Tutoriel complet pour Azure AD Connect et Microsoft Entra Connect

Azure AD Connect (désormais Microsoft Azure Connect) C'est la clé pour connecter votre Active Directory local au cloud Microsoft : Azure AD et Microsoft 365. Grâce à cet outil, vos utilisateurs peuvent se connecter avec le même nom d'utilisateur et le même mot de passe, aussi bien sur site que dans les services cloud, évitant ainsi les comptes dupliqués et simplifiant la tâche du service informatique.

Tout au long de ce tutoriel Vous verrez en détail l'ensemble du cycle : préparation de l'environnement sur site, création du domaine et de la forêt Active Directory, configuration de Microsoft Entra ID, installation et configuration d'Azure AD Connect, méthodes d'authentification, filtrage des objets et fonctionnalités avancées telles que la synchronisation des hachages de mots de passe, la réécriture ou l'utilisation de Microsoft Entra Connect Health pour surveiller l'infrastructure.

Qu'est-ce qu'Azure AD Connect et à quoi sert-il ?

Azure AD Connect est l'utilitaire officiel de Microsoft. Il sert de « pont » entre votre Active Directory local et Azure Active Directory, intégrant également Microsoft 365. Il permet de synchroniser les identités déjà présentes dans votre domaine local avec le cloud, afin que l'utilisateur utilise les mêmes informations d'identification dans les deux environnements et, s'il le souhaite, bénéficie de l'authentification unique (SSO).

Le client Azure AD Connect est installé sur un serveur membre. Bien qu'il soit techniquement possible de l'installer sur un contrôleur de domaine, Microsoft recommande d'éviter cette solution pour des raisons de sécurité et d'isolation des services. Ce serveur sera chargé de synchroniser régulièrement les utilisateurs, les groupes et les autres objets de votre Active Directory avec Azure AD.

Une fois configuré, Azure AD Connect Il peut utiliser différents modèles d'authentification : synchronisation des hachages de mots de passe (PHS), authentification directe (PTA), fédération avec AD FS ou fédération avec des fournisseurs comme PingFederate. Il offre également des options telles que l'authentification unique (SSO), le filtrage par unité organisationnelle ou groupes, la protection contre les suppressions massives et les mises à jour automatiques du produit.

Dans les scénarios où vous travaillez déjà avec Microsoft 365 Et si vous avez des utilisateurs « exclusivement cloud », Azure AD Connect vous permet d'unifier les identités : si l'UPN et l'adresse e-mail d'un utilisateur local correspondent à ceux de l'utilisateur dans le cloud, lors de la synchronisation, cet utilisateur cessera d'être « exclusivement cloud » et deviendra un utilisateur synchronisé à partir d'AD, centralisant ainsi la gouvernance des attributs dans votre annuaire local.

Préparation de l'environnement Active Directory local

Avant de songer à synchroniser quoi que ce soit avec AzureVous avez besoin d'un environnement Active Directory fonctionnel. Si vous disposez déjà d'un domaine d'entreprise en production, vous pouvez l'utiliser ; sinon, vous pouvez configurer un environnement de test de A à Z pour tester tous les scénarios d'identité hybride sans impacter votre environnement de production.

L'idée derrière ce laboratoire est de créer un serveur Ce serveur fera office de contrôleur de domaine (DC) et hébergera AD DS, DNS et les outils de gestion. L'ensemble de cette configuration peut être réalisé sur une machine virtuelle Hyper-V exécutant Windows Server, grâce à des scripts PowerShell qui automatisent une grande partie des tâches.

Création de la machine virtuelle pour le contrôleur de domaine

La première étape consiste à créer une machine virtuelle qui fera office de serveur Active Directory local. Pour ce faire, ouvrez PowerShell ISE en tant qu'administrateur sur l'hôte Hyper-V et exécutez un script définissant le nom de la machine virtuelle, le commutateur réseau, le chemin d'accès au disque dur virtuel (VHDX), la taille du disque et le support d'installation (ISO de Windows Server).

