Déployer la synchronisation d’annuaires Microsoft 365 dans Microsoft Azure

  • Article

Microsoft Entra Connect (anciennement outil de synchronisation d’annuaires, outil de synchronisation d’annuaires ou outil DirSync.exe) est une application que vous installez sur un serveur joint à un domaine pour synchroniser vos utilisateurs Active Directory local Domain Services (AD DS) avec le Microsoft Entra locataire de votre abonnement Microsoft 365. Microsoft 365 utilise Microsoft Entra ID pour son service d’annuaire. Votre abonnement Microsoft 365 inclut un locataire Microsoft Entra. Ce client peut également être utilisé pour la gestion des identités de votre organisation avec d’autres charges de travail de cloud, y compris d’autres applications SaaS et des applications dans Azure.

Vous pouvez installer Microsoft Entra Connect sur un serveur local, mais vous pouvez également l’installer sur une machine virtuelle dans Azure pour les raisons suivantes :

  • Vous pouvez mettre en service et configurer les serveurs cloud plus rapidement, les rendant ainsi disponibles plus tôt pour vos utilisateurs.
  • Azure offre une meilleure disponibilité de site avec moins d'efforts.
  • Vous pouvez réduire le nombre de serveurs locaux de votre organisation.

Cette solution exige une connectivité entre votre réseau local et votre réseau virtuel Azure. Pour plus d’informations, reportez-vous à Connecter un réseau local à Microsoft Azure Virtual Network.

Remarque

Cet article décrit la synchronisation d’un domaine unique dans une forêt unique. Microsoft Entra Connect synchronise tous les domaines AD DS de votre forêt Active Directory avec Microsoft 365. Si vous avez plusieurs forêts Active Directory à synchroniser avec Microsoft 365, consultez Multi-forest Directory Sync with Single Sign-On Scenario.

Vue d’ensemble du déploiement de la synchronisation d’annuaires Microsoft 365 dans Azure

Le diagramme suivant montre Microsoft Entra Connect s’exécutant sur une machine virtuelle dans Azure (le serveur de synchronisation d’annuaires) qui synchronise une forêt AD DS locale avec un abonnement Microsoft 365.

Microsoft Entra l’outil Connect sur une machine virtuelle dans Azure synchronisant des comptes locaux avec le locataire Microsoft Entra d’un abonnement Microsoft 365 avec flux de trafic.

Dans le schéma, il existe deux réseaux connectés par une connexion VPN ou ExpressRoute de site à site. Il existe un réseau local où se trouvent les contrôleurs de domaine AD DS, et il existe un réseau virtuel Azure avec un serveur de synchronisation d’annuaires, qui est une machine virtuelle exécutant Microsoft Entra Connect. Il existe deux flux de trafic main provenant du serveur de synchronisation d’annuaires :

  • Microsoft Entra Connect interroge un contrôleur de domaine sur le réseau local pour connaître les modifications apportées aux comptes et mots de passe.
  • Microsoft Entra Connect envoie les modifications apportées aux comptes et aux mots de passe au Microsoft Entra instance de votre abonnement Microsoft 365. Étant donné que le serveur de synchronisation d’annuaires se trouve dans une partie étendue de votre réseau local, ces modifications sont envoyées via le serveur proxy du réseau local.

Remarque

Cette solution décrit la synchronisation d’un domaine Active Directory unique dans une forêt Active Directory unique. Microsoft Entra Connect synchronise tous les domaines Active Directory de votre forêt Active Directory avec Microsoft 365. Si vous avez plusieurs forêts Active Directory à synchroniser avec Microsoft 365, consultez Multi-forest Directory Sync with Single Sign-On Scenario.

Le déploiement de cette solution comporte deux étapes principales :

  1. La création d'un réseau virtuel Azure et l'établissement d'une connexion VPN de site à site vers votre réseau local. Pour plus d’informations, reportez-vous à Connecter un réseau local à Microsoft Azure Virtual Network.

  2. Installez Microsoft Entra Connect sur une machine virtuelle jointe à un domaine dans Azure, puis synchronisez les services AD DS locaux avec Microsoft 365. Pour cela, vous devez :

    • Création d’une machine virtuelle Azure pour exécuter Microsoft Entra Connect.

    • Installation et configuration de Microsoft Entra Connect.

    La configuration de Microsoft Entra Connect nécessite les informations d’identification (nom d’utilisateur et mot de passe) d’un compte d’administrateur Microsoft Entra et d’un compte d’administrateur d’entreprise AD DS. Microsoft Entra Connect s’exécute immédiatement et en continu pour synchroniser la forêt AD DS locale avec Microsoft 365.

Avant de déployer cette solution en production, vous pouvez utiliser les instructions de La configuration de base d’entreprise simulée pour configurer cette configuration comme preuve de concept, pour des démonstrations ou pour l’expérimentation.

Importante

Une fois la configuration de Microsoft Entra Connect terminée, elle n’enregistre pas les informations d’identification du compte d’administrateur d’entreprise AD DS.

Remarque

Cette solution décrit la synchronisation d’une seule forêt AD DS avec Microsoft 365. La topologie décrite dans cet article ne représente qu'un seul moyen de mettre en œuvre cette solution. La topologie de votre organisation peut-être différer en fonction de vos besoins réseau unique et les considérations sur la sécurité.

Planifier l’hébergement d’un serveur de synchronisation d’annuaires pour Microsoft 365 dans Azure

Conditions préalables

Avant de commencer, passez en revue les conditions préalables suivantes pour cette solution :

  • Examinez le contenu de planification associé dansPlanifier votre réseau virtuel Azure.

  • Veillez à respecter toutes lesconditions préalables relatives à la configuration du réseau virtuel Azure.

  • Disposez d’un abonnement Microsoft 365 qui inclut la fonctionnalité d’intégration Active Directory. Pour plus d’informations sur les abonnements Microsoft 365, accédez à la page d’abonnement Microsoft 365.

  • Provisionnez une machine virtuelle Azure qui s’exécute Microsoft Entra Connect pour synchroniser votre forêt AD DS locale avec Microsoft 365.

    Vous devez disposer des informations d’identification (noms et mots de passe) d’un compte d’administrateur d’entreprise AD DS et d’un compte administrateur Microsoft Entra.

Hypothèses en matière de conception de l’architecture de la solution

La liste suivante décrit les choix de conception effectués pour cette solution.

  • Cette solution utilise un réseau virtuel Azure unique avec une connexion VPN de site à site. Le réseau virtuel Azure héberge un sous-réseau unique qui a un serveur, le serveur de synchronisation d’annuaires qui exécute Microsoft Entra Connect.

  • Sur le réseau local, un contrôleur de domaine et des serveurs DNS existent.

  • Microsoft Entra Connect effectue la synchronisation de hachage de mot de passe au lieu de l’authentification unique. Vous n’avez pas besoin de déployer une infrastructure Services ADFS (AD FS). Pour en savoir plus sur les options de synchronisation de hachage de mot de passe et d’authentification unique, consultez Choix de la méthode d’authentification appropriée pour votre solution d’identité hybride Microsoft Entra.

Vous pouvez envisager d’autres choix de conception lorsque vous déployez cette solution dans votre environnement. Elles incluent notamment les éléments suivants :

  • Si un réseau virtuel Azure existant comporte des serveurs DNS, déterminez si vous voulez que votre serveur de synchronisation