Dans ce guide, je fournirai des informations sur l’endroit où télécharger Azure Active Directory ( récemment renommé Microsoft Entra ID ) Connect V2 et vous guiderai dans son installation et sa configuration.
Microsoft indique que la topologie la plus courante est une seule forêt sur site, avec un ou plusieurs domaines, et un seul locataire Azure AD. Mon guide suivra cette topologie, en utilisant une nouvelle forêt et un domaine Windows Server 2019, un locataire Azure AD utilisant une licence d’essai Premium P2 et un domaine personnalisé vérifié.
Téléchargez Azure AD Connect et configurez-le
Avant de nous plonger dans les détails, voici les 6 étapes principales requises pour configurer et mettre en service Azure AD Connect V2:
- Téléchargez Azure AD Connect
- Exécutez l’installateur
- Configurez la connexion des utilisateurs
- Connectez vos répertoires
- Configurez les options avancées
- Démarrez la synchronisation des répertoires
Qu’est-ce que Azure AD Connect?
Simplement, Azure AD Connect permet de synchroniser votre Active Directory (AD) avec Azure AD. Cela étend votre Windows Server Active Directory traditionnel mais toujours essentiel à Azure AD hébergé dans le cloud de Microsoft, et vous aide à atteindre votre objectif de créer une identité hybride.
Si vous n’êtes pas familier avec ces termes ou si vous avez besoin d’un rappel, c’est normal. Nous recommandons de prendre le temps de consulter notre comparaison entre Active Directory et Azure Active Directory avant d’aller plus loin.
Azure AD Connect contient des fonctionnalités telles que la synchronisation de hachage de mot de passe (PHS), l’authentification par délégation (PTA) et l’intégration avec les services de fédération Active Directory (AD FS). Ces fonctionnalités et d’autres sont expliquées sur la page d’assistance Qu’est-ce que Azure AD Connect de Microsoft.
Aussi, veuillez noter que Azure Active Directory Domain Services (Azure AD DS) est une offre différente de Microsoft et n’est pas couverte dans ce guide.
Les nouveautés dans Azure AD Connect V2
Azure AD Connect 2 apporte quelques changements significatifs :
- SQL Server 2019 LocalDB
- Bibliothèque d’authentification MSAL
- Visual C++ Redist 14
- TLS 1.2 (les versions 1.0 et 1.1 ne sont plus prises en charge)
- Tous les binaires sont signés avec SHA2
- Windows Server 2012 et Windows Server 2012 R2 ne sont plus pris en charge
- PowerShell 5.0
Microsoft a déjà annoncé que toutes les versions Azure AD Connect V1 seront retirées le 31 août 2022. Cela seul devrait être un bon incitatif pour passer à Azure AD Connect V2.
Veuillez consulter l’article de Petri Russel Smith sur les nouveautés d’Azure AD Connect V2 pour plus d’informations sur les plus grands changements dans Azure AD Connect V2. De plus, la page de support de Microsoft pour Azure AD Connect : Historique des versions contient des détails importants sur les nouvelles fonctionnalités.
Prérequis pour Azure AD Connect V2
Avant de pouvoir installer Azure AD Connect V2, il y a quelques éléments dont nous aurons besoin :
- Un locataire Azure AD, qui peut être gratuit ou premium (payant)
- Un serveur Windows sur site ou hébergé dans le cloud (sur une machine virtuelle Infrastructure en tant que Service) exécutant en tant que contrôleur de domaine AD (contrôleur de domaine) (les anciennes versions de Windows Server fonctionnent mais certaines fonctionnalités comme le retour d’écriture de mot de passe nécessiteront 2016 ou ultérieur)
- Votre contrôleur de domaine doit être inscriptible, les contrôleurs de domaine en lecture seule (RODC) ne sont pas pris en charge
- Idéalement, Azure AD Connect devrait être installé sur un serveur dédié rejoint au domaine, mais vous pouvez également l’installer sur votre contrôleur de domaine (Windows Server 2016 ou ultérieur avec Desktop Experience requis pour Azure AD Connect V2)
- AD et AAD comptes pour votre serveur Azure AD Connect. Microsoft différencie les comptes utilisés pour faire fonctionner Azure AD Connect et ceux utilisés pour son installation et sa configuration.