Ce script crée une machine virtuelle de génération 2.Avec une mémoire fixe, un nouveau disque virtuel est créé et un lecteur DVD virtuel pointant vers l'ISO du système d'exploitation est associé. Le micrologiciel de la machine est alors configuré pour démarrer initialement depuis le DVD, ce qui vous permet d'effectuer l'installation du système de manière interactive.

Une fois la machine virtuelle crééeDepuis le Gestionnaire Hyper-V, vous devez lancer le serveur, vous connecter à sa console et effectuer une installation standard de Windows Server : sélectionnez votre langue, saisissez la clé de produit, acceptez les termes du contrat de licence, choisissez une installation personnalisée et utilisez le disque nouvellement créé. Une fois l’installation terminée, redémarrez le serveur, connectez-vous et appliquez toutes les mises à jour disponibles.

Configuration initiale du serveur Windows

Le système d'exploitation étant déjà installéLe serveur doit être préparé pour recevoir le rôle de services de domaine Active Directory. Cela implique de lui attribuer un nom cohérent (par exemple, DC1), de configurer une adresse IP statique, de définir les paramètres DNS et d'ajouter les outils d'administration nécessaires à l'aide des fonctionnalités Windows.

Utilisation d'un autre script PowerShell Vous pouvez automatiser ces tâches : configurer l’adresse IP, le masque, la passerelle et les serveurs DNS (généralement le serveur lui-même et, en second lieu, un DNS public tel que 8.8.8.8), renommer l’ordinateur et installer les RSAT Active Directory, tout enregistrer dans un fichier journal à des fins d’audit.

Après avoir appliqué ces modifications Le serveur redémarrera et sera prêt à être promu contrôleur de domaine dans une nouvelle forêt, vous permettant ainsi de disposer d'un environnement AD local opérationnel pour les tests ou pour une véritable intégration avec le cloud.

Création de la forêt et du domaine Active Directory

L'étape suivante consiste à installer AD DS.Configurez le DNS et la console de gestion des stratégies de groupe (GPMC), puis créez une nouvelle forêt Active Directory. PowerShell vous permet d'accélérer le processus en installant les fonctionnalités nécessaires et en exécutant la cmdlet Install-ADDSForest avec tous les paramètres requis.

Dans la définition de la forêt, vous spécifiez le nom de domaine. (Par exemple, contoso.com), le nom NetBIOS, les chemins d'accès à la base de données Active Directory (NTDS), aux journaux et à SYSVOL, ainsi que les niveaux fonctionnels du domaine et de la forêt. Le mot de passe du mode de restauration des services d'annuaire (DSRM), indispensable aux opérations de récupération, est également défini.

Lorsque le serveur redémarre après la promotionVous disposez déjà d'un environnement Windows Server AD avec un domaine opérationnel, un DNS intégré et tous les outils nécessaires pour gérer les utilisateurs, les groupes, les unités d'organisation et les stratégies de groupe.

Création d'utilisateurs de test dans Active Directory

Maintenant que la forêt est opérationnelle, il est utile de disposer de comptes de test. Pour vérifier la synchronisation avec Azure AD, vous pouvez utiliser un script PowerShell pour créer, par exemple, l'utilisateur « Allie McCray » avec un nom d'utilisateur (samAccountName), un mot de passe initial, un nom d'affichage et l'option permettant d'empêcher l'expiration du mot de passe.

Le script peut également signaler l'utilisateur Cette option permet d'éviter aux utilisateurs de devoir modifier leur mot de passe lors de leur prochaine connexion. Elle les place dans le chemin d'accès approprié (par exemple, CN=Users,DC=contoso,DC=com). Ces utilisateurs seront ensuite synchronisés avec leurs identifiants Microsoft Entra via Azure AD Connect.

Préparation du domaine local pour la synchronisation

Avant de déployer Azure AD Connect, il est conseillé de vérifier votre Active Directory. Pour garantir sa conformité aux exigences de Microsoft : domaines correctement configurés, suffixes UPN corrects, attributs d’e-mail cohérents et absence de données conflictuelles, Microsoft propose l’outil IdFix, qui permet de détecter les objets problématiques.

