Print Friendly, PDF & Email
Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives
 

Paramètres de synchronisation personnalisée Azure AD Connect

Une autre option aux paramètres express consiste à installer Azure AD Connect avec des paramètres personnalisés. Cette option est bénéfique si vous avez des options de configuration supplémentaires ou avez besoin de fonctionnalités facultatives qui ne sont pas couvertes dans l’installation express. Les scénarios pour savoir quand sélectionner paramètres personnalisés incluent :

  • Quand vous avez plusieurs forêts.
  • Lorsque vous personnalisez votre option de connexion, telle que AD FS pour la fédération ou utilisez un fournisseur d’identité non Microsoft.
  • Lorsque vous personnalisez des fonctionnalités de synchronisation, telles que le filtrage et la rédaction.

 

En plus des composants requis qui sont installés dans le cadre des paramètres express, vous pouvez sélectionner les composants facultatifs suivants lors de l’installation avec Paramètres personnalisés :

  • Spécifiez un emplacement d’installation personnalisé. Ce composant facultatif vous permet de spécifier un emplacement différent pour installer Azure AD Connect.
  • Utilisez un serveur existant exécutant SQL Server. Ce composant facultatif vous permet de sélectionner un serveur de base de données existant.
  • Utilisez un compte de service existant ou créez-en un nouveau pour la synchronisation. Cette étape facultative vous permet de créer un nouveau compte de service. Si elle est sélectionnée, Azure AD Connect créera un compte de service local pour les services de synchronisation à utiliser. Le mot de passe est généré automatiquement et est inconnu de la personne qui installe Azure AD Connect. Si vous spécifiez un serveur distant exécutant SQL Server, vous aurez besoin d’un compte de service auquel vous connaissez le mot de passe. Vous pouvez également choisir d’utiliser un compte existant à cette fin.
  • Spécifiez des groupes de synchronisation personnalisés. Ce composant facultatif vous permet de spécifier les groupes de gestion existants pour Azure AD Connect. Par défaut, Azure AD Connect crée les groupes suivants sur le serveur lorsque les services de synchronisation s’installent : groupe Administrateurs, groupe Opérateurs, groupe Parcourir et groupe Password Reset. Utilisez cette option si vous préférez spécifier vos propres groupes. Les groupes doivent être sur le serveur et ne peuvent pas être dans le domaine.

Lors de l’installation d’Azure AD Connect avec des paramètres personnalisés, l’installateur vous permet d’activer les fonctionnalités suivantes :

  • Sélectionnez la méthode d’authentification unique. Cette fonctionnalité vous permet de spécifier la méthode SSO pour les utilisateurs. Les méthodes SSO incluent la synchronisation des mots de passe, l’authentification de passage, la fédération avec AD FS ou ne configurent pas. Vous pouvez également activer les options SSO, qui offre une expérience SSO pour les utilisateurs de bureau sur votre réseau d’entreprise.
  • Connectez plusieurs répertoires ou forêts sur place. Cette fonctionnalité vous permet de vous connecter à un ou plusieurs domaines ou forêts AD DS.
  • Correspondance à travers les forêts. Cette fonctionnalité vous permet de définir comment Azure AD représente les utilisateurs de vos forêts AD DS. Un utilisateur ne peut être représenté qu’une seule fois dans toutes les forêts ou avoir une combinaison de comptes activés et désactivés.
  • Sync filtrage basé sur les unités organisationnelles. Cette fonctionnalité vous permet d’exécuter un petit pilote où seul un petit sous-ensemble d’objets doit être créé dans Azure AD et Microsoft 365. Pour utiliser cette fonctionnalité, créez une unité d’organisation dans votre AD DS et ajoutez les utilisateurs et les groupes qui doivent se synchroniser avec Azure AD à l’unité d’organisation. Vous pouvez ajouter et supprimer ultérieurement des utilisateurs à ce groupe pour maintenir la liste des objets qui doivent être présents dans Azure AD.
  • Sélectionnez l’ancre source. Cette fonctionnalité vous permet de choisir la clé principale qui reliera l’utilisateur local à l’utilisateur dans Azure AD. Vous pouvez autoriser Azure à gérer l’ancre source ou sélectionner manuellement un attribut spécifique pour les liens utilisateur-objets.
  • Sélectionnez l’attribut de connexion. Cette fonctionnalité vous permet de choisir l’attribut que les utilisateurs utiliseront lorsqu’ils se connectent à Azure AD et Microsoft 365. En règle générale, il s’agit de l’attribut userPrincipalName. Mais si cet attribut n’est pas verroutable et ne peut pas être vérifié, il est possible de sélectionner un autre attribut ; par exemple, le courrier électronique, en tant qu’attribut détenant l’ID de connexion, connu sous le nom d’ID alternatif.
  • Filtrage des utilisateurs et des périphériques. La fonction de filtrage sur les groupes vous permet de synchroniser uniquement un petit sous-ensemble d’objets à des fins d’évaluation ou de pilote. Par défaut, tous les utilisateurs et périphériques des unités organisationnelles sélectionnées (OU) seront synchronisés.

