Print
Print Friendly, PDF & Email
Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives
 

Exigences azure AD Connect

  1. Exigences Azure AD
  2. Exigences relatives au domaine et à la forêt
  3. Autorisations et comptes
  4. Exigences de base de données

Azure AD Connect est le successeur de synchronisation d’annuaires de DirSync, Azure AD Sync et Microsoft Forefront Identity Manager. L’outil Azure AD Connect est configuré pour synchroniser les objets utilisateur, de groupe, de contact et d’ordinateur de votre AD DS local à Microsoft 365. Cette configuration hors des sentiers battus explique pourquoi Azure AD Connect est appelée appliance logicielle (définissez et oubliez).

Les sections suivantes examinent les exigences relatives à l’implémentation d’Azure AD Connect.

Exigences Azure AD

  • Avant de déployer Azure AD Connect dans votre environnement, les exigences suivantes doivent être remplies pour Azure AD :
  • Un abonnement Azure ou un abonnement d’essai Azure. Cela est uniquement nécessaire pour accéder au portail Azure et non pour l’utilisation d’Azure AD Connect. Si vous utilisez Microsoft 365, vous n’avez pas besoin d’un abonnement Azure pour utiliser Azure AD Connect, car le locataire Azure AD est fourni avec Microsoft 365. Si vous disposez d’une licence Microsoft 365, vous pouvez également utiliser le portail Microsoft 365 pour établir la synchronisation d’annuaires. Avec une licence Microsoft 365 payante, vous pouvez également entrer dans le portail Azure à partir du portail Microsoft 365.

  • Ajoutez et vérifiez le domaine que vous prévoyez d’utiliser dans Azure AD. Par exemple, si vous prévoyez d’utiliser Adatum.com pour vos utilisateurs, vous devrez vous assurer que le nom de domaine a été vérifié dans Microsoft 365 et que vous utilisez plus que le domaine par défaut, adatum.onmicrosoft.com.

Déterminez le nombre d’objets de votre domaine. Par défaut, un répertoire Azure AD permet 50.000 objets. Comme nous l’avons vu précédemment dans le module, lorsque vous vérifiez votre domaine, la limite passe à 300.000 objets. Si vous avez besoin d’encore plus d’objets dans Azure AD, vous devez ouvrir un cas de support pour que la limite soit augmentée encore davantage. Si vous avez besoin de plus de 500.000 objets, vous aurez besoin d’une licence telle que Microsoft 365, Azure AD Basic, Azure AD Premium ou Enterprise Mobility Suite.

Exigences relatives au domaine et à la forêt

Azure AD Connect exige que la version du schéma AD et le niveau fonctionnel de la forêt soient Windows Server 2003 ou plus récents. Azure AD Connect prend en charge une seule forêt AD DS avec des paramètres express et prend en charge plusieurs scénarios de forêt AD DS et plusieurs organisations Exchange avec des paramètres personnalisés. Le scénario avec plusieurs forêts sera discuté plus tard dans cette leçon.

Remarque : à l’aide d’Azure AD Connect pour Forefront Identity Manager 2010 R2 ou ultérieure, l’utilisation d’Azure AD Connect avec un service d’annuaire non Microsoft et l’installation d’Azure AD Connect sur un ordinateur non Windows sont toutes hors portée de ce cours.

Pour s’intégrer à Azure AD Connect, les contrôleurs de domaine Active Directory doivent exécuter l’un des systèmes d’exploitation suivants :

  • Windows Server 2003 Standard Edition ou Enterprise Edition avec Service Pack 1 (SP1) ou version ultérieure.
  • Si vous prévoyez d’utiliser la fonctionnalité de rédaction de mot de passe, les contrôleurs de domaine AD doivent se trouver sur Windows Server 2008 ou ultérieurement.

Vous devez tenir compte des exigences suivantes pour déterminer où installer Azure AD Connect :

  • Lorsque vous installez Azure AD Connect avec des paramètres express, l’ordinateur de synchronisation d’annuaire doit être membre d’un domaine. Pour les scénarios de forêt unique, cet ordinateur doit être joint à un domaine dans la même forêt qui sera synchronisé.
  • Lorsque vous installez Azure AD Connect avec des paramètres personnalisés, vous pouvez installer Azure AD Connect sur un ordinateur qui n’est pas joint à un domaine.
  • Bien qu’Azure AD Connect prend en charge l’installation sur les contrôleurs de domaine, il est recommandé d’utiliser un serveur membre pour Azure AD Connect dans les scénarios de production.

