Synchroniser AD avec Azure Active Directory (Etape 3)

Nous ouvrons une session sur le serveur Windows 2012 R2, membre du domaine, prévue pour héberger « AAD Connect ». Nous allons utiliser une session administrateur du domaine pour installer les services.

Vous pouvez télécharger le msi de « AAD connect » sur le lien : https://www.microsoft.com/en-us/download/details.aspx?id=47594

 

Une fois le téléchargement terminé, nous exécutons l'installation :

Sur la page de bienvenue, cliquez sur « j'accepte le terme de la licence … » puis sur « continuer »

Pour cet exemple nous allons sélectionner le mode « personnaliser »

Sur la page « installer les composants nécessaires » cliquer sur suivant sans ajouter de composant facultatif :

 

Lors de l'installation des services, le serveur installe une version de la base de données intégré Windows :

 

Dans notre exemple nous sélectionnons « synchronisation du mot de passe » afin de synchroniser le hash du mot de passe vers Azure :

Dans « connexion à Azure AD », indiquez le compte créer lors de l'étape de préparation d'azure ainsi que son mot de passe :

Dans « connexion de vos annuaires », sélectionnez la forêt AD et indiquez un compte utiliser pour la connexion à votre AD locale (il n'est pas obligatoire d'utiliser le compte administrateur). Puis cliquez sur « ajout d'un annuaire » :

Le domaine ajouté devra apparaitre en bas dans la partie « répertoire configurés », cliquez ensuite sur suivant :

Dans notre exemple nous allons sélectionner que certaines unités d'organisation pour la synchronisation avec Azure, les autres ne seront pas analysés par le service.

Nous verrons plus tard que nous pouvons également filtrer sur les membres d'un groupe AD. Tous les utilisateurs de ces unités d'organisation ne seront pas automatiquement créer dans Azure.

Dans la page « identification de manière unique » nous conservons l'option par défaut.

Dans la partie « filtrer les utilisateurs et appareils », nous sélectionnons « synchronisation choisie » sur un groupe et nous ajoutons le nom du groupe créer lors de la préparation du domaine locale. Ensuite il faut cliquer sur « résolution » :

 

Une fois le groupe trouvé cliquez sur suivant :

Dans « fonctionnalités facultative » laisser les paramètres par défaut et cliquez sur suivant :

 

Dans « prêt pour la configuration » cliquez sur « installer »

Après un peu de patiente l'installation d' « Azure AD Connect » se termine …

Après l'installation d'Azure AD Connect vous pouvez constater que le compte « Pierre Dupond » a été créé dans Azure Active Directory et qu'il provient d'un AD local :

 

L'utilisateur peut maintenant se connecter à Azure avec son compte et son mot de passe du domaine local Windows :

 

 

 

 

Si vous renseignez des informations supplémentaires comme le téléphone et bureau les éléments seront également synchronisés dans Azure :

 

 

 

 

 

 

 

 

 

 

 

 

Theme: 

Systeme: 

Annee: 

Commentaires

Lors de la Synchro

Bonjour, S'il existe déjà des comptes existants sur l'exchange online, est-ce que lors de la synchro les comptes sont bien ré-associé ou bien de nouveau comptes vierge sont créé ? En vous en remerciant.

Re: Lors de la Synchro

Les comptes sont crées en fonction d'un SID propre à l'AD locale. Le nom affiché correspond au User Principal Name de l'AD (format monuser@mondomaine un peu comme les adresses mail) . Si un nom identique existe avant la mise en place de la synchro un compte générique est crée avec comme suffixe après le @, le nom du tenant Microsoft : "moncompte.onmicrosoft.com".

Lors de la synchro

Bonjour,

Aucun moyen de relier les comptes sur le nom n'est pas identique, par exemple:
Login AD: dupont@contoso.com
Et login Azure AD: t.dupon@contoso.com

Possible de faire cette relation d’approbation en modifiant la syncro ou peut-être après via powershell ?

Re : Lors de la synchro

Il est possible d'utiliser le login Azure (non synchronisé) pour travailler depuis la session de l'utilisateur du domaine mais dans ce cas, vous n'aurez pas les avantages de l'authentification unique.

Les deux comptes Office 365 et AD local dans votre exemple ne sont pas liés.
Pour fusionner le compte existant déjà sur azure avec le compte venant de l'Active Directory local, il faut faire correspondre l'UPN à l’adresse mail du compte Office 365 déjà crée.

Lors de la prochaine synchronisation le compte venant du Cloud va devenir un compte synchronisé et l'utilisateur venant de l'AD récupéra la boîte aux lettres, OneDrive etc ... de son compte existant avant la synchronisation et qui existait dans Azure.
Néanmoins comme vous le faite remarquer cela ne fonctionne que si l'UPN de l'AD correspond au login d'Azure.