Installation personnalisée d’Azure AD ConnectCustom installation of Azure AD Connect

Les paramètres personnalisés Azure AD Connect sont utilisés lorsque vous souhaitez davantage d’options d’installation.Azure AD Connect Custom settings is used when you want more options for the installation. Ils sont utiles si vous disposez de plusieurs forêts ou si vous voulez configurer des fonctionnalités facultatives que l’installation rapide ne propose pas.It is used if you have multiple forests or if you want to configure optional features not covered in the express installation. Ils sont utilisés dans tous les cas où l’option d’installation rapide ne convient pas à votre déploiement ou à votre topologie.It is used in all cases where the express installation option does not satisfy your deployment or topology.

Avant de commencer l’installation d’Azure AD Connect, veillez à télécharger Azure AD Connect et effectuer les étapes préalables décrites dans Azure AD Connect : matériel et prérequis.Before you start installing Azure AD Connect, make sure to download Azure AD Connect and complete the pre-requisite steps in Azure AD Connect: Hardware and prerequisites. Assurez-vous également de disposer des comptes comme décrit dans Autorisations et comptes Azure AD Connect.Also make sure you have required accounts available as described in Azure AD Connect accounts and permissions.

Si les paramètres personnalisés ne correspondent pas à votre topologie, pour mettre à niveau DirSync, par exemple, consultez la documentation connexe pour d’autres scénarios.If customized settings does not match your topology, for example to upgrade DirSync, see related documentation for other scenarios.

Installation des paramètres personnalisés d’Azure AD ConnectCustom settings installation of Azure AD Connect

Paramètres ExpressExpress Settings

Dans cette page, cliquez sur Personnaliser pour démarrer une installation des paramètres personnalisés.On this page, click Customize to start a customized settings installation.

Installation des composants requisInstall required components

Lorsque vous installez les services de synchronisation, vous pouvez laisser la section de configuration facultative de côté. Azure AD Connect configure toutes les options automatiquement.When you install the synchronization services, you can leave the optional configuration section unchecked and Azure AD Connect sets up everything automatically. Ce logiciel configure une instance de SQL Server 2012 Express LocalDB et crée les groupes appropriés, en attribuant des autorisations.It sets up a SQL Server 2012 Express LocalDB instance, create the appropriate groups, and assign permissions. Si vous souhaitez modifier les valeurs par défaut, vous pouvez utiliser le tableau ci-après pour comprendre les différentes options de configuration facultatives à votre disposition.If you wish to change the defaults, you can use the following table to understand the optional configuration options that are available.

Composants requis

Configuration facultativeOptional Configuration DescriptionDescription
Utiliser un serveur SQL Server existantUse an existing SQL Server Permet de spécifier le nom du serveur SQL et le nom de l’instance.Allows you to specify the SQL Server name and the instance name. Choisissez cette option si vous souhaitez utiliser un serveur de base de données existant.Choose this option if you already have a database server that you would like to use. Si la navigation n’est pas activée sur votre serveur SQL Server, saisissez le nom de l’instance dans la zone Nom de l’instance , suivi d’une virgule et du numéro de port.Enter the instance name followed by a comma and port number in Instance Name if your SQL Server does not have browsing enabled. Ensuite, spécifiez le nom de la base de données Azure AD Connect.Then specify the name of the Azure AD Connect database. Vos privilèges SQL déterminent si une base de données sera créée ou si votre administrateur SQL doit créer la base de données à l’avance.Your SQL privileges determine whether a new database will be created or your SQL administrator must create the database in advance. Si vous disposez d’autorisations d’administrateur système SQL, consultez Installer Azure AD Connect à l’aide d’une base de données ADSync existante.If you have SQL SA permissions see How to install using an existing database. Si vous avez reçu des autorisations déléguées (DBO), consultez Installer Azure AD Connect à l’aide d’autorisations administrateur déléguées SQL.If you have been delegated permissions (DBO) see Install Azure AD Connect with SQL delegated administrator permissions.
Utiliser un compte de service existantUse an existing service account Par défaut, Azure AD Connect utilise un compte de service virtuel, que les services de synchronisation doivent utiliser.By default Azure AD Connect uses a virtual service account for the synchronization services to use. Si vous utilisez un serveur SQL Server distant ou un proxy qui requiert une authentification, vous devez utiliser un compte de service géré ou un compte de service dans le domaine et devez connaître le mot de passe.If you use a remote SQL server or use a proxy that requires authentication, you need to use a managed service account or use a service account in the domain and know the password. Dans ce cas, entrez le compte à utiliser.In those cases, enter the account to use. Assurez-vous que l’utilisateur qui exécute l’installation est une association de sécurité dans SQL pour qu’il soit possible de créer une session pour le compte de service.Make sure the user running the installation is an SA in SQL so a login for the service account can be created. Consultez Autorisations et comptes Azure AD Connect.See Azure AD Connect accounts and permissions.
Avec la version la plus récente, l’approvisionnement de la base de données peut désormais être exécuté hors bande par l’administrateur SQL. L’installation s’effectue ensuite par l’administrateur Azure AD Connect disposant des droits du propriétaire de la base de données.With the latest build, provisioning the database can now be performed out of band by the SQL administrator and then installed by the Azure AD Connect administrator with database owner rights. Pour plus d’informations, consultez la section Install Azure AD Connect using SQL delegated administrator permissions (Installer Azure AD Connect à l’aide d’autorisations administrateur déléguées SQL).For more information see Install Azure AD Connect using SQL delegated administrator permissions.
Spécifier des groupes de synchronisation personnalisésSpecify custom sync groups Par défaut, Azure AD Connect crée quatre groupes locaux sur le serveur lorsque les services de synchronisation sont installés.By default Azure AD Connect creates four groups local to the server when the synchronization services are installed. Ces groupes sont Administrateurs, Opérateurs, Parcourir et Réinitialisation du mot de passe.These groups are: Administrators group, Operators group, Browse group, and the Password Reset Group. Vous pouvez spécifier vos propres groupes ici.You can specify your own groups here. Les groupes doivent être locaux sur le serveur et ne peuvent pas être situés dans le domaine.The groups must be local on the server and cannot be located in the domain.

Connexion de l’utilisateurUser sign-in

Après avoir installé les composants requis, vous êtes invité à sélectionner la méthode d’authentification unique de vos utilisateurs.After installing the required components, you are asked to select your users single sign-on method. Le tableau ci-après fournit une brève description des options disponibles.The following table provides a brief description of the available options. Pour une description complète des méthodes de connexion, consultez Connexion de l’utilisateur.For a full description of the sign-in methods, see User sign-in.

Connexion de l’utilisateur

Option d’authentification uniqueSingle Sign On option DescriptionDescription
Synchronisation de hachage de mot de passePassword Hash Sync Les utilisateurs peuvent se connecter aux services cloud Microsoft, comme Office 365, à l’aide du mot de passe qu’ils utilisent dans leur réseau local.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Les mots de passe des utilisateurs sont synchronisés sur Azure, via un hachage de mot de passe, et l’authentification est effectuée dans le cloud.The users passwords are synchronized to Azure AD as a password hash and authentication occurs in the cloud. Pour plus d’informations, consultez Synchronisation de hachage de mot de passe.See Password hash synchronization for more information.
Authentification directePass-through Authentication Les utilisateurs peuvent se connecter aux services cloud Microsoft, comme Office 365, à l’aide du mot de passe qu’ils utilisent dans leur réseau local.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Le mot de passe de l’utilisateur est ensuite transmis vers le contrôleur de domaine Active Directory local à valider.The users password is passed through to the on-premises Active Directory domain controller to be validated.
Fédération avec AD FSFederation with AD FS Les utilisateurs peuvent se connecter aux services cloud Microsoft, comme Office 365, à l’aide du mot de passe qu’ils utilisent dans leur réseau local.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Ils sont redirigés vers leur instance AD FS locale, la connexion et l’authentification étant effectuées en local.The users are redirected to their on-premises AD FS instance to sign in and authentication occurs on-premises.
Fédération avec PingFederateFederation with PingFederate Les utilisateurs peuvent se connecter aux services cloud Microsoft, comme Office 365, à l’aide du mot de passe qu’ils utilisent dans leur réseau local.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Ils sont redirigés vers leur instance PingFederate locale, la connexion et l’authentification étant effectuées en local.The users are redirected to their on-premises PingFederate instance to sign in and authentication occurs on-premises.
Ne pas configurerDo not configure Aucune fonctionnalité de connexion utilisateur n’est installée ni configurée.No user sign-in feature is installed and configured. Choisissez cette option si vous disposez déjà d’un serveur de fédération tiers ou d’une autre solution.Choose this option if you already have a 3rd party federation server or another existing solution in place.
Activer l'authentification uniqueEnable Single Sign on Cette option est disponible avec la synchronisation de hachage de mot de passe et l’authentification directe, et fournit une expérience d’authentification unique pour les utilisateurs du réseau d’entreprise.This options is available with both password hash sync and pass-through authentication and provides a single sign on experience for desktop users on the corporate network. Pour plus d’informations, consultez Authentification unique.See Single sign-on for more information.
Notez que pour les clients AD FS, cette option n’est pas disponible car AD FS offre déjà le même niveau d’authentification unique.Note for AD FS customers this option is not available because AD FS already offers the same level of single sign on.

