Modification des UPN pour les utilisateurs existants
Maintenant, vous devez modifier les suffixes UPN pour les utilisateurs existants sur le contrôleur de domaine Active Directory sur site.
Accédez à Utilisateurs et ordinateurs Active Directory en ouvrant le Gestionnaire de serveur et en allant dans le menu Outils (comme vous l’avez déjà fait). En alternative, appuyez sur Win+R pour ouvrir le menu Exécuter, tapez dsa.msc dans la boîte de dialogue Exécuter, puis cliquez sur Entrée.
Dans la fenêtre Utilisateurs et ordinateurs Active Directory, développez votre domaine et cliquez sur le répertoire Utilisateurs. Sélectionnez un utilisateur de domaine, effectuez un clic droit sur l’utilisateur de domaine et cliquez sur Propriétés dans le menu contextuel.
Sélectionnez l’onglet Compte dans la fenêtre des propriétés de l’utilisateur. Dans le menu déroulant, sélectionnez le nom de domaine correct avec le suffixe correct. Cliquez sur OK pour enregistrer les paramètres et fermer la fenêtre.
Répétez cette opération pour tous les utilisateurs qui sont membres de votre domaine local (les utilisateurs pour lesquels vous souhaitez effectuer une synchronisation AD Office 365). Si vous avez un grand nombre d’utilisateurs dans votre Active Directory local, utilisez PowerShell pour une édition en masse au lieu de modifier les propriétés de chaque utilisateur manuellement. Utilisez les commandes ci-dessus à cette fin :
$LocalUsers = Get-ADUser -Filter “UserPrincipalName -like ‘*domain.local’” -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace(“@domain.local”,”@domain.com”); $_ | Set-ADUser -UserPrincipalName $newUpn}
Remplacez les noms de domaine corrects par domain.local et domain.com en fonction de la configuration de votre environnement.
Vous pouvez changer un UPN et l’adresse dans PowerShell avec le module PowerShell MSOnline (module PowerShell Azure AD).
Set-MsolUserPrincipalName -UserPrincipalName [email protected] -NewUserPrincipalName [email protected]
Après avoir mis à jour les UPN, vous êtes prêt à synchroniser les services Active Directory Domain Services sur site avec Microsoft 365 et Azure Active Directory.
Modification des attributs de proxy d’email
Modifiez l’attribut email pour chaque utilisateur et définissez une adresse email de proxy SMTP.
Pour afficher l’onglet Éditeur d’attributs où vous pouvez définir le proxy SMTP (dans la fenêtre des propriétés utilisateur), dans la fenêtre Utilisateurs et ordinateurs Active Directory, cliquez sur Affichage > Fonctionnalités avancées.
Maintenant, sélectionnez un utilisateur, ouvrez les propriétés de l’utilisateur, cliquez sur l’onglet Éditeur d’attributs, puis double-cliquez sur l’attribut proxyAddresses.
Les adresses email Office 365 doivent être définies en tant qu’adresses de proxy SMTP pour les utilisateurs Active Directory sur le contrôleur de domaine local, par exemple :
SMTP:[email protected]
L’adresse email principale doit contenir SMTP en majuscules. D’autres adresses de proxy pour les emails peuvent commencer par smtp en minuscules.
Cliquez sur Ajouter pour ajouter la valeur, puis sur OK pour enregistrer les paramètres.
Répétez cette action pour chaque utilisateur nécessaire pour la synchronisation Office 365.
Vérification des noms d’utilisateur dans le centre d’administration Office 365
Ouvrez le centre d’administration Microsoft 365, allez à Utilisateurs > Actifs utilisateurs et vérifiez les noms d’utilisateur et les suffixes de domaine utilisés dans leurs noms. Si vous avez un domaine personnalisé tel que nakivo.com, optez pour l’utilisation de ces noms d’utilisateur principaux plutôt que les noms avec le domaine nakivo.onmicrosoft.com.
Cliquez sur les trois points près de l’utilisateur approprié, et dans le menu qui s’ouvre, cliquez sur Gérer le nom d’utilisateur et l’e-mail pour sélectionner le domaine nécessaire pour un nom d’utilisateur. La situation idéale est lorsque les noms de domaine et les noms d’utilisateur dans Office 365 correspondent aux noms d’utilisateur dans l’annuaire Active Directory sur site.
