{"id":8961,"date":"2025-09-24T13:46:12","date_gmt":"2025-09-24T13:46:12","guid":{"rendered":"https:\/\/techhub.saworks.io\/docs\/preparation-de-certifications\/certification-azure\/implementer-une-identite-hybride-avec-windows-server\/planifier-lintegration-avec-microsoft-entra\/"},"modified":"2025-09-25T09:52:52","modified_gmt":"2025-09-25T09:52:52","slug":"planifier-lintegration-avec-microsoft-entra","status":"publish","type":"docs","link":"https:\/\/techhub.saworks.io\/fr\/docs\/preparation-de-certifications\/certification-azure\/implementer-une-identite-hybride-avec-windows-server\/planifier-lintegration-avec-microsoft-entra\/","title":{"rendered":"Planifier l\u2019int\u00e9gration avec Microsoft Entra"},"content":{"rendered":"\n
\n

Lorsque le personnel informatique de Contoso met en \u0153uvre un service cloud ou une application dans leur environnement informatique, il souhaite g\u00e9n\u00e9ralement utiliser un r\u00e9pertoire d\u2019identit\u00e9s unique<\/strong> pour les applications locales et celles bas\u00e9es sur le cloud. En utilisant la synchronisation d\u2019annuaire<\/strong>, ils peuvent connecter leur AD DS local \u00e0 Microsoft Entra ID.<\/p>\n\n\n\n

<\/div>\n\n\n\n

Qu\u2019est-ce que la synchronisation d\u2019annuaire ?<\/strong><\/h3>\n\n\n\n

La synchronisation d\u2019annuaire permet la synchronisation entre AD DS local et Microsoft Entra ID pour les utilisateurs<\/strong>, groupes<\/strong> et contacts<\/strong>. Dans sa forme la plus simple, vous installez un composant de synchronisation d\u2019annuaire sur un serveur dans votre domaine local. Vous fournissez ensuite un compte avec les autorisations Administrateur de domaine<\/strong> et Administrateur d\u2019entreprise<\/strong> pour AD DS local, ainsi qu\u2019un autre compte avec les autorisations administrateur<\/strong> pour Microsoft Entra ID, puis vous laissez le processus s\u2019ex\u00e9cuter.<\/p>\n\n\n\n

Les comptes utilisateurs, groupes et contacts que vous s\u00e9lectionnez dans AD DS sont alors r\u00e9pliqu\u00e9s dans Microsoft Entra ID<\/strong>. Les utilisateurs peuvent ensuite utiliser ces comptes pour se connecter et acc\u00e9der aux services Azure qui reposent sur Microsoft Entra ID pour l\u2019authentification.<\/p>\n\n\n\n

\u00c0 moins d\u2019activer la synchronisation des mots de passe<\/strong>, les utilisateurs auront un mot de passe distinct de celui de leur environnement local pour se connecter \u00e0 une ressource Azure. M\u00eame si vous impl\u00e9mentez la synchronisation des mots de passe, les utilisateurs sont toujours invit\u00e9s \u00e0 saisir leurs identifiants lorsqu\u2019ils acc\u00e8dent \u00e0 une ressource Azure depuis un ordinateur joint au domaine. L\u2019avantage de la synchronisation des mots de passe est que les utilisateurs peuvent utiliser le m\u00eame nom d\u2019utilisateur et mot de passe<\/strong> que pour leur connexion locale. Ne confondez pas cela avec le SSO. Le comportement fourni par la synchronisation des mots de passe est appel\u00e9 connexion identique<\/strong> (same sign-in<\/em>).<\/p>\n\n\n\n

Avec Azure, le flux de synchronisation est unidirectionnel<\/strong> : de AD DS local vers Azure. Toutefois, avec les fonctionnalit\u00e9s Microsoft Entra ID P1 ou P2<\/strong>, certains attributs peuvent \u00eatre r\u00e9pliqu\u00e9s dans l\u2019autre sens. Par exemple, vous pouvez configurer Azure pour r\u00e9\u00e9crire les mots de passe<\/strong> dans AD DS local, ainsi que les groupes<\/strong> et appareils<\/strong> depuis Microsoft Entra ID. Si vous ne souhaitez pas synchroniser l\u2019int\u00e9gralit\u00e9 de votre AD DS local, la synchronisation d\u2019annuaire pour Microsoft Entra ID prend en charge un filtrage limit\u00e9<\/strong> et une personnalisation du flux d\u2019attributs<\/strong> selon les valeurs suivantes :<\/p>\n\n\n\n

