Installer et configurer la synchronisation d’annuaires avec Microsoft Entra Connect
Microsoft Entra Connect nécessite un ordinateur joint à un domaine pour héberger le service de synchronisation. La plupart des organisations déploient un serveur de synchronisation dédié.
Spécifications
Une fois que vous avez configuré Azure avec un locataire Active Directory, vous devez effectuer les tâches principales pour déployer la synchronisation d’annuaires en respectant les étapes suivantes :
Ajoutez votre domaine AD DS dans Azure, vérifiez-le, puis définissez-le en tant que domaine principal.
Téléchargez et installez Microsoft Azure Connect.
Exécutez l’assistant de Configuration de Microsoft Entra Connect. (Vous pouvez éventuellement configurer Microsoft Entra Connect pour synchroniser des unités d’organisation spécifiques dans l’environnement AD DS local)
Activez les fonctionnalités facultatives telles que la synchronisation des codes de hachage de mot de passe, la réécriture du mot de passe et le déploiement Exchange hybride.
Exécutez Microsoft Entra Connect et laissez-le configurer l’environnement pour la synchronisation d’annuaires
Validez les résultats de la synchronisation.
Après avoir configuré Microsoft Entra Connect et effectué la synchronisation initiale, vous pouvez reconfigurer les options de synchronisation si nécessaire. L’installation du logiciel Microsoft Entra Connect comprend plusieurs applications liées à la synchronisation d’annuaires. Quand vous exécutez Microsoft Entra Connect, vous pouvez utiliser les paramètres de l’installation rapide, ce qui permet de configurer la synchronisation d’annuaires avec les paramètres les plus couramment utilisés, ou vous pouvez personnaliser les options de configuration.
Si vous choisissez d’utiliser l’installation personnalisée, au début de l’installation, vous pouvez choisir d’utiliser un serveur SQL Server personnalisé à la place d’une base de données locale. Vous pouvez également choisir d’utiliser un compte de service existant à la place de celui créé par le processus de configuration automatique. De plus, vous pouvez spécifier des groupes de synchronisation personnalisés. Par défaut, les groupes Administrateurs, Opérateurs, Parcourir et Réinitialisation de mot de passe sont créés par Microsoft Entra Connect, mais vous pouvez utiliser vos propres groupes personnalisés à la place.
Par défaut, Microsoft Entra Connect configure la synchronisation de hachage du mot de passe pour le mode de synchronisation d’annuaires. Si vous optez pour l’installation personnalisée, vous pouvez également choisir l’option Fédération avec AD FS ou l’authentification directe. Le cas échéant, vous pouvez configurer manuellement la synchronisation d’annuaires si vous disposez d’un serveur de fédération non Microsoft ou d’une autre solution existante déployée.
L’installation personnalisée de Microsoft Entra Connect vous permet également de choisir la façon dont vous identifiez vos utilisateurs. Par défaut, le programme d’installation suppose que vos utilisateurs ne sont représentés qu’une seule fois dans tous les annuaires. Toutefois, dans un scénario où les identités utilisateur existent au sein de plusieurs annuaires, vous devez choisir l’attribut correspondant. Vous pouvez effectuer votre choix parmi les options décrites dans le tableau suivant.
| Option | Description |
|---|---|
| attribut mail | Cette option associe des utilisateurs et des contacts si l’attribut de messagerie a la même valeur dans des forêts différentes. |
| ObjectSID et msExchangeMasterAccountSID | Cette option joint un utilisateur activé dans une forêt de comptes à un utilisateur désactivé dans une forêt de ressources Exchange. Dans Exchange, ceci s’appelle également une boîte aux lettres liée. |
| sAMAccountName et mailNickname | Cette option joint des attributs supplémentaires aux emplacements d’un annuaire où l’ID de connexion de l’utilisateur est censé se trouver. |
| Mon propre attribut | Cette option vous permet de sélectionner votre propre attribut. |
| SourceAnchor | Il s’agit d’un attribut non modifiable pendant toute la durée de vie d’un objet utilisateur. En d’autres termes, cet attribut est la clé primaire qui lie l’objet utilisateur local à l’objet utilisateur situé dans Microsoft Entra ID. Dans la mesure où cet attribut ne peut pas être changé plus tard, vous devez le choisir avec soin. Le choix par défaut est objectGUID, car cet attribut ne change que si le compte d’utilisateur est déplacé entre les forêts et les domaines. |
Vous pouvez configurer l’attribut UserPrincipalName dans la même fenêtre. Il s’agit de l’attribut utilisé par les utilisateurs quand ils se connectent à Microsoft Entra ID. Les domaines utilisés à cet effet, également appelés suffixes UPN, doivent être vérifiés dans Microsoft Entra ID avant une synchronisation des objets utilisateur.
Dans certains cas, vous pouvez être amené à synchroniser uniquement un sous-ensemble de vos utilisateurs à partir de votre service d’annuaire AD DS local. Microsoft Entra Connect vous permet de sélectionner un groupe spécifique d’utilisateurs à synchroniser avec Microsoft Entra ID. Vous devez créer ce groupe avant d’exécuter Microsoft Entra Connect. Une fois la configuration effectuée, vous pouvez ajouter et supprimer des utilisateurs dans ce groupe pour conserver la liste des objets utilisateur devant être présents dans Microsoft Entra ID. Vous pouvez également utiliser les UO (unités d’organisation) de votre service d’annuaire AD DS local en tant qu’étendue de la réplication. Au cours de la dernière étape, Microsoft Entra Connect vous permet de configurer certaines fonctionnalités facultatives disponibles dans Microsoft Entra ID P1 ou P2.