Lors de l’installation d’Azure AD Connect, vous devrez sélectionner un attribut AD DS pour l’ancre source. Cet attribut, qui est également appelé sourceAnchor, doit être un attribut immuable pendant la durée de vie d’un objet utilisateur, car il est le lien entre AD DS et Azure AD locaux. Dans la plupart des scénarios, il s’agit généralement de l’objetGUID. Cet attribut ne changera pas à moins que le compte d’utilisateur ne soit déplacé entre les forêts/domaines. Toutefois, dans un scénario multi-forêts où vous déplacez des comptes d’utilisateurs entre les forêts, un autre attribut doit être utilisé, tel qu’un attribut avec l’employeeID.

Attention : Les attributs à éviter sont ceux qui changeraient si une personne se marie ou change d’affectation. D’autres attributs qui ne peuvent pas être utilisés incluent des attributs avec un signe @ ; par conséquent, le courrier électronique et userPrincipalName ne peuvent pas être utilisés.
Système d’exploitation et exigences logicielles de support

Azure AD Connect nécessite les versions Windows Server suivantes (édition 64 bits uniquement) :

  • Windows Server 2008 ou ultérieure. Si vous prévoyez d’installer Azure AD Connect sur Windows Server 2008 ou Windows Server 2008 R2, assurez-vous d’appliquer les derniers correctifs à partir de Windows Update avant de démarrer l’Assistant Installation Azure AD Connect.
  • Si vous prévoyez d’utiliser la fonctionnalité de synchronisation des mots de passe, le serveur doit se trouver sur Windows Server 2008 R2 SP1 ou ultérieurement.

En outre, Azure AD Connect nécessite les conditions préalables logicielles suivantes :

  • Microsoft .NET Framework 4.5.1 ou ultérieure
  • Windows PowerShell 3.0 ou ultérieure
  • Module AD Windows Azure pour Windows PowerShell (version 64 bits)

Autorisations et comptes

Azure AD Connect utilise les comptes suivants pour synchroniser les informations d’AD DS locale à Azure AD :

  • Compte connecteur AD DS. Ce compte lit/écrit des informations sur Windows Server Active Directory.
  • Compte de service ADSync. Ce compte exécute le service de synchronisation et accède à la base de données SQL.
  • Compte Azure AD Connector. Ce compte écrit des informations sur Azure AD.

Les comptes suivants sont nécessaires pour installer Azure AD Connect :

  • Compte administrateur local. Utilisez ce compte si vous êtes l’administrateur qui installe Azure AD Connect et qui dispose d’autorisations d’administrateur local sur l’ordinateur.
  • Compte administrateur d’entreprise AD DS. Vous pouvez éventuellement utiliser ce compte pour créer le compte Connecteur AD DS mentionné précédemment.
  • Compte Administrateur global Azure AD. Utilisez ce compte pour créer le compte Azure AD Connector et configurer Azure AD.
  • Compte SQL Server SA (facultatif). Utilisez ce compte pour créer la base de données ADSync lors de l’utilisation de la version complète de SQL Server. Cet ordinateur SQL Server peut être local ou distant vers l’installation Azure AD Connect, et il peut s’agir du même compte que l’administrateur d’entreprise. L’administrateur SQL peut désormais fournir la base de données à partir de la bande et l’administrateur Azure AD Connect avec les droits de propriétaire de base de données peut alors l’installer.

Azure AD Connect utilise le compte Azure AD Global Administrator pour fournir et mettre à jour des objets dans le locataire Microsoft 365 lorsque vous initiez la synchronisation d’annuaire. Si vous créez un compte de service dédié dans Microsoft 365 pour la synchronisation d’annuaires à la place du compte d’administrateur de locataire Microsoft 365, il est important de désactiver l’expiration par défaut de mot de passe de 90 jours ; dans le cas contraire, le service de synchronisation cessera de fonctionner à l’expiration du mot de passe pour le compte d’administrateur de locataire Microsoft 365. Dans ce scénario, vous devez reconfigurer Azure AD Connect pour mettre à jour le mot de passe.

Pour désactiver l’expiration du mot de passe du compte de service dans Microsoft 365 à l’aide du module Azure Active Directory pour Windows PowerShell, tapez la commande suivante, puis appuyez sur Entrée :

Set-MsolUser -UserPrincipalName service account@domain.onmicrosoft.com -PasswordNeverExpires $true

Le compte utilisé pour configurer Azure AD Connect et exécuter l’Assistant configuration doit résider dans le groupe local ADSyncAdmins sur l’ordinateur Azure AD Connect ; par défaut, le compte utilisé pour installer Azure AD Connect (le compte Administrateur d’entreprise) est automatiquement ajouté à ce groupe pendant l’installation.