Se connecter à Azure ADConnect to Azure AD

Sur l’écran Connexion à Azure AD, entrez un compte et un mot de passe d’administrateur général.On the Connect to Azure AD screen, enter a global admin account and password. Si vous avez sélectionné l’option Fédération avec AD FS sur la page précédente, ne vous connectez pas avec un compte dans un domaine que vous envisagez d’activer pour la fédération.If you selected Federation with AD FS on the previous page, do not sign in with an account in a domain you plan to enable for federation. Il est recommandé d’utiliser un compte du domaine onmicrosoft.com par défaut, qui est fourni avec votre locataire Azure AD.A recommendation is to use an account in the default onmicrosoft.com domain, which comes with your Azure AD tenant.

Ce compte est uniquement utilisé pour créer un compte de service dans Azure AD et n’est plus utilisé une fois l’assistant terminé.This account is only used to create a service account in Azure AD and is not used after the wizard has completed.
Connexion de l’utilisateur

Si la fonction MFA est activée sur votre compte d’administrateur global, vous devez à nouveau fournir le mot de passe dans la fenêtre contextuelle de connexion et passer le test MFA.If your global admin account has MFA enabled, then you need to provide the password again in the sign-in popup and complete the MFA challenge. Ce test peut consister à fournir un code de vérification ou à passer un appel téléphonique.The challenge could be a providing a verification code or a phone call.
Connexion de l’utilisateur dans MFA

Privileged Identity Management peut aussi être activé sur le compte d’administrateur global.The global admin account can also have Privileged Identity Management enabled.

Si vous recevez une erreur et que vous avez des problèmes de connectivité, consultez Résoudre les problèmes de connectivité liés à Azure AD Connect.If you receive an error and have problems with connectivity, then see Troubleshoot connectivity problems.

Pages de la section SynchronisationPages under the Sync section

Connexion de vos annuairesConnect your directories

Pour vous connecter à votre service de domaine Active Directory, Azure AD Connect a besoin du nom de la forêt et des informations d’identification d’un compte doté d’autorisations suffisantes.To connect to your Active Directory Domain Service, Azure AD Connect needs the forest name and credentials of an account with sufficient permissions.

Répertoire Connect

Après avoir saisi le nom de la forêt et cliqué sur Ajouter un répertoire, une boîte de dialogue contextuelle contenant les options suivantes s’affiche :After entering the forest name and clicking Add Directory, a pop-up dialog appears and prompts you with the following options:

OptionOption DescriptionDescription
Créer un compteCreate new account Sélectionnez cette option si vous souhaitez que l’Assistant Azure AD Connect crée le compte AD DS dont il a besoin pour se connecter à la forêt AD pendant la synchronisation des répertoires.Select this option if you want Azure AD Connect wizard to create the AD DS account required by Azure AD Connect for connecting to the AD forest during directory synchronization. Lorsque cette option est sélectionnée, entrez le nom d’utilisateur et le mot de passe d’un compte d’administrateur d’entreprise.When this option is selected, enter the username and password for an enterprise admin account. Le compte d’administrateur d’entreprise fourni sera utilisé par l’Assistant Azure AD Connect pour créer le compte AD DS requis.The enterprise admin account provided will be used by Azure AD Connect wizard to create the required AD DS account. Vous pouvez saisir la partie domaine au format NetBios ou nom de domaine complet, c’est-à-dire FABRIKAM\administrator ou fabrikam.com\administrator.You can enter the domain part in either NetBios or FQDN format, that is, FABRIKAM\administrator or fabrikam.com\administrator.
Utiliser un compte existantUse existing account Sélectionnez cette option si vous souhaitez qu’Azure AD Connect utilise un compte AD DS existant pour se connecter à la forêt AD pendant la synchronisation des répertoires.Select this option if you want to provide an existing AD DS account to be used Azure AD Connect for connecting to the AD forest during directory synchronization. Vous pouvez saisir la partie domaine au format NetBios ou nom de domaine complet, par exemple, FABRIKAM\syncuser ou fabrikam.com\syncuser.You can enter the domain part in either NetBios or FQDN format, that is, FABRIKAM\syncuser or fabrikam.com\syncuser. Ce compte peut être un compte d’utilisateur normal, car seules des autorisations de lecture par défaut sont nécessaires.This account can be a regular user account because it only needs the default read permissions. Toutefois, selon votre scénario, vous pouvez avoir besoin d’autorisations supplémentaires.However, depending on your scenario, you may need more permissions. Pour en savoir plus, voir Autorisations et comptes Azure AD Connect.For more information, see Azure AD Connect Accounts and permissions.

Répertoire Connect

Les comptes Administrateur d’entreprise et Administrateur de domaine ne sont pas pris en chargeEnterprise Admin and Domain Admin accounts not supported

À partir de la build 1.4.###.#, il n’est plus possible d’utiliser un compte administrateur d’entreprise ou un compte administrateur de domaine comme compte de connecteur AD DS.As of build 1.4.###.# it is no longer supported to use an Enterprise Admin or a Domain Admin account as the AD DS Connector account. Si vous tentez d’entrer un compte administrateur d’entreprise ou administrateur de domaine tout en spécifiant utiliser un compte existant, vous recevrez une erreur.If you attempt to enter an account that is an enterprise admin or domain admin when specifying use existing account, you will receive an error.

Configuration de connexion AD AzureAzure AD sign-in configuration

Cette page permet d’examiner les domaines UPN présents dans les services de domaine AD locaux et qui ont été vérifiés dans Azure AD.This page allows you to review the UPN domains present in on-premises AD DS and which have been verified in Azure AD. Cette page vous permet également de configurer l’attribut à utiliser pour userPrincipalName.This page also allows you to configure the attribute to use for the userPrincipalName.

Domaines non vérifiésUnverified domains
Passez en revue chaque domaine marqué Non ajouté et Non vérifié.Review every domain marked Not Added and Not Verified. Assurez-vous que les domaines que vous utilisez ont été vérifiés dans Azure AD.Make sure those domains you use have been verified in Azure AD. Cliquez sur le symbole d’actualisation dès que vous avez vérifié vos domaines.Click the Refresh symbol when you have verified your domains. Pour plus d’informations, consultez Ajouter et vérifier le domaineFor more information, see add and verify the domain

UserPrincipalName : cet attribut est utilisé par les utilisateurs lorsqu’ils se connectent à Azure AD et Office 365.UserPrincipalName - The attribute userPrincipalName is the attribute users use when they sign in to Azure AD and Office 365. Les domaines utilisés, également nommés « Suffixe UPN » doivent être vérifiés dans Azure AD avant la synchronisation des utilisateurs.The domains used, also known as the UPN-suffix, should be verified in Azure AD before the users are synchronized. Microsoft recommande de conserver la valeur d’attribut userPrincipalName par défaut.Microsoft recommends to keep the default attribute userPrincipalName. Si cet attribut ne peut pas être acheminé ni vérifié, vous pouvez sélectionner un autre attribut.If this attribute is non-routable and cannot be verified, then it is possible to select another attribute. Par exemple, vous pouvez choisir une adresse de messagerie électronique comme attribut contenant l’ID de connexion.You can for example select email as the attribute holding the sign-in ID. Tout attribut utilisé à la place de l’élément userPrincipalName est qualifié d’ ID secondaire.Using another attribute than userPrincipalName is known as Alternate ID. La valeur de l’attribut ID secondaire doit suivre la norme RFC822.The Alternate ID attribute value must follow the RFC822 standard. Un ID secondaire est utilisable avec la synchronisation de hachage de mot de passe, l’authentification directe et la fédération.An Alternate ID can be used with password hash sync, pass-through authentication, and federation. L’attribut ne doit pas être défini dans Active Directory en tant que valeurs multiples, même s’il ne possède qu’une seule valeur.The attribute must not be defined in Active Directory as multi-valued, even if it only has a single value. Pour plus d’informations sur l’ID de substitution, cliquez ici.For more information on the Alternate ID, please click here.