    \n
  • Unit\u00e9 d\u2019organisation (OU)<\/strong><\/li>\n\n\n\n
  • Domaine<\/strong><\/li>\n\n\n\n
  • Attributs utilisateur<\/strong><\/li>\n\n\n\n
  • Applications<\/strong><\/li>\n<\/ul>\n\n\n\n
    <\/div>\n\n\n\n

    Microsoft Entra Connect<\/strong><\/h3>\n\n\n\n

    Vous pouvez utiliser Microsoft Entra Connect<\/strong> pour effectuer la synchronisation entre AD DS local et Microsoft Entra ID. Microsoft Entra Connect est un outil bas\u00e9 sur un assistant con\u00e7u pour permettre la connectivit\u00e9 entre une infrastructure d\u2019identit\u00e9 locale et Azure. Gr\u00e2ce \u00e0 l\u2019assistant, vous pouvez choisir votre topologie et vos besoins, et l\u2019assistant d\u00e9ploie et configure tous les composants requis pour vous. Selon les besoins s\u00e9lectionn\u00e9s, cela peut inclure :<\/p>\n\n\n\n

      \n
    • Azure Active Directory Sync (Azure AD Sync)<\/strong><\/li>\n\n\n\n
    • D\u00e9ploiement hybride Exchange<\/strong><\/li>\n\n\n\n
    • R\u00e9\u00e9criture des mots de passe<\/strong><\/li>\n\n\n\n
    • Serveurs AD FS et proxys AD FS ou Web Application Proxy<\/strong><\/li>\n\n\n\n
    • Module PowerShell Microsoft Graph<\/strong><\/li>\n<\/ul>\n\n\n\n
      <\/div>\n\n\n\n
      \n

      Remarque<\/strong><\/p>\n\n\n\n

      La plupart des organisations d\u00e9ploient un serveur d\u00e9di\u00e9<\/strong> de synchronisation pour h\u00e9berger Microsoft Entra Connect.<\/p>\n<\/div>\n\n\n\n

      <\/div>\n\n\n\n

      Lorsque vous ex\u00e9cutez Microsoft Entra Connect, les actions suivantes se produisent :<\/strong><\/h3>\n\n\n\n
        \n
      • Les nouveaux objets<\/strong> utilisateurs, groupes et contacts dans AD DS local sont ajout\u00e9s \u00e0 Microsoft Entra ID. Cependant, les licences<\/strong> pour les services cloud comme Microsoft 365 ne sont pas automatiquement attribu\u00e9es \u00e0 ces objets.<\/li>\n\n\n\n
      • Les attributs modifi\u00e9s<\/strong> des objets existants dans AD DS local sont mis \u00e0 jour dans Microsoft Entra ID. Toutefois, tous les attributs<\/strong> AD DS ne sont pas synchronis\u00e9s. Vous pouvez configurer les attributs \u00e0 synchroniser via le composant Synchronization Manager<\/strong> de Microsoft Entra Connect.<\/li>\n\n\n\n
      • Les objets supprim\u00e9s<\/strong> dans AD DS local sont \u00e9galement supprim\u00e9s dans Microsoft Entra ID.<\/li>\n\n\n\n
      • Les objets d\u00e9sactiv\u00e9s<\/strong> localement sont d\u00e9sactiv\u00e9s dans Azure. Cependant, les licences ne sont pas automatiquement retir\u00e9es.<\/li>\n<\/ul>\n\n\n\n

        Microsoft Entra ID exige une source d\u2019autorit\u00e9 unique<\/strong> pour chaque objet. Il est donc important de comprendre que dans un sc\u00e9nario Microsoft Entra Connect, lorsque vous ex\u00e9cutez la synchronisation Active Directory, vous ma\u00eetrisez les objets depuis AD DS local<\/strong>, en utilisant des outils comme Utilisateurs et ordinateurs Active Directory<\/strong> ou Windows PowerShell<\/strong>. Une fois le premier cycle de synchronisation termin\u00e9, la source d\u2019autorit\u00e9 est transf\u00e9r\u00e9e du cloud vers AD DS local<\/strong>. Toutes les modifications ult\u00e9rieures des objets cloud (sauf pour les licences) sont ma\u00eetris\u00e9es depuis AD DS local. Les objets cloud correspondants deviennent en lecture seule<\/strong>, et les administrateurs Microsoft Entra ne peuvent pas les modifier<\/strong>, sauf si vous impl\u00e9mentez des technologies permettant la r\u00e9\u00e9criture<\/strong> (writeback<\/em>).<\/p>\n\n\n\n

