You are here: Home Microsoft 365 La synchronisation Active Diretory avec Azure Cloud Implémentation de la synchronisation des répertoires avec Azure AD Connect Exigences azure AD Connect
« La chose la plus difficile à comprendre au monde c’est l’impôt sur le revenu ! »
Exigences azure AD Connect
Azure AD Connect est le successeur de synchronisation d’annuaires de DirSync, Azure AD Sync et Microsoft Forefront Identity Manager. L’outil Azure AD Connect est configuré pour synchroniser les objets utilisateur, de groupe, de contact et d’ordinateur de votre AD DS local à Microsoft 365. Cette configuration hors des sentiers battus explique pourquoi Azure AD Connect est appelée appliance logicielle (définissez et oubliez).
Les sections suivantes examinent les exigences relatives à l’implémentation d’Azure AD Connect.
Déterminez le nombre d’objets de votre domaine. Par défaut, un répertoire Azure AD permet 50.000 objets. Comme nous l’avons vu précédemment dans le module, lorsque vous vérifiez votre domaine, la limite passe à 300.000 objets. Si vous avez besoin d’encore plus d’objets dans Azure AD, vous devez ouvrir un cas de support pour que la limite soit augmentée encore davantage. Si vous avez besoin de plus de 500.000 objets, vous aurez besoin d’une licence telle que Microsoft 365, Azure AD Basic, Azure AD Premium ou Enterprise Mobility Suite.
Azure AD Connect exige que la version du schéma AD et le niveau fonctionnel de la forêt soient Windows Server 2003 ou plus récents. Azure AD Connect prend en charge une seule forêt AD DS avec des paramètres express et prend en charge plusieurs scénarios de forêt AD DS et plusieurs organisations Exchange avec des paramètres personnalisés. Le scénario avec plusieurs forêts sera discuté plus tard dans cette leçon.
Remarque : à l’aide d’Azure AD Connect pour Forefront Identity Manager 2010 R2 ou ultérieure, l’utilisation d’Azure AD Connect avec un service d’annuaire non Microsoft et l’installation d’Azure AD Connect sur un ordinateur non Windows sont toutes hors portée de ce cours.
Pour s’intégrer à Azure AD Connect, les contrôleurs de domaine Active Directory doivent exécuter l’un des systèmes d’exploitation suivants :
Vous devez tenir compte des exigences suivantes pour déterminer où installer Azure AD Connect :
Lors de l’installation d’Azure AD Connect, vous devrez sélectionner un attribut AD DS pour l’ancre source. Cet attribut, qui est également appelé sourceAnchor, doit être un attribut immuable pendant la durée de vie d’un objet utilisateur, car il est le lien entre AD DS et Azure AD locaux. Dans la plupart des scénarios, il s’agit généralement de l’objetGUID. Cet attribut ne changera pas à moins que le compte d’utilisateur ne soit déplacé entre les forêts/domaines. Toutefois, dans un scénario multi-forêts où vous déplacez des comptes d’utilisateurs entre les forêts, un autre attribut doit être utilisé, tel qu’un attribut avec l’employeeID.
Attention : Les attributs à éviter sont ceux qui changeraient si une personne se marie ou change d’affectation. D’autres attributs qui ne peuvent pas être utilisés incluent des attributs avec un signe @ ; par conséquent, le courrier électronique et userPrincipalName ne peuvent pas être utilisés.
Système d’exploitation et exigences logicielles de support
Azure AD Connect nécessite les versions Windows Server suivantes (édition 64 bits uniquement) :
En outre, Azure AD Connect nécessite les conditions préalables logicielles suivantes :
Azure AD Connect utilise les comptes suivants pour synchroniser les informations d’AD DS locale à Azure AD :
Les comptes suivants sont nécessaires pour installer Azure AD Connect :
Azure AD Connect utilise le compte Azure AD Global Administrator pour fournir et mettre à jour des objets dans le locataire Microsoft 365 lorsque vous initiez la synchronisation d’annuaire. Si vous créez un compte de service dédié dans Microsoft 365 pour la synchronisation d’annuaires à la place du compte d’administrateur de locataire Microsoft 365, il est important de désactiver l’expiration par défaut de mot de passe de 90 jours ; dans le cas contraire, le service de synchronisation cessera de fonctionner à l’expiration du mot de passe pour le compte d’administrateur de locataire Microsoft 365. Dans ce scénario, vous devez reconfigurer Azure AD Connect pour mettre à jour le mot de passe.
