« Un problème sans solution est un problème mal posé. »
Configuration d’un locataire pour la synchronisation d’annuaires
Avant d’utiliser la synchronisation d’annuaire pour initier la synchronisation, vous devez d’abord activer la synchronisation Active Directory dans Microsoft 365. Ce processus peut prendre jusqu’à 24 heures, il est donc important de planifier cette exigence avant le déploiement de synchronisation d’annuaire. Vous pouvez activer la synchronisation Active Directory dans le locataire Microsoft 365 via le Centre d’administration Microsoft 365 ou à l’aide de Windows PowerShell.
Conditions préalables de synchronisation d’annuaire
Avant d’implémenter la synchronisation d’annuaire, vous devez d’abord planifier les conditions préalables suivantes pour préparer votre environnement :
Planification de la synchronisation des répertoires
Lors de la planification de la synchronisation d’annuaires, les problèmes suivants doivent être pris en considération :
Identifiez les tâches de préparation AD DS sur place telles que les mises à jour d’attributs AD DS, les extensions de schéma et la nécessité d’une mise à niveau ADDS pour répondre aux exigences minimales de version pour le niveau fonctionnel de la forêt.
Introduction à la synchronisation d’annuaires
La synchronisation d’annuaire est la synchronisation des objets d’annuaire (utilisateurs,groupes, contacts et ordinateurs) entre votre environnement AD DS local et l’infrastructure d’annuaire Microsoft 365, Azure AD.
Bien que la synchronisation d’annuaires soit le plus couramment utilisée pour synchroniser les données avec Microsoft 365 par défaut, les nouvelles fonctionnalités permettent la synchronisation bidirectionnelle du répertoire Microsoft 365 à votre AD DSlocal. En plus des objets d’annuaire, la synchronisationd’annuaire synchronization peut également fournir la synchronisation bidirectionnelle des mots de passe d’utilisateur . Les outils de synchronisation d’annuaires , tels qu’Azure AD Connect, effectuent cette synchronisation et sont installés sur un ordinateur dédié dans votre environnement local.
Options d’authentification Microsoft 365
Grâce à une solution efficace de gestion de l’accès au compte, votre organisation peut suivre qui a accès aux informations de l’organisation. Le contrôle d’accès est une fonction essentielle d’un système d’approvisionnement centralisé en un seul point. Outre la protection des informations sensibles, les contrôles d’accès exposent les comptes existants qui ont des autorisations non approuvées ou qui ne sont plus nécessaires.
Les comptes de la plupart des systèmes informatiques (technologies de l’information) comprennent des centaines de paramètres qui définissent les autorités, et le système d’approvisionnement peut contrôler ces détails dans votre environnement. Les nouveaux utilisateurs peuvent être facilement identifiés avec le flux de données que vous établissez à partir du répertoire des ressources humaines. La capacité d’approbation des demandes d’accès initie les processus qui les approuvent ou rejettent.
Résolution des problèmes liés à la synchronisation des répertoires
Les tâches clés de dépannage pour la synchronisation d’annuaires incluent l’analyse des journaux pour les erreurs et l’assainissement des erreurs de synchronisation avec l’outil lui-même. Les problèmes typiques qui peuvent entraîner des problèmes sont les suivants :
Surveillance de la synchronisation des répertoires
Comme une pratique exemplaire, il est recommandé d’utiliser Microsoft System Center Operations Manager (Operations Manager) pour surveiller le serveur de synchronisation d’annuaire et les services tels que AD DS afin de vous assurer que les problèmes sont détectés et communiqués efficacement à tous les administrateurs responsables. Il est disponible en tant que Pack de gestion du Centre système pour Azure. En outre, si vous avez la licence requise, vous pouvez utiliser Azure AD Connect Health, comme décrit précédemment dans ce module.
Les sections suivantes décrivent les différents outils que vous pouvez utiliser pour surveiller la synchronisation d’annuaire.
Filtrage des objets dans Azure AD Connect
Dans la synchronisation Azure AD Connect, vous pouvez activer le filtrage à tout moment. Si vous avez déjà déployé les configurations par défaut de la synchronisation d’annuaire, puis activez le filtrage, les objets filtrés ne sont plus synchronisés avec Azure AD. Pour cette raison, tous les objets d’Azure AD qui étaient précédemment synchronisés mais qui ont ensuite été filtrés sont supprimés dans Azure AD. Si des objets ont été supprimés par inadvertance en raison d’une erreur de filtrage, vous pouvez recréer les objets dans Azure AD en supprimant vos configurations de filtrage, puis synchroniser à nouveau vos répertoires.
Avertissement : bien que vous puissiez activer plusieurs personnalisations de filtrage dans Azure AD Connect, Microsoft ne prend pas en charge toutes les modifications ou opérations de la synchronisation Azure AD Connect en dehors des actions officiellement documentées. L’une ou l’autre de ces actions peut entraîner un état incohérent ou non pris en charge de la synchronisation Azure AD Connect et, par conséquent, Microsoft ne peut pas fournir de support technique pour de tels déploiements.
