Installation et configuration d'Azure Active Directory Connect

Azure Active Directory

Les plateformes de services agissent désormais comme une extension pour le système d'information. Nombre d’entre elles sont de plus en plus perfectionnées et sont de véritables orchestrateur de service. La plateforme Azure permet l'interopérabilité et la gestion des systèmes et logiciels existant de Microsoft. Nous allons découvrir comment utiliser le service Azure Active Directory en synchronisant notre Active Directory.

Bien débuter dans l'intégration Azure AD

  1. S'inscrire sur la platforme Azure, l'inscription est gratuite: Azure Microsoft Inscription.
  2. Il est nécessaire de vérifier son domaine (ex : kassianoff.fr) pour Azure AD : Vérification du domaine.
  3. Un client Azure AD prend en charge 50 000 objets. Si vous vérifiez votre domaine, la limite passe à 300 000 objets.
  4. Le schéma Active Directory et le niveau fonctionnel de la forêt devront être en version 2003 minimum.
  5. Le contrôleur de domaine doit être en version 2008 minimum pour utiliser la :  Réécriture du mot de passe.
  6. Vérifier la cohérence de votre annuaire active directory : UPN, attributs.(recommandation indispensable O365).
  7. Le contrôleur de domaine utilisé par Azure AD doit être accessible en écriture.
  8. L’utilisation de forêts/domaines utilisant des noms NetBios avec point  (’.’) n’est pas prise en charge.
  9. Il est recommandé d’activer la Corbeille Active Directory.
  10. Vous ne pouvez pas installer Azure AD Connect sur SBS ou Windows Server Essentials version antérieure à 2019.
  11. L'agent (dit serveur Azure AD Connect) s'installe uniquement sur une interface utilisateur graphique.
  12. Azure AD Connect doit être installé sur Windows Server 2008 R2 ou version ultérieure. Ce serveur doit être joint dans un domaine et peut être un contrôleur de domaine (déconseillé) ou un serveur membre (conseillé).
  13. .NET Framework 4.5.1 (ou une version ultérieure) et Microsoft PowerShell 3.0 (ou une version ultérieure) doivent être installés sur le serveur Azure AD Connect.
  14. Le compte d’administrateur global Azure AD du locataire Azure AD doit être un compte scolaire ou d’organisation et non un compte Microsoft.

Plus d'informations concernant les pré-requis :
https://docs.microsoft.com/fr-fr/azure/active-directory/hybrid/how-to-connect-install-prerequisites

Installation Azure Active Directory Connect

J'évolue sur un serveur membre 2012 R2, j'ai vérifié mon domaine, ajouté et modifié mes UPN dans mon annuaire AD.
Je suis désormais prêt à réaliser les étapes d'installation pas à pas. Pour commencer l'installation, il faut télécharger Microsoft Azure Active Directory Connect : https://www.microsoft.com/en-us/download/details.aspx?id=47594

L'installation est relativement rapide, voici la suite des étapes pas à pas :

  1.  Les conditions d'utilisations du service Azure AD connect :

  2. L'outil récupère le domaine local existant et nous informes à ce propos (encadré rouge) :

  3. Nous utilisons la configuration rapide, nous ajoutons notre compte Azure (Azure Active Directory) :

  4. Nous connectons désormais notre compte du domaine local, membre du groupe "administrateur d'entreprise" :

  5. La prochaine étape vérifie les informations local du domaine pour les synchroniser avec AD Connect :


    Notre domaine local utilisant le suffixe UPN ".local" n'est pas vérifiable, il n'est pas routable sur l'internet.
    Comme précisé en début de l'article, il est conseillé de vérifier un domaine. Si vous n'avez pas de domaine routable sur l'internet :  par défaut le compte "user@domain.local" sera remplacé par le suffixe AD Azure suivant  : user@VotreCompteAZURE.onmicrosoft.com. De plus, les utilisateurs ne pourront pas se connecter à Azure AD.
    Je vous invites à cliquer sur :"Continuer sans faire correspondre tous les suffixes UPN à des domaines vérifiés"
     
  6. Nous sommes prêt pour déployer notre configuration et réaliser la synchronisation :

  7. Une fois la configuration terminée, la synchronisation est en cours :


    Je n'utilise pas la corbeille Active Directory. En cas de suppression d’objet accidentelle, je réalise une restauration de l'objet avec Veeam Backup & Réplication.
     
  8. Voici le résultat sur la plateforme Azure de Microsoft :


    On remarque que l'ensemble des objets "utilisateurs" sont synchronisés. Dans mon cas, je ne souhaite pas synchroniser les objets utilisés par exchange.
     
  9. Pour cela, nous devons de nouveau lancer l'outil : "AD Connect" et cliquons sur "Configurer" puis "Personnalisation des options de synchronisation" :

  10. Nous initierons notre modification en choissant notre "foret"  :

  11. Pour la suite, nous sélectionnons simplement les OU à synchroniser :

  12. Les fonctionnalitées facultatives s'affichent, pour ma part je laisse le choix par défaut qui est gratuit :

  13. La configuration est prête pour mettre à jour le connecteur :

  14. Une fois la validation terminée, la synchronisation est en cours :

  15. Le résultat de la différence est visible sur la plateforme Azure :  

Notre domaine local est désormais synchroniser avec Azure Active Directory.

Commentaires