A l'étape précédente nous avons configuré Azure pour la synchronisation des comptes depuis un AD local. Nous allons dans cette étape :
- Configuré l'AD locale pour utiliser un nom public comme suffixe UPN
- Créer un groupe contenant les comptes à synchroniser avec Azure
- Préparer un serveur membre Windows 2012 R2 pour l'installation des services Azure AD Connect
Si vous ne connaissez pas le terme UPN ou User Principal Name, il s'agit du « nom d'ouverture de session de l'utilisateur ». Il existe 2 possibilités pour ouvrir une session, avec le nom d'ouverture de session antérieur à Windows 2000 sous le format « mondomaine\monutilisateur » souvent le plus utilisé. Le deuxième est l'UPN dont le format ressemble à une adresse email « monutilisateur@mondomaine.local », comme nous le montre l'image suivante. « Mondomaine.local » représentant le nom complet du domaine local.
Pour ajouter un suffixe UPN, ouvrez la console « Domaines et approbations Active Directory ». Faites un clic droit sur « Domaines et approbations AD » dans la partie de gauche puis propriété :
Dans « Autres suffixes UPN » saisissez le nom public définit dans Azure Active Directory, puis ajouter puis OK :
.
Une fois le suffixe UPN ajouté vous pouvez modifier le suffixe UPN de l'utilisateur avec le menu déroulant dans le compte utilisateur :
Remarque
- Si vous souhaitez modifier tous vos comptes, il est possible de le faire par script PowerShell
- Si votre forêt contient plusieurs domaines les suffixes UPN peuvent être utilisés dans l'ensemble de la forêt.
-
Une bonne pratique pour faciliter l'adhésion de l'utilisateur est d'utilisé un suffixe UPN correspondant à l'adresse email public de l'utilisateur
Nous allons maintenant créer un groupe « Sg-Acces-Azure » et ajouter comme membre le compte « pdupond » pour l'exemple :
Pour finir nous allons préparer un serveur Windows 2012 R2 membre du domaine qui servira à héberger les services « Azure AD Connect ».
L'étape suivante est l'installation des services « AAD Connect » : http://pbarth.fr/node/178