        <\/div>\n\n\n\n

        Autorisations et comptes requis pour ex\u00e9cuter Microsoft Entra Connect<\/strong><\/h3>\n\n\n\n

        Pour impl\u00e9menter Microsoft Entra Connect, vous devez disposer de comptes avec les autorisations requises \u00e0 la fois dans AD DS local et dans Microsoft Entra ID. L\u2019installation et la configuration de Microsoft Entra Connect n\u00e9cessitent les comptes suivants :<\/p>\n\n\n\n

          \n
        • Un compte Azure<\/strong> avec la permission Administrateur g\u00e9n\u00e9ral<\/strong> dans le locataire Azure (tel qu\u2019un compte organisationnel), qui n\u2019est pas<\/strong> le compte utilis\u00e9 pour configurer le locataire.<\/li>\n\n\n\n
        • Un compte local<\/strong> avec les permissions Administrateur d\u2019entreprise<\/strong> dans AD DS local. Dans l\u2019assistant Microsoft Entra Connect, vous pouvez choisir d\u2019utiliser un compte existant ou laisser l\u2019assistant en cr\u00e9er un pour vous.<\/li>\n<\/ul>\n\n\n\n

          Microsoft Entra Connect utilise le compte Administrateur g\u00e9n\u00e9ral Azure<\/strong> pour provisionner et mettre \u00e0 jour les objets lors de l\u2019ex\u00e9cution de l\u2019assistant de configuration. Il est recommand\u00e9 de cr\u00e9er un compte de service d\u00e9di\u00e9<\/strong> dans Azure pour la synchronisation d\u2019annuaire, car vous ne pouvez pas utiliser le compte administrateur du locataire Azure. Cette restriction est due au fait que le compte utilis\u00e9 pour configurer Azure peut ne pas avoir un suffixe de nom de domaine correspondant au domaine. Le compte doit \u00eatre membre du groupe de r\u00f4le Administrateurs g\u00e9n\u00e9raux<\/strong>.<\/p>\n\n\n\n

          Dans l\u2019environnement local, le compte utilis\u00e9 pour installer et configurer Microsoft Entra Connect doit avoir les autorisations suivantes :<\/p>\n\n\n\n

            \n
          • Administrateur d\u2019entreprise<\/strong> dans AD DS (n\u00e9cessaire pour cr\u00e9er le compte utilisateur de synchronisation dans Active Directory)<\/li>\n\n\n\n
          • Administrateur local<\/strong> sur la machine (n\u00e9cessaire pour installer le logiciel Microsoft Entra Connect)<\/li>\n\n\n\n
          • Le compte utilis\u00e9 pour configurer Microsoft Entra Connect et ex\u00e9cuter l\u2019assistant de configuration doit appartenir au groupe local ADSyncAdmins<\/strong>. Par d\u00e9faut, le compte utilis\u00e9 pour l\u2019installation est automatiquement ajout\u00e9 \u00e0 ce groupe.<\/li>\n<\/ul>\n\n\n\n
            <\/div>\n\n\n\n
            \n

            Remarque<\/strong><\/h3>\n\n\n\n

            Le compte utilis\u00e9 pour installer AD Connect est automatiquement ajout\u00e9 au groupe ADSyncAdmins<\/strong> lors de l\u2019installation du produit. Vous devez vous d\u00e9connecter et vous reconnecter<\/strong> pour utiliser l\u2019interface Synchronization Service Manager<\/strong>, car le compte ne prendra en compte l\u2019identifiant de s\u00e9curit\u00e9 (SID) du groupe qu\u2019\u00e0 la prochaine connexion.<\/p>\n<\/div>\n\n\n\n

            <\/div>\n\n\n\n
            \"\"<\/figure>\n\n\n\n
            <\/div>\n\n\n\n

            Le compte Enterprise Administrator<\/strong> (Administrateur d\u2019entreprise) est uniquement requis lors de l\u2019installation et de la configuration de Microsoft Entra Connect<\/strong>, mais ses identifiants ne sont ni stock\u00e9s ni enregistr\u00e9s<\/strong> par l\u2019assistant de configuration. Par cons\u00e9quent, il est recommand\u00e9 de cr\u00e9er un compte administrateur sp\u00e9cifique pour Microsoft Entra Connect<\/strong>, destin\u00e9 \u00e0 l\u2019installation et \u00e0 la configuration de celui-ci, et d\u2019attribuer ce compte au groupe des administrateurs d\u2019entreprise<\/strong> pendant la mise en place de Microsoft Entra Connect. Toutefois, ce compte administrateur Microsoft Entra Connect doit \u00eatre retir\u00e9 du groupe des administrateurs d\u2019entreprise une fois la configuration termin\u00e9e<\/strong>.<\/p>\n\n\n\n

