Azure : Synchronisation AD On-Premise <> Azure AD

Azure : Synchronisation AD On-Premise <> Azure AD

Par dans Azure Étiquette , , , ,
Table of Contents

Objectif

L'objectif de ce document est de mettre en place une synchronisation des utilisateurs, des mots de passes, et des groupes d'un Active directory local vers une infrastructure Azure AD et d'attribuer des licences Microsoft 365 aux utilisateurs du domaine. Ceux-ci n'auront qu'une seule identité entre le domaine local et leurs services Microsoft 365.

Contexte

  • Contrôleur de domaine local : SRV-AD (Windows Serveur 2019 Standard)
  • Domaine local : starwars-bzh.local
  • Tenant Azure AD : starwarsbzh.onmicrosoft.com
  • Architecture du domaine local :

Vérifier l'activation de la corbeille Active Directory

  • En PowerShell :
Get-ADOptionalfeature -Filter {name -like "Recycle Bin Feature"}

Si la valeur EnabledScope est vide, cela signifie que la corbeille Active Directory n'est pas activée.

Activer la corbeille Active Directory

  • En PowerShell :
Enable-ADOptionalFeature "Recycle Bin Feature" -Scope ForestOrConfigurationSet -Target "starwars-bzh.local" -server srv-ad

Les options -Target et -Server doivent être adapté avec l'infrastructure du domaine local. Un message d'avertissement apparait car c'est une action irréversible mais ça peut sauver des vies.

Maintenant, la corbeille Active Directory est activée.

Configurer l'alias UPN

Le domaine local est starwars-bzh.local et le domaine Microsoft 365 public associé est starwarsbzh.onmicrosoft.com. Pour que la synchronisation fonctionne, un alias UPN doit être mis en place dans le domaine local. L'idée est de remplacer le @starwars-bzh.local par @starwarsbzh.onmicrosoft.com pour tous les utilisateurs qui seront synchronisés vers Azure.

  • Sur le contrôleur de domaine, ouvrir la MMC Domaines et approbation Active Directory :
domain.msc

  • Effectuer un clic droit sur le nom de la console et cliquer sur Propriétés :

  • Renseigner la zone Autres suffixes UPN avec le domaine Microsoft 365 déclaré soit starwarsbzh.onmicrosoft.com puis appliquer.

Ensuite, il faut modifier en masse l'UPN par défaut des utilisateurs qui seront synchronisés dans Azure AD. Si on regarde les propriétés d'un compte utilisateur dans l'AD, on voit que l'on peut changer l'UPN par défaut.

  • Changer l'UPN par défaut :

Au lieu de la faire à la main sur chaque utilisateur, il est possible de le faire en masse.

  • En PowerShell :
Get-ADUser -Filter * -SearchBase "OU=Services,OU=Starwars-BZH,DC=starwars-bzh,DC=local" | Foreach{

$UPNNew = $_.UserPrincipalName -replace "@starwars-bzh.local","@starwarsbzh.onmicrosoft.com"

Set-ADUser -UserPrincipalName $UPNNew -Identity $_.SamAccountName

}

L'option -SearchBase est à adapter selon les OU contenant les utilisateurs qui seront à synchroniser. La cmdlet Get-ADUser est récursive.

Installer Azure AD Connect

  • Un message d'avertissement s'affiche indiquant que le domaine local n'est pas routable sur Internet. Une installation personnalisée est donc préférable :

  • Aucune des options suivantes n'est nécessaire. Il n'y a donc rien à cocher. Cliquer sur Installer :

  • Dans la partie Connexion utilisateur, Synchronisation de hachage du mot de passe est coché. Cela permet de synchroniser le mot de passe de l'AD local avec Azure AD. Le mot de passe ne transite pas en clair mais uniquement son hash. La case Activer l'authentification unique peut être cochée si on souhaite mettre en place du SSO (Single-Sign-On). Ainsi l'utilisateur n'aura pas à ressaisir sont mot de passe du domaine lors de l'accès aux services Azure (Microsoft 365).

  • Dans la partie Connexion à Azure AD, un compte administrateur général du tenant Azure est requis :

  • Dans la partie Connexion de vos annuaires, la forêt locale est bien détectée. Cliquer sur Ajout d'un annuaire. Il est préférable de créer un nouveau compte dans l'AD local qui sera utilisé par les outils effectuant la synchronisation entre l'AD local et Azure AD. Un compte administrateur du domaine est requis afin de pouvoir créer cet utilisateur. Cet utilisateur sera stocké dans le container Users. Il ne devra être en aucun cas modifié ou supprimé.

  • La connexion à l'AD local est configurée :

  • Les suffixes UPN apparaissent comme Non ajouté. Cela est tout à fait normal car il n'y a pas de domaines DNS spécifiques du type starwarsbzh.fr. Si un domaine DNS en .fr a été ajouté au tenant Azure, celui-ci sera noté comme Vérifié. Nom d'utilisateur principal doit être sur userPrincipalName. La case Continuer sans faire correspondre tous les suffixes UPN à des domaines vérifiés est à cocher.

  • Sélectionner les OU à synchroniser entre l'AD local et Azure AD :

  • Dans la partie Identification de manière unique de vos utilisateurs, laisser le choix par défaut :

  • Dans la partie Filtrer les utilisateurs et appareils, laisser le choix par défaut :

  • Dans la partie Fonctionnalités facultatives, laisser par défaut. A noter que la Réécriture du mot de passe peut être intéressante afin de permettre aux utilisateurs de réinitialiser leur mot de passe directement à partir de Microsoft 365. Toutefois cela demande un niveau de licence Azure AD Premium P1. Sans cette option, le mot de passe est écrit dans l'Active Directory et synchronisé sur votre tenant, et non l'inverse.

  • Le processus de synchronisation peut démarrer :

  • Pour modifier la configuration, il suffit de relancer l'assistant en cliquant sur l'icône Azure AD Connect présente sur le bureau puis sur le bouton Configurer (Modification des OU à synchroniser, ajout de nouvelles fonctionnalités).

  • Vérifier la bonne présence des utilisateurs et des groupes dans le portail d'administration de Azure AD.

Affecter les licences Microsoft 365

Afin de pouvoir affecter une licence Microsoft 365 à un utilisateur, il va falloir dans 1er temps lui attribuer un Lieu d'utilisation. Ce paramètre se trouve dans le profil de l'utilisateur dans Azure AD :

Attention, une fois le Lieu d'utilisation affecté à un utilisateur. Un délai de 5 minutes peut être nécessaire avant de pouvoir lui attribuer une licence.

Une licence Microsoft 365 peut ensuite être attribué à un utilisateur :

Vérifier la synchronisation

Un outil nommé Synchronization Service Manager a également été installé sur le contrôleur de domaine local permettant de vérifier l'état de la synchronisation. Par défaut celle-ci s'effectue toutes les 30 minutes.

A noter que si un mot de passe est modifié dans l'AD local, celui-ci sera répliqué sous 2 minutes au sein d'Azure AD.

Les commentaires sont fermés.