Pour ce guide, nous utiliserons simplement un compte Administrateur Global pour le locataire Azure AD et un membre du groupe AD Enterprise Admins pour la connectivité AD. Dans vos environnements de production, assurez-vous d’utiliser des comptes dédiés qui couvrent juste les autorisations minimales requises pour votre situation et gardez votre mot de passe en sécurité. Consultez la page de support de Microsoft sur les Comptes et autorisations Azure AD Connect pour plus de détails.
Installation et configuration d’Azure AD Connect V2
La première chose que nous devrons faire est de télécharger l’installateur Azure AD Connect. Voici comment procéder.
Télécharger Azure AD Connect
- Connectez-vous à votre portail Azure
- Rendez-vous dans Azure Active Directory
- Dans la section Gérer, sélectionnez Azure AD Connect et cliquez sur Télécharger Azure AD Connect.
Exécuter l’installateur Azure AD Connect
Une fois téléchargé, nous exécuterons cet installateur (AzureADConnect.msi) sur notre serveur Azure AD Connect (contrôleur de domaine ou serveur dédié). Des privilèges élevés sont nécessaires pour cela, alors assurez-vous de sélectionner Oui lorsque vous y êtes invité.
Une fois l’installateur chargé, vous serez accueilli par l’écran Bienvenue dans Azure AD Connect. Une fois que vous avez accepté les termes de licence et l’avis de confidentialité, cliquez sur Continuer.
Choisir les paramètres personnalisés
Sur l’écran des Paramètres Express, vous devrez sélectionner Personnaliser en bas de la page. Les paramètres Express peuvent convenir à de nombreux environnements, mais certains paramètres ne peuvent être définis qu’en utilisant l’installation avec les Paramètres Personnalisés.
Sur l’écran Installer les composants requis, vous pouvez personnaliser les paramètres affectant Azure AD Connect :
- Spécifier un emplacement d’installation personnalisé
- Utiliser un serveur SQL existant (pour les environnements de plus grande taille et les exigences de haute disponibilité)
- Utiliser un compte de service existant (il se peut que vous deviez utiliser un compte créé à l’avance dans votre environnement)
- Spécifier les groupes de synchronisation personnalisés (ce qui vous permet de définir vos propres groupes de sécurité locaux au lieu des groupes par défaut)
- Importer les paramètres de synchronisation (qui ont été exportés à partir d’une autre installation d’Azure AD Connect)
Une fois vos sélections terminées, cliquez sur Installer. L’installateur installera les composants requis, tels que le Service de synchronisation.
Configurer la connexion des utilisateurs
Après quelques instants, l’écran Connexion des utilisateurs sera affiché. Vous pouvez sélectionner l’une des options suivantes :
- Synchronisation de l’empreinte du mot de passe (choix par défaut)
- Authentification via transmission
- Fédération avec AD FS
- Fédération avec PingFederate
- Ne pas configurer
Vous pouvez également activer la connexion unique pour vos utilisateurs. Choisissez la méthode souhaitée (nous utilisons la Synchronisation de l’empreinte du mot de passe pour ce guide) et cliquez sur Suivant.
À l’écran Connecter à Azure AD, saisissez les informations d’identification de votre compte Azure AD (voir les prérequis dans la section précédente). Vous pourriez être invité à modifier votre mot de passe si vous ne vous êtes pas encore connecté avec ce compte. De plus, si la MFA est activée sur votre compte, vous pourriez être invité à satisfaire aux exigences définies par votre organisation.
Cliquez sur Suivant pour continuer.
Connecter vos répertoires
Sur l’écran Connecter vos répertoires, sous FORET, sélectionnez votre répertoire et cliquez sur Ajouter un répertoire.
Dans une fenêtre contextuelle, vous serez invité à sélectionner soit Créer un nouveau compte soit Utiliser un compte existant. Ce compte sera utilisé pour la synchronisation des répertoires.
Si vous avez déjà créé un compte à cet effet, assurez-vous qu’il ne fait PAS partie du groupe Administrateurs d’entreprise ou Administrateurs de domaine. Pour ce guide, nous allons créer un nouveau compte.
Vous verrez votre répertoire ajouté répertorié sous RÉPERTOIRES CONFIGURÉS. Vous avez également la possibilité de supprimer un ou plusieurs répertoires ajoutés si vos besoins ou circonstances ont changé.
Une fois terminé, cliquez sur Suivant.
Choisissez comment vos utilisateurs seront identifiés dans Azure AD
À l’écran de configuration de la connexion Azure AD, vous verrez le suffixe UPN de l’Active Directory et le statut du domaine Azure AD correspondant pour tous les répertoires que vous avez ajoutés. Si l’un de vos domaines n’est pas vérifié ou ajouté, vous pouvez résoudre ce problème et rafraîchir cet écran en utilisant l’icône de rafraîchissement en dessous du tableau.
Sur la même page, vous pourrez également personnaliser votre nom principal d’utilisateur (UPN), l’attribut sur site qui sera utilisé comme nom d’utilisateur Azure AD.
Vous devez prendre une décision critique sur la manière dont vos utilisateurs seront identifiés dans Azure AD. Contrairement à Active Directory, Azure AD ne permet pas les doublons.
Strictement parlant, AD n’autorise pas non plus les doublons, mais ne l’applique pas réellement. Vous pourriez avoir des UPN dupliqués dans votre AD et vous en sortir avec, alors qu’Azure AD ne synchronisera que le premier compte, ignorant tout compte ultérieur. Vous pourriez également avoir les mêmes noms d’utilisateur dans plusieurs répertoires et la même limitation s’appliquerait.
Si vous craignez que cela puisse vous concerner, vous pouvez vérifier votre AD en utilisant idFix avant de commencer la configuration de la synchronisation Azure AD Connect. Consultez la page GitHub de Microsoft sur idFix pour plus d’informations.
Habituellement, vous pouvez laisser ce paramètre sur la valeur par défaut « userPrincipalName », mais vos circonstances particulières peuvent être différentes. Les noms de domaine non routables (les plus courants sont .local ou .internal) sont également une bonne raison de modifier votre UPN, mais ce problème peut également être résolu en ajoutant un suffixe UPN (routable) alternatif via Active Directory Domains and Trusts.
Cliquez sur Suivant pour continuer.
Choisissez les domaines et les unités d’organisation que vous souhaitez synchroniser
Dans l’écran Domain and OU filtering, vous pouvez synchroniser tous les domaines et unités d’organisation (UO) ou personnaliser ceux que vous souhaitez synchroniser. Microsoft indique que certaines UO sont essentielles au bon fonctionnement et doivent être laissées sélectionnées. Le filtrage basé sur les unités d’organisation de Microsoft fournit des informations supplémentaires sur ces UO.
Cliquez sur Suivant pour continuer.
À l’écran de l’identification unique de vos utilisateurs, sélectionnez les options les mieux adaptées à votre infrastructure. Comme dans la section précédente, il est crucial de faire les bons choix.
Alors que les valeurs par défaut peuvent convenir à de nombreuses organisations, votre environnement pourrait nécessiter que vous passiez du temps et des efforts à identifier les valeurs les mieux adaptées pour vous. Consultez la page de support de Microsoft sur l’identification unique de vos utilisateurs pour plus d’informations.
Une fois prêt, cliquez sur Suivant pour continuer.
Choisissez quels utilisateurs et appareils seront synchronisés avec Azure AD
Sur l’écran Filtrer les utilisateurs et les appareils, vous pouvez limiter quels utilisateurs et appareils seront synchronisés avec Azure AD en spécifiant un seul groupe. C’est une façon pratique de limiter votre déploiement pilote initial.
Ces paramètres peuvent être modifiés une fois que vous avez terminé votre pilote et résolu tous les problèmes de votre déploiement, si vous en rencontrez. Si vous souhaitez utiliser cela, entrez simplement le nom de votre groupe pilote et cliquez sur le bouton Résoudre.
Notez que Microsoft prévient que cette fonctionnalité n’est pas destinée à être utilisée dans un déploiement en production, alors assurez-vous de la changer avant de le mettre en service.
Pour ce guide, j’ai créé un groupe appelé HybridUsers et j’ai ajouté tous mes utilisateurs de test.
Cliquez sur Suivant pour continuer.
Choisissez les fonctionnalités facultatives dont votre organisation a besoin
Sur l’écran des Fonctionnalités facultatives, vous pouvez définir des paramètres supplémentaires spécifiques aux exigences de votre organisation :
- Déploiement hybride Exchange (pour la coexistence avec Exchange sur site et Exchange Online)
- Dossiers publics de messagerie Exchange (pour synchroniser les objets de dossiers publics activés pour la messagerie à partir de votre instance Active Directory locale vers Azure AD)
- Filtrage des applications et des attributs Azure AD (pour limiter les attributs à synchroniser vers Azure AD)
- Synchronisation de hachage de mot de passe
- Renvoi de mot de passe (pour permettre à vos utilisateurs de réinitialiser leur mot de passe en libre-service, réduisant ainsi les appels au helpdesk)
- Renvoi de groupe (pour renvoyer des groupes Azure AD spécifiques vers votre AD)
- Renvoi de périphérique (pour renvoyer les périphériques enregistrés Azure AD vers votre AD)
- Synchronisation des attributs d’extension d’annuaire (pour synchroniser des attributs AD personnalisés vers votre Azure AD)
Pour ce guide, je vais conserver les valeurs par défaut. Pour votre environnement, assurez-vous de sélectionner les paramètres les plus appropriés et gardez à l’esprit que certains ont des exigences spécifiques. Microsoft a davantage d’informations sur sa page de support des fonctionnalités optionnelles.
Cliquez sur Suivant pour continuer.
Choisissez vos options avant de démarrer le processus de synchronisation
Nous sommes arrivés à l’écran Prêt à configurer, qui vous propose un aperçu sélectif de vos choix. Cela vous permet également de définir les deux options suivantes :
- Démarrer le processus de synchronisation une fois la configuration terminée (désélectionner cela reporte le démarrage du processus de synchronisation)
- Activer le mode de mise en attente : Quand sélectionné, la synchronisation n’exportera aucune donnée vers AD ou Azure AD (cette instance Azure AD Connect importera encore les paramètres)
Il pourrait être utile d’avoir un deuxième serveur Azure AD Connect prêt à ingérer vos données au cas où votre principal deviendrait indisponible. Cela vous permet (manuellement) de transformer le deuxième serveur en celui qui synchronise activement, sautant tout le processus d’installation ou le besoin de restauration depuis une sauvegarde. Vous serez la meilleure personne pour déterminer comment configurer au mieux votre ou vos serveurs Azure AD Connect.
Cliquez sur Installer une fois confirmé que tous les paramètres sont corrects.
Maintenant, Azure AD Connect va déployer vos paramètres, installer plusieurs composants, puis lancer la première synchronisation entre votre AD et votre Azure AD. Cela peut prendre un certain temps en fonction de la taille de votre AD.
Vérification du bon fonctionnement d’Azure AD Connect
Ce que vous verrez dépendra des choix effectués lors de l’installation. Si vous avez suivi mes instructions, votre environnement devrait être similaire.
Dans votre Portail Azure, accédez à Azure Active Directory, et dans la section Gérer sélectionnez Azure AD Connect. Vous verrez que les valeurs de Statut de synchronisation, Dernière synchronisation et Synchronisation des hachages de mots de passe ont changé, reflétant que le service a été activé.
Toujours dans Azure Active Directory, dans la section Gérer, sélectionnez Utilisateurs. Vous trouverez tous les utilisateurs sur site (AD) que vous avez sélectionnés synchronisés avec Azure AD. Notez la colonne Répertoire synchronisé, cela vous permettra de déterminer facilement si un compte a été synchronisé depuis votre AD sur site ou créé dans le cloud (Azure AD).
Reconfiguration d’Azure AD Connect et d’autres outils supplémentaires
Vous trouverez un raccourci supplémentaire (Azure AD Connect) sur votre bureau, vous permettant de reconfigurer certains des paramètres d’Azure AD Connect. Vous pourriez voir une sélection d’options différente, en fonction de vos choix d’installation initiaux.
De plus, la tâche Afficher ou exporter la configuration actuelle vous permet de sauvegarder commodément vos paramètres Azure AD Connect, ce qui pourrait également satisfaire certaines de vos exigences en matière de documentation. Résoudre les problèmes vous permet de lancer l’Outil de dépannage d’Azure AD Connect qui s’ouvre dans une fenêtre PowerShell.
Le planificateur du service de synchronisation est suspendu pendant l’exécution de l’assistant, même si vous ne apportez aucune modification, alors assurez-vous de ne pas le laisser ouvert accidentellement.
Azure AD Connect installe et active en outre d’autres outils et portails qui vous aideront à tirer le meilleur parti de votre configuration d’identité hybride :
Maintenant que nous avons installé Azure AD Connect V2 et vérifié que les deux répertoires sont synchronisés, il est peut-être temps d’explorer certains des cas d’utilisation plus avancés comme l’activation de l’authentification unique (SSO) et de l’authentification par délégation. De plus, vous devrez rester à jour sur les nouvelles versions d’Azure AD Connect, car Microsoft aime publier de nouvelles fonctionnalités et supprimer occasionnellement certaines que vous pourriez utiliser dans votre environnement.
Article associé :
Source:
https://petri.com/how-to-install-and-configure-azure-ad-connect-v2/