Lorsque vous décidez de migrer vers le solutions Cloud de Microsoft – que ce soit pour Office 365 ou bien Azure, vous aurez sans aucun doute besoin du composant Azure AD Connect.
Nous avons déjà parlé à plusieurs reprises de ce composant – il vous permet de synchroniser les comptes et groupes depuis votre ADDS local vers Azure Active Directory dans le Cloud.
Fin 2019, vous avez peut-être entendu parlé d’un nouveau composant qui s’appelle Azure AD Connect Cloud Provisioning. Il s’agit d’une alternative qui vous permet de synchroniser vos comptes et groupes de la même façon qu’avec l’AAD Connect mais en allégeant les besoins en termes d’infrastructure et en simplifiant la configuration. Au moment, où j’écris cet article la fonctionnalité est toujours en Preview. Il convient donc de bien vérifier les limitations et si elle peut convenir pour vous avant de l’utiliser dans un scénario de Production. 😉
Déploiement de Azure AD Connect – Cloud Provisioning (agent)
Tout se déploie directement depuis votre portail Azure. Pour cela, il suffit de vous rendre dans la module Azure Active Directory, puis Azure AD Connect dans les options sur la gauche.
Vous aurez alors accès au lien Gérer le provisionnement (préversion).
Cliquez sur Télécharger l’agent pour récupérer l’exécutable qui va vous permettre d’installer l’agent Cloud Provisioning.
Acceptez les termes de la licence puis cliquez sur le bouton Install. Vous devez disposer d’un compte Global Administrator sur votre Tenant afin de pouvoir aller plus loin dans la configuration.
Une fois dans l’assistant, vous allez reconnaître les fenêtres de l’AAD Connect. Vous devrez ajouter le ou les domaines Active Directory que vous souhaitez synchroniser. Cliquez sur le bouton Add Directory et indiquez le compte de service qui sera utilisé pour accéder au domaine pour lequel vous souhaitez synchroniser les objets (utilisateurs, groupes).
Une fois que vous avez tous les domaines dont vous avez besoin, cliquez sur Next.
C’est (déjà) terminé. L’agent qui fonctionnera au sein de votre infrastructure on-premises ne nécessite pas de plus amples configurations. Il doit en revanche pouvoir communiquer sur les ports http/https (80/TCP et 443/TCP) avec le portail Azure. Cliquez sur Confirm pour configurer l’agent.
Le reste de la configuration va s’effectuer directement depuis le portail Azure. Cliquez sur Exit lorsque vous avez terminé.
Après quelques secondes, vous devriez voir sur le portail Azure Active Directory que le serveur où se trouve votre agent a été détecté et et prêt à être configuré. C’est donc le portail Azure qui va opérer votre Agent.
Pour des questions de résilience et de haute-disponibilité, vous pouvez également choisir de déployer cet agent sur plusieurs serveurs de votre infrastructure.
Configuration de la synchronisation depuis le portail
Choisissez le domaine à configurer. Si vous en avez plusieurs, vous devrez configurer chacun d’entre eux. Dans mon cas, je choisi mon unique domaine contoso.com, je garde la case cocher pour Activer la synchronisation de hachage du mot de passe puis je clique sur Créer.
Il est essentiel de comprendre qu’il s’agit encore d’une pré-version et que par conséquent il y a d’importantes limitations. Typiquement, seule la méthode de Password Hashed Synchronization est disponible – au moment où je rédige cet article. Il convient donc de bien vérifier que cela pourra remplir vos besoins !
Nous allons maintenant pouvoir personnaliser (un peu) la manière dont nous souhaitons synchroniser notre ADDS on-prem avec Azure Active Directory.
Dans un premier temps, vous pouvez choisir si vous souhaitez synchroniser uniquement les objets qui seraient membres de groupes ou OU spécifiques. Ou bien, si comme moi, vous allez synchroniser tout votre Active Directory.
J’ai choisi de tout synchroniser dans mon cas d’usage mais ce scénario ne conviendrait pas pour de la Prod. Il convient de ne synchroniser QUE ce dont vous avez besoin dans le Cloud.
Dans l’étape 2, vous pourrez éventuellement modifier les attributs que vous souhaitez synchroniser (ou non). La configuration par défaut conviendra à 99% des besoins. Il n’y a donc normalement pas de raison de changer quelque-chose ici.
Etape 3, vous pouvez indiquer une adresse email pour suivre l’évolution des synchronisations. Mais c’est facultatif. Vous pouvez par exemple mettre la liste de distribution de votre département informatique.
Enfin, l’étape 4 consiste à activer notre configuration pour démarrer notre première synchronisation. Sélectionnez l’option Activer sur le curseur violet puis n’oubliez pas d’Enregistrer l’ensemble de votre configuration sur le bouton qui se trouve tout en haut à gauche.
C’est terminé pour la configuration. Vous pouvez vérifier le statut de votre nouvel agent de synchronisation Cloud Provisioning.
Vérifier les résultats de la synchronisation
Pour voir comment se passe votre synchronisation cliquez sur le bouton Journaux.
Vous verrez ainsi les détails des objets qui ont pu être synchronisés vers votre Azure Active Directory – ainsi que ceux pour lesquels cela a posé problème.
Dans mon cas, j’ai eu des soucis car mon domaine dispose déjà d’une AAD Connect « classique » en cours de fonctionnement. Donc certains objets avaient déjà été poussés vers Azure AD (d’où les erreurs pour certains d’entre-eux).
Plus visuel, vous pouvez également vérifier l’apparition de vos objets directement dans Azure Active Directory (dans les Users et Groups).
Conclusion
Pour être tout à fait transparent, cette fonctionnalité bien qu’intéressante ne présente que peu d’intérêt à mes yeux – en tout cas dans son implémentation actuelle. Elle dispose de bien trop peu d’options comparativement à l’AAD Connect qui offre bien plus de possibilités en termes de configuration :
- Pas de fonctionnalité PowerShell pour par exemple forcer une synchro manuelle ;
- Pas de Password Writeback ou de gestion des Devices ou des Groups (certes pour l’instant) ;
- Pas de support de PTA puisque pour l’instant la seule option que vous aurez c’est Password Hashed Synchronization;
- …
Sachez néanmoins que cet outil peut être combiné à l’AAD Connect standard. Il peut donc s’avérer utile pour les forêts ou domaines qui ne peuvent pas être connectées à l’AAD Connect. Plus d’informations sur cette cohabitation en suivant le lien suivant sur le Technet.
Lire également :
- Prérequis pour Azure AD Connect – Cloud Provisioning (Windows Server 2012 R2 minimum avec .NET 4.7.1 + Runtime et les ports 80/TCP + 443/TCP ouverts).
- Installer l’agent de provisionnement cloud Azure AD Connect
- Voir également : Azure AD Connect Cloud Provisioning. The new feature that may come in handy!
N’hésitez pas utiliser les commentaires pour toute(s) question(s) ! 😉