Lorsque vous exécutez l’Assistant Azure AD Connect avec des paramètres personnalisés, vous pouvez sélectionner plusieurs fonctionnalités facultatives, notamment :

  • Exchange déploiement hybride. Cette fonctionnalité permet la coexistence des boîtes aux lettres Exchange à la fois sur site et dans Microsoft 365 en synchronisant un ensemble spécifique d’attributs d’Azure AD à votre AD DS local.
  • Dossiers publics Exchange Mail. Lorsque vous sélectionnez cette option, Azure AD Connect synchronise tous les dossiers publics activés par courrier à partir du DS AD sur site à Azure AD.
  • Filtrage de l’application et des attributs Azure AD. Cette fonctionnalité vous permet d’adapter l’ensemble d’attributs synchronisés à un ensemble spécifique basé sur les applications Azure AD.
  • Synchronisation de hachage de mot de passe. Vous pouvez activer cette fonctionnalité si vous avez sélectionné la fédération comme solution SSO. Vous pouvez ensuite utiliser la synchronisation des mots de passe comme option de sauvegarde.
  • Écriture de mot de passe. Avec cette fonctionnalité, les modifications de mot de passe provenant d’Azure AD sont écrites à votre AD DS local. Vous déployez généralement cette fonctionnalité lorsque vous souhaitez activer les utilisateurs pour la réinitialisation par mot de passe en libre-service de leurs mots de passe Azure AD.
  • Rédaction de groupe. Avec cette fonctionnalité facultative, si vous utilisez la fonctionnalité Groupes dans Microsoft 365, vous pouvez avoir ces groupes dans votre AD DS local en tant que groupe de distribution. Cette option n’est disponible que si vous avez déployé Exchange Server sur place.
  • Écriture de périphérique. Avec cette fonctionnalité, les objets de périphérique dans Azure AD sont écrits à votre AD DS local pour les scénarios d’accès conditionnel.
  • Synchronisation de l’attribut d’extension d’annuaire. Cette fonctionnalité, qui n’était pas disponible dans les versions précédentes de synchronisation d’annuaire, vous permet d’étendre le schéma dans Azure AD avec des attributs personnalisés ajoutés par votre organisation ou d’autres attributs dans votre AD DS local.

Après avoir sélectionné les fonctionnalités facultatives, l’installateur Azure AD Connect offre l’option de déployer une nouvelle batterie de serveurs Windows Server 2012 R2 ou AD FS ultérieure ou de sélectionner une batterie de serveurs Windows Server 2012 R2 ou AD FS existante. En outre, l’installateur Azure AD Connect vous offre la possibilité de configurer la relation de fédération entre AD FS et Azure AD. Il configure AD FS pour émettre des jetons de sécurité à Azure AD et configure Azure AD pour faire confiance aux jetons de cette instance AD FS spécifique.

Remarque : l’installateur Azure AD Connect vous permet uniquement de configurer l’approbation pour un seul domaine la première fois que vous exécutez l’Assistant installation. Vous pouvez configurer des domaines supplémentaires à tout moment après en ré-exécutant l’Assistant Installation Azure AD Connect.

Au cours des dernières étapes de l’installateur Azure AD Connect, vous avez la possibilité de démarrer automatiquement la synchronisation une fois l’installation terminée (bien que vous puissiez choisir de ne pas le faire). Vous avez également la possibilité d’activer le mode de mise en scène., ce qui vous permet de configurer un nouveau serveur de synchronisation d’annuaire en parallèle avec un serveur existant.

Alors que Microsoft 365 ne prend en charge qu’un seul serveur de synchronisation d’annuaire connecté à un répertoire Azure AD dans le cloud, si vous souhaitez passer d’un autre serveur - par exemple, un serveur exécutant DirSync - vous pouvez activer Azure AD Connect en mode de transit. Lorsqu’il est activé, le moteur de synchronisation importe et synchronise les données comme d’habitude, mais il n’exportera rien vers Azure AD, et il désactivera la synchronisation des mots de passe et la rédaction de mot de passe.

Pendant le mode de mise en scène, vous pouvez apporter les modifications requises au moteur de synchronisation et examiner ce qui est sur le point d’être exporté. Lorsque la configuration semble bonne, vous pouvez exécuter à nouveau l’Assistant installation et désactiver le mode de mise en scène. Cela permet d’exporter des données vers Azure AD.

Conseil : assurez-vous de désactiver l’autre serveur de synchronisation d’annuaire en même temps afin qu’un seul serveur exporte activement vers Azure AD.

Print Friendly, PDF & Email