Dans de nombreux environnements, il existe un domaine local D'une part, un domaine de messagerie local (mydomain.local) et, d'autre part, un domaine de messagerie public, par exemple mydomain.com utilisé dans Microsoft 365. Pour une synchronisation optimale, il est recommandé d'ajouter le suffixe UPN correspondant au domaine de messagerie public à l'AD local.

Extrait de « Domaines et approbations Active Directory » Vous pouvez ouvrir les propriétés et ajouter le nouveau suffixe UPN (par exemple, mydomain.com). Ensuite, dans les propriétés du compte utilisateur, sous l'onglet « Compte », modifiez l'UPN de l'utilisateur de user@mydomain.local à user@mydomain.com, afin de l'aligner sur l'adresse e-mail dans Microsoft 365.

Bien que la modification de l'UPN soit fortement recommandée Pour faciliter les connexions ultérieures et l'authentification unique (SSO) éventuelle, cette modification ne modifie pas la méthode de connexion classique DOMAINE\utilisateur (antérieure à Windows 2000), elle n'affecte donc pas les applications ou les scripts qui continuent d'utiliser ce format.

Il est également important de renseigner correctement l'attribut mail. des comptes utilisateurs avec leur adresse e-mail principale. Si vous avez déjà des utilisateurs créés directement dans le cloud, la combinaison de l'UPN et de l'adresse e-mail correspondante entre votre environnement local et Microsoft 365 permettra, après synchronisation, de joindre ces comptes et de faire de l'utilisateur cloud une identité synchronisée depuis Active Directory.

Configuration et paramétrage de Microsoft Entra ID (Azure AD)

Pour que le répertoire local soit synchronisé Vous avez besoin d'un locataire Microsoft Entra ID. Ce locataire est le répertoire cloud dans lequel seront créées des répliques de vos utilisateurs, groupes et appareils de l'environnement local.

Si vous n'avez pas encore de locataireVous pouvez le créer en accédant au centre d'administration Microsoft. Connectez-vous avec un compte disposant de l'abonnement. Dans la section Vue d'ensemble, sélectionnez l'option permettant de gérer les locataires, puis créez-en un nouveau en indiquant un nom pour l'organisation et un domaine initial (par exemple, quelquechose.onmicrosoft.com).

Une fois l'assistant terminé, le répertoire est créé. Vous pouvez le gérer depuis le portail. Par la suite, vous pourrez associer des domaines personnalisés (comme contoso.com) et les vérifier afin de les utiliser comme domaines principaux dans les UPN de vos utilisateurs synchronisés depuis Active Directory.

Création d'un compte d'administrateur d'identité hybride

Dans le tenant Microsoft Entra, il est recommandé de créer Un compte dédié sera utilisé pour gérer le composant hybride. Ce compte servira, par exemple, à la configuration initiale d'Azure AD Connect et aux tâches liées à l'identité.

Dans la section Utilisateurs Vous créez un nouvel utilisateur, lui attribuez un nom et un nom d'utilisateur (UPN), et modifiez son rôle en « Administrateur d'identité hybride ». Lors de la création, vous pouvez consulter et copier le mot de passe temporaire qui lui est attribué.

Après avoir créé ce compte, il est conseillé de se connecter. Connectez-vous à myapps.microsoft.com avec ce nom d'utilisateur et le mot de passe temporaire, puis forcez la modification du mot de passe pour un mot de passe permanent. Vous utiliserez cette identité d'administrateur lors de plusieurs étapes de la configuration hybride.

Installation d'Azure AD Connect (Microsoft Entra Connect)

L'environnement local est prêt et le locataire cloud est préparé.Vous pouvez désormais installer Azure AD Connect sur un serveur membre du domaine local. Microsoft déconseille l'utilisation d'un contrôleur de domaine afin de minimiser les risques liés à la sécurité et à la disponibilité.

Téléchargement d'Azure AD Connect Il est disponible sur le portail Azure Active Directory, dans la section Azure AD Connect, ou directement depuis le Centre de téléchargement Microsoft. Une fois le programme d'installation téléchargé, exécutez-le sur le serveur désigné.