Gestion des groupes avec synchronisation d’annuaires
Tout comme la synchronisation d’annuaires des utilisateurs d’AD DS à Azure AD local, les groupes (ainsi que leur appartenance) dans AD DS se synchronisent également à partir d’AD DS sur place à Azure AD. De même, à la fonctionnalité de rédaction utilisateur, la fonctionnalité de rédaction de groupe écrit également Microsoft 365 Groups d’Azure AD à AD DS local. Le processus utilisé par Azure AD Connect est très similaire pour les objets utilisateur et de groupe, et comporte plusieurs des mêmes limitations et mises en garde.
Remarque : La rédaction de Microsoft 365 Modern Groups vers AD DS local nécessite que votre serveur Exchange local soit sur la mise à jour cumulative Exchange 2013 8 (publiée en mars 2015) ou ultérieure, ou Exchange 2016 pour reconnaître ce nouveau type de groupe. La rédaction de groupe exige que la forêt AD DS exécute Windows Server 2012 R2 ou ultérieurement.
Gestion des utilisateurs avec synchronisation d’annuaire
Lorsque vous déployez azure AD Connect et activez la synchronisation planifiée, plusieurs tâches de gestion requises sont nécessaires pour vous assurer que les objets se synchronisent efficacement. Ceci est particulièrement important si vous souhaitez activer la synchronisation dans les deux sens.
Les utilisateurs peuvent désormais modifier leurs mots de passe via la page de connexion ou les paramètres utilisateur dans Microsoft 365 et les faire écrire à AD DS sur place. C’est ce qu’on appelle la rédaction de mot de passe. Pour activer la fonctionnalité de rédaction de mot de passe pour Azure AD Connect, vous devez activer l’option de récupération de mot de passe lors de l’installation d’Azure AD Connect, avec des paramètres personnalisés, puis exécuter les commandes Windows PowerShell suivantes sur le serveur Azure AD Connect.
Azure AD Connect Health vous aide à surveiller et à accéder à votre infrastructure d’identité locale et aux services de synchronisation disponibles via Azure AD Connect. Il vous permet également d’afficher les alertes, les performances du système, les modèles d’utilisation et les paramètres de configuration. Vous pouvez également utiliser Azure AD Connect Health pour maintenir une connexion fiable à Microsoft 365 à l’aide d’un agent installé sur les serveurs ciblés.
Le portail Azure AD Connect Health présente les informations récupérées auprès de l’agent. À l’aide du portail Azure AD Connect Health, vous pouvez afficher les alertes, la surveillance des performances et l’analyse d’utilisation. Ces informations sont dans un endroit facile à utiliser pour votre commodité.
Mise à niveau vers Azure AD Connect
Si vous avez déjà déployé DirSync, il est recommandé de passer à Azure AD Connect pour profiter des nouvelles fonctionnalités d’Azure AD Connect. Selon votre scénario de déploiement DirSync actuel, différentes options pour la mise à niveau vers Azure AD Connect :
Conseil : lorsque vous passez de DirSync à Azure AD Connect, ne désinstallez pas DirSync vous-même avant la mise à niveau. Azure AD Connect lira et migre la configuration à partir de DirSync et la désinstalle après avoir inspecté le serveur de synchronisation d’annuaire.
Paramètres de synchronisation personnalisée Azure AD Connect
Une autre option aux paramètres express consiste à installer Azure AD Connect avec des paramètres personnalisés. Cette option est bénéfique si vous avez des options de configuration supplémentaires ou avez besoin de fonctionnalités facultatives qui ne sont pas couvertes dans l’installation express. Les scénarios pour savoir quand sélectionner paramètres personnalisés incluent :
Lors de l’installation d’Azure AD Connect, vous pouvez choisir d’installer l’outil à l’aide de paramètres Express ou personnalisés. Les paramètres Express sont à la fois l’option recommandée et par défaut. Lors de l’installation d’Azure AD Connect à l’aide de paramètres express, l’outil déploie la synchronisation avec l’option de synchronisation des mots de passe. Il s’agit d’une seule forêt et permet à vos utilisateurs d’utiliser leur mot de passe local pour se connecter à Microsoft 365.
Exigences azure AD Connect
Azure AD Connect est le successeur de synchronisation d’annuaires de DirSync, Azure AD Sync et Microsoft Forefront Identity Manager. L’outil Azure AD Connect est configuré pour synchroniser les objets utilisateur, de groupe, de contact et d’ordinateur de votre AD DS local à Microsoft 365. Cette configuration hors des sentiers battus explique pourquoi Azure AD Connect est appelée appliance logicielle (définissez et oubliez).
Les sections suivantes examinent les exigences relatives à l’implémentation d’Azure AD Connect.
Introduction à Azure AD Connect
L’outil Azure AD Connect, anciennement connu sous le nom de synchronisation Active Directory Windows Azure, ou DirSync, est le dernier outil de synchronisation d’annuaire pris en charge par Microsoft 365. Pour Microsoft 365, l’outil a pour but de permettre la coexistence entre votre environnement Active Directory local et Microsoft 365 dans le cloud. Lorsque vous utilisez Azure AD Connect pour la synchronisation d’annuaires: