Prérequis pour Microsoft Entra Cloud Sync

Cet article fournit une aide sur la façon d’utiliser Microsoft Entra Cloud Sync comme solution d’identité.

Conditions requises de l’agent de provisionnement cloud

Vous avez besoin des éléments suivants pour utiliser la synchronisation cloud Microsoft Entra :

• Informations d'identification d'administrateur de domaine ou d'administrateur d'entreprise pour créer le gMSA (compte de service géré de groupe) Microsoft Entra Connect Cloud Sync pour exécuter le service d'agent.
• Compte d’administrateur d’identité hybride pour votre tenant Microsoft Entra qui n’est pas un utilisateur invité.
• Un serveur local pour l’agent de provisionnement avec Windows 2016 ou ultérieur. Ce serveur doit être un serveur de niveau 0 basé sur le modèle de niveau d’administration Active Directory. L’installation de l’agent sur un contrôleur de domaine est prise en charge.
  • Obligatoire pour l’attribut de schéma AD – msDS-ExternalDirectoryObjectId
• La haute disponibilité fait référence à la capacité de la synchronisation cloud Microsoft Entra à fonctionner en continu sans panne pendant une longue période. En ayant plusieurs agents actifs installés et en cours d'exécution, la synchronisation cloud Microsoft Entra peut continuer à fonctionner même si l'un des agents échoue. Microsoft recommande d’avoir trois agents actifs installés à des fins de haute disponibilité.
• Des configurations de pare-feu locales.

Group Managed Service Accounts

Un compte de service managé de groupe est un compte de domaine managé qui fournit la gestion automatique des mots de passe, la gestion simplifiée du nom de principal du service (SPN) et la possibilité de déléguer la gestion à d’autres administrateurs. Par ailleurs, cette fonctionnalité s’étend sur plusieurs serveurs. La synchronisation cloud Microsoft Entra prend en charge et utilise un gMSA pour exécuter l'agent. Vous serez invité à fournir des informations d’identification d’administration lors de l’installation, pour créer ce compte. Le compte apparaît comme domain\provAgentgMSA$. Pour plus d’informations sur un gMSA, consultez Comptes de service géré de groupe

Prérequis pour gMSA

1. Le schéma Active Directory dans la forêt du domaine gMSA doit être mis à jour vers Windows Server 2012 ou version ultérieure.
2. Les modules RSAT PowerShell sur un contrôleur de domaine
3. Au moins un contrôleur de domaine dans le domaine doit exécuter Windows Server 2012 ou version ultérieure.
4. Un serveur joint à un domaine sur lequel l’agent est en cours d’installation doit être configuré avec Windows Server 2016 ou version ultérieure.

Compte gMSA personnalisé

Si vous créez un compte gMSA personnalisé, vous devez vérifier que le compte dispose des autorisations suivantes.

Type	Nom	Accès	S'applique à
Allow	Compte gMSA	Lire toutes les propriétés	Objets appareil descendants
Allow	Compte gMSA	Lire toutes les propriétés	Objets InetOrgPerson descendants
Allow	Compte gMSA	Lire toutes les propriétés	Objets ordinateur descendants
Allow	Compte gMSA	Lire toutes les propriétés	Objets foreignSecurityPrincipal descendants
Allow	Compte gMSA	Contrôle total	Objets groupe descendants
Allow	Compte gMSA	Lire toutes les propriétés	Objets utilisateur descendants
Allow	Compte gMSA	Lire toutes les propriétés	Objets contact descendants
Allow	Compte gMSA	Supprimer des objets utilisateur	Cet objet et tous les objets descendants

Pour connaître les étapes de la mise à niveau d’un agent existant afin d’utiliser un compte gMSA, consultez Comptes de service managés de groupe.

Pour plus d’informations sur la préparation de votre annuaire Active Directory pour le compte de service managé de groupe, consultez Vue d’ensemble des comptes de service managés de groupe.

Dans le centre d'administration Microsoft Entra

1. Créez un compte d'administrateur d'identité hybride cloud uniquement sur votre locataire Microsoft Entra. De cette façon, vous pouvez gérer la configuration de votre locataire si vos services locaux venaient à échouer ou ne plus être disponibles. Découvrez comment ajouter un compte d’administrateur d’identité hybride de type cloud uniquement. Cette étape est essentielle si vous voulez éviter de vous retrouver en dehors de votre locataire.
2. Ajoutez un ou plusieurs noms de domaine personnalisés à votre locataire Microsoft Entra. Vos utilisateurs peuvent se connecter à l’aide de l’un de ces noms de domaine.

Dans votre annuaire dans Azure Active Directory

Exécutez l’outil IdFix afin de préparer les attributs d’annuaire pour la synchronisation.

Dans votre environnement local

1. Identifiez un serveur hôte joint à un domaine exécutant Windows Server 2016 ou ultérieur, avec au minimum 4 Go de RAM et .NET 4.7.1 + Runtime.
2. La stratégie d’exécution de PowerShell sur le serveur local doit être définie sur Undefined ou sur RemoteSigned.
3. S'il existe un pare-feu entre vos serveurs et Microsoft Entra ID, veuillez consulter la rubrique Exigences relatives au pare-feu et au proxy.

Remarque

L’installation de l’agent d’approvisionnement cloud sur Windows Server Core n’est pas prise en charge.

Approvisionner Microsoft Entra ID dans Active Directory - Conditions préalables

Les conditions préalables suivantes sont requises pour implémenter des groupes d’approvisionnement dans Active Directory.

Conditions de licence :

L'utilisation de cette fonctionnalité nécessite des licences Microsoft Entra ID P1. Pour trouver la licence adaptée à vos besoins, consultez Comparer les fonctionnalités en disponibilité générale de Microsoft Entra ID.

Exigences générales

• Un compte Microsoft Entra avec au moins un rôle Administrateur hybride.
• Un environnement Active Directory Domain Services local avec le système d’exploitation Windows Server 2016 ou version ultérieure.
  • Obligatoire pour l’attribut de schéma AD – msDS-ExternalDirectoryObjectId
• Un agent d’approvisionnement avec la version de build 1.1.1370.0 ou ultérieure.

Remarque

Les autorisations pour le compte de service sont attribuées uniquement lors de l’installation propre. Si vous effectuez une mise à niveau à partir de la version précédente, les autorisations doivent être affectées manuellement à l’aide de l’applet de commande PowerShell :

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Si les autorisations sont définies manuellement, vous devez vous assurer de disposer des propriétés Lire, Écrire, Créer et Supprimer toutes les propriétés pour tous les objets de groupes et d’utilisateurs descendants.

Ces autorisations ne sont pas appliquées aux objets AdminSDHolder par les cmdlets gMSA PowerShell de l’agent d'approvisionnement Microsoft Entra par défaut.

• L’agent d’approvisionnement doit être capable de communiquer avec un ou plusieurs contrôleurs de domaine sur les ports TCP/389 (LDAP) et TCP/3268 (Global Catalog).
  • Obligatoire pour la recherche dans le catalogue global afin de filtrer les références d’adhésion non valides
• Microsoft Entra Connect avec la version de build 2.2.8.0 ou ultérieure
  • Obligatoire pour prendre en charge la synchronisation de l’appartenance des utilisateurs locaux à l’aide de Microsoft Entra Connect
  • Obligatoire pour synchroniser AD:user:objectGUID avec AAD:user:onPremisesObjectIdentifier

Groupes pris en charge

Seuls les éléments suivants sont pris en charge :

• Seuls les groupes de sécurité créés cloud sont pris en charge.
• Ces groupes peuvent avoir une appartenance attribuée ou dynamique.
• Ces groupes peuvent contenir uniquement des utilisateurs synchronisés locaux et/ou des groupes de sécurité créés dans le cloud supplémentaires.
• Les comptes d’utilisateur locaux synchronisés et membres de ce groupe de sécurité créé dans le cloud peuvent provenir du même domaine ou inter-domaines, mais ils doivent tous provenir de la même forêt.
• Ces groupes sont réécrits avec l’étendue des groupes AD universelle. Votre environnement local doit prendre en charge l’étendue du groupe universel.
• Les groupes dont la taille est supérieure à 50 000 membres ne sont pas pris en charge.
• Chaque groupe imbriqué enfant direct compte en tant que membre du groupe de référencement.
• La réconciliation des groupes entre Microsoft Entra ID et Active Directory n'est pas prise en charge si le groupe est mis à jour manuellement dans Active Directory.

Informations supplémentaires

Voici des informations supplémentaires sur l’approvisionnement de groupes dans Active Directory.

• Les groupes approvisionnés sur AD à l’aide de la synchronisation cloud peuvent contenir uniquement des utilisateurs synchronisés locaux et/ou des groupes de sécurité créés par le cloud supplémentaires.
• Tous ces utilisateurs doivent avoir l’attribut onPremisesObjectIdentifier défini sur leur compte.
• L’attribut onPremisesObjectIdentifier doit correspondre à un objectGUID correspondant dans l’environnement AD cible.
• Un attribut objectGUID d’utilisateurs sur site peut être synchronisé vers un attribut onPremisesObjectIdentifier d'utilisateurs cloud à l’aide de Microsoft Entra Cloud Sync (1.1.1370.0) ou de Microsoft Entra Connect Sync (2.2.8.0).
• Si vous utilisez Microsoft Entra Connect Sync (2.2.8.0) pour synchroniser les utilisateurs, au lieu de Microsoft Entra Cloud Sync et que vous souhaitez utiliser l’approvisionnement vers AD, la version doit être 2.2.8.0 ou ultérieure.
• Seuls les tenants Microsoft Entra ID standard sont pris en charge pour l’approvisionnement de Microsoft Entra ID dans Active Directory. Les tenants tels que B2C ne sont pas pris en charge.
• Le travail d’approvisionnement de groupe est planifié pour s’exécuter toutes les 20 minutes.

Autres exigences

• Minimum Microsoft .NET Framework 4.7.1

Exigences relatives à TLS

Notes

Le protocole TLS (Transport Layer Security) est un protocole qui fournit des communications sécurisées. La modification des paramètres TLS affecte l’ensemble de la forêt. Pour plus d’informations, consultez Mise à jour pour activer TLS 1.1 et TLS 1.2 en tant que protocoles sécurisés par défaut dans WinHTTP sur Windows.

Le serveur Windows qui héberge l'agent de provisionnement cloud Microsoft Entra Connect doit avoir TLS 1.2 activé avant de l'installer.

Pour activer TLS 1.2, procédez comme suit.

1. Définissez les clés de Registre suivantes en copiant le contenu dans un fichier .reg , puis exécutez le fichier (cliquez avec le bouton droit et choisissez Fusionner) :

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Redémarrez le serveur.

Configuration requise pour le pare-feu et le proxy

S’il existe un pare-feu entre vos serveurs et Microsoft Entra ID, configurez les éléments suivants :

• Assurez-vous que les agents peuvent envoyer des demandes sortantes à Microsoft Entra ID par le biais des ports suivants :

  Numéro de port	Description
  80	Télécharge les listes de révocation de certificats lors de la validation du certificat TLS/SSL.
  443	Gère toutes les communications sortantes avec le service.
  8080 (facultatif)	Les agents signalent leur état toutes les 10 minutes sur le port 8080, si le port 443 n’est pas disponible. Ce statut est affiché dans le centre d'administration Microsoft Entra.

• Si votre pare-feu applique les règles en fonction des utilisateurs d’origine, ouvrez ces ports au trafic provenant des services Windows exécutés en tant que service réseau.

• Si votre pare-feu ou votre proxy vous permet de spécifier des suffixes sûrs, ajoutez des connexions :

Cloud public

URL	Description
*.msappproxy.net *.servicebus.windows.net	L'agent utilise ces URL pour communiquer avec le service cloud Microsoft Entra.
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com	L’agent utilise ces URL pour communiquer avec le service cloud Microsoft Entra.
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80	Azure utilise ces URL pour vérifier les certificats.
login.windows.net	L’agent utilise ces URL lors du processus d’inscription.

U.S. U.S. Government

URL	Description
*.msappproxy.us *.servicebus.usgovcloudapi.net	L’agent utilise ces URL pour communiquer avec le service cloud Microsoft Entra.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	Azure utilise ces URL pour vérifier les certificats.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 aadcdn.msftauthimages.us *.microsoft.us msauthimages.us mfstauthimages.us	L’agent utilise ces URL lors du processus d’inscription.

• Si vous ne parvenez pas à ajouter des connexions, autorisez l’accès aux plages d’adresses IP du centre de données Azure, mises à jour chaque semaine.

Configuration NTLM requise

Vous ne devez pas activer NTLM sur le serveur Windows exécutant l’agent d’approvisionnement Microsoft Entra et, s’il est activé, vous devez veiller à le désactiver.

Limitations connues

Les limitations connues sont les suivantes :

Synchronisation d’écart

• Le filtrage d’étendue du groupe pour la synchronisation delta ne prend pas en charge plus de 50 000 membres.
• Lorsque vous supprimez un groupe utilisé dans le cadre d’un filtre d’étendue de groupe, les utilisateurs qui sont membres du groupe ne sont pas supprimés.
• Lorsque vous renommez l’unité d’organisation ou le groupe qui se trouve dans l’étendue, la synchronisation delta ne supprime pas les utilisateurs.

Journaux de provisionnement

• Les journaux d’approvisionnement ne font pas clairement la différence entre les opérations de création et de mise à jour. Vous pouvez voir une opération de création pour une mise à jour et une opération de mise à jour pour une création.

Changement de nom de groupe ou changement de nom d’unité d’organisation

• Si vous renommez un groupe ou une unité d’organisation dans AD pour une configuration donnée, le travail de synchronisation cloud ne pourra pas reconnaître le changement de nom dans AD. Le travail ne sera pas mis en quarantaine et reste sain.

Filtre d’étendue

Quand vous utilisez le filtre d’étendue des unités d’organisation

• Vous pouvez uniquement synchroniser jusqu’à 59 unités d’organisation ou groupes de sécurité distincts pour une configuration donnée.
• Les unités d’organisation imbriquées sont prises en charge : cela signifie que vous pouvez synchroniser une unité d’organisation contenant 130 unités d’organisation imbriquées, mais que vous ne pouvez pas synchroniser 60 unités d’organisation distinctes dans la même configuration.

Synchronisation de hachage de mot de passe

• L’utilisation de la synchronisation de hachage de mot de passe avec InetOrgPerson n’est pas prise en charge.

Étapes suivantes

• Présentation du provisionnement
• Qu’est-ce que la synchronisation cloud Microsoft Entra ?