Planifier l’intégration avec Microsoft Entra
Lorsque le personnel informatique de Contoso met en œuvre un service cloud ou une application dans leur environnement informatique, il souhaite généralement utiliser un répertoire d’identités unique pour les applications locales et celles basées sur le cloud. En utilisant la synchronisation d’annuaire, ils peuvent connecter leur AD DS local à Microsoft Entra ID.
Qu’est-ce que la synchronisation d’annuaire ?
La synchronisation d’annuaire permet la synchronisation entre AD DS local et Microsoft Entra ID pour les utilisateurs, groupes et contacts. Dans sa forme la plus simple, vous installez un composant de synchronisation d’annuaire sur un serveur dans votre domaine local. Vous fournissez ensuite un compte avec les autorisations Administrateur de domaine et Administrateur d’entreprise pour AD DS local, ainsi qu’un autre compte avec les autorisations administrateur pour Microsoft Entra ID, puis vous laissez le processus s’exécuter.
Les comptes utilisateurs, groupes et contacts que vous sélectionnez dans AD DS sont alors répliqués dans Microsoft Entra ID. Les utilisateurs peuvent ensuite utiliser ces comptes pour se connecter et accéder aux services Azure qui reposent sur Microsoft Entra ID pour l’authentification.
À moins d’activer la synchronisation des mots de passe, les utilisateurs auront un mot de passe distinct de celui de leur environnement local pour se connecter à une ressource Azure. Même si vous implémentez la synchronisation des mots de passe, les utilisateurs sont toujours invités à saisir leurs identifiants lorsqu’ils accèdent à une ressource Azure depuis un ordinateur joint au domaine. L’avantage de la synchronisation des mots de passe est que les utilisateurs peuvent utiliser le même nom d’utilisateur et mot de passe que pour leur connexion locale. Ne confondez pas cela avec le SSO. Le comportement fourni par la synchronisation des mots de passe est appelé connexion identique (same sign-in).
Avec Azure, le flux de synchronisation est unidirectionnel : de AD DS local vers Azure. Toutefois, avec les fonctionnalités Microsoft Entra ID P1 ou P2, certains attributs peuvent être répliqués dans l’autre sens. Par exemple, vous pouvez configurer Azure pour réécrire les mots de passe dans AD DS local, ainsi que les groupes et appareils depuis Microsoft Entra ID. Si vous ne souhaitez pas synchroniser l’intégralité de votre AD DS local, la synchronisation d’annuaire pour Microsoft Entra ID prend en charge un filtrage limité et une personnalisation du flux d’attributs selon les valeurs suivantes :
- Unité d’organisation (OU)
- Domaine
- Attributs utilisateur
- Applications
Microsoft Entra Connect
Vous pouvez utiliser Microsoft Entra Connect pour effectuer la synchronisation entre AD DS local et Microsoft Entra ID. Microsoft Entra Connect est un outil basé sur un assistant conçu pour permettre la connectivité entre une infrastructure d’identité locale et Azure. Grâce à l’assistant, vous pouvez choisir votre topologie et vos besoins, et l’assistant déploie et configure tous les composants requis pour vous. Selon les besoins sélectionnés, cela peut inclure :
- Azure Active Directory Sync (Azure AD Sync)
- Déploiement hybride Exchange
- Réécriture des mots de passe
- Serveurs AD FS et proxys AD FS ou Web Application Proxy
- Module PowerShell Microsoft Graph
Remarque
La plupart des organisations déploient un serveur dédié de synchronisation pour héberger Microsoft Entra Connect.
Lorsque vous exécutez Microsoft Entra Connect, les actions suivantes se produisent :
- Les nouveaux objets utilisateurs, groupes et contacts dans AD DS local sont ajoutés à Microsoft Entra ID. Cependant, les licences pour les services cloud comme Microsoft 365 ne sont pas automatiquement attribuées à ces objets.
- Les attributs modifiés des objets existants dans AD DS local sont mis à jour dans Microsoft Entra ID. Toutefois, tous les attributs AD DS ne sont pas synchronisés. Vous pouvez configurer les attributs à synchroniser via le composant Synchronization Manager de Microsoft Entra Connect.
- Les objets supprimés dans AD DS local sont également supprimés dans Microsoft Entra ID.
- Les objets désactivés localement sont désactivés dans Azure. Cependant, les licences ne sont pas automatiquement retirées.