Les conditions de la licence sont acceptées lors de l'assistant d'installation. Vous avez deux options : configuration rapide ou configuration personnalisée. L’option rapide configure par défaut une synchronisation complète avec Active Directory à l’aide de la méthode de « synchronisation par hachage de mot de passe », tandis que l’option personnalisée offre un contrôle beaucoup plus précis sur les attributs, les domaines, les unités d’organisation, les méthodes d’authentification et les fonctionnalités supplémentaires.

Dans les installations typiques, c'est généralement plus intéressant Choisissez le chemin personnalisé, notamment si vous devez limiter les unités organisationnelles synchronisées, si vous souhaitez évaluer différentes méthodes de connexion ou si vous avez des topologies multi-forêts.

Configuration de la méthode de connexion

Un des points clés de l'assistant Il s'agit du choix de la méthode d'authentification que vos utilisateurs utiliseront pour accéder aux ressources cloud. Azure AD Connect propose plusieurs options intégrées, chacune présentant ses propres avantages et exigences.

1. Synchronisation du hachage du mot de passe (PHS)Cette méthode se synchronise avec Azure AD. hachage de mot de passe supplémentaire Les informations d'identification sont stockées dans votre Active Directory local. L'utilisateur se connecte directement au cloud via Azure AD, en utilisant le même mot de passe que dans son environnement local, mais géré uniquement dans AD. C'est le modèle le plus simple à mettre en œuvre et le plus répandu.

2. Authentification par transfert (PTA)Dans ce cas, les mots de passe ne sont pas stockés dans Azure AD ; lorsqu’un utilisateur tente de se connecter, la validation est effectuée par des agents locaux qui vérifient les informations d’identification auprès de l’AD local. Cela vous permet d’appliquer des restrictions d’accès locales, des planifications, etc., tout en conservant le contrôle de l’authentification au sein de votre infrastructure.

3. Fédération avec AD FSAzure AD délègue l'authentification à un système de fédération basé sur les services de fédération Active Directory (AD FS). Il nécessite le déploiement de serveurs AD FS et, généralement, d'un proxy d'application web. Sa maintenance est plus complexe, mais il offre un contrôle maximal et une compatibilité optimale avec les scénarios avancés.

4. Fédération avec PingFederate: similaire au cas précédent, mais utilisant PingFederate comme solution de fédération au lieu d'AD FS, pour les organisations qui disposent déjà de cette infrastructure d'identité.

5. Ne configurez pas la méthode de connexion.: conçu pour les cas où vous disposez déjà d'une solution de fédération tierce et que vous ne souhaitez pas qu'Azure AD Connect automatise quoi que ce soit dans ce domaine.

De plus, vous pouvez activer l'authentification unique (SSO). En combinaison avec PHS ou PTA. Avec l'authentification unique (SSO) activée et via une stratégie de groupe (GPO), les ordinateurs joints au domaine peuvent se connecter à l'aide de l'UPN de l'utilisateur, généralement identique à son adresse électronique, ce qui lui évite de saisir à chaque fois ses informations d'identification lorsqu'il accède à des services tels que le portail Microsoft 365.

Connexion à Microsoft 365 et à l'Active Directory local

Dans l'assistant Azure AD Connect, vous devrez fournir Vous aurez d'abord besoin des informations d'identification d'un administrateur de locataire Microsoft Entra (par exemple, le compte d'administrateur d'identité hybride créé précédemment). Cela permettra à l'outil de configurer le composant cloud et d'enregistrer le serveur comme source de synchronisation.

Ensuite, les informations d'identification sont demandées à partir d'un compte disposant des autorisations nécessaires dans l'AD local. Pour créer le lien de synchronisation avec la forêt locale, une fois validé, le répertoire local est ajouté à la liste des sources de données à synchroniser.