Notes

Lorsque vous activez l’authentification directe, vous devez disposer d’au moins un domaine vérifié pour pouvoir continuer l’assistant.When you enable Pass-through Authentication you must have at least one verified domain in order to continue through the wizard.

Avertissement

L’utilisation d’un ID secondaire n’est pas compatible avec toutes les charges de travail Office 365.Using an Alternate ID is not compatible with all Office 365 workloads. Pour plus d’informations, consultez Configuration d’un ID secondaire de connexion.For more information, refer to Configuring Alternate Login ID.

Filtrage domaine et unité organisationnelleDomain and OU filtering

Par défaut, tous les domaines et unités d’organisation sont synchronisés.By default all domains and OUs are synchronized. S’il existe des domaines ou des unités d’organisation que vous ne souhaitez pas synchroniser avec Azure AD, vous pouvez les désélectionner.If there are some domains or OUs you do not want to synchronize to Azure AD, you can unselect these domains and OUs.
Filtrage par domaine/unité d’organisationDomainOU filtering
Cette page de l’Assistant porte sur la configuration du filtrage par domaine et par unité d’organisation.This page in the wizard is configuring domain-based and OU-based filtering. Si vous envisagez d’apporter des modifications, consultez les pages Filtrage par domaine et Filtrage par unité d’organisation au préalable.If you plan to make changes, then see domain-based filtering and ou-based filtering before you make these changes. Certaines unités d’organisation sont essentielles pour les fonctionnalités et ne doivent pas être désélectionnées.Some OUs are essential for the functionality and should not be unselected.

Si vous utilisez le filtrage basé sur l’unité d’organisation avec une version d’Azure AD Connect antérieure à la version 1.1.524.0, les nouvelles unités d’organisation ajoutées par la suite sont synchronisées par défaut.If you use OU-based filtering with Azure AD Connect version before 1.1.524.0, new OUs added later are synchronized by default. Si vous souhaitez que les nouvelles unités d’organisation ne soient pas synchronisées, vous pouvez configurer la synchronisation une fois que l’Assistant a terminé le filtrage basé sur l’unité d’organisation.If you want the behavior that new OUs should not be synchronized, then you can configure it after the wizard has completed with ou-based filtering. Pour Azure AD Connect version 1.1.524.0 ou supérieure, vous pouvez indiquer si les nouvelles unités d’organisation doivent être synchronisées ou non.For Azure AD Connect version 1.1.524.0 or after, you can indicate whether you want new OUs to be synchronized or not.

Si vous prévoyez d’utiliser le filtrage basé sur le groupe, assurez-vous que l’unité d’organisation avec le groupe est incluse, et non filtrée à l’aide du filtrage basé sur l’unité d’organisation.If you plan to use group-based filtering, then make sure the OU with the group is included and not filtered with OU-filtering. Le filtrage basé sur l’unité d’organisation est évalué avant le filtrage basé sur le groupe.OU filtering is evaluated before group-based filtering.

Il est également possible que certains domaines ne soient pas accessibles en raison de restrictions de pare-feu.It is also possible that some domains are not reachable due to firewall restrictions. Ces domaines sont désélectionnés par défaut et présentent un avertissement.These domains are unselected by default and have a warning.
Domaines inaccessibles
S’il s’affiche, vérifiez que ces domaines sont effectivement inaccessibles et que ce message est normal.If you see this warning, make sure that these domains are indeed unreachable and the warning is expected.

Identification unique de vos utilisateursUniquely identifying your users

Sélectionnez la façon dont les utilisateurs doivent être identifiés dans vos répertoires locauxSelect how users should be identified in your on-premises directories

La fonctionnalité Correspondance entre les forêts vous permet de définir la méthode de représentation des utilisateurs de vos forêts AD DS dans Azure AD.The Matching across forests feature allows you to define how users from your AD DS forests are represented in Azure AD. Il est possible de représenter seulement une fois chaque utilisateur entre toutes les forêts, ou de présenter une combinaison des comptes activés et désactivés.A user might either be represented only once across all forests or have a combination of enabled and disabled accounts. L’utilisateur peut également être représenté en tant que contact dans certaines forêts.The user might also be represented as a contact in some forests.

Unique

ParamètreSetting DescriptionDescription
Les utilisateurs ne sont représentés qu’une seule fois à travers toutes les forêtsUsers are only represented once across all forests Tous les utilisateurs sont créés en tant qu’objets individuels dans Azure AD.All users are created as individual objects in Azure AD. Les objets ne sont pas associés dans le métaverse.The objects are not joined in the metaverse.
Attribut de messagerieMail attribute Cette option associe des utilisateurs et des contacts si l’attribut de messagerie a la même valeur dans des forêts différentes.This option joins users and contacts if the mail attribute has the same value in different forests. Utilisez cette option si vos contacts ont été créés avec GALSync.Use this option when your contacts have been created using GALSync. Si cette option est sélectionnée, les objets utilisateur dont l’attribut de messagerie n’est pas rempli ne sont pas synchronisés avec Azure AD.If this option is chosen, User objects whose Mail attribute aren't populated will not be synchronized to Azure AD.
ObjectSID et msExchangeMasterAccountSID/ msRTCSIP-OriginatorSidObjectSID and msExchangeMasterAccountSID/ msRTCSIP-OriginatorSid Cette option associe un utilisateur activé dans une forêt de comptes à un utilisateur désactivé dans une forêt de ressources.This option joins an enabled user in an account forest with a disabled user in a resource forest. Dans Exchange, cette configuration est connue en tant que « boîte aux lettres liée ».In Exchange, this configuration is known as a linked mailbox. Cette option peut également être utilisée si vous utilisez uniquement Lync et si Exchange n’est pas présent dans la forêt de ressources.This option can also be used if you only use Lync and Exchange is not present in the resource forest.
sAMAccountName et MailNickNamesAMAccountName and MailNickName Cette option associe des attributs où l’ID de connexion est requis pour rechercher l’utilisateur.This option joins on attributes where it is expected the sign-in ID for the user can be found.
Un attribut spécifiqueA specific attribute Cette option vous permet de sélectionner votre propre attribut.This option allows you to select your own attribute. Si cette option est sélectionnée, les objets utilisateur dont l’attribut de messagerie (sélectionné) n’est pas rempli ne sont pas synchronisés avec Azure AD.If this option is chosen, User objects whose (selected) attribute aren't populated will not be synchronized to Azure AD. Limitation : assurez-vous de sélectionner un attribut qui existe déjà dans le métaverse.Limitation: Make sure to pick an attribute that already can be found in the metaverse. Si vous sélectionnez un attribut personnalisé (non présent dans le métaverse), l’assistant échoue.If you pick a custom attribute (not in the metaverse), the wizard cannot complete.

Sélectionnez la façon dont les utilisateurs doivent être identifiés avec Azure AD - ancre SourceSelect how users should be identified with Azure AD - Source Anchor

L’attribut sourceAnchor ne varie pas pendant la durée de vie d’un objet utilisateur.The attribute sourceAnchor is an attribute that is immutable during the lifetime of a user object. Il s’agit de la clé primaire liant l’utilisateur local avec l’utilisateur dans Azure AD.It is the primary key linking the on-premises user with the user in Azure AD.