Ouvrez Groupes dans le centre d’administration Microsoft 365 et modifiez les adresses des groupes de la même manière que vous avez modifié les adresses e-mail des utilisateurs.
Installation d’Azure AD Connect
Téléchargez Azure AD Connect depuis le site Web de Microsoft en utilisant le lien :
https://www.microsoft.com/en-us/download/details.aspx?id=47594
Vous pouvez vérifier l’état de la connexion Azure et obtenir un lien de téléchargement depuis la page Azure AD Connect dans le portail Microsoft Azure. Pour ce faire, allez à Azure Active Directory > Azure AD Connect dans le portail Azure.
Enregistrez le fichier d’installation Azure AD Connect sur le serveur sur lequel vous allez installer cet outil, par exemple, sur un contrôleur de domaine.
Exécutez le fichier d’installation Azure AD Connect (AzureADConnect.msi). L’assistant Azure AD Connect s’ouvre.
Bienvenue. À l’étape de bienvenue, sélectionnez “J’accepte les conditions de licence et l’avis de confidentialité” et cliquez sur Continuer.
Paramètres express. Sélectionnez l’une des deux options disponibles – Personnaliser ou Utiliser les paramètres express. L’option Personnaliser vous offre plus de contrôle lors de la configuration de la synchronisation de l’annuaire actif Office 365.
Composants requis. Sélectionnez les composants requis à installer et définissez les paramètres de configuration pour les options sélectionnées.
- Spécifiez un emplacement d’installation personnalisé
- Utilisez un serveur SQL existant
- Utilisez un compte de service existant
- Spécifiez des groupes de synchronisation personnalisés
- Importer les paramètres de synchronisation
Cliquez sur Installer pour continuer.
Connexion utilisateur. Sélectionnez l’une des méthodes de connexion disponibles. Certaines options nécessitent des étapes supplémentaires de configuration.
- Synchronisation de hachage de mot de passe. Un hachage du mot de passe d’un utilisateur à partir de l’annuaire actif local est synchronisé avec l’annuaire actif Azure.
- Authentification par transparence de mot de passe. Les utilisateurs peuvent utiliser le même mot de passe dans l’annuaire local et dans le cloud (Office 365, Azure) mais aucune infrastructure supplémentaire et environnement fédéré ne sont nécessaires.
- Fédération avec AD FS. Un environnement hybride doit être configuré en utilisant Active Directory et les services de fédération d’annuaire actif déployés localement. Le renouvellement de certificat et les déploiements supplémentaires de serveur AD FS sont pris en charge.
- Fédération avec PingFederate. Cette option peut être utilisée si un serveur PingFederate d’entreprise est déployé dans votre infrastructure pour fournir une connexion unique pour l’authentification des utilisateurs.
- Ne pas configurer. Vous pouvez utiliser une solution qui n’est pas gérée par cet assistant pour la connexion fédérée. Les utilisateurs connectés à un réseau d’entreprise peuvent accéder aux ressources cloud après la synchronisation d’Office 365 avec AD sans avoir besoin de saisir à nouveau leur mot de passe.
Lisez l’article de blog sur les Services de fédération Active Directory.
Sélectionnez Synchronisation de hachage de mot de passe ou Ne pas configurer comme option recommandée si vous n’êtes pas sûr de ce qu’il faut faire.
Connectez-vous à Azure AD. Entrez un nom d’utilisateur et un mot de passe de votre compte utilisateur Microsoft 365 qui possède des privilèges d’administrateur global dans Microsoft Azure/Office 365 (identifiants d’administrateur Office 365). Ce compte administrateur est nécessaire pour configurer Azure AD Connect afin de rendre l’application capable d’effectuer la synchronisation d’AD Office 365. Appuyez sur Suivant à chaque étape pour continuer.