Le compte Administrateur d’entreprise n’est requis que lors de l’installation et de la configuration d’Azure AD Connect, et les informations d’identification de l’administrateur d’entreprise ne sont pas stockées ou enregistrées par l’Assistant configuration.

Le compte Administrateur d’entreprise est requis pour :

  • Créez le compte de service de domaine MSOL_id dans le conteneur CN=Users du domaine racine.
  • Déléguer les autorisations suivantes pour MSOL_id sur chaque partition de domaine dans la forêt
    • Réplication des modifications d’annuaire
    • La réplication du répertoire modifie tous les
    • Synchronisation de réplication

Remarque : étant donné qu’il présente un risque de sécurité avec le compte de service qu’il utilise, Azure AD Connect ne prend pas en charge l’utilisation d’un compte de service géré de groupe pour se connecter à vos environnements AD DS locaux. Par défaut, Azure AD Connect crée des comptes de service avec un minimum de privilèges, mais avec des mots de passe non inspirants sur l’ordinateur qui exécute Azure AD Connect, et dans le DS AD local et le locataire Azure AD.

Lors d’une configuration Azure AD Connect, vous pouvez activer la fonctionnalité de déploiement hybride Exchange. Précédemment connue sous le nom de riche coexistence, cette fonctionnalité permet la coexistence des boîtes aux lettres Exchange à la fois sur place et dans Azure en synchronisant un ensemble spécifique d’attributs d’Azure AD dans le DS AD local. Pendant le déploiement, le compte Administrateur d’entreprise crée automatiquement un groupe MSOL_Active Directory_Sync_RichCoexistence dans le conteneur CN=Users du domaine racine. De plus, le compte Administrateur d’entreprise déléguera les autorisations d’écriture pour certains attributs AD DS qui écrivent de l’annonce Azure à la DS AD locale. Ces attributs ont été couverts plus tôt dans ce module.

Les comptes suivants sont créés dans l’AD DS local pendant la configuration Azure AD Connect :

  • MSOL_id. Ce compte est créé lors de l’installation d’Azure AD Connect et est configuré pour se synchroniser avec Azure AD. Le compte dispose d’autorisations de réplication d’annuaire dans votre AD DS local et d’une autorisation d’écriture sur certains attributs pour activer le déploiement hybride Exchange.
  • AAD_id. Il s’agit du compte de service du moteur de synchronisation et est créé avec un mot de passe complexe généré au hasard qui est configuré pour ne jamais expirer. Lorsque le service de synchronisation d’annuaire s’exécute, il utilise les informations d’identification du compte de service pour lire à partir de l’AD DS local, puis pour écrire le contenu de la base de données de synchronisation dans Azure AD à l’aide des informations d’identification de l’administrateur de locataire Microsoft 365 spécifiées lors de la configuration d’Azure AD Connect.

Remarque : ne modifiez pas ce compte de service après l’installation d’Azure AD Connect, car la synchronisation d’annuaire tentera d’utiliser le compte de service créé pendant l’installation. Si le compte est modifié, la synchronisation d’annuaire cessera de s’exécuter et les synchronisations d’annuaire planifiées ne se produiront plus.

Exigences de base de données

Azure AD Connect nécessite une base de données SQL Server pour stocker des données d’identité. Par défaut, un SQL Server 2012 Express LocalDB (une version légère de SQL Server Express) est installé et le compte de service du service est créé sur l’ordinateur local. SQL Server Express dispose d’une limite de base de données de 10 Go, ce qui vous permet de gérer environ 100 000 objets. Dans les grands déploiements, vous devrez peut-être gérer un volume d’objets plus élevé. Dans ce scénario, vous devez configurer Azure AD Connect sur une version complète de SQL Server. Azure AD Connect prend en charge toutes les versions de SQL Server, de SQL Server 2014 à SQL Server 2008 (avec SP4 ou version ultérieure).

Lors du déploiement sur une version différente de SQL Server, les droits SQL Server sont nécessaires pour créer la base de données utilisée par Azure AD Connect et activer le compte de service SQL avec le rôle de db_owner. Vous pouvez y parvenir en vous assurant que le compte utilisé pour installer Azure AD Connect dispose de l’autorisation sysadmin de la base de données SQL et que le compte de service utilisé pour exécuter Azure AD Connect dispose d’une autorisation publique à la base de données utilisée par Azure AD Connect

Print Friendly, PDF & Email
Active Directory Microsoft 365