À l'étape suivante, vous choisissez l'attribut à utiliser comme nom d'utilisateur principal. Pour les comptes cloud, l'approche habituelle consiste à utiliser l'utilisateur principal (UPN), mais dans certains cas, vous pouvez opter pour le champ e-mail s'il est cohérent et correctement configuré. Vous pouvez également indiquer si vous souhaitez poursuivre sans avoir encore vérifié tous les domaines UPN dans Azure AD (utile lorsque le domaine AD est privé).

Sélection des unités organisationnelles et filtrage des objets

Azure AD Connect vous permet de définir le sous-ensemble Votre forêt Active Directory est synchronisée avec le cloud. Vous pouvez sélectionner des domaines entiers, des unités organisationnelles spécifiques, ou même filtrer par attributs pour affiner votre recherche.

En pratique, c'est généralement une bonne idée Commencez par synchroniser uniquement les unités d’organisation (UO) où résident les utilisateurs participant au projet pilote, ou utilisez un groupe de sécurité spécifique dont les membres seront répliqués dans Azure AD. Cela réduit le risque de synchroniser des comptes de service, des objets obsolètes ou des informations qui ne doivent pas quitter l’environnement local.

Il convient de noter que les changements ultérieurs Les modifications apportées à la structure des unités d'organisation (renommage, déplacement de conteneurs, etc.) peuvent affecter le filtrage. Une stratégie courante consiste à synchroniser l'ensemble du domaine, mais à limiter le filtrage en fonction de l'appartenance à un groupe, afin d'éviter une dépendance excessive à la structure organisationnelle.

Options de configuration supplémentaires

Les écrans finaux de l'assistant offrent Parmi les fonctionnalités supplémentaires, citons la réécriture des mots de passe, la réécriture des données sur les périphériques, l'intégration hybride Exchange et la protection contre les suppressions massives.

Rédaction différée du mot de passe Il permet aux utilisateurs de modifier ou de réinitialiser leur mot de passe depuis le cloud (par exemple, depuis le portail libre-service) et de constater que cette modification est également appliquée dans l'Active Directory local, conformément à la politique de mots de passe de l'organisation. Pour de nombreuses entreprises, il s'agit d'un avantage considérable en matière de support.

Réécriture du périphérique Il permet de réintégrer les appareils enregistrés dans Microsoft Entra ID dans l'Active Directory local, ce qui facilite les scénarios d'accès conditionnel où il est nécessaire de suivre les appareils des deux côtés.

La fonctionnalité permettant d'empêcher les suppressions accidentelles Cette fonction est activée par défaut et limite le nombre d'objets pouvant être supprimés lors d'une même synchronisation (par exemple, à 500). Si ce seuil est dépassé, la synchronisation est bloquée afin d'éviter les suppressions massives accidentelles, ce qui est crucial dans les environnements de grande taille.

Enfin, les mises à jour automatiques Il est activé par défaut dans les installations à configuration rapide et maintient Azure AD Connect à jour avec les dernières versions, corrigeant les bogues et ajoutant des compatibilités sans que vous ayez à mettre à jour manuellement chaque serveur.

Vérification de la synchronisation et du fonctionnement quotidien

Après avoir terminé l'installation et l'assistantAzure AD Connect peut lancer immédiatement une synchronisation complète si vous l'avez configurée. L'assistant propose également d'exécuter un cycle initial dès sa fin, ce qui est recommandé pour vérifier le bon fonctionnement de l'ensemble du système.

Sur le serveur où vous avez installé Azure AD Connect Vous pouvez ouvrir la console « Service de synchronisation » depuis le menu Démarrer. Vous y trouverez l’historique d’exécution, notamment la synchronisation initiale, les erreurs éventuelles et les détails de l’importation, de la synchronisation et de l’exportation des objets.

Sur le portail Microsoft 365 ou le portail de connexion Microsoft Vous pouvez consulter la liste des utilisateurs pour vérifier qu'ils apparaissent bien comme « Synchronisés avec Active Directory » et non comme « Cloud uniquement ». Dès lors, les principaux attributs (prénom, nom, adresse e-mail, etc.) sont gérés par l'Active Directory local.