Pour désactiver l’expiration du mot de passe du compte de service dans Microsoft 365 à l’aide du module Azure Active Directory pour Windows PowerShell, tapez la commande suivante, puis appuyez sur Entrée :
Set-MsolUser -UserPrincipalName service account@domain.onmicrosoft.com -PasswordNeverExpires $true
Le compte utilisé pour configurer Azure AD Connect et exécuter l’Assistant configuration doit résider dans le groupe local ADSyncAdmins sur l’ordinateur Azure AD Connect ; par défaut, le compte utilisé pour installer Azure AD Connect (le compte Administrateur d’entreprise) est automatiquement ajouté à ce groupe pendant l’installation.
Le compte Administrateur d’entreprise n’est requis que lors de l’installation et de la configuration d’Azure AD Connect, et les informations d’identification de l’administrateur d’entreprise ne sont pas stockées ou enregistrées par l’Assistant configuration.
Le compte Administrateur d’entreprise est requis pour :
Remarque : étant donné qu’il présente un risque de sécurité avec le compte de service qu’il utilise, Azure AD Connect ne prend pas en charge l’utilisation d’un compte de service géré de groupe pour se connecter à vos environnements AD DS locaux. Par défaut, Azure AD Connect crée des comptes de service avec un minimum de privilèges, mais avec des mots de passe non inspirants sur l’ordinateur qui exécute Azure AD Connect, et dans le DS AD local et le locataire Azure AD.
Lors d’une configuration Azure AD Connect, vous pouvez activer la fonctionnalité de déploiement hybride Exchange. Précédemment connue sous le nom de riche coexistence, cette fonctionnalité permet la coexistence des boîtes aux lettres Exchange à la fois sur place et dans Azure en synchronisant un ensemble spécifique d’attributs d’Azure AD dans le DS AD local. Pendant le déploiement, le compte Administrateur d’entreprise crée automatiquement un groupe MSOL_Active Directory_Sync_RichCoexistence dans le conteneur CN=Users du domaine racine. De plus, le compte Administrateur d’entreprise déléguera les autorisations d’écriture pour certains attributs AD DS qui écrivent de l’annonce Azure à la DS AD locale. Ces attributs ont été couverts plus tôt dans ce module.
Les comptes suivants sont créés dans l’AD DS local pendant la configuration Azure AD Connect :
Remarque : ne modifiez pas ce compte de service après l’installation d’Azure AD Connect, car la synchronisation d’annuaire tentera d’utiliser le compte de service créé pendant l’installation. Si le compte est modifié, la synchronisation d’annuaire cessera de s’exécuter et les synchronisations d’annuaire planifiées ne se produiront plus.
Azure AD Connect nécessite une base de données SQL Server pour stocker des données d’identité. Par défaut, un SQL Server 2012 Express LocalDB (une version légère de SQL Server Express) est installé et le compte de service du service est créé sur l’ordinateur local. SQL Server Express dispose d’une limite de base de données de 10 Go, ce qui vous permet de gérer environ 100 000 objets. Dans les grands déploiements, vous devrez peut-être gérer un volume d’objets plus élevé. Dans ce scénario, vous devez configurer Azure AD Connect sur une version complète de SQL Server. Azure AD Connect prend en charge toutes les versions de SQL Server, de SQL Server 2014 à SQL Server 2008 (avec SP4 ou version ultérieure).
Lors du déploiement sur une version différente de SQL Server, les droits SQL Server sont nécessaires pour créer la base de données utilisée par Azure AD Connect et activer le compte de service SQL avec le rôle de db_owner. Vous pouvez y parvenir en vous assurant que le compte utilisé pour installer Azure AD Connect dispose de l’autorisation sysadmin de la base de données SQL et que le compte de service utilisé pour exécuter Azure AD Connect dispose d’une autorisation publique à la base de données utilisée par Azure AD Connect