Synchroniser AD avec Azure Active Directory (Introduction)

 

Azure Active Directory est un annuaire dans le cloud permettant de gérer l'authentification dans un environnement hybride. Il permet à un utilisateur d'utiliser des applications SaaS (Software as a Service) tel que Office 365 en assurant l'authentification. Les applications SaaS sont des applications qui ne sont pas installés directement sur l'ordinateur de l'utilisateur et qui ne nécessite pas de licence mais en générale un abonnement. Afin de faciliter la prise en main et l'acceptation de ce type de solution il est possible de le synchroniser sur l'annuaire d'entreprise afin de bénéficier d'une authentification unique. Dans cet article en plusieurs parties nous allons présenter et installer Azure Active Directory Connect. Cet outil permet de synchroniser vos comptes utilisateurs interne à votre entreprise avec Azure Active Directory afin d'utiliser les mêmes informations d'authentification dans l'ensemble besoins de l'utilisateur. Azure AD Connect est l'évolution de l'outil « dirsync » apparu en 2013.

Il existe 2 modes d'utilisations d'Azure AD Connect avec une sécurité et une facilité de mise en œuvre différente :

  • Synchronisation des mots de passe : le « hash » du mot de passe est synchronisé entre le compte du domaine Active Directory et Azure Active Directory. Les mots de passe sont donc identiques entre l'annuaire cloud et l'annuaire local (avec une latence lors de la modification du mot de passe). L'utilisateur dispose donc d'un identifiant et un mot de passe unique. Néanmoins lorsque l'utilisateur accède au service dans le cloud c'est Azure Active Directory qui procédera à l'authentification de l'utilisateur alors qu'en interne c'est le contrôleur de domaine de l'entreprise.
  • Le 2ème mode est plus complexe à mettre en œuvre est combine la synchronisation du compte avec la fédération d'identité d'AD FS. Dans le principe les comptes sont synchronisés dans le cloud mais sans le mot de passe. Lorsque l'utilisateur doit être authentifié il devra d'abord s'authentifier dans son domaine pour obtenir un accès aux applications SaaS. Dans ce type de déploiement il est possible de mettre en place de l'authentification forte telle que des cartes à puces. L'utilisation Azure AD Connect avec AD FS nécessite l'utilisation de certificat.

Lors de l'installation de Azure AD Connect il est possible de mettre en place un filtrage sur les comptes à synchronisé dans le cloud par exemple les membres d'un groupe. Il est possible de limiter également sur les unités d'organisations qui seront prise en charge lors de la synchronisation. Un serveur Azure AD Connect peut synchroniser plusieurs forêts Active Directory vers un même service Azure Active Directory.

Pour mettre en œuvre Azure Active Directory il vous faudra respecter les conditions suivantes (non exhaustif pour une installation avec AD FS) :

  • Un abonnement Azure
  • Vous devez disposer d'un domaine DNS public sur lesquels vous disposez d'un accès sur la gestion des enregistrements. En effet Azure procédera à la vérification du domaine et vous demandera d'ajouter des enregistrements spécifiques permettant de vérifier que vous disposez bien du domaine.
  • La version du schéma Active Directory et le niveau fonctionnel doivent être au minimum de 2003
  • Il n'est pas possible d'installer Azure AD Connect sur un serveur Small Business Server ou Essentials.
  • Azure AD Connect doit être installé sur un serveur Windows 2008 à jour ou une version supérieur
  • .net 4.5.1 ou supérieur et PowerShell 3.0 doivent être installé sur le serveur Azure AD Connect, ce qui est le cas pour Windows 2012 r2.
  • Azure AD Connect nécessite une base de données SQL Server et la base de données intégré à Windows sera installé par défaut. Si vous souhaitez une autre base de données SQL serveur il vous faudra au minimum 2008 SP4

Si vous disposez d'un pare feu le lien suivant vous donnera les ports à ouvrir : « https://azure.microsoft.com/fr-fr/documentation/articles/active-directory-aadconnect-ports/ ». Si vous utilisez un serveur proxy le lien suivant vous indiquera les URL utilisé par les services Azure et Office 365 « https://support.office.com/fr-fr/article/URL-et-plages-d-adresses-IP-Office-365-8548a211-3fe7-47cb-abb1-355ea5aa88a2?ui=fr-FR&rs=fr-FR&ad=FR ».

 

Dans notre exemple nous avons une forêt avec un domaine. Les services Azure ADConnect seront installés sur un serveur membre du domaine. Nous mettrons un filtrage sur un groupe de notre AD local, les membres de ce groupe seront synchronisés dans Azure Active Directory. L'authentification se fera par rapport à l'UPN (User Principal Name) et nous ajouterons un suffixe UPN et modifierons les utilisateurs pour utiliser le nom de domaine public comme suffixe de connexion sous le format « login@mondomaine.fr ».

 

L'installation sera divisée en plusieurs parties :

1 – préparation d'Azure Active Directory

2 – préparation du domaine Active Directory de l'entreprise

3 – installation d'Azure AD Connect

4 – vérification de la synchronisation

 

 

 

 

Theme: 

Systeme: 

Annee: 

Commentaires

Merci

Salut, merci pour cette excellente explication, je n'ai pas encore parcouru intégralement ta procédure mais elle m'a l'air complète et va grandement m'aider. Merci beaucoup, bravo pour le boulot ;-)

Azure ==> AD Local

Bonjour
Est-ce que une synchronisation inverse est possible ? AZure vers AD local ?

Azure ==> AD Local

Ce n'est pas le principe de l'outil présenté dans cette suite d'articles. L'objectif était de faciliter la démarche à des entreprises qui ont déja un AD local. L'outil Azure AD Connect est basé sur les synchronisations du produit Identity Manager. Ce dernier à pour but de synchroniser les identités entre différentes source de données (AD , BDD ...).

Une autre possibilité, c'est de réaliser un script PowerShell personalisé  pour réaliser l'opération. Un module PowerShell est disponible pour Azure AD et il est présent pour l'AD local depuis 2008.

http://www.pbarth.fr/node/235