ParamètreSetting DescriptionDescription
Let Azure manage the source anchor for me (Laisser Azure gérer l’ancre source pour moi)Let Azure manage the source anchor for me Sélectionnez cette option si vous souhaitez qu’Azure AD sélectionne l’attribut pour vous.Select this option if you want Azure AD to pick the attribute for you. Si vous sélectionnez cette option, l’Assistant Azure AD Connect applique la logique de sélection d’attribut sourceAnchor décrite dans l’article Azure AD Connect : Principes de conception - Utilisation de ms-DS-ConsistencyGuid en tant qu’attribut sourceAnchor.If you select this option, Azure AD Connect wizard applies the sourceAnchor attribute selection logic described in article section Azure AD Connect: Design concepts - Using ms-DS-ConsistencyGuid as sourceAnchor. L’Assistant vous indique quel attribut a été sélectionné comme attribut d’ancre source une fois l’installation personnalisée terminée.The wizard informs you which attribute has been picked as the Source Anchor attribute after Custom installation completes.
Un attribut spécifiqueA specific attribute Sélectionnez cette option si vous souhaitez spécifier un attribut AD existant comme attribut sourceAnchor.Select this option if you wish to specify an existing AD attribute as the sourceAnchor attribute.

Comme l’attribut ne peut pas être modifié, vous devez prévoir l’attribut adéquat à utiliser.Since the attribute cannot be changed, you must plan for a good attribute to use. Pour cela, nous vous recommandons objectGUID.A good candidate is objectGUID. Cet attribut ne change pas, sauf si le compte d’utilisateur est déplacé entre les forêts/domaines.This attribute is not changed, unless the user account is moved between forests/domains. Évitez les attributs susceptibles de changer si une personne se marie ou si son affectation est modifiée.Avoid attributes that would change when a person marries or change assignments. Vous ne pouvez pas utiliser d’attributs avec @-sign, donc les adresses de messagerie et userPrincipalName ne peuvent pas être utilisés.You cannot use attributes with an @-sign, so email and userPrincipalName cannot be used. Par ailleurs, l’attribut respecte la casse ; si vous déplacez un objet entre des forêts, veillez à conserver ses minuscules/majuscules.The attribute is also case-sensitive so when you move an object between forests, make sure to preserve the upper/lower case. Les attributs binaires sont codés en base 64, mais les autres types d’attributs restent à l’état non codé.Binary attributes are base64-encoded, but other attribute types remain in its unencoded state. Dans les scénarios de fédération et dans certaines interfaces Azure AD, cet attribut est également appelé « immutableID ».In federation scenarios and some Azure AD interfaces, this attribute is also known as immutableID. Vous trouverez plus d’informations sur l’ancre source dans les principes de conception.More information about the source anchor can be found in the design concepts.

Filtrage de synchronisation basé sur les groupesSync filtering based on groups

Le filtrage sur la fonctionnalité de groupes vous permet de synchroniser uniquement un petit sous-ensemble d’objets pour un pilote.The filtering on groups feature allows you to sync only a small subset of objects for a pilot. Pour pouvoir utiliser cette fonctionnalité, créez un groupe à cette fin dans votre répertoire Active Directory local.To use this feature, create a group for this purpose in your on-premises Active Directory. Ensuite, ajoutez les utilisateurs et groupes qui doivent être synchronisés sur Azure AD en tant que membres directs.Then add users and groups that should be synchronized to Azure AD as direct members. Vous pouvez ajouter et supprimer ultérieurement des utilisateurs à ce groupe pour tenir à jour la liste des objets présents dans Azure AD.You can later add and remove users to this group to maintain the list of objects that should be present in Azure AD. Les objets que vous voulez synchroniser doivent tous être un membre direct du groupe.All objects you want to synchronize must be a direct member of the group. Les utilisateurs, les groupes, les contacts et les ordinateurs/appareils doivent tous être des membres directs.Users, groups, contacts, and computers/devices must all be direct members. L’appartenance à un groupe imbriqué n’est pas résolue.Nested group membership is not resolved. Lorsque vous ajoutez un groupe en tant que membre, seul le groupe est ajouté ; ses membres ne le sont pas.When you add a group as a member, only the group itself is added and not its members.

Filtrage de la synchronisation

Avertissement

Cette fonctionnalité est uniquement destinée à prendre en charge un déploiement pilote.This feature is only intended to support a pilot deployment. Ne l’utilisez pas dans un environnement de production complet.Do not use it in a full-blown production deployment.

Dans un déploiement de production complet, il est difficile de maintenir un seul groupe avec tous les objets à synchroniser.In a full-blown production deployment, it is going to be hard to maintain a single group with all objects to synchronize. Nous vous recommandons plutôt d’utiliser l’une des méthodes décrites dans la section Configurer le filtrage.Instead you should use one of the methods in Configure filtering.

Fonctionnalités facultativesOptional Features

Cet écran vous permet de sélectionner des fonctionnalités facultatives pour vos scénarios spécifiques.This screen allows you to select the optional features for your specific scenarios.

Avertissement

Les versions d’Azure AD Connect 1.0.8641.0 et antérieures s’appuient sur Azure Access Control Service pour la réécriture du mot de passe.Azure AD Connect versions 1.0.8641.0 and older rely on the Azure Access Control service for password writeback. Ce service sera supprimé le 7 novembre 2018.This service will be retired on November 7th 2018. Si vous utilisez l’une de ces versions d’Azure AD Connect et que vous avez activé la réécriture du mot de passe, il est possible que les utilisateurs ne puissent plus modifier ou réinitialiser leurs mots de passe une fois le service supprimé.If you are using any of these versions of Azure AD Connect and have enabled password writeback, users may lose the ability to change or reset their passwords once the service is retired. La réécriture du mot de passe avec ces versions d’Azure AD Connect ne sera pas prise en charge.Password writeback with these versions of Azure AD Connect will not be supported.

Pour plus d’informations sur Azure Access Control Service, consultez Guide pratique pour effectuer une migration à partir d’Azure Access Control Service.For more information on the Azure Access Control service see How to: Migrate from the Azure Access Control service

Pour télécharger la dernière version d’Azure AD Connect, cliquez ici.To download the latest version of Azure AD Connect click here.

Fonctionnalités facultatives

Avertissement

Si DirSync ou Azure AD Sync sont actuellement actifs, n’activez aucune des fonctionnalités d’écriture différée dans Azure AD Connect.If you currently have DirSync or Azure AD Sync active, do not activate any of the writeback features in Azure AD Connect.