Connecter les annuaires. Entrez les informations pour votre Active Directory actuel utilisé dans l’environnement de domaine local. Sélectionnez le type d’annuaire (Active Directory), spécifiez la forêt de domaines, cliquez sur Ajouter un annuaire, et saisissez les identifiants de l’administrateur de domaine. Si vous devez synchroniser une forêt de domaines, utilisez les identifiants de l’administrateur d’entreprise.
Connexion à Azure AD. Vérifiez vos domaines et les suffixes UPN de l’annuaire Active Directory. Sélectionnez l’attribut sur site à utiliser comme nom d’utilisateur dans Azure AD et Office 365. Nous sélectionnons userPrincipalName. Cochez la case Continuer sans domaines vérifiés si votre domaine n’est pas vérifié. Vous pouvez compléter le processus de vérification ultérieurement pour permettre aux utilisateurs de se connecter à Azure AD et Office 365.
Filtrage de domaine et d’OU. Laissez les paramètres par défaut sur cet écran pour effectuer la synchronisation de l’annuaire Active Directory avec l’ensemble des données AD. Sélectionnez des domaines et des unités organisationnelles personnalisés si vous devez personnaliser les paramètres. Vous pouvez désélectionner des domaines ou des unités organisationnelles que vous ne souhaitez pas synchroniser.
Identification des utilisateurs. Il est recommandé de laisser les paramètres par défaut à cette étape pour une configuration de base de la synchronisation de l’Active Directory avec Office 365 (pour un Azure AD, un domaine et une forêt AD). Si vous devez effectuer une configuration plus complexe, sélectionnez des options personnalisées pour les identités d’utilisateurs à travers les répertoires. Dans les options d’identification utilisateur SOURCE ANCHOR, sélectionnez l’option par défaut objectGUID pour générer des identifiants et mapper les utilisateurs.
Filtrage. Choisissez de synchroniser tous les utilisateurs et appareils ou sélectionnez des objets personnalisés à synchroniser. Vous pouvez utiliser le filtrage basé sur les groupes.
Fonctionnalités optionnelles. Sélectionnez des fonctionnalités supplémentaires si vous en avez besoin. Passez le curseur sur l’icône ‘?’ à côté du nom de chaque fonctionnalité pour obtenir des conseils vous aidant à prendre la bonne décision.
Prêt à configurer. Sélectionnez la case à cocher Démarrer le processus de synchronisation lorsque la configuration est terminée si vous souhaitez démarrer la synchronisation immédiatement après la fin de cet assistant. Vous pouvez désélectionner cette case à cocher et démarrer la synchronisation manuellement lorsque vous en avez besoin. Cliquez sur Installer pour terminer la configuration.
Attendez que l’installation et la configuration soient terminées. Lorsque vous voyez le message Configuration terminée, vous pouvez cliquer sur Quitter pour fermer l’application. Des informations succinctes sur le processus de synchronisation AD d’Office 365 terminé sont affichées sur l’écran Configuration terminée. Ensuite, ouvrez le centre d’administration Microsoft 365 et vérifiez si la synchronisation de l’annuaire actif avec Office 365 s’est terminée avec succès. Ouvrez la section Erreurs de synchronisation dans la page Santé Azure AD Connect dans le portail Azure pour voir des informations détaillées sur les erreurs. S’il y a des erreurs, lisez les recommandations fournies qui peuvent vous aider à les corriger.
Si la synchronisation AD d’Office 365 s’est terminée avec succès, vous pouvez attribuer des licences aux nouveaux utilisateurs d’Office 365 qui ont été ajoutés après la synchronisation d’Office 365 avec l’annuaire actif sur site.
Exportation de la configuration Azure AD Connect
Vous pouvez déployer Azure AD Connect en utilisant le mode Express ou le mode Personnalisé. Avec plusieurs déploiements utilisant la même configuration Azure AD Connect pour synchroniser Active Directory on-premises et Office 365 / Azure, ainsi que pour synchroniser plusieurs forêts AD, envisagez d’exporter/importer la configuration Azure AD Connect.
Après avoir configuré Azure AD Connect dans l’interface graphique utilisant un assistant, la configuration est enregistrée dans un fichier JSON stocké dans le répertoire %ProgramData%\AADConnect. Un nom de fichier JSON ressemble à Applied-SynchronizationPolicy-*.JSON où * représente l’horodatage qui permet d’identifier quand la configuration a été enregistrée. Les modifications effectuées dans l’interface graphique sont exportées automatiquement. Cependant, les modifications effectuées avec PowerShell doivent être exportées manuellement lorsque cela est nécessaire.
