Je ne vais pas rappeler les prérequis nécessaires à Azure AD Connect. Toutes les informations peuvent être retrouvées directement sur le site de Microsoft à l’adresse suivante.
L’objectif est d’installer puis de configurer Azure AD Connect afin de synchroniser vos comptes utilisateurs et groupes (dans votre AD on-prem) vers Office 365. 🙂
Installation de Azure AD Connect
Commencez par télécharger la dernière version directement sur le site de Microsoft en cliquant sur le lien suivant. Une fois que c’est fait cliquez sur l’exécutable et démarrez l’installation sur le serveur.
L’objectif de cette démo est qu’elle soit visuelle. Il devrait donc y avoir de nombreuses captures d’écran. Lorsque je ne donne aucune information particulière, considérez que vous devez opter pour les réglages par défaut.
Dans notre exemple, nous allons choisir l’option Customize afin de passer en revue l’ensemble des fonctionnalités de AAD Connect. Vous verrez qu’il n’y a rien de complexe. 🙂
Je vous recommande d’utiliser les options par défaut. Il n’est pas nécessaire de déployer un serveur SQL séparé pour AAD Connect.
C’est peut-être le seul réglage sur lequel vous allez à voir un choix structurant à réaliser ! Vous devez choisir la méthode d’authentification que vos utilisateurs utiliseront dans Office 365.
Jusqu’à il y a encore quelques mois, j’ai surtout rencontré le choix Federation with AD FS. Avec ce réglage, Microsoft ne réalise pas l’authentification dans son ensemble mais renvoi un token à votre infrastructure AD FS pour finaliser l’authentification d’un utilisateur. C’est bien, et ça marche mais cela va nécessairement alourdir votre infrastructure. Vous aurez en effet besoin du rôle AD FS ainsi qu’ d’un serveur WAP (Web Application Proxy). Et comme l’authentification devient critique, vous allez probablement doubler chaque serveur soit 2 serveurs AD FS et 2 serveurs WAP… Plus de serveurs, plus de MCO. 🙁
Je vous encourage à choisir la première option Password Hash Synchronization. C’est la plus rapide et la plus facile à mettre en place. N’oubliez jamais que Microsoft ne synchronise pas les mots de passe et ne connaîtra jamais les mots de passe de vos utilisateurs. En revanche, la synchronisation du hash permettra d’authentifier vos collaborateurs sans serveurs additionnels et ce mode vous permet également d’accéder aux options supplémentaires d’Azure Active Directory (par exemple : Azure AD Identity Protection).
Si vous avez besoin de peser le pour et le contre de chaque méthode, je vous encourage à consulter le diagramme ci-dessous (en anglais) ainsi que la page d’aide officielle de Microsoft en suivant ce lien.
En fonction de votre choix, les étapes de configurations décrites par la suite peuvent évoluer. Dans mon cas, j’ai donc choisi Password Hash Synchronization.
Vous allez avoir besoin d’un compte de service pour le moteur de synchronisation. Vous pouvez choisir de le créer via l’assistant ou d’utiliser un compte déjà existant. Dans tous les cas, le compte en question doit être au minimum membre du groupe Enterprise Admins afin de pouvoir gérer les synchronisations.
Vous pouvez ensuite choisir les éléments que vous souhaitez synchroniser en sélectionnant les OU concernées. Je vous recommande de réduire le périmètre à synchroniser afin de n’avoir que les objets utiles dans Office 365 et Azure Active Directory. A défaut, vous pouvez toujours synchroniser l’ensemble de votre forêt…
Dans mon cas, tous mes comptes utilisateurs et groupes sont rangés dans Groups et Users sous l’OU nommée AKRIL. 😉
Vous pouvez utiliser les options par défaut. Le source anchor sera le point de référence pour chaque objet synchronisé.
Utilisez les options par défaut.
Fonctionnalités optionnelles : dans mon cas, je sélectionne uniquement Password writeback afin que les utilisateurs puissent changer leurs mots de passe depuis Office 365 (et que le changement soit transmis à l’AD on-prem).
Une fois la configuration terminée, vous pouvez choisir de lancer immédiatement une première synchronisation (ou non).
Si vous activez le mode staging mode – l’ensemble du processus d’analyse et de synchronisation est effectué – vous pouvez donc voir les éventuels problèmes MAIS aucune modification n’est effectuée dans Office 365 ou dans votre AD on-prem.
Il est fortement recommandé d’activer l’option Active Directory Recycle Bin – si ce n’est pas déjà le cas sur votre Active Directory. Cela vous permettra en effet de récupérer les objets AD que vous pourriez supprimés par erreur via AAD Connect.
C’est terminé. 🙂
Voir les objets synchronisés par AAD Connect
Votre première synchronisation doit déjà être en court (voir finalisée). Vous pouvez vous rendre dans votre portail Office 365 pour voir les nouveaux utilisateurs et groupes qui ont été synchronisés. 🙂
Notez que les comptes ne disposent pas de licence Office 365. Pour l’instant, ils sont tous Unlicensed. A vous d’assigner les licences Office 365 souhaitées pour que les collaborateurs puissent utiliser les services de Microsoft.
Troubleshooting
Une fois Azure AD Connect installé. Sachez qu’il existe 2 outils auxquels vous pouvez accéder sur le serveur :
- Synchronization Rules Editor (pour le cas où vous devriez faire des règles avancées) ;
- Synchronization Service (interface dans laquelle vous pouvez voir le statut des dernières synchronisations – et bien plus encore…). 😉
Pour pouvoir utiliser ces outils, vous devez être membre du groupe local (créé lors de l’installation d’Azure AD Connect) ADSyncAdmins. Si vous ne parvenez pas à ouvrir les outils, vérifiez que votre compte est bien membre de ce groupe (et si besoin effectuez un logoff/login).
Forcé de constater que depuis les DirSync et premières versions d’AAD Connect, le fonctionnement s’est grandement amélioré. Tout a été fait pour simplifier la démarche de synchronisation et pouvoir aller rapidement vers Office 365 (et Azure). 😉
Pour aller plus loin :
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-install-custom.