1. Présentation
Avec la mobilité, le télétravail, et les services dans le Cloud, on parle de plus en plus d’identité Cloud. Nombreuses sont les entreprises qui utilisent un fournisseur d’Identity as a Service (IDaaS) : elle offre aux entreprises le meilleur en termes de flexibilité, de rentabilité et d’agilité. Côté collaborateurs, l’authentification unique dans le cloud réduit le nombre de mots de passe utilisés, ce qui réduit les coûts de réinitialisation des mots de passe et augmente la productivité des employés. Côté clients, la gestion des identités et des accès offre les capacités d’augmenter la fidélité et la satisfaction des clients grâce à des expériences améliorées telles que des profils unifiés et une connexion sans mot de passe.
Au fil du temps, l’évolution des composants de synchronisation s’est améliorée. Nous utilisons souvent Azure AD connect, un outil qui vous permet de faire une synchronisation entre votre Active Directory local et l’Active Directory d’Office 365. L’intégration de votre domaine local à l’Active Directory d’Office 365 Azure permettra aux utilisateurs d’accéder avec une identité unifiée (nom d’utilisateur et mot de passe uniques) aux ressources Office 365.
La première version Azure AD Connect « Version 1.x » est sortie en septembre 2014, et mise hors service le 31 Août 2022. La version 2.x est sortie le 31 Septembre 2021.
Microsoft récemment a pris la méthode de synchronisation a un autre niveau plus flexible, comme il devrait l’être avec l’outil Azure AD connect Cloud sync.
Le nouveau composant va vous permettre de synchroniser les objets tels que les utilisateurs, groupes, contacts et ordinateurs vers Azure AD. Il fait la synchronisation en utilisant l’agent de provisionnement Azure AD Cloud au lieu du composant/serveur Azure AD connect on-prem.
2. Comparaison Microsoft Azure Ad Connect Cloud Sync et Azure AD Connect
Il est important de noter aussi que la synchronisation via azure ad connect cloud sync ne prend pas en charge exchange Hybrid.
Ci-dessous une comparaison Microsoft Azure AD cloud sync et Azure AD Connect :
| Fonctionnalité | Synchronisation Azure Active Directory Connect | Synchronisation cloud Azure Active Directory Connect |
| Connexion à une forêt AD locale | ● | ● |
| Connexion à plusieurs forêts AD locales | ● | ● |
| Connexion à plusieurs forêts Active Directory locales déconnectées | ● | |
| Modèle d’installation d’agent léger | ● | |
| Plusieurs agents actifs pour la haute disponibilité | ● | |
| Connexion aux annuaires LDAP | ● | |
| Prise en charge des objets utilisateur | ● | ● |
| Prise en charge des objets groupe | ● | ● |
| Prise en charge des objets contact | ● | ● |
| Prise en charge des objets appareil | ● | |
| Autorisation de la personnalisation de base pour les flux d’attributs | ● | ● |
| Synchronisation des attributs Exchange Online | ● | ● |
| Synchronisation des attributs d’extension 1-15 | ● | ● |
| Synchronisation des attributs Active Directory définis par le client (extensions d’annuaire) | ● | |
| Prise en charge de la synchronisation de hachage de mot de passe | ● | ● |
| Prise en charge de l’authentification directe | ● | |
| Prise en charge de la fédération | ● | ● |
| Authentification unique transparente | ● | ● |
| Installation des supports sur un contrôleur de domaine | ● | ● |
| Prise en charge pour Windows Server 2016 | ● | ● |
| Filtrage sur les domaines/unités d’organisation/groupes | ● | ● |
| Filtrage sur les valeurs d’attributs des objets | ● | |
| Autorisation d’un ensemble minimal d’attributs à synchroniser (MinSync) | ● | ● |
| Autorisation du blocage des attributs circulant d’AD vers Azure AD | ● | ● |
| Autorisation de la personnalisation avancée pour les flux d’attributs | ● | |
| Prise en charge de la réécriture du mot de passe | ● | ● |
| Prise en charge de la réécriture d’appareil | ● | Les clients doivent utiliser l’approbation Kerberos cloud pour cette fonctionnalité |
| Prise en charge de la réécriture de groupe | ● | |
| Prise en charge de la fusion des attributs utilisateur de plusieurs domaines | ● | |
| Support Azure AD Domain Services | ● | |
| Écriture différée d’Exchange hybride | ● | |
| Nombre illimité d’objets par domaine AD | ● | |
| Prise en charge d’un maximum de 150 000 objets par domaine AD | ● | ● |
| Groupes jusqu’à 50 000 membres | ● | ● |
| Grands groupes jusqu’à 250 000 membres | ● | |
| Références entre les domaines | ● | ● |
| Approvisionnement à la demande | ● | ● |
| Prise en charge pour le gouvernement des États-Unis | ● | ● |
Voici quelques fonctionnalités actuellement manquantes dans Azure AD Cloud Sync :
- Synchroniser les attributs d’extension personnalisés et de répertoire.
- Hybrid Azure AD Join (HAADJ) et écriture différée des appareils pour les appareils sur site.
- Synchronisation des objets Exchange sur site avec le cloud (Exchange hybride).
- Prise en charge du modèle de forêt de ressources, où les comptes d’utilisateurs se trouvent dans une forêt et les ressources (boîtes aux lettres, contacts) se trouvent dans une autre forêt.
- Synchroniser plus de 250 000 objets d’annuaire.
- Filtrer les objets de l’annuaire en fonction de leurs valeurs d’attribut.
- Inclure et exclure des unités d’organisation lors de la synchronisation d’objets d’annuaire
3. Intégration de l’outil Azure Ad Cloud Sync
Prérequis :
Vous devez avoir un compte administrateur global cloud sur votre tenant Azure AD. De cette façon, vous pouvez gérer la configuration de votre tenant si vos services onpremise deviennent indisponibles.
Vous devez ajouter aussi un ou plusieurs noms de domaine personnalisés à votre tenant Azure. Vos utilisateurs peuvent se connecter avec l’un de ces noms de domaine.
Avant de commencer n’oubliez pas de vérifier si vous avez un firewall entre vos serveurs et Azure AD
Si vous avez un pare-feu entre vos serveurs et Azure AD, configurez les éléments suivants :
S’assurer que les agents font des requêtes sortantes à Azure AD sur les ports ci-dessous: 443 qui gère toutes les communications sortantes avec le service.
Ajouter aussi des connexions à *.msappproxy.net et *.servicebus.windows.net si votre pare-feu ou proxy vous permettent de spécifier des suffixes de sécurité.
Vos agents doivent avoir accès aussi à logins.windows.net et à login.microsoftonline.com. Ouvrez également votre pare-feu pour ces URL.
Ouvrir les URL suivant: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 et www.microsoft.com:80 pour la validation du certificat.
Comme ces URL sont utilisées pour la validation de certificats avec d’autres produits Microsoft, il se peut que ces URL soient déjà ouverts.
4. Installation de l’outil Azure Ad Cloud Sync
Comme vous allez le voir ci-dessous, l’installation est très simple. Connectez-vous avec votre compte Admin général sur l’interface Azure, télécharger ensuite l’agent Azure Ad CloudSync
Ci-dessous la présentation de ce qui se passe lorsque vous exécutez l’agent sur votre infra on-premise, l’installation doit s’effectuer sur une vm jointe au domaine minimum Windows server 2016.
L’installation démarre, sous le compte de service virtuel (Network SERVICE AADProvisionningAgent), ce dernier est un compte de service virtuel qui n’a pas de mot de passe et qui est géré par Windows.
L’installation démarre.
L’assistant vous invitera à renseigner les identifiants Azure AD, puis authentifie et récupère le token.
L’assistant demande ensuite les identifiants des administrateurs de domaine de la machine actuelle.
En utilisant ces identifiants, le compte de service géré par l’agent général (GMSA) pour ce domaine est créé ou localisé et réutilisé s’il existe déjà.
L’agent est maintenant reconfiguré pour fonctionner sous GMSA.
L’assistant demande maintenant la configuration de domaine et le compte Enterprise Admin (EA)/Domain Admin(DA) pour chaque domaine que l’agent doit entretenir.
Le compte GMSA est mis à jour avec des permissions qui permettent d’accéder à chaque domaine entré ci-dessus.
Ensuite, l’assistant déclenche l’enregistrement de l’agent.
L’agent crée un certificat et à l’aide du jeton Azure AD, s’enregistre lui-même et le certificat auprès du service d’enregistrement Hybrid identity Service (HIS) et met également à jour le dernier temps bootsrap.
Revenez sur votre interface Azure AD et créer une nouvelle configuration de synchronisation Cloud, vous choisissez ensuite si vous souhaitez activer la synchronisation de hachage du mot de passe.
Modifier la configuration, vous pouvez faire la mapping d’attributs directement depuis l’interface en fonction de vos besoins
Vous pouvez aussi faire le provisioning user, pour tester, valider le sync et vérifier qu’il fonctionne correctement
5. Conclusion
Azure AD Connect cloud sync est l’outil qui vous faut si vous avez des scenarios de forets déconnectés a synchroniser ou de merge acquisition et aussi pour les petites structures, qui n’envisagent pas de mettre en place le Device Support Objects( Hybrid Join/ Intune) ou l’hybridation exchange par exemple , même s’il s’approche de l’outil Azure Ad Connect, je pense qu’il lui manque encore quelques fonctionnalités clés auxquelles cet outil ne peut répondre pour l’instant.
6. Les commandes Powershell AAD Cloud Sync à connaitre
Veuillez trouver ci-dessous toutes les principales commandes PowerShell à connaitre absolument.
Pour cela, il faut pour la première fois charger le module des commandes à votre PowerShell :
Import-module -Name « C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Utility\AADCloudSyncTools
4|1 Pour installer les prérequis du module AADCloudSyncTools
Install-AADCloudSyncToolsPrerequisites
4|2 Affiche les détails du tenant Azure AD et l’état des variables internes
Get-AADCloudSyncToolsInfo
4|3 Redémarrer une synchronisation complète
Restart-AADCloudSyncToolsJob
7. Liens Microsoft
Historique des versions Azure AD Connect: https://learn.microsoft.com/fr-fr/azure/active-directory/hybrid/reference-connect-version-history
Topologies Azure AD Connect: https://learn.microsoft.com/en-us/azure/active-directory/hybrid/plan-connect-topologies
Powershell Azure AD Connect cloud Sync: https://learn.microsoft.com/en-us/azure/active-directory/cloud-sync/reference-powershell
Présentation Azure AD Connect cloud Sync: https://learn.microsoft.com/en-us/azure/active-directory/cloud-sync/what-is-cloud-sync
Prérequis Azure AD Connect cloud Sync: https://learn.microsoft.com/en-us/azure/active-directory/cloud-sync/how-to-prerequisites?tabs=public-cloud
