Blog ENI : Toute la veille numérique !
🐠 -25€ dès 75€ 
+ 7 jours d'accès à la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Azure Active Directory
  3. Gestion de la synchronisation
Extrait - Azure Active Directory Gestion des identités hybrides (concepts et mise en œuvre) (2e édition)
Extraits du livre
Azure Active Directory Gestion des identités hybrides (concepts et mise en œuvre) (2e édition) Revenir à la page d'achat du livre

Gestion de la synchronisation

AAD Connect

Lors du précédent chapitre, nous avons étudié la gestion des identités et des appareils hybrides avec l’outil AAD Connect. Il permet en effet l’extension de l’annuaire Active Directory local vers Azure Active Directory et l’authentification des utilisateurs avec une seule identité pour utiliser des services cloud, applications et Microsoft 365.

AAD Connect propose plusieurs outils, comme évoqué précédemment, qui vont permettre de gérer la synchronisation et également le filtrage granulaire des éléments que l’on souhaite envoyer vers Azure Active Directory.

1. Présentation des outils

À l’installation de AAD Connect, plusieurs outils sont proposés afin de pouvoir gérer cette identité hybride, comme on peut le constater sur la capture ci-dessous :

images/CH6-1-1-1.png

Ces outils ont tous un rôle précis et contribuent à la gestion de l’identité hybride avec Azure Active Directory :

  • Azure AD Connect : permet la configuration de l’extension vers Azure Active Directory. À partir de cet outil, il est possible de choisir le type de configuration, le ou les OU que vous souhaitez synchroniser dans Azure Active Directory. Il permet aussi de définir la méthode d’authentification des utilisateurs une fois ces derniers synchronisés et propose de nombreuses options, telles que le mot de passe writeback, le périphérique writeback, la gestion du mode Staging, l’hybridation des postes de travail, etc.

  • Synchronization Rules Editor : un éditeur de règles de synchronisation permettant de filtrer, par exemple, plus précisément les utilisateurs que vous souhaitez envoyer dans Azure, par rapport au filtrage d’OU sélectionné lors de la précédente...

Opérations et configurations

Cette partie aborde les opérations et configurations que l’on peut effectuer au niveau du service AAD Connect.

1. AAD Connect Scheduler

Le scheduler est le service de planification de la synchronisation de l’annuaire Active Directory vers Azure Active Directory. Par défaut, il déclenche une synchronisation toutes les 30 minutes.

Cette section va montrer les possibilités de configuration de ce scheduler.

Le scheduler traite deux tâches importantes :

  • La synchronisation : permet d’effectuer les opérations d’import, synchronisation et exploration.

  • La maintenance : permet le renouvellement des clés, des certificats du service DRS (Device Registration Device) et des mots de passe. Il permet également de purger le journal des opérations.

Nous pouvons accéder à l’état et aux paramètres du scheduler avec la commande PowerShell suivante :

Get-ADSyncScheduler
images/CH6-2-1-1-1.png

Toutes les commandes relatives au scheduler doivent être exécutées depuis le serveur AAD Connect, dans notre cas AAD01. Bien entendu, il faut que le module PowerShell ADsync soit importé dans la session PowerShell.

Au niveau du résultat, nous disposons de plusieurs paramètres :

  • AllowedSyncCycleInterval : c’est l’intervalle de temps autorisé au niveau des cycles de synchronisation vers Azure Active Directory.

  • CurrentlyEffectiveSyncCycleInterval : c’est la fréquence configurée sur votre serveur AAD. Rappelez-vous, par défaut cet intervalle de synchronisation est configuré à 30 minutes. Cela veut dire que chaque 30 minutes, le moteur de synchronisation s’exécute.

  • CustomizedSyncCycleInterval : utilisé pour définir une autre fréquence de synchronisation. Il est donc possible de déroger à...

Problématique

Nous allons voir dans cette troisième et dernière partie un problème souvent rencontré.

Des entreprises se rendent dans le cloud Microsoft 365 en y créant un environnement indépendant, c’est-à-dire non connecté à l’annuaire Active Directory interne. Elles disposent donc de deux comptes bien distincts, un compte Active Directory local pour l’accès aux ressources internes de l’entreprise et un autre compte Microsoft 365/Azure Active Directory qui permet l’accès aux ressources cloud, applications, service Microsoft 365, etc.

1. Cas réel d’entreprise

Lors d’une mission, j’ai rencontré un client membre d’un grand groupe international mais géré en tant qu’entité indépendante, composée de plusieurs agences dans le monde. Sa société utilise Microsoft 365 pour la messagerie, ce qui veut dire que la messagerie du groupe et celle de cette entité ne sont pas les mêmes.

Un jour, cette entreprise souhaite sortir du groupe et construire son propre système d’information. Pour cela, l’annuaire Active Directory lui est indispensable en interne afin d’accéder aux ressources, de joindre les ordinateurs, de les sécuriser par GPO, etc. Seulement, le souci consiste en la présence antérieure de comptes dans Azure Active Directory : comment faire afin de répliquer ces utilisateurs Azure Active Directory dans le nouvel Active Directory local de l’entité ?

Il faut savoir qu’AAD Connect n’est pas prévu pour ce genre de scénario, à savoir la réécriture des utilisateurs dans l’annuaire Active Directory depuis Azure Active Directory.

2. Explication

Un objet qui se trouve dans Azure Active Directory est géré soit...