Fonctionnalités facultativesOptional Features DescriptionDescription
Déploiement Exchange hybrideExchange Hybrid Deployment La fonctionnalité de déploiement Exchange hybride permet la coexistence de boîtes aux lettres Exchange en local et dans Office 365.The Exchange Hybrid Deployment feature allows for the co-existence of Exchange mailboxes both on-premises and in Office 365. Azure AD Connect synchronise un ensemble spécifique d’attributs d’Azure AD dans votre annuaire local.Azure AD Connect is synchronizing a specific set of attributes from Azure AD back into your on-premises directory.
Dossiers publics de messagerie ExchangeExchange Mail Public Folders La fonctionnalité Dossiers publics de messagerie Exchange vous permet de synchroniser les objets Dossier public à extension messagerie de votre Active Directory local avec Azure AD.The Exchange Mail Public Folders feature allows you to synchronize mail-enabled Public Folder objects from your on-premises Active Directory to Azure AD.
Application Azure AD et filtrage des attributsAzure AD app and attribute filtering En activant le filtrage des attributs et l’application Azure AD, vous pouvez adapter l’ensemble des attributs synchronisés.By enabling Azure AD app and attribute filtering, the set of synchronized attributes can be tailored. Cette option ajoute deux autres pages de configuration dans l’Assistant.This option adds two more configuration pages to the wizard. Pour en savoir plus, voir Application Azure AD et filtrage des attributs.For more information, see Azure AD app and attribute filtering.
Synchronisation de hachage de mot de passePassword hash synchronization Si vous avez sélectionné la fédération comme solution de connexion, vous pouvez activer cette option.If you selected federation as the sign-in solution, then you can enable this option. La synchronisation de hachage du mot de passe peut ensuite servir d’option de sauvegarde.Password hash synchronization can then be used as a backup option. Pour plus d’informations, consultez Synchronisation de hachage du mot de passe.For additional information, see Password hash synchronization.
Si vous avez sélectionné l’authentification directe, cette option peut également être activée pour assurer la prise en charge pour les clients hérités et servir d’option de sauvegarde.If you selected Pass-through Authentication this option can also be enabled to ensure support for legacy clients and as a backup option. Pour plus d’informations, consultez Synchronisation de hachage du mot de passe.For additional information, see Password hash synchronization.
Réécriture du mot de passePassword writeback Lorsque vous activez l’écriture différée du mot de passe, les modifications de mot de passe provenant d’Azure AD sont réécrites dans votre répertoire local.By enabling password writeback, password changes that originate in Azure AD is written back to your on-premises directory. Pour en savoir plus, voir Prise en main de la gestion de mot de passe.For more information, see Getting started with password management.
Écriture différée de groupeGroup writeback Si vous utilisez la fonctionnalité Groupes dans Office 365 , ces groupes peuvent être représentés dans votre annuaire Active Directory local.If you use the Office 365 Groups feature, then you can have these groups represented in your on-premises Active Directory. Cette option n’est disponible que si Exchange est présent dans votre annuaire Active Directory local.This option is only available if you have Exchange present in your on-premises Active Directory. Pour en savoir plus, voir Écriture différée de groupe.For more information, see Group writeback.
Écriture différée des appareilsDevice writeback Permet d’écrire de façon différée des objets d’appareil dans Azure AD, au sein de l’annuaire Active Directory local, dans le cadre de scénarios à accès conditionnel.Allows you to writeback device objects in Azure AD to your on-premises Active Directory for Conditional Access scenarios. Pour en savoir plus, voir Azure AD Connect : Activation de l’écriture différée des appareils.For more information, see Enabling device writeback in Azure AD Connect.
Synchronisation des attributs des extensions d’annuaireDirectory extension attribute sync Si vous activez la synchronisation des attributs des extensions de répertoire, les attributs spécifiés seront synchronisés avec Azure AD.By enabling directory extensions attribute sync, attributes specified are synced to Azure AD. Pour en savoir plus, voir Extensions d’annuaire.For more information, see Directory extensions.

Application Azure AD et filtrage des attributsAzure AD app and attribute filtering

Si vous souhaitez limiter les attributs à synchroniser dans Azure AD, commencez par sélectionner les services que vous utilisez.If you want to limit which attributes to synchronize to Azure AD, then start by selecting which services you are using. Si vous apportez des modifications de configuration sur cette page, vous devez sélectionner un nouveau service de manière explicite, en exécutant à nouveau l’Assistant d’installation.If you make configuration changes on this page, a new service has to be selected explicitly by rerunning the installation wizard.

Fonctionnalités facultatives - Applications

Selon les services sélectionnés à l’étape précédente, cette page affiche tous les attributs synchronisés.Based on the services selected in the previous step, this page shows all attributes that are synchronized. Cette liste est une combinaison de tous les types d’objet en cours de synchronisation.This list is a combination of all object types being synchronized. Si certains attributs ne doivent pas être synchronisés, vous pouvez les désélectionner.If there are some particular attributes you need to not synchronize, you can unselect those attributes.

Fonctionnalités facultatives - Attributs

Avertissement

La suppression d’attributs peut affecter la fonctionnalité.Removing attributes can impact functionality. Pour consulter des recommandations et meilleures pratiques, voir Attributs synchronisés.For best practices and recommendations, see attributes synchronized.

Synchronisation des attributs des extensions d’annuaireDirectory Extension attribute sync

Vous pouvez étendre le schéma dans Azure AD en utilisant des attributs personnalisés ajoutés par votre organisation ou d’autres attributs dans Active Directory.You can extend the schema in Azure AD with custom attributes added by your organization or other attributes in Active Directory. Pour utiliser cette fonctionnalité, sélectionnez Synchronisation des attributs des extensions d’annuaire dans la page Fonctionnalités facultatives.To use this feature, select Directory Extension attribute sync on the Optional Features page. Sur cette page, vous pouvez sélectionner d’autres attributs à synchroniser.You can select more attributes to sync on this page.

Notes

La zone Attributs disponibles respecte la casse.The Available attributes box is case sensitive.

Extensions d’annuaire

Pour en savoir plus, voir Extensions d’annuaire.For more information, see Directory extensions.

Activation de l’authentification unique (SSO)Enabling Single sign on (SSO)

La configuration de l’authentification unique pour une utilisation avec la synchronisation des mots de passe ou l’authentification directe est un processus simple que vous n’avez à effectuer qu’une fois par forêt synchronisée avec Azure AD.Configuring single sign-on for use with Password Synchronization or Pass-through authentication is a simple process that you only need to complete once for each forest that is being synchronized to Azure AD. La configuration implique les deux étapes suivantes :Configuration involves two steps as follows:

  1. création du compte d’ordinateur nécessaire dans votre annuaire Active Directory local ;Create the necessary computer account in your on-premises Active Directory.
  2. configuration de la zone intranet des ordinateurs clients pour prendre en charge l’authentification unique.Configure the intranet zone of the client machines to support single sign on.

Créer le compte d’ordinateur dans Active DirectoryCreate the computer account in Active Directory

Pour chaque forêt ajoutée à l’aide d’Azure AD Connect, vous devez fournir les informations d’identification de l’administrateur de domaine afin que le compte d’ordinateur puisse être créé dans chaque forêt.For each forest that has been added in Azure AD Connect, you will need to supply Domain Administrator credentials so that the computer account can be created in each forest. Les informations d’identification sont utilisées uniquement pour créer le compte et ne sont pas stockées ni utilisées pour d’autres opérations.The credentials are only used to create the account and are not stored or used for any other operation. Ajoutez simplement les informations d’identification sur la page Activer l’authentification unique de l’Assistant Azure AD Connect, comme indiqué ci-dessous :Simply add the credentials on the Enable Single sign on page of the Azure AD Connect wizard as shown:

Activer l'authentification unique

Notes

Vous pouvez ignorer une forêt particulière si vous ne souhaitez pas utiliser l’authentification unique avec celle-ci.You can skip a particular forest if you do not wish to use Single sign on with that forest.

Configurer la zone intranet pour les ordinateurs clientsConfigure the Intranet Zone for client machines

Pour que le client se connecte automatiquement dans la zone intranet, vérifiez que l’URL fait partie de la zone intranet.To ensure that the client sign-ins automatically in the intranet zone you need to ensure that the URL is part of the intranet zone. Cela garantit que l’ordinateur joint au domaine envoie automatiquement un ticket Kerberos à Azure AD lorsqu’il est connecté au réseau d’entreprise.This ensures that the domain joined computer automatically sends a Kerberos ticket to Azure AD when it is connected to the corporate network. Sur un ordinateur qui possède les outils de gestion de stratégie de groupe.On a computer that has the Group Policy management tools.

  1. Ouvrir les outils de gestion de stratégie de groupeOpen the Group Policy Management tools

  2. Modifiez la stratégie de groupe qui sera appliquée à tous les utilisateurs.Edit the Group policy that will be applied to all users. Par exemple, la stratégie de domaine par défaut.For example, the Default Domain Policy.

  3. Accédez à Configuration utilisateur\Modèles d’administration\Composants Windows\Internet Explorer\Panneau de configuration Internet\Page de sécurité et sélectionnez Liste des attributions de sites aux zones, comme sur l’image ci-dessous.Navigate to User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page and select Site to Zone Assignment List per the image below.

  4. Activez la stratégie, puis entrez l’élément suivant dans la boîte de dialogue.Enable the policy, and enter the following item in the dialog box.