            Le tableau suivant d\u00e9taille les comptes cr\u00e9\u00e9s lors de la configuration de Microsoft Entra Connect :<\/p>\n\n\n\n

            <\/div>\n\n\n\n
            Compte<\/strong><\/th>Description<\/strong><\/th><\/tr><\/thead>
            MSOL_<\/strong><\/th>Ce compte est cr\u00e9\u00e9 lors de l\u2019installation de Microsoft Entra Connect et est configur\u00e9 pour se synchroniser avec le locataire Azure. Il dispose des autorisations de r\u00e9plication d\u2019annuaire<\/strong> dans l\u2019Active Directory local (AD DS) et des droits d\u2019\u00e9criture sur certains attributs<\/strong> pour permettre le d\u00e9ploiement hybride.<\/td><\/tr>
            AAD_<\/strong><\/th>Il s\u2019agit du compte de service du moteur de synchronisation<\/strong>. Il est cr\u00e9\u00e9 avec un mot de passe complexe g\u00e9n\u00e9r\u00e9 al\u00e9atoirement<\/strong>, automatiquement configur\u00e9 pour ne jamais expirer<\/strong>. Lorsque le service de synchronisation d\u2019annuaire s\u2019ex\u00e9cute, il utilise les identifiants de ce compte de service<\/strong> pour lire l\u2019Active Directory local, puis \u00e9crire le contenu de la base de donn\u00e9es de synchronisation dans Azure. Cela se fait en utilisant les identifiants de l\u2019administrateur du locataire<\/strong> que vous saisissez dans l\u2019assistant de configuration de Microsoft Entra Connect.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
            <\/div>\n\n\n\n
            \n

            \u26a0\ufe0f Attention<\/strong><\/h3>\n\n\n\n


            Il ne faut pas modifier le compte de service<\/strong> de Microsoft Entra Connect apr\u00e8s son installation, car celui-ci tente toujours de s\u2019ex\u00e9cuter avec le compte cr\u00e9\u00e9 lors de la configuration. Si vous changez ce compte, Microsoft Entra Connect cesse de fonctionner<\/strong> et les synchronisations planifi\u00e9es ne se produisent plus<\/strong>.<\/p>\n<\/div>\n\n\n\n

            <\/div>\n\n\n\n

            \ud83d\udcd8 Lecture compl\u00e9mentaire<\/strong><\/h3>\n\n\n\n


            Pour en savoir plus, consultez le document suivant :
            Topologies pour Microsoft Entra Connect<\/strong><\/p>\n\n\n\n

            <\/div>\n\n\n\n

            \ud83d\udccd Unit\u00e9 suivante<\/strong> : Pr\u00e9parer l\u2019Active Directory local pour la synchronisation d\u2019annuaire<\/h3>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

            Lorsque le personnel informatique de Contoso met en \u0153uvre un service cloud ou une application dans leur environnement informatique, il souhaite g\u00e9n\u00e9ralement utiliser […]<\/p>\n","protected":false},"author":2,"featured_media":0,"parent":8949,"menu_order":4,"comment_status":"closed","ping_status":"closed","template":"","doc_tag":[],"doc_badge":[],"class_list":["post-8961","docs","type-docs","status-publish","hentry"],"author_avatar":"https:\/\/secure.gravatar.com\/avatar\/6a70e7c73db9f245e650948d09d74f61?s=96&d=mm&r=g","author_name":"Annick N'dri","_links":{"self":[{"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/docs\/8961"}],"collection":[{"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/docs"}],"about":[{"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/types\/docs"}],"author":[{"embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/comments?post=8961"}],"version-history":[{"count":0,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/docs\/8961\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/docs\/8949"}],"wp:attachment":[{"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/media?parent=8961"}],"wp:term":[{"taxonomy":"doc_tag","embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/doc_tag?post=8961"},{"taxonomy":"doc_badge","embeddable":true,"href":"https:\/\/techhub.saworks.io\/fr\/wp-json\/wp\/v2\/doc_badge?post=8961"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}