Microsoft Entra ID exige une source d’autorité unique pour chaque objet. Il est donc important de comprendre que dans un scénario Microsoft Entra Connect, lorsque vous exécutez la synchronisation Active Directory, vous maîtrisez les objets depuis AD DS local, en utilisant des outils comme Utilisateurs et ordinateurs Active Directory ou Windows PowerShell. Une fois le premier cycle de synchronisation terminé, la source d’autorité est transférée du cloud vers AD DS local. Toutes les modifications ultérieures des objets cloud (sauf pour les licences) sont maîtrisées depuis AD DS local. Les objets cloud correspondants deviennent en lecture seule, et les administrateurs Microsoft Entra ne peuvent pas les modifier, sauf si vous implémentez des technologies permettant la réécriture (writeback).
Autorisations et comptes requis pour exécuter Microsoft Entra Connect
Pour implémenter Microsoft Entra Connect, vous devez disposer de comptes avec les autorisations requises à la fois dans AD DS local et dans Microsoft Entra ID. L’installation et la configuration de Microsoft Entra Connect nécessitent les comptes suivants :
- Un compte Azure avec la permission Administrateur général dans le locataire Azure (tel qu’un compte organisationnel), qui n’est pas le compte utilisé pour configurer le locataire.
- Un compte local avec les permissions Administrateur d’entreprise dans AD DS local. Dans l’assistant Microsoft Entra Connect, vous pouvez choisir d’utiliser un compte existant ou laisser l’assistant en créer un pour vous.
Microsoft Entra Connect utilise le compte Administrateur général Azure pour provisionner et mettre à jour les objets lors de l’exécution de l’assistant de configuration. Il est recommandé de créer un compte de service dédié dans Azure pour la synchronisation d’annuaire, car vous ne pouvez pas utiliser le compte administrateur du locataire Azure. Cette restriction est due au fait que le compte utilisé pour configurer Azure peut ne pas avoir un suffixe de nom de domaine correspondant au domaine. Le compte doit être membre du groupe de rôle Administrateurs généraux.
Dans l’environnement local, le compte utilisé pour installer et configurer Microsoft Entra Connect doit avoir les autorisations suivantes :
- Administrateur d’entreprise dans AD DS (nécessaire pour créer le compte utilisateur de synchronisation dans Active Directory)
- Administrateur local sur la machine (nécessaire pour installer le logiciel Microsoft Entra Connect)
- Le compte utilisé pour configurer Microsoft Entra Connect et exécuter l’assistant de configuration doit appartenir au groupe local ADSyncAdmins. Par défaut, le compte utilisé pour l’installation est automatiquement ajouté à ce groupe.
Remarque
Le compte utilisé pour installer AD Connect est automatiquement ajouté au groupe ADSyncAdmins lors de l’installation du produit. Vous devez vous déconnecter et vous reconnecter pour utiliser l’interface Synchronization Service Manager, car le compte ne prendra en compte l’identifiant de sécurité (SID) du groupe qu’à la prochaine connexion.
Le compte Enterprise Administrator (Administrateur d’entreprise) est uniquement requis lors de l’installation et de la configuration de Microsoft Entra Connect, mais ses identifiants ne sont ni stockés ni enregistrés par l’assistant de configuration. Par conséquent, il est recommandé de créer un compte administrateur spécifique pour Microsoft Entra Connect, destiné à l’installation et à la configuration de celui-ci, et d’attribuer ce compte au groupe des administrateurs d’entreprise pendant la mise en place de Microsoft Entra Connect. Toutefois, ce compte administrateur Microsoft Entra Connect doit être retiré du groupe des administrateurs d’entreprise une fois la configuration terminée.
Le tableau suivant détaille les comptes créés lors de la configuration de Microsoft Entra Connect :
| Compte | Description |
|---|---|
| MSOL_ | Ce compte est créé lors de l’installation de Microsoft Entra Connect et est configuré pour se synchroniser avec le locataire Azure. Il dispose des autorisations de réplication d’annuaire dans l’Active Directory local (AD DS) et des droits d’écriture sur certains attributs pour permettre le déploiement hybride. |
| AAD_ | Il s’agit du compte de service du moteur de synchronisation. Il est créé avec un mot de passe complexe généré aléatoirement, automatiquement configuré pour ne jamais expirer. Lorsque le service de synchronisation d’annuaire s’exécute, il utilise les identifiants de ce compte de service pour lire l’Active Directory local, puis écrire le contenu de la base de données de synchronisation dans Azure. Cela se fait en utilisant les identifiants de l’administrateur du locataire que vous saisissez dans l’assistant de configuration de Microsoft Entra Connect. |
⚠️ Attention
Il ne faut pas modifier le compte de service de Microsoft Entra Connect après son installation, car celui-ci tente toujours de s’exécuter avec le compte créé lors de la configuration. Si vous changez ce compte, Microsoft Entra Connect cesse de fonctionner et les synchronisations planifiées ne se produisent plus.
📘 Lecture complémentaire
Pour en savoir plus, consultez le document suivant :
Topologies pour Microsoft Entra Connect