    Value: `https://autologon.microsoftazuread-sso.com`  
    Data: 1  
    
  5. Le résultat doit être semblable à ce qui suit :It should look similar to the following:
    Zones intranet

  6. Cliquez sur OK deux fois.Click Ok twice.

Configuration de la fédération avec AD FSConfiguring federation with AD FS

La configuration d’AD FS avec Azure AD Connect est simple et s’effectue en quelques clics seulement.Configuring AD FS with Azure AD Connect is simple and only requires a few clicks. Pour pouvoir procéder à la configuration, vous devez disposer des éléments suivants.The following is required before the configuration.

  • Un serveur Windows Server 2012 R2 ou version ultérieure pour le serveur de fédération avec la gestion distante activéeA Windows Server 2012 R2 or later server for the federation server with remote management enabled
  • Un serveur Windows Server 2012 R2 ou version ultérieure pour le serveur proxy d’application web avec la gestion distante activéeA Windows Server 2012 R2 or later server for the Web Application Proxy server with remote management enabled
  • Un certificat SSL pour le nom de service de fédération que vous prévoyez d’utiliser (par exemple, sts.contoso.com)An SSL certificate for the federation service name you intend to use (for example sts.contoso.com)

Notes

Vous pouvez mettre à jour le certificat SSL de la batterie de serveurs AD FS à l’aide du logiciel Azure AD Connect et ce, même si vous le l’utilisez pas pour gérer l’approbation de votre fédération.You can update SSL certificate for your AD FS farm using Azure AD Connect even if you do not use it to manage your federation trust.

Conditions préalables à la configuration AD FSAD FS configuration pre-requisites

Pour configurer votre batterie AD FS avec Azure AD Connect, vérifiez que WinRM est activé sur les serveurs distants.To configure your AD FS farm using Azure AD Connect, ensure WinRM is enabled on the remote servers. Vérifiez que vous avez effectué les autres tâches dans les conditions préalables de la fédération.Make sure you have completed the other tasks in federation prerequisites. En outre, passez en revue les exigences en matière de ports répertoriées dans le Tableau 3 : Azure AD Connect et serveurs de fédération/WAP.In addition, go through the ports requirement listed in Table 3 - Azure AD Connect and Federation Servers/WAP.

Création d’une batterie de serveurs AD FS ou utilisation d’une batterie de serveurs AD FS existanteCreate a new AD FS farm or use an existing AD FS farm

Vous pouvez utiliser une batterie de serveurs AD FS existante ou en créer une.You can use an existing AD FS farm or you can choose to create a new AD FS farm. Si vous choisissez de créer une batterie de serveurs, vous devez fournir le certificat SSL.If you choose to create a new one, you are required to provide the SSL certificate. Si ce dernier est protégé par un mot de passe, vous devez fournir ce mot de passe.If the SSL certificate is protected by a password, you are prompted for the password.

Batterie de serveurs ADFS

Si vous choisissez d’utiliser une batterie de serveurs AD FS existante, vous êtes dirigé directement vers l’écran de configuration de la relation d’approbation entre AD FS et Azure AD.If you choose to use an existing AD FS farm, you are taken directly to the configuring the trust relationship between AD FS and Azure AD screen.

Notes

Vous pouvez utiliser Azure AD Connect pour gérer une seule batterie de serveurs AD FS.Azure AD Connect can be used to manage only one AD FS farm. Si vous disposez d’une approbation de fédération pour laquelle Azure AD est configuré sur la batterie de serveurs AD FS sélectionnée, cette approbation est recréée de A à Z par Azure AD Connect.If you have existing federation trust with Azure AD configured on the selected AD FS farm, the trust will be re-created again from scratch by Azure AD Connect.

Spécification des serveurs AD FSSpecify the AD FS servers

Indiquez les serveurs sur lesquels vous souhaitez installer AD FS.Enter the servers that you want to install AD FS on. Vous pouvez ajouter un ou plusieurs serveurs selon vos besoins de planification de capacité.You can add one or more servers based on your capacity planning needs. Joignez tous les serveurs AD FS (non requis pour les serveurs WAP) à Active Directory avant d’effectuer cette configuration.Join all AD FS servers (not required for the WAP servers) to Active Directory before you perform this configuration. Microsoft recommande d’installer un seul serveur AD FS pour les déploiements de test et pilote.Microsoft recommends installing a single AD FS server for test and pilot deployments. Ensuite, ajoutez et déployez d’autres serveurs pour répondre à vos besoins de mise à l’échelle en réexécutant Azure AD Connect après la configuration initiale.Then add and deploy more servers to meet your scaling needs by running Azure AD Connect again after initial configuration.

Notes

Avant d’effectuer cette configuration, assurez-vous que tous les serveurs sont joints à un domaine Active Directory.Ensure that all your servers are joined to an AD domain before you do this configuration.

Serveurs AD FS

Spécification des serveurs proxy d’application webSpecify the Web Application Proxy servers

Indiquez les serveurs spécifiques que vous souhaitez utiliser en tant que serveurs proxy d’application web.Enter the servers that you want as your Web Application proxy servers. Les serveurs proxy d’application web sont déployés dans votre DMZ (accès extranet) et prennent en charge les demandes d’authentification provenant de l’extranet.The web application proxy server is deployed in your DMZ (extranet facing) and supports authentication requests from the extranet. Vous pouvez ajouter un ou plusieurs serveurs selon vos besoins de planification de capacité.You can add one or more servers based on your capacity planning needs. Microsoft recommande d’installer un serveur proxy d’application web unique pour un déploiement de test ou pilote.Microsoft recommends installing a single Web application proxy server for test and pilot deployments. Ensuite, ajoutez et déployez d’autres serveurs pour répondre à vos besoins de mise à l’échelle en réexécutant Azure AD Connect après la configuration initiale.Then add and deploy more servers to meet your scaling needs by running Azure AD Connect again after initial configuration. Nous vous recommandons de prévoir un nombre suffisant de serveurs proxy pour répondre aux demandes d’authentification à partir de l’intranet.We recommend having an equivalent number of proxy servers to satisfy authentication from the intranet.

Notes

  • Si le compte que vous utilisez n’est pas un compte d’administrateur local sur les serveurs WAP, vous êtes invité à saisir les informations d’identification de l’administrateur.If the account you use is not a local admin on the WAP servers, then you are prompted for admin credentials.
  • Vérifiez la connectivité HTTP/HTTPS entre le serveur Azure AD Connect et le serveur proxy d’application web avant d’effectuer cette étape.Ensure that there is HTTP/HTTPS connectivity between the Azure AD Connect server and the Web Application Proxy server before you run this step.
  • Assurez-vous qu’il existe une connectivité HTTP/HTTPS entre le serveur d’applications web et le serveur AD FS pour autoriser les transmissions de demandes d’authentification.Ensure that there is HTTP/HTTPS connectivity between the Web Application Server and the AD FS server to allow authentication requests to flow through.
  • Application web

    Vous êtes invité à saisir des informations d’identification afin que le serveur d’application web puisse établir une connexion sécurisée avec le serveur AD FS.You are prompted to enter credentials so that the web application server can establish a secure connection to the AD FS server. Cette connexion doit utiliser des informations d’identification de compte d’administrateur local sur le serveur AD FS.These credentials need to be a local administrator on the AD FS server.

    Proxy

    Spécification du compte de service pour le service AD FSSpecify the service account for the AD FS service

    Le service AD FS requiert un compte de service de domaine pour authentifier les utilisateurs et rechercher les informations utilisateur dans Active Directory.The AD FS service requires a domain service account to authenticate users and lookup user information in Active Directory. Il prend en charge 2 types de compte de service :It can support two types of service accounts:

    • Compte de service géré de groupe : il a été introduit dans les services de domaine Active Directory avec Windows Server 2012.Group Managed Service Account - Introduced in Active Directory Domain Services with Windows Server 2012. Ce type de compte fournit des services tels qu’AD FS, ainsi qu’un compte unique, sans qu’il soit nécessaire de mettre régulièrement à jour le mode de passe du compte.This type of account provides services, such as AD FS, a single account without needing to update the account password regularly. Utilisez cette option s’il existe déjà des contrôleurs de domaine Windows Server 2012 dans le domaine auquel appartiennent vos serveurs AD FS.Use this option if you already have Windows Server 2012 domain controllers in the domain that your AD FS servers belong to.
    • Compte d’utilisateur de domaine : ce type de compte requiert un mot de passe, ainsi que des mises à jour régulières à chaque modification ou expiration du mot de passe.Domain User Account - This type of account requires you to provide a password and regularly update the password when the password changes or expires. Utilisez cette option uniquement s’il n’y a aucun contrôleur de domaine Windows Server 2012 dans le domaine auquel appartiennent vos serveurs AD FS.Use this option only when you do not have Windows Server 2012 domain controllers in the domain that your AD FS servers belong to.

