AADSync – Password Write-back

Introduction à AADSync

Avec l’utilisation de l’outil DirSync, vous connaissiez surement la fonctionnalité appelée « password hash sync » permettant de synchroniser les mots de passes de votre AD local vers Office 365.

Sa principale limitation est que tout utilisateur (synchronisé AD) nomade ou ne se connectant que très rarement au réseau local de son entreprise et souhaitant réinitialiser son mot passe pour les services Office 365 doit faire appel à un administrateur de son organisation.

L’outil AADSync permet de pallier à ce manque grâce à une nouvelle fonctionnalité : « Password Write-Back ». En effet, cela offre la possibilité pour un utilisateur de réinitialiser directement son mot de passe via le portail Office 365.

Cet article traite de son implémentation.

Les prérequis du « Password Write-Back »

Les prérequis à l’implémentation du produit AADSync sont les suivant:

  1.  Configurer ces droits à l’emplacement au plus près de tous vos utilisateurs synchronisés et tous les descendant (Exemple : au niveau du domaine) :
  2. Licences : Posséder une licence Azure AD Premium pour chaque utilisateur devant accéder à cette fonctionnalité
  3. Version minium du produit AADSync: 1.0.0419.0911
  4. Droits du compte de services AADSync (se reporter à l’article précédent: https://itnyou.fr/azure-active-directory-sync-aadsync/)
    1. Change Password
    2. Reset Password
    3. Write lockoutTime
    4. Write pwdLastSet

Vous pouvez le télécharger ici: https://www.microsoft.com/en-us/download/details.aspx?id=44225

Activation de la fonctionnalité « Password Write-Back »

S’il s’agit d’une nouvelle installation, suivez les étapes décrites dans l’article précédent. Sinon, il suffit de lancer l’exécutable : « Directory Sync Tool ».

Valider toutes les étapes, et activer la fonctionnalité de réinitialisation de mot passe par l’utilisateur dans l’environnement :

1-ActivationPasswordWriteBack

Vérifier ensuite la présence de l’évènement 31005 dans le journal « Application » attestant de la configuration du « Password Write-Back ».

Vérification du bon fonctionnement de la fonctionnalité « Password Write-Back »

Afin de vérifier que la fonctionnalité est en place dans votre environnement, exécutez les tâches suivante:

  1. Se connecter au portail office 365 avec un compte synchronisé AD
  2. Réinitialiser le mot de passe
  3. Dans Paramètres d’Office365 > Mot de passe (Modifiez votre mot de passe):
2.PasswordWriteBack

4.  Comme pour la fonctionnalité « password sync », les ID 656 et 657 sont notifiés sur le serveur AADSync.

ID 656 : Atteste qu’une demande de changement de mot de passe a été demandé par l’utilisateur AliceOnPrem:

4.PasswordWriteBack

ID 657 : Atteste de la réussite du changement de mot de passe pour l’utilisateur AliceOnPrem:

5.PasswordWriteBack

Note 1 : Suivant la version d’AADSync installé, vous pouvez aussi voir l’ID 31002.

Note 2 : Le mot de passe doit correspondre à la politique locale de votre AD. Si un utilisateur tente de modifier son mot de passe par un mot de passe n’y correspondant pas, vous obtiendrez le log suivant sur le serveur AADSync :

3.PasswordWriteBack

Conclusion

Vous l’aurez compris, la fonctionnalité d’écriture différée de mot de passe permet à tout utilisateur disposant d’un compte AD locale de réinitialiser son mot de passe directement à partir de son portail Office 365.

Une fois les quelques prérequis correctement configurés au sein de votre AD, il n’y a plus qu’à attribuer la licence Azure AD Premium à vos utilisateurs pour que la fonctionnalité soit active.

Pour plus d’informations, je vous renvoie vers la TechNet : https://msdn.microsoft.com/fr-fr/library/azure/dn903642.aspx