Azure Active Directory Sync (AADSync)

Introduction

Le nouvel outil de synchronisation d’annuaire de Microsoft vient se rajouter à ceux déjà existant en apportant son lot de nouvelles fonctionnalités.

Avant de rentrer dans le vif du sujet, voici  un récapitulatif des outils de synchronisation existant :

  • FIM
  • DirSync
  • AADSync : Azure Active Directory Synchronization
    • Cet outil permet de simplifier l’intégration de plusieurs forêts à Azure Active Directory et Office 365. Il prend aussi en compte les fonctionnalités AAD Premium (permet de réécrire les informations d’identité d’AAD vers l’annuaire local) et permet une évolution en comparaison à Dirsync.

Dans la plupart des cas, c’est donc cet outil qui sera utilisé. Si vous souhaitez consulter une liste comparative complète de ces produits, je vous renvoie ici :  https://msdn.microsoft.com/fr-fr/library/azure/dn757582.aspx

Les prérequis

Les prérequis obligatoire avant l’installation du logiciel AADSync sont les suivant :

  1. Système d’exploitation : Windows 2008 minimum
  2. Fonctionnalités : .Net 4.5 et Powershell v3
  3. Droits : Disposer d’un compte AD à minima administrateur local de la machine pour réaliser l’installation d’AADSync
  4. Best Practice : Créer un compte dédié à la synchronisation de votre AD local avec Azure :
    1. Création d’un compte dans Azure AD dédié à l’usage du connecteur AAD avec le rôle « d’ Administrateur général »
    2. Empêcher l’expiration du mot de passe : Set-msoluser -UserPrincipalName syncaccount@domaine.com -PasswordNeverExpires $True

Ensuite, si vous souhaitez permettre à vos utilisateurs de modifier leur mot de passe directement à partir du cloud, il faut réaliser les actions complémentaires suivante:

  1. Le compte AD utilisé comme connecteur à votre AD local doit être autorisé à changer les mots de passes des utilisateurs au niveau AD. Pour cela, il convient d’éditer l’onglet sécurité sur la racine de votre domaine et d’éditer les champs (activer): Change password, Reset password, Write LockoutTime, Write pwdLastSet
1-droits-AADSync 2-droits-AADSync 3-droits-AADSync

Nous pouvons désormais passer à l’installation d’AADSync.

Installation du logiciel AADSync

Téléchargement d’AADSync : http://www.microsoft.com/en-us/download/details.aspx?id=44225

Renseignez ici votre compte AD Azure dédié à la synchronisation.  Notez que pour cet exemple effectué en lab, nous n’avons pas spécialement dédié de compte pour la configuration d’AADSync :

4-Installation-AADSync

Entrez ici votre compte AD local crée précédemment et cliquer sur « Add Forest » :

5-Installation-AADSync

Vous devez voir apparaître votre forêt :

6-Installation-AADSync

Indiquez ici les éléments permettant d’identifier de façon unique un utilisateur :

7-Installation-AADSync

Activez ici les fonctionnalités souhaitées :

8-Installation-AADSync

Cliquez sur « Configure » pour valider l’installation :

9-Installation-AADSync

Décochez la case « Synchronize now » afin d’éviter de lancer une synchronisation de tout votre AD local. Vous pourrez par la suite créer des règles de filtrage sur ce que vous souhaitez synchroniser:

10-Installation-AADSync

Il suffit ensuite ensuite de lancer le programme « Synchronisation Service » pour effectuer vos premières synchronisations vers l’AD Azure.

Conclusion

En conclusion, l’outil AADSync s’avère être un outil relativement simple à mettre en place et se présente comme le successeur de « DirSync » et le remplaçant de FIM pour des infrastructure ne nécessitant pas autant de fonctionnalités que ce dernier.

Enfin, pour plus d’informations : https://msdn.microsoft.com/fr-fr/library/azure/dn790204.aspx.
Un prochain article traitera de l’utilisation de la fonctionnalité « Password write-back » ou « mot de passe en libre service ».