    Si vous avez sélectionné le compte de service géré de groupe et que cette fonctionnalité n’a jamais été utilisée dans Active Directory, vous êtes invité à saisir des informations d’identification d’administrateur d’entreprise.If you selected Group Managed Service Account and this feature has never been used in Active Directory, you are prompted for Enterprise Admin credentials. Ces informations serviront à initialiser le magasin de clés et à activer la fonctionnalité dans Active Directory.These credentials are used to initiate the key store and enable the feature in Active Directory.

    Notes

    Azure AD Connect effectue une vérification afin de détecter si le service AD FS est déjà inscrit en tant que nom SPN dans le domaine.Azure AD Connect performs a check to detect if the AD FS service is already registered as a SPN in the domain. AD DS empêche immédiatement l’inscription de noms SPN en double.AD DS will not allow duplicate SPN’s to be registered at once. Si un nom SPN en double est trouvé, vous ne pouvez pas poursuivre l’opération avant d’avoir supprimé le SPN.If a duplicate SPN is found, you will not be able to proceed further until the SPN is removed.

    Compte de service AD FS

    Sélection du domaine Azure AD à fédérerSelect the Azure AD domain that you wish to federate

    Cette opération permet de configurer la relation de fédération entre AD FS et Azure AD.This configuration is used to setup the federation relationship between AD FS and Azure AD. Il s’agit de configurer AD FS pour émettre des jetons de sécurité pour Azure AD et de configurer Azure AD pour approuver les jetons de cette instance d’AD FS spécifique.It configures AD FS to issue security tokens to Azure AD and configures Azure AD to trust the tokens from this specific AD FS instance. Durant l’installation initiale, cette page vous permet de configurer un seul domaine.This page only allows you to configure a single domain in the initial installation. Vous pouvez configurer ultérieurement des domaines supplémentaires en réexécutant Azure AD Connect.You can configure more domains later by running Azure AD Connect again.

    Domaine Azure AD

    Vérification du domaine Azure AD sélectionné pour la fédérationVerify the Azure AD domain selected for federation

    Lorsque vous sélectionnez le domaine à fédérer, Azure AD Connect vous fournit les informations nécessaires pour vérifier un domaine non vérifié.When you select the domain to be federated, Azure AD Connect provides you with necessary information to verify an unverified domain. Pour savoir comment utiliser ces informations, voir Ajouter et vérifier le domaine .See Add and verify the domain for how to use this information.

    Domaine Azure AD

    Notes

    Azure AD Connect tente de vérifier le domaine pendant l’étape de configuration.AD Connect tries to verify the domain during the configure stage. Si vous poursuivez la configuration sans ajouter les enregistrements DNS requis, l’Assistant n’est pas en mesure d’effectuer la configuration.If you continue to configure without adding the necessary DNS records, the wizard is not able to complete the configuration.

    Configuration de la fédération avec PingFederateConfiguring federation with PingFederate

    La configuration de PingFederate avec Azure AD Connect est simple et s’effectue en quelques clics seulement.Configuring PingFederate with Azure AD Connect is simple and only requires a few clicks. En revanche, les prérequis suivants sont indispensables.However, the following prerequisites are required.

    Vérifier le domaineVerify the domain

    Après avoir sélectionné la fédération avec PingFederate, vous êtes invité à vérifier le domaine que vous voulez fédérer.After selecting Federation with PingFederate, you will be asked to verify the domain you want to federate. Sélectionnez le domaine dans la liste déroulante.Select the domain from the drop-down box.

    Vérification d’un domaine

    Exporter les paramètres PingFederateExport the PingFederate settings

    PingFederate doit être configuré en tant que serveur de fédération pour chaque domaine Azure fédéré.PingFederate must be configured as the federation server for each federated Azure domain. Cliquez sur le bouton Paramètres d’exportation et partagez ces informations avec votre administrateur PingFederate.Click the Export Settings button and share this information with your PingFederate administrator. L’administrateur du serveur de fédération met à jour la configuration, puis fournit l’URL et le numéro de port du serveur PingFederate pour qu’Azure AD Connect puisse vérifier les paramètres de métadonnées.The federation server administrator will update the configuration, then provide the PingFederate server URL and port number so Azure AD Connect can verify the metadata settings.

    Vérification d’un domaine

    Contactez votre administrateur PingFederate pour résoudre les éventuels problèmes de validation.Contact your PingFederate administrator to resolve any validation issues. Voici un exemple de serveur PingFederate qui n’a pas de relation d’approbation valide avec Azure :The following is an example of a PingFederate server that does not have a valid trust relationship with Azure:

    Trust

    Vérifier la connectivité de fédérationVerify federation connectivity

    Azure AD Connect tente de valider les points de terminaison d’authentification récupérés à partir des métadonnées PingFederate de l’étape précédente.Azure AD Connect will attempt to validate the authentication endpoints retrieved from the PingFederate metadata in the previous step. Azure AD Connect tente d’abord de résoudre les points de terminaison à l’aide de vos serveurs DNS locaux.Azure AD Connect will first attempt to resolve the endpoints using your local DNS servers. Ensuite, une tentative de résolution des points de terminaison à l’aide d’un fournisseur DNS externe est effectuée.Next it will attempt to resolve the endpoints using an external DNS provider. Contactez votre administrateur PingFederate pour résoudre les éventuels problèmes de validation.Contact your PingFederate administrator to resolve any validation issues.

    Vérifier la connectivité

    Vérifiez la connexion de fédérationVerify federation login

    Enfin, vous pouvez vérifier le flux de connexion fédérée tout juste configuré en vous connectant au domaine fédéré.Finally, you can verify the newly configured federated login flow by signing in to the federated domain. Lorsque cette opération réussit, la fédération avec PingFederate est correctement configurée.When this succeeds, the federation with PingFederate is successfully configured. Vérifier la connexionVerify login

    Pages de configuration et de vérificationConfigure and verify pages

    La configuration se produit sur cette page.The configuration happens on this page.

    Notes

    Avant de poursuivre l’installation, si vous avez configuré la fédération, vérifiez que vous avez défini la fonction de résolution de noms pour les serveurs de fédération.Before you continue installation and if you configured federation, make sure that you have configured Name resolution for federation servers.

    Prêt à configurer

    Mode intermédiaireStaging mode

    Vous pouvez configurer un nouveau serveur de synchronisation en parallèle avec le mode intermédiaire.It is possible to setup a new sync server in parallel with staging mode. Le système prend en charge une seule exportation directe de serveur de synchronisation vers un seul annuaire dans le cloud.It is only supported to have one sync server exporting to one directory in the cloud. Mais si vous voulez procéder à un déplacement à partir d’un autre serveur (par exemple, un serveur exécutant DirSync), vous pouvez activer Azure AD Connect en mode intermédiaire.But if you want to move from another server, for example one running DirSync, then you can enable Azure AD Connect in staging mode. Lorsqu’il est activé, le moteur de synchronisation importe et synchronise les données comme d’habitude, mais n’exporte aucune information vers Azure AD ou AD.When enabled, the sync engine import and synchronize data as normal, but it does not export anything to Azure AD or AD. En mode intermédiaire, les fonctionnalités de synchronisation/d’écriture différée du mot de passe sont désactivées.The features password sync and password writeback are disabled while in staging mode.

    Mode intermédiaire

    En mode intermédiaire, vous pouvez modifier le moteur de synchronisation selon vos besoins et examiner ce qui doit être exporté.While in staging mode, it is possible to make required changes to the sync engine and review what is about to be exported. Lorsque la configuration vous convient, réexécutez l’Assistant Installation et désactivez le mode intermédiaire.When the configuration looks good, run the installation wizard again and disable staging mode. Les données sont désormais exportées vers Azure AD à partir de ce serveur.Data is now exported to Azure AD from this server. Veillez à désactiver l’autre serveur en même temps, pour qu’un seul serveur puisse exporter de manière active.Make sure to disable the other server at the same time so only one server is actively exporting.

    Pour en savoir plus, voir Mode intermédiaire.For more information, see Staging mode.

    Vérification de votre configuration de fédérationVerify your federation configuration

    Lorsque vous cliquez sur le bouton Vérifier, Azure AD Connect vérifie la configuration DNS pour vous.Azure AD Connect verifies the DNS settings for you when you click the Verify button.

    Vérifications de la connectivité intranetIntranet connectivity checks

    • Résoudre le nom de domaine complet de fédération : Azure AD Connect vérifie si le nom de domaine complet de fédération peut être résolu par DNS pour garantir la connectivité.Resolve federation FQDN: Azure AD Connect checks if the federation FQDN can be resolved by DNS to ensure connectivity. Si Azure AD Connect ne peut pas résoudre le nom de domaine complet, la vérification échoue.If Azure AD Connect cannot resolve the FQDN, the verification will fail. Vérifiez qu’un enregistrement DNS est présent pour le nom de domaine complet du service de fédération, afin que la vérification puisse être menée à bien.Ensure that a DNS record is present for the federation service FQDN in order to successfully complete the verification.
    • Enregistrement A DNS : Azure AD Connect vérifie s’il existe un enregistrement A pour votre service de fédération.DNS A record: Azure AD Connect checks if there is an A record for your federation service. En l’absence d’enregistrement A, la vérification échoue.In the absence of an A record, the verification will fail. Créez un enregistrement A plutôt qu’un enregistrement CNAME pour votre nom de domaine complet de fédération afin de mener à bien la vérification.Create an A record and not CNAME record for your federation FQDN in order to successfully complete the verification.

    Vérifications de la connectivité extranetExtranet connectivity checks

    • Résoudre le nom de domaine complet de fédération : Azure AD Connect vérifie si le nom de domaine complet de fédération peut être résolu par DNS pour garantir la connectivité.Resolve federation FQDN: Azure AD Connect checks if the federation FQDN can be resolved by DNS to ensure connectivity.

    Complete

    Vérifier

    Pour vérifier que l’authentification de bout en bout réussit, vous devez effectuer manuellement un ou plusieurs des tests suivants :To validate end-to-end authentication is successful you should manually perform one or more the following tests:

    • Une fois que la synchronisation est terminée, utilisez la tâche supplémentaire Vérifier la connexion fédérée dans Azure AD Connect pour vérifier l’authentification d’un compte d’utilisateur local de votre choix.Once synchronization in complete, use the Verify federated login additional task in Azure AD Connect to verify authentication for an on-premises user account of your choice.
    • Validez la connexion d’un navigateur à partir d’une machine jointe au domaine sur l’intranet : connectez-vous à https://myapps.microsoft.com et vérifiez la connexion avec votre compte connecté.Validate that you can sign in from a browser from a domain joined machine on the intranet: Connect to https://myapps.microsoft.com and verify the sign-in with your logged in account. Le compte d’administrateur AD DS intégré n’est pas synchronisé et ne peut pas être utilisé pour la vérification.The built-in AD DS administrator account is not synchronized and cannot be used for verification.
    • Vérifiez que vous pouvez vous connecter à partir d’un appareil, depuis l’extranet.Validate that you can sign in from a device from the extranet. Sur un ordinateur personnel ou un appareil mobile, connectez-vous à https://myapps.microsoft.com et fournissez vos informations d’identification.On a home machine or a mobile device, connect to https://myapps.microsoft.com and supply your credentials.
    • Valider la connexion à un client complet.Validate rich client sign-in. Pour cela, connectez-vous à https://testconnectivity.microsoft.com, sélectionnez l’onglet Office 365, puis Test d’authentification unique dans Office 365.Connect to https://testconnectivity.microsoft.com, choose the Office 365 tab and chose the Office 365 Single Sign-On Test.

    Résolution de problèmesTroubleshooting

    La section suivante contient des informations générales et de dépannage que vous pouvez utiliser si vous rencontrez un problème lors de l’installation d’Azure AD Connect.The following section contains troubleshooting and information that you can use if you encounter an issue installing Azure AD Connect.

    « The ADSync database already contains data and cannot be overwritten » (La base de données ADSync contient déjà des données et ne peut pas être écrasée)“The ADSync database already contains data and cannot be overwritten”

    Lorsque vous procédez à une installation personnalisée d’Azure AD Connect et que vous sélectionnez l’option Use an existing SQL server (Utiliser un serveur SQL existant) sur la page Install required components (installer les composants requis), vous pouvez rencontrer une erreur indiquant The ADSync database already contains data and cannot be overwritten. Please remove the existing database and try again. (La base de données ADSync contient déjà des données et ne peut pas être écrasée. Veuillez supprimer la base de données existante et réessayer.)When you custom install Azure AD Connect and select the option Use an existing SQL server on the Install required components page, you might encounter an error that states The ADSync database already contains data and cannot be overwritten. Please remove the existing database and try again.

    Error

    Cela provient du fait qu’il existe déjà une base de données nommée ADSync sur l’instance SQL de SQL server, que vous avez spécifiée dans les zones de texte au-dessus.This is because there is already an existing database named ADSync on the SQL instance of the SQL server, which you specified in the above textboxes.

    Cela se produit généralement après avoir désinstallé Azure AD Connect.This typically occurs after you have uninstalled Azure AD Connect. La base de données n’est pas supprimé du serveur SQL Server après désinstallation.The database will not be deleted from the SQL Server when you uninstall.

    Pour résoudre ce problème, vérifiez d’abord que la base de données ADSync qui a été utilisée par Azure AD Connect avant d’être désinstallée n’est plus utilisée.To fix this issue, first verify that the ADSync database that was used by Azure AD Connect prior to being uninstalled, is no longer being used.

    Ensuite, il est recommandé de sauvegarder la base de données avant de la supprimer.Next, it is recommended that you backup the database prior to deleting it.

    Enfin, vous devez supprimer la base de données.Finally, you need to delete the database. Vous pouvez le faire à l’aide de Microsoft SQL Server Management Studio et en vous connectant à l’instance SQL.You can do this by using Microsoft SQL Server Management Studio and connect to the SQL instance. Recherchez la base de données ADSync, cliquez avec le bouton droit dessus, puis sélectionnez Supprimer dans le menu contextuel.Find the ADSync database, right click on it, and select Delete from the context menu. Ensuite, cliquez sur le bouton OK pour la supprimer.Then click OK button to delete it.

    Error

    Après avoir supprimé la base de données ADSync, vous pouvez cliquer sur le bouton Installer pour tenter à nouveau l’installation.After you delete the ADSync database, you can click the install button, to retry installation.

    Étapes suivantesNext steps

    Une fois l’installation terminée, déconnectez-vous puis reconnectez-vous à Windows avant d’utiliser le gestionnaire Synchronization Service Manager ou l’éditeur de règles de synchronisation.After the installation has completed, sign out and sign in again to Windows before you use Synchronization Service Manager or Synchronization Rule Editor.

    Azure AD Connect étant installé, vous pouvez passer à Vérification de l’installation et affectation des licences.Now that you have Azure AD Connect installed you can verify the installation and assign licenses.

    Pour en savoir plus sur ces fonctionnalités activées lors de l’installation, consultez les pages : Prévenir les suppressions accidentelles et Azure AD Connect Health.Learn more about these features, which were enabled with the installation: Prevent accidental deletes and Azure AD Connect Health.

    Pour en savoir plus sur ces sujets courants, consultez l’article Planificateur Azure AD Connect Sync.Learn more about these common topics: scheduler and how to trigger sync.

    En savoir plus sur l’ intégration de vos identités locales avec Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.