Installer et configurer Azure AD Connect pour synchroniser votre AD avec Office 365

Je ne vais pas rappeler les prérequis nécessaires à Azure AD Connect. Toutes les informations peuvent être retrouvées directement sur le site de Microsoft à l’adresse suivante.

L’objectif est d’installer puis de configurer Azure AD Connect afin de synchroniser vos comptes utilisateurs et groupes (dans votre AD on-prem) vers Office 365. 🙂

Installation de Azure AD Connect

Commencez par télécharger la dernière version directement sur le site de Microsoft en cliquant sur le lien suivant. Une fois que c’est fait cliquez sur l’exécutable et démarrez l’installation sur le serveur.

L’objectif de cette démo est qu’elle soit visuelle. Il devrait donc y avoir de nombreuses captures d’écran. Lorsque je ne donne aucune information particulière, considérez que vous devez opter pour les réglages par défaut.

Azure AD Connect - License terms
Acceptez le contrat de licence et cliquez sur Continue.
Express Settings - Azure AD Connect
Express Settings – Azure AD Connect

Dans notre exemple, nous allons choisir l’option Customize afin de passer en revue l’ensemble des fonctionnalités de AAD Connect. Vous verrez qu’il n’y a rien de complexe. 🙂

Required Components
Required Components

Je vous recommande d’utiliser les options par défaut. Il n’est pas nécessaire de déployer un serveur SQL séparé pour AAD Connect.

Azure AD Connect - Méthodes d'authentification
Azure AD Connect – Méthodes d’authentification

C’est peut-être le seul réglage sur lequel vous allez à voir un choix structurant à réaliser ! Vous devez choisir la méthode d’authentification que vos utilisateurs utiliseront dans Office 365.

Jusqu’à il y a encore quelques mois, j’ai surtout rencontré le choix Federation with AD FS. Avec ce réglage, Microsoft ne réalise pas l’authentification dans son ensemble mais renvoi un token à votre infrastructure AD FS pour finaliser l’authentification d’un utilisateur. C’est bien, et ça marche mais cela va nécessairement alourdir votre infrastructure. Vous aurez en effet besoin du rôle AD FS ainsi qu’ d’un serveur WAP (Web Application Proxy). Et comme l’authentification devient critique, vous allez probablement doubler chaque serveur soit 2 serveurs AD FS et 2 serveurs WAP… Plus de serveurs, plus de MCO. 🙁

Je vous encourage à choisir la première option Password Hash Synchronization. C’est la plus rapide et la plus facile à mettre en place. N’oubliez jamais que Microsoft ne synchronise pas les mots de passe et ne connaîtra jamais les mots de passe de vos utilisateurs. En revanche, la synchronisation du hash permettra d’authentifier vos collaborateurs sans serveurs additionnels et ce mode vous permet également d’accéder aux options supplémentaires d’Azure Active Directory (par exemple : Azure AD Identity Protection).

Si vous avez besoin de peser le pour et le contre de chaque méthode, je vous encourage à consulter le diagramme ci-dessous (en anglais) ainsi que la page d’aide officielle de Microsoft en suivant ce lien.

Choix méthode d'authentification
Source : microsoft.com

En fonction de votre choix, les étapes de configurations décrites par la suite peuvent évoluer. Dans mon cas, j’ai donc choisi Password Hash Synchronization.

Indiquez un compte qui soit Global Administrator sur votre tenant Office 365.
Service Account
Choisissez un compte de service pour le moteur de synchronisation.

Vous allez avoir besoin d’un compte de service pour le moteur de synchronisation. Vous pouvez choisir de le créer via l’assistant ou d’utiliser un compte déjà existant. Dans tous les cas, le compte en question doit être au minimum membre du groupe Enterprise Admins afin de pouvoir gérer les synchronisations.

Ajout de l'annuaire à synchroniser
Ajout de l’annuaire à synchroniser
Vérification de la correspondance du nom de domaine
Vérification de la correspondance du nom de domaine

Important : Cette partie dépend de votre configuration. Il est évident qu’en termes d’expérience utilisateur, il est recommandé que votre domaine on-premise corresponde au domaine que vous avez configuré dans Office 365. Si ce n’est pas le cas, vous aurez le message suivant (en bas). Dans mon cas, mon domaine on-premise est akril.cloud tandis que mon domaine Office 365 est akril.co car il s’agit d’un Lab.

Vous pouvez ensuite choisir les éléments que vous souhaitez synchroniser en sélectionnant les OU concernées. Je vous recommande de réduire le périmètre à synchroniser afin de n’avoir que les objets utiles dans Office 365 et Azure Active Directory. A défaut, vous pouvez toujours synchroniser l’ensemble de votre forêt…

Dans mon cas, tous mes comptes utilisateurs et groupes sont rangés dans Groups et Users sous l’OU nommée AKRIL. 😉

Vous pouvez utiliser les options par défaut. Le source anchor sera le point de référence pour chaque objet synchronisé.

Utilisez les options par défaut.

Fonctionnalités optionnelles : dans mon cas, je sélectionne uniquement Password writeback afin que les utilisateurs puissent changer leurs mots de passe depuis Office 365 (et que le changement soit transmis à l’AD on-prem).

Activation du mode SSO pour Office 365 – Indiquez simplement votre compte Domain Admin.

Une fois la configuration terminée, vous pouvez choisir de lancer immédiatement une première synchronisation (ou non).

Si vous activez le mode staging mode – l’ensemble du processus d’analyse et de synchronisation est effectué – vous pouvez donc voir les éventuels problèmes MAIS aucune modification n’est effectuée dans Office 365 ou dans votre AD on-prem.

Il est fortement recommandé d’activer l’option Active Directory Recycle Bin – si ce n’est pas déjà le cas sur votre Active Directory. Cela vous permettra en effet de récupérer les objets AD que vous pourriez supprimés par erreur via AAD Connect.

C’est terminé. 🙂

Voir les objets synchronisés par AAD Connect

Votre première synchronisation doit déjà être en court (voir finalisée). Vous pouvez vous rendre dans votre portail Office 365 pour voir les nouveaux utilisateurs et groupes qui ont été synchronisés. 🙂

Notez que les comptes ne disposent pas de licence Office 365. Pour l’instant, ils sont tous Unlicensed. A vous d’assigner les licences Office 365 souhaitées pour que les collaborateurs puissent utiliser les services de Microsoft.

Groupes Office 365
Groupes Office 365

Troubleshooting

Une fois Azure AD Connect installé. Sachez qu’il existe 2 outils auxquels vous pouvez accéder sur le serveur :

  • Synchronization Rules Editor (pour le cas où vous devriez faire des règles avancées) ;
Synchronization Rules Editor
Synchronization Rules Editor
  • Synchronization Service (interface dans laquelle vous pouvez voir le statut des dernières synchronisations – et bien plus encore…). 😉
Synchronization Service Manager
Synchronization Service Manager

Pour pouvoir utiliser ces outils, vous devez être membre du groupe local (créé lors de l’installation d’Azure AD Connect) ADSyncAdmins. Si vous ne parvenez pas à ouvrir les outils, vérifiez que votre compte est bien membre de ce groupe (et si besoin effectuez un logoff/login).

Groupes créés automatiquement lors de l'installation d'Azure AD Connect
Groupes créés automatiquement lors de l’installation d’Azure AD Connect

Forcé de constater que depuis les DirSync et premières versions d’AAD Connect, le fonctionnement s’est grandement amélioré. Tout a été fait pour simplifier la démarche de synchronisation et pouvoir aller rapidement vers Office 365 (et Azure). 😉

Pour aller plus loin :
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-install-custom.