Azure Active Directory Sync (AADSync)
Introduction
Le nouvel outil de synchronisation d’annuaire de Microsoft vient se rajouter à ceux déjà existant en apportant son lot de nouvelles fonctionnalités.
Avant de rentrer dans le vif du sujet, voici un récapitulatif des outils de synchronisation existant :
- FIM
- DirSync
- AADSync : Azure Active Directory Synchronization
- Cet outil permet de simplifier l’intégration de plusieurs forêts à Azure Active Directory et Office 365. Il prend aussi en compte les fonctionnalités AAD Premium (permet de réécrire les informations d’identité d’AAD vers l’annuaire local) et permet une évolution en comparaison à Dirsync.
Dans la plupart des cas, c’est donc cet outil qui sera utilisé. Si vous souhaitez consulter une liste comparative complète de ces produits, je vous renvoie ici : https://msdn.microsoft.com/fr-fr/library/azure/dn757582.aspx
Les prérequis
Les prérequis obligatoire avant l’installation du logiciel AADSync sont les suivant :
- Système d’exploitation : Windows 2008 minimum
- Fonctionnalités : .Net 4.5 et Powershell v3
- Droits : Disposer d’un compte AD à minima administrateur local de la machine pour réaliser l’installation d’AADSync
- Best Practice : Créer un compte dédié à la synchronisation de votre AD local avec Azure :
- Création d’un compte dans Azure AD dédié à l’usage du connecteur AAD avec le rôle « d’ Administrateur général »
- Empêcher l’expiration du mot de passe : Set-msoluser -UserPrincipalName syncaccount@domaine.com -PasswordNeverExpires $True
Ensuite, si vous souhaitez permettre à vos utilisateurs de modifier leur mot de passe directement à partir du cloud, il faut réaliser les actions complémentaires suivante:
- Le compte AD utilisé comme connecteur à votre AD local doit être autorisé à changer les mots de passes des utilisateurs au niveau AD. Pour cela, il convient d’éditer l’onglet sécurité sur la racine de votre domaine et d’éditer les champs (activer): Change password, Reset password, Write LockoutTime, Write pwdLastSet
Nous pouvons désormais passer à l’installation d’AADSync.
Installation du logiciel AADSync
Téléchargement d’AADSync : http://www.microsoft.com/en-us/download/details.aspx?id=44225
Renseignez ici votre compte AD Azure dédié à la synchronisation. Notez que pour cet exemple effectué en lab, nous n’avons pas spécialement dédié de compte pour la configuration d’AADSync :
Entrez ici votre compte AD local crée précédemment et cliquer sur « Add Forest » :
Vous devez voir apparaître votre forêt :
Indiquez ici les éléments permettant d’identifier de façon unique un utilisateur :
Activez ici les fonctionnalités souhaitées :
Cliquez sur « Configure » pour valider l’installation :
Décochez la case « Synchronize now » afin d’éviter de lancer une synchronisation de tout votre AD local. Vous pourrez par la suite créer des règles de filtrage sur ce que vous souhaitez synchroniser:
Il suffit ensuite ensuite de lancer le programme « Synchronisation Service » pour effectuer vos premières synchronisations vers l’AD Azure.
Conclusion
En conclusion, l’outil AADSync s’avère être un outil relativement simple à mettre en place et se présente comme le successeur de « DirSync » et le remplaçant de FIM pour des infrastructure ne nécessitant pas autant de fonctionnalités que ce dernier.
Enfin, pour plus d’informations : https://msdn.microsoft.com/fr-fr/library/azure/dn790204.aspx.
Un prochain article traitera de l’utilisation de la fonctionnalité « Password write-back » ou « mot de passe en libre service ».