Installer et configurer la synchronisation d’annuaire avec Microsoft Entra Connect
Microsoft Entra Connect nécessite un ordinateur joint au domaine pour héberger le service de synchronisation. La plupart des organisations déploient un serveur dédié à la synchronisation.
Exigences
Une fois que vous avez configuré Azure avec un locataire Active Directory, vous devez effectuer les tâches principales pour déployer la synchronisation d’annuaire en suivant les étapes ci-dessous :
- Ajouter votre domaine AD DS dans Azure, vérifier le domaine, puis définir ce domaine comme domaine principal.
- Télécharger et installer Microsoft Entra Connect.
- Exécuter l’assistant de configuration de Microsoft Entra Connect. (Optionnellement, vous pouvez configurer Microsoft Entra Connect pour synchroniser des unités d’organisation (OU) spécifiques dans l’environnement AD DS local).
- Activer les fonctionnalités optionnelles telles que la synchronisation de hachage de mot de passe, la réécriture de mot de passe, et le déploiement hybride Exchange.
- Exécuter Microsoft Entra Connect, et le laisser configurer l’environnement pour la synchronisation d’annuaire.
- Valider les résultats de la synchronisation.
Après avoir configuré Microsoft Entra Connect et effectué la synchronisation initiale, vous pouvez reconfigurer les options de synchronisation si nécessaire. L’installation du logiciel Microsoft Entra Connect inclut plusieurs applications liées à la synchronisation d’annuaire. Lors de l’exécution, vous pouvez choisir :
- Une installation Express, qui configure la synchronisation avec les paramètres les plus couramment utilisés.
- Une installation personnalisée, qui permet de personnaliser les options de configuration.
Options d’installation personnalisée
Au début de l’installation personnalisée, vous pouvez :
- Utiliser un serveur SQL personnalisé au lieu d’une base de données locale.
- Utiliser un compte de service existant au lieu de celui créé automatiquement.
- Spécifier des groupes de synchronisation personnalisés.
Par défaut, Microsoft Entra Connect crée les groupes suivants :
Administrators, Operators, Browse, et Password Reset, mais vous pouvez utiliser vos propres groupes personnalisés.
Modes de synchronisation
Par défaut, Microsoft Entra Connect configure la synchronisation de hachage de mot de passe. En installation personnalisée, vous pouvez aussi choisir :
- Fédération avec AD FS
- Authentification par transmission directe (pass-through authentication)
- Ou configurer manuellement la synchronisation si vous utilisez un serveur de fédération non-Microsoft ou une autre solution existante.
Méthodes d’identification des utilisateurs
L’installation personnalisée permet aussi de choisir la méthode d’identification des utilisateurs. Par défaut, l’assistant suppose que les utilisateurs sont représentés une seule fois dans tous les annuaires. Si les identités existent dans plusieurs annuaires, vous devez choisir l’attribut de correspondance :
| Option | Description |
|---|---|
| Attribut mail | Associe les utilisateurs et les contacts si l’attribut mail a la même valeur dans différents forêts. |
| ObjectSID et msExchangeMasterAccountSID | Associe un utilisateur activé dans une forêt de comptes avec un utilisateur désactivé dans une forêt de ressources Exchange. Aussi appelé boîte aux lettres liée. |
| sAMAccountName et mailNickname | Associe des attributs supplémentaires dans les emplacements où l’ID de connexion de l’utilisateur est attendu. |
| Mon propre attribut | Permet de sélectionner un attribut personnalisé. |
| Source Anchor | Attribut immuable pendant la durée de vie de l’objet utilisateur. Il sert de clé primaire pour lier l’objet utilisateur local à celui dans Microsoft Entra ID. Le choix par défaut est objectGUID, car il ne change que si le compte est déplacé entre forêts ou domaines. |
Vous pouvez aussi configurer l’attribut UserPrincipalName, utilisé par les utilisateurs pour se connecter à Microsoft Entra ID. Les suffixes UPN doivent être vérifiés dans Microsoft Entra ID avant de synchroniser les objets utilisateur.
Synchronisation partielle des utilisateurs
Dans certains cas, vous pouvez vouloir synchroniser seulement un sous-ensemble d’utilisateurs depuis votre AD DS local. Microsoft Entra Connect permet de sélectionner un groupe spécifique d’utilisateurs à synchroniser vers Microsoft Entra ID. Ce groupe doit être créé avant d’exécuter Microsoft Entra Connect. Après la configuration, vous pouvez ajouter ou supprimer des utilisateurs de ce groupe pour gérer les objets synchronisés.
Vous pouvez également utiliser des OU locales comme périmètre de réplication.
Dans la dernière étape, Microsoft Entra Connect vous permet de configurer certaines fonctionnalités optionnelles disponibles dans Microsoft Entra ID P1 ou P2.
