Partager via

Intégrer une forêt existante et une nouvelle forêt à un seul locataire Microsoft Entra

Ce tutoriel vous guide tout au long de l’ajout de la synchronisation cloud à un environnement d’identité hybride existant.

Diagramme montrant le flux Microsoft Entra Cloud Sync.

Vous pouvez utiliser l’environnement que vous créez dans ce tutoriel à des fins de test ou pour vous familiariser avec le fonctionnement d’une identité hybride.

Dans ce scénario, il y a une forêt existante synchronisée à l’aide de la synchronisation Microsoft Entra Connect à un locataire Microsoft Entra. De plus, vous avez une nouvelle forêt que vous souhaitez synchroniser avec le même locataire Microsoft Entra. Vous configurez la synchronisation cloud pour la nouvelle forêt.

Prerequisites

Dans le centre d’administration Microsoft Entra

  1. Créez un compte d’administrateur d’identité hybride « cloud uniquement » dans votre locataire Microsoft Entra. De cette façon, vous pouvez gérer la configuration de votre locataire si vos services locaux venaient à échouer ou ne plus être disponibles. Découvrez comment ajouter un compte d’administrateur d’identité hybride uniquement dans le cloud. Cette étape est essentielle si vous voulez éviter de vous retrouver en dehors de votre locataire.
  2. Ajoutez un ou plusieurs noms de domaine personnalisés à votre locataire Microsoft Entra. Vos utilisateurs peuvent se connecter à l’aide de l’un de ces noms de domaine.

Dans votre environnement local

  1. Identifiez un serveur hôte joint à un domaine exécutant Windows Server 2012 R2 ou version ultérieure, avec un minimum de 4 Go de RAM et le runtime .NET 4.7.1+

  2. S’il existe un pare-feu entre vos serveurs et Microsoft Entra ID, configurez les éléments suivants :

    • Vérifiez que les agents peuvent effectuer des demandes sortantes vers l’ID Microsoft Entra sur les ports suivants :

      Numéro de port Utilisation
      80 Télécharge les listes de révocation de certificats lors de la validation du certificat TLS/SSL
      443 Gère toutes les communications sortantes avec le service
      8080 (facultatif) Les agents signalent leur état toutes les 10 minutes sur le port 8080, si le port 443 n’est pas disponible. Cet état est affiché dans le portail.

      Si votre pare-feu applique les règles en fonction des utilisateurs d’origine, ouvrez ces ports au trafic provenant des services Windows exécutés en tant que service réseau.

    • Si votre pare-feu ou proxy vous permet de spécifier des suffixes sécurisés, ajoutez des connexions à *.msappproxy.net et *.servicebus.windows.net. Si ce n’est pas le cas, autorisez l’accès aux plages d’adresses IP du centre de données Azure, qui sont mises à jour toutes les semaines.

    • Vos agents ont besoin d’un accès à login.windows.net et login.microsoftonline.com pour l’inscription initiale. Par conséquent, ouvrez également votre pare-feu pour ces URL.

    • Pour la validation de certificat, débloquez les URL suivantes : mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 et www.microsoft.com:80. Ces URL étant utilisées pour la validation de certificat avec d’autres produits Microsoft, elles sont peut-être déjà débloquées.

Installer l’agent d’approvisionnement Microsoft Entra

Si vous utilisez le tutoriel Environnement de base AD et Azure, il s’agit de DC1. Pour installer l’agent, suivez ces étapes :

  1. Dans le portail Azure, sélectionnez Microsoft Entra ID.

  2. Dans le volet gauche, sélectionnez Microsoft Entra Connect, puis Cloud Sync.

    Capture d’écran montrant l’écran de démarrage.

  3. Dans le volet gauche, sélectionnez Agents.

  4. Sélectionnez Télécharger l’agent local, puis sélectionnez Accepter les termes & téléchargement.

    Capture d’écran montrant le téléchargement de l’agent.

  5. Après avoir téléchargé le package de l’agent d’approvisionnement Microsoft Entra Connect, exécutez le fichier d’installation AADConnectProvisioningAgentSetup.exe à partir de votre dossier de téléchargements.

    Note

    Lorsque vous effectuez une installation pour le Cloud du gouvernement des États-Unis, utilisez AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment. Pour plus d’informations, consultez Installer un agent dans le cloud du gouvernement des États-Unis.

  6. Dans l’écran qui s’ouvre, cochez la case Je suis d’accord avec les termes et conditions du contrat de licence , puis sélectionnez Installer.

    Capture d’écran montrant l’écran du package de l’agent de provisionnement Microsoft Entra.

  7. Une fois l’installation terminée, l’Assistant Configuration s’ouvre. Sélectionnez Suivant pour démarrer la configuration.

    Capture d’écran montrant l’écran d’accueil.

  8. Dans l’écran Sélectionner l’extension , sélectionnez Provisionnement piloté par les ressources humaines (Workday et SuccessFactors) / Azure AD Connect Cloud Sync, puis sélectionnez Suivant.

    Capture d’écran montrant l’écran Sélectionner une extension.

    Note

    Si vous installez l’agent d’approvisionnement à utiliser avec l’approvisionnement d’applications locale Microsoft Entra, sélectionnez Approvisionnement d’applications locale (ID Microsoft Entra à l’application) .

  9. Connectez-vous avec un compte avec au moins le rôle d’administrateur d’identité hybride . Si vous avez la sécurité renforcée d’Internet Explorer activée, la connexion est bloquée. Si c’est le cas, fermez l’installation, désactivez la sécurité renforcée d’Internet Explorer et redémarrez l’installation du package de l’agent d’approvisionnement Microsoft Entra Connect.

    Capture d’écran montrant l’écran Connecter Microsoft Entra ID.

  10. Dans l’écran Configurer le compte de service , sélectionnez un compte de service administré de groupe (gMSA). Ce compte est utilisé pour exécuter le service d’agent. Si un compte de service géré est déjà configuré dans votre domaine par un autre agent et que vous installez un deuxième agent, sélectionnez Créer un compte gMSA. Le système détecte le compte existant et ajoute les autorisations requises pour le nouvel agent afin d’utiliser le compte gMSA. Lorsque vous y êtes invité, choisissez l’une des deux options suivantes :

    • Créez gMSA : Laissez l’agent créer le compte de service managé provAgentgMSA$ pour vous. Le compte de service géré de groupe (par exemple) CONTOSO\provAgentgMSA$est créé dans le même domaine Active Directory que celui auquel le serveur hôte est joint. Pour utiliser cette option, entrez les informations d’identification de l’administrateur de domaine Active Directory (recommandée).
    • Utilisez gMSA personnalisé : indiquez le nom du compte de service géré que vous avez créé manuellement pour cette tâche.

  11. Pour continuer, sélectionnez Suivant.

    Capture d’écran montrant l’écran Configurer le compte de service.

  12. Dans l’écran Connecter Active Directory , si votre nom de domaine apparaît sous Domaines configurés, passez à l’étape suivante. Sinon, entrez votre nom de domaine Active Directory, puis sélectionnez Ajouter un répertoire.

  13. Ensuite, connectez-vous avec votre compte d’administrateur de domaine Active Directory. Le compte d’administrateur de domaine ne doit pas avoir un mot de passe expiré. Si le mot de passe a expiré ou change pendant l’installation de l’agent, reconfigurez l’agent avec les nouvelles informations d’identification. Cette opération ajoute votre répertoire local. Sélectionnez OK, puis sélectionnez Suivant pour continuer.

    Capture d’écran montrant comment entrer les informations d’identification de l’administrateur de domaine.

  14. La capture d’écran suivante montre un exemple de domaine configuré pour contoso.com. Sélectionnez Suivant pour continuer.

    Capture d’écran montrant l’écran Connecter Active Directory.

  15. Dans l’écran Configuration terminé , sélectionnez Confirmer. Cette opération inscrit et redémarre l’agent.

  16. Une fois l’opération terminée, vous voyez une notification indiquant que la configuration de votre agent a été correctement vérifiée. Sélectionnez Quitter.

    Capture d’écran montrant l’écran de fin.

  17. Si vous obtenez toujours l’écran initial, sélectionnez Fermer.

Vérifier l’installation de l’agent

La vérification de l’agent se produit dans le portail Azure et sur le serveur local qui exécute l’agent.

Vérifier l’agent dans le portail Azure

Pour vérifier que l’ID Microsoft Entra inscrit l’agent, procédez comme suit :

  1. Connectez-vous au portail Azure.

  2. Sélectionnez l’ID Microsoft Entra.

  3. Sélectionnez Microsoft Entra Connect, puis sélectionnez Synchronisation cloud.

    Capture d’écran montrant l’écran de démarrage.

  4. Dans la page Cloud Sync , vous voyez les agents que vous avez installés. Vérifiez que l’agent apparaît et que l’état est sain.

Vérifier l’agent sur le serveur local

Pour vérifier que l’agent est en cours d’exécution, procédez comme suit :

  1. Connectez-vous au serveur avec un compte Administrateur.

  2. Accédez à Services. Vous pouvez également utiliser Start/Run/Services.msc pour y accéder.

  3. Sous Services, vérifiez que Microsoft Entra Connect Agent Updater et Microsoft Entra Connect Provisioning Agent sont présents et que l’état est en cours d’exécution.

    Capture d’écran montrant les services Windows.

Vérifier la version de l’agent de provisionnement

Pour vérifier la version de l’agent en cours d’exécution, suivez les étapes suivantes :

  1. Accédez à C :\Program Files\Microsoft Azure AD Connect Provisioning Agent.
  2. Cliquez avec le bouton droit surAADConnectProvisioningAgent.exe et sélectionnez Propriétés.
  3. Sélectionnez l’onglet Détails . Le numéro de version apparaît en regard de la version du produit.

Configurer la synchronisation cloud Microsoft Entra

Pour configurer le provisionnement, procédez comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’identité hybride au moins.

  2. Accédez à Entra ID>Entra Connect>Cloud sync.

    Capture d’écran montrant la page d’accueil microsoft Entra Connect Cloud Sync.

  1. Sélectionner nouvelle configuration
  2. Dans l’écran de configuration, entrez un e-mail de notification, déplacez le sélecteur pour activer et sélectionnez Enregistrer.
  3. L’état de configuration doit maintenant être sain.

Vérifier les utilisateurs créés et l’exécution de la synchronisation

Vous vérifiez maintenant que les utilisateurs de l’annuaire local ont été synchronisés et figurent désormais dans le locataire Microsoft Entra. Ce processus peut prendre plusieurs heures. Pour vérifier que les utilisateurs sont synchronisés, effectuez les étapes suivantes :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’identité hybride au moins.
  2. Accédez à Entra ID>Utilisateurs.
  3. Vérifiez que les nouveaux utilisateurs apparaissent dans le client.

Tester la connexion avec un des utilisateurs

  1. Accédez à https://myapps.microsoft.com

  2. Connectez-vous avec un compte d’utilisateur créé dans le nouveau locataire. Vous devez vous connecter en utilisant le format suivant : (user@domain.onmicrosoft.com). Saisissez le même mot de passe que celui utilisé par l’utilisateur pour se connecter en local.

    Capture d’écran montrant le portail mes applications avec des utilisateurs connectés.

Vous venez de configurer un environnement d’identité hybride que vous pouvez utiliser à des fins de test et pour vous familiariser avec les fonctionnalités Azure.

Étapes suivantes