Mise en œuvre de Azure AAD Sync

Objectif :

AAD Sync vous permet de synchroniser votre Active Directory (AD DS) sur site (On Premise) avec votre Azure AD.

Azure AD est l’Active Directory dans le cloud de Microsoft, il peut être utilisé par les applications CLoud : notamment InTune et Office 365.

Pour les utilisateurs, si l’option de synchronisation de mot de passe est activée, le mot de passe “interne” sera le même que pour Office 365, par exemple.

Préparation :

Avant de synchroniser vos AD, assurez vous que ceux-ci sont “propres” et fonctionnels : pas d’erreurs de synchronisation dans votre AD On Premise, les comptes utilisateurs correctement configurés (orthographe correcte, email correctement configuré, informations supplémentaires configurées dans l’AD (coordonnées, téléphone,…).

Lors de la mise en service de la synchronisation, Microsoft propose d’utiliser un outil de préparation, nommé IdFix, que vous trouverez ici :

https://technet.microsoft.com/library/dn727691.aspx

Sur quel serveur installer AAD Sync : il suffit d’un serveur membre et Microsoft déconseille l’installation sur un contrôleur de domaine (car une base SQL y est créée par AAD Sync) , mais dans le cadre d’une petite forêt Active Directory, contenant un unique domaine, cela fonctionne…

 

Mise en œuvre :

Ensuite vous devez avoir accès au Cloud Microsoft : soit à l’aide de Azure, soit avec InTune ou Office 365.

Dans votre tenant Azure / Office 365 / InTune, activez la synchronisation en cliquant sur Installer dans le menu ci dessous :

 

image

Puis activez la synchronisation Active Directory :

image

Comme précédemment expliqué, l’étape 4 vous propose de lancer IdFix, afin d’auditer votre AD DS  :

   image

Vous pouvez désormais télécharger et installer AAD Sync sur le site de Microsoft

  image

Après téléchargement, vous pouvez lancer MicrosoftAzureADConnectionTool.exe.

L’assistant d’installation commence :

image

image

image

Fin de l’installation.

Redémarrez votre serveur.

Puis lancez l’assistant de synchronisation : Directory Synchronisation Tool :

La première étape consiste à ouvrir une session sur votre tenant avec un administrateur global.

NB : il est conseillé de créer un compte dédié, avec un mot de passe robuste (pas besoin de licence Office 365…).

clip_image002

Après validation, l’outil vérifie l’activation de la synchronisation d’annuaire, et vous avertit en cas d’oubli :

image

L’étape suivante vous permet d’entrer un compte ayant accès à Active Directory On Premise :

Saisissez le nom de la forêt, puis le compte utilisateur, puis cliquez sur Add Forest (vous pouvez répéter l’opération en cas de connexion à plusieurs forets).

image

Cliquez ensuite sur Next :

 

image

L’écran suivant présente les  règles de correspondance des comptes utilisateurs.

Si vous souhaitez les modifier, 3 options sont présentes par défaut :

– adresse email

– SID AD, ou SID Exchange

– Nom SAM ou alias Exchange

Vous pouvez aussi personnaliser les correspondances.

 

image

Les options supplémentaires sont présentées sur l’écran suivant :

– le mode de déploiement Hybride Exchange (pour migrer des comptes Exchange vers Office 365)

– la synchronisation de mot de passe : pour synchroniser les mots de passe de AD On Premise vers Office 365 . Il est important de noter que ce ne sont pas les mots de passe qui remonterons de AD vers Azure, mais leur clef de décryptage (Hash).

– la synchronisation de mot de passe de Azure AD vers Active Directory : cette fonctionnalité n’est disponible que si vous achetez l’option Azure Active Directory Premium .

image

La dernière étape vous permet de vérifier les paramètres principaux :

image

Le dernier écran vous permet de créer la tâche de synchro sans l’activer (si vous souhaitez la modifier, par exemple) :

image

Normalement, une tâche a été créée :

image

Cette tâche lance le programme suivant : DirectorySyncClientCmd.exe, situé dans le sous dossier BIN du dossier d’installation de AAD Sync, plannifiée toutes les 3 heures.

Si vous consultez Office 365 : les utilisateurs apparaissent désormais, avec un Etat Synchronisé avec Active Directory.

image

C’est terminé !

Dans la prochaine étape nous verrons comment dépanner les synchronisations.

 

Problèmes connus :

Si l’installation ou l’assistant de création de la tâche de synchronisation ne fonctionne pas, pensez aux points suivants :

– en cas de lancement plusieurs fois de l’installation “nettoyez” les comptes AD dont le nom commence par AAD_xxxxxxxx précédents.

– en cas d’utilisation de Dirsync, “nettoyez” les groupes AD dont le nom commence par FIM.

– avant de relancer l’installation supprimez les instances SQL qui viennent d’être crées

 

Pour en savoir plus :

Setup AAD Sync : https://msdn.microsoft.com/en-us/library/azure/dn757602.aspx

Azure Password Reset with Azure AD Premium : http://blogs.technet.com/b/ad/archive/2014/04/29/deep-dive-password-reset-with-on-premise-sync-in-azure-ad-premium.aspx

3 comments to Mise en œuvre de Azure AAD Sync

Leave a Reply

  

  

  

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.