Pour importer les paramètres, exécutez Azure AD Connect, sélectionnez l’option Personnaliser, sur l’écran Installer les composants requis, sélectionnez Importer les paramètres de synchronisation, cliquez sur Parcourir, et sélectionnez le fichier de configuration JSON.
L’importation de la configuration permet aux utilisateurs de réduire au minimum l’entrée de données manuelle pour configurer Azure AD Connect rapidement et de reproduire la même configuration sur plusieurs serveurs.
Outils pour la migration de la configuration
Il existe des outils pour exporter et importer la configuration d’Azure AD Connect d’un serveur à un autre afin d’avoir une configuration identique lorsque vous effectuez la synchronisation Active Directory Office 365.
Copiez le fichier MigrateSettings.ps1 depuis C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ ou un dossier personnalisé où Azure AD Connect est installé sur le premier serveur vers un emplacement personnalisé, par exemple, C:\Programs\.
Exécutez le script MigrateSettings.ps1 sur le premier serveur existant. Si vous voyez le message de sortie indiquant qu’un paramètre acceptant l’argument « True » n’est pas trouvé, modifiez le script et supprimez $true du script.
Exécutez le script et vérifiez le répertoire dans la sortie. La configuration de synchronisation Azure AD est exportée vers ce dossier. Copiez ce dossier Exported-ServerConfiguration-* et son contenu vers le second serveur (nouveau).
Exécutez Azure AD Connect sur le deuxième serveur et, à l’écran Installer les composants requis, sélectionnez importer les paramètres de synchronisation et sélectionnez le fichier de configuration MigratedPolicy.json (comme expliqué ci-dessus) situé dans le dossier copié Exported-ServerConfiguration-*.
Autres options de synchronisation AD Office 365
Si vous ne pouvez pas attendre 30 minutes, qui est l’intervalle standard entre les opérations de synchronisation, forcez la synchronisation AD Office 365 à l’aide de commandes PowerShell. Le module PowerShell Azure Active Directory est généralement installé avec l’outil Azure AD Connect.
Importez le module PowerShell ADSync :
Import-Module ADSync
Vérifiez vos paramètres actuels de synchronisation AD Office 365 :
Get-ADSyncScheduler
Forcer une synchronisation delta pour synchroniser uniquement les modifications apportées depuis la dernière synchronisation réussie :
Start-ADSyncSyncCycle -PolicyType Delta
Forcer une synchronisation complète pour synchroniser toutes les données :
Start-ADSyncSyncCycle -PolicyType Initial
Changer l’intervalle de synchronisation AD d’Office 365 à 10 minutes :
Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:10:00
Gardez à l’esprit que la synchronisation manuelle de l’AD d’Office 365 ne synchronise pas les mots de passe des utilisateurs. Dans ce cas, essayez de redémarrer le service de synchronisation AD d’Office 365 sur un serveur local exécutant Azure AD Connect, puis vérifiez que les informations d’identification sont correctes.
Recommandations de configuration
Protégez un serveur sur lequel Azure AD Connect est installé. Restreignez l’accès aux utilisateurs qui ne sont pas administrateurs sur le serveur exécutant Azure AD Connect. Utilisez des mots de passe forts pour protéger les comptes de service utilisés par cet outil de synchronisation Active Directory. Connaissant la puissance de cet outil, des mots de passe forts sont essentiels dans les cas où quelqu’un obtient l’accès au serveur exécutant la synchronisation AD. Vous pouvez ajouter des utilisateurs de confiance au groupe ADSyncAdmins pour une gestion pratique de l’accès.
Vérifiez les groupes que vous allez synchroniser de l’AD sur site vers Azure AD et Office 365. Tous les groupes ne doivent pas être synchronisés. Il peut y avoir des groupes inutiles dans le cloud ou qui n’ont aucune raison d’être synchronisés pour des raisons de sécurité ou de productivité. Filtrez les groupes de sécurité et les groupes de distribution qui ne sont pas pertinents pour Microsoft 365 et les environnements cloud Azure. Excluez tous les groupes d’administrateurs de la synchronisation de l’Active Directory d’Office 365.
Ne considérez pas la synchronisation d’Active Directory Office 365 avec la synchronisation d’Azure AD comme une solution de sauvegarde. Certains attributs des objets dans le cloud sont uniques, par exemple, les informations de licence concernant les utilisateurs d’Office 365. Si ces informations spécifiques sont supprimées dans le cloud, vous ne pouvez pas récupérer ces informations en exécutant la synchronisation d’Active Directory Office 365 à partir de l’Active Directory local. La synchronisation de l’Active Directory local vers Azure n’est pas la même chose que la sauvegarde de l’Active Directory et du contrôleur de domaine. Utilisez des outils spéciaux et des solutions de sauvegarde pour protéger vos contrôleurs de domaine Active Directory exécutés sur site et les données Office 365 dans le cloud.
Sauvegarde Office 365 et sauvegarde Active Directory
Vous devriez exécuter régulièrement une sauvegarde d’Office 365 et stocker ces sauvegardes dans un endroit sûr. La sauvegarde d’Office 365 devrait contenir les données nécessaires des applications Office telles que la messagerie Exchange Online, OneDrive et SharePoint. Les données Office 365 sont stockées dans le cloud, mais si certaines de ces données sont corrompues par un rançongiciel ou supprimées accidentellement, avoir une sauvegarde peut être le seul moyen de récupérer ces données, surtout si vous remarquez la perte de données quand il est trop tard.
Active Directory est un système de gestion centralisé dans un réseau Windows. L’indisponibilité d’un contrôleur de domaine Active Directory peut paralyser les opérations dans une entreprise. Sauvegardez les contrôleurs de domaine Active Directory exécutés sur site pour rendre possible la récupération des données en cas de catastrophe. Préférez utiliser des solutions de sauvegarde tierces dédiées qui prennent en charge la sauvegarde consciente des applications lors de la sauvegarde des serveurs en cours d’exécution avec des applications en cours d’exécution.
NAKIVO Backup & Replication est une solution de protection des données pour les PME et les entreprises qui prend en charge la sauvegarde dans le cloud de Office 365, y compris des applications telles que Exchange Online, SharePoint Online, Microsoft Teams et OneDrive for Business. Vous pouvez sauvegarder plusieurs locataires Office 365, sélectionner tous les utilisateurs ou des utilisateurs personnalisés, et récupérer les éléments dont vous avez besoin de manière granulaire.
NAKIVO Backup & Replication prend en charge la sauvegarde des serveurs physiques, y compris les serveurs Windows qui agissent en tant que contrôleurs de domaine Active Directory, et peut effectuer une sauvegarde de l’Active Directory. La prise en charge de la sauvegarde sensible aux applications vous permet de sauvegarder les contrôleurs de domaine et d’avoir des données cohérentes avec les applications dans une sauvegarde. La récupération granulaire est également prise en charge pour la sauvegarde des serveurs physiques.
Conclusion
Les organisations qui migrent vers le cloud le font uniquement partiellement. Elles continuent d’utiliser les services Active Directory sur site en combinaison avec des services cloud. Cela est connu sous le nom d’environnement hybride. Une option de synchronisation d’Office 365 avec AD permet aux organisations de configurer des environnements hybrides et de synchroniser les comptes d’utilisateurs et les options d’authentification entre l’AD sur site et l’AD Azure.
La synchronisation de l’Active Directory Office 365 peut être effectuée avec Azure AD Connect, un outil natif développé par Microsoft. Vous devez préparer votre Active Directory local, configurer les paramètres de domaine pour le domaine local et le domaine externe lié à votre locataire Office 365, et configurer les options de synchronisation de l’annuaire Office 365 dans AD Connect. L’intégration de l’Active Directory Office 365 permet aux utilisateurs d’utiliser les mêmes identifiants pour les environnements Windows locaux et dans Office 365.
Source:
https://www.nakivo.com/blog/a-step-by-step-guide-to-setting-up-office-365-ad-sync/