Azure AD Connect exécute un cycle par défaut La synchronisation s'effectue toutes les 30 minutes. Toutefois, vous pouvez forcer une synchronisation manuelle via PowerShell si vous souhaitez qu'une modification soit prise en compte immédiatement. Il est recommandé de documenter ce comportement afin que l'équipe de support technique sache à quoi s'attendre.

Scénarios avancés : plusieurs forêts et serveurs supplémentaires

Dans les organisations plus complexes Vous pouvez rencontrer plusieurs forêts Active Directory, chacune avec son propre domaine et ses propres utilisateurs. Il peut également exister des forêts de ressources où résident des boîtes aux lettres liées ou d'autres services.

Azure AD Connect est compatible avec ces topologies.Cela vous permet d'ajouter plusieurs forêts comme sources de synchronisation et d'appliquer un modèle de provisionnement déclaratif. Autrement dit, les règles de combinaison, de transformation et de transmission des attributs sont définies de manière déclarative et peuvent être adaptées à votre architecture d'identité.

Pour les laboratoires plus avancés Une seconde forêt (par exemple, fabrikam.com) peut être créée avec son propre contrôleur de domaine (CP1) en répétant les étapes de création de la machine virtuelle, d'installation du système, de configuration IP et DNS, de promotion en contrôleur de domaine et de création d'utilisateurs de test. Ceci permet de tester des scénarios multi-forêts et la synchronisation cloud avec différents domaines.

En environnement de production, il est recommandé d'avoir Un serveur Azure AD Connect est placé en mode veille ou en mode intermédiaire. Ce serveur intermédiaire conserve une copie de la configuration et effectue des importations et des synchronisations internes, mais n'exporte pas les modifications vers Azure AD. En cas de défaillance du serveur principal, vous pouvez basculer vers le serveur intermédiaire avec un impact minimal.

Microsoft Entra Connect Health : surveillance et alertes

Pour garder l'infrastructure d'identité hybride sous contrôleMicrosoft propose Microsoft Entra Connect Health, une solution haut de gamme qui surveille des composants clés tels qu'Azure AD Connect (synchronisation), AD FS et AD DS, en fournissant des alertes, des indicateurs de performance et une analyse de l'utilisation.

L'opération repose sur des agents. Ces agents sont installés sur les serveurs d'identité : serveurs AD FS, contrôleurs de domaine et serveurs Azure AD Connect. Ils envoient des informations sur l'état et les performances au service cloud, où vous pouvez les consulter sur le portail Connect Health dédié.

Pour commencer, vous devez avoir des licences. Depuis Microsoft, saisissez l'ID P1 ou P2 (ou un identifiant de test). Téléchargez ensuite les agents Connect Health depuis le portail et installez-les sur chaque serveur concerné. Une fois l'enregistrement effectué, le service détecte automatiquement les rôles surveillés.

Sur le portail Connect Health, vous trouverez différents panneaux.L'une est dédiée aux services de synchronisation (Azure AD Connect), une autre aux services de fédération (AD FS) et une troisième aux forêts AD DS. Dans chacune d'elles, vous pouvez consulter les alertes actives, l'état de la réplication, les problèmes de certificats potentiels, les erreurs d'authentification et les tendances d'utilisation.

Outre les aspects techniques, Connect Health inclut des options Pour configurer le contrôle d'accès basé sur les rôles (IAM) et, éventuellement, autoriser Microsoft à accéder aux données de diagnostic à des fins de support uniquement. Cette option est désactivée par défaut, mais elle peut s'avérer utile si vous avez besoin d'un support Microsoft avancé pour résoudre des problèmes complexes.

Avec cet écosystème complet mis en place (Active Directory local, Microsoft Entra ID, Azure AD Connect et Connect Health), Vous disposez d'une plateforme d'identité hybride complète, capable d'assurer l'authentification unique, la gouvernance centralisée des comptes et des mots de passe, une haute disponibilité et une visibilité sur l'état de l'infrastructure ; une combinaison qui simplifie la vie de l'utilisateur final et vous donne le contrôle nécessaire pour opérer de manière sécurisée et flexible.