Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Entra Connect installe un service local qui orchestre la synchronisation entre Active Directory et Microsoft Entra ID. Le service de synchronisation Microsoft Entra ID Sync (ADSync) s’exécute sur un serveur de votre environnement local. Les informations d’identification du service sont définies par défaut dans les installations Express, mais peuvent être personnalisées pour répondre aux exigences de sécurité de votre organisation. Ces informations d’identification ne sont pas utilisées pour se connecter à vos forêts locales ou à Microsoft Entra ID.
Le choix du compte de service ADSync est une décision de planification importante à prendre avant d’installer Microsoft Entra Connect. Toute tentative de modification des informations d'identification après l'installation entraînera un échec de démarrage du service, une perte d'accès à la base de synchronisation et un échec d'authentification avec vos répertoires connectés (Azure et AD DS). Aucune synchronisation ne se produit tant que les informations d’identification d’origine ne sont pas restaurées.
Le service de synchronisation peut s’exécuter sous des comptes différents. Il peut s’exécuter sous un Compte de service virtuel (VSA), un Compte de service géré (gMSA/sMSA), ou un compte d’utilisateur normal. Les options prises en charge ont été modifiées avec la version d’avril 2017 et la version de mars 2021 de Microsoft Entra Connect, lorsque vous effectuez une nouvelle installation. Si vous mettez à niveau depuis une version antérieure de Microsoft Entra Connect, ces options supplémentaires ne sont pas disponibles.
| Type de compte | Option d’installation | Descriptif |
|---|---|---|
| compte de service virtuel | Rapide et personnalisée, avril 2017 et versions ultérieures | Un compte de service virtuel est utilisé pour toutes les installations rapides, à l’exception des installations sur un contrôleur de domaine. Pour l’installation personnalisée, il s’agit de l’option par défaut, sauf si une autre option est utilisée. |
| Compte de service administré | Personnalisé, avril 2017 et versions ultérieures | Si vous utilisez un serveur SQL distant, nous recommandons d’utiliser un compte de service administré de groupe. |
| Compte de service administré | Installation rapide et personnalisée, mars 2021 et versions ultérieures | Un compte de service administré autonome préfixé avec ADSyncMSA_ est créé lors de l’installation pour les installations rapides lorsqu’il est installé sur un contrôleur de domaine. Pour l’installation personnalisée, il s’agit de l’option par défaut, sauf si une autre option est utilisée. |
| Compte d’utilisateur | Rapide et personnalisée, avril 2017 à mars 2021 | Un compte d’utilisateur préfixé avec AAD_ est créé lors de l’installation pour les installations rapides lorsqu’il est installé sur un contrôleur de domaine. Pour l’installation personnalisée, il s’agit de l’option par défaut, sauf si une autre option est utilisée. |
| Compte d’utilisateur | Installation rapide et personnalisée, mars 2017 et versions antérieures | Un compte d’utilisateur préfixé avec AAD_ est créé lors de l’installation pour les installations rapides. Lorsque vous utilisez l’installation personnalisée, vous pouvez spécifier un autre compte. |
Importante
Si vous utilisez Connect avec une version de mars 2017 ou antérieure, vous ne devez pas réinitialiser le mot de passe du compte de service, sinon Windows détruit les clés de chiffrement pour des raisons de sécurité. Vous ne pouvez pas passer d’un compte à un autre sans réinstaller Microsoft Entra Connect. Si vous passez à la version d’avril 2017 ou ultérieure, il est possible de changer le mot de passe du compte de service, mais vous ne pouvez pas changer le compte utilisé.
Importante
Vous pouvez uniquement définir le compte de service lors de la première installation. Il n’est pas possible de changer le compte de service une fois l’installation terminée. Si vous avez besoin de modifier le mot de passe du compte de service, cela est pris en charge et les instructions sont disponibles ici.
Le tableau suivant présente les options par défaut, recommandées et prises en charge pour le compte de service de synchronisation.
Légende :
- Le texte en gras indique l’option par défaut et, dans la plupart des cas, l’option recommandée.
- Le texte Italique indique l’option recommandée lorsqu’il ne s’agit pas de l’option par défaut.
- Pas en gras - Option supportée
- Compte local - Compte d’utilisateur local sur le serveur
- Compte de domaine - Compte d’utilisateur de domaine
- sMSA - Compte de service géré autonome
- gMSA - Compte de service administré de groupe
| Type de machine | LocalDB Express |
LocalDB/LocalSQL Personnalisée |
Remote SQL Personnalisée |
|---|---|---|---|
| ordinateur joint à un domaine | VSA | VSA sMSA gMSA Compte local Compte de domaine |
gMSA Compte de domaine |
| Contrôleur de domaine | Smsa | sMSA gMSA Compte de domaine |
gMSA Compte de domaine |
compte de service virtuel
Un compte de service virtuel est un type spécial de compte local managé qui n’a pas de mot de passe et qui est automatiquement géré par Windows.
Le compte de service virtuel est destiné à être utilisé dans les scénarios où le moteur de synchronisation et SQL sont sur le même serveur. Si vous utilisez un serveur SQL distant, nous recommandons d’utiliser un compte de service géré de groupe à la place.
Le compte de service virtuel ne peut pas être utilisé sur un contrôleur de domaine en raison de problèmes avec l’API de protection des données Windows (DPAPI).
Compte de service administré
Si vous utilisez un serveur SQL distant, nous recommandons d’utiliser un compte de service administré de groupe. Pour plus d’informations sur la préparation de votre annuaire Active Directory pour le compte de service administré de groupe, consultez Présentation des comptes de service administré de groupe.
Pour utiliser cette option, sur la page Installer les composants requis, sélectionnez Utiliser un compte de service existant, puis sélectionnez Compte de service administré.
Il est également possible d'utiliser un compte de service géré autonome. Toutefois, dans la mesure où vous pouvez uniquement les utiliser sur l’ordinateur local, il n’existe aucun avantage à les utiliser à la place du compte de service virtuel par défaut.
Compte de service géré autonome généré automatiquement
Si vous installez Microsoft Entra Connect sur un contrôleur de domaine, un compte de service géré autonome est créé par l’assistant d’installation (sauf si vous spécifiez le compte à utiliser dans les paramètres personnalisés). Le compte a pour préfixe ADSyncMSA_ et est associé au service de synchronisation à utiliser.
Ce compte est un compte de domaine managé qui n’a pas de mot de passe et est automatiquement géré par Windows.
Ce compte est destiné à être utilisé dans les scénarios où le moteur de synchronisation et SQL sont sur le même contrôleur de domaine.
Compte d’utilisateur
L’Assistant Installation crée un compte de service local (sauf si vous spécifiez le compte à utiliser dans les paramètres personnalisés). Le compte est préfixé par AAD_ et est utilisé pour exécuter le service de synchronisation. Si vous installez Microsoft Entra Connect sur un contrôleur de domaine, le compte est créé dans le domaine. Le compte de service AAD_ doit se trouver dans le domaine si :
- Vous utilisez un serveur distant exécutant SQL Server
- Vous utilisez un proxy qui nécessite une authentification
Le compte est créé avec un mot de passe long et complexe qui n’expire pas.
Ce compte permet de stocker les mots de passe des autres comptes de manière sécurisée. Ces autres mots de passe de compte sont stockés dans la base de données. Les clés privées pour les clés de chiffrement sont protégées par le chiffrement à clé secrète des services cryptographiques en utilisant l'API de protection des données Windows (DPAPI).
Si vous utilisez un serveur SQL Server complet, le compte de service est le propriétaire de la base de données créée pour le moteur de synchronisation. Le service ne fonctionne pas comme prévu avec d’autres autorisations. Une connexion SQL est également créée.
En outre, le compte se voit octroyer des autorisations sur les fichiers, les clés de Registre et autres objets liés au moteur de synchronisation.
Étapes suivantes
Explorez plus en détail l’Intégration de vos identités locales avec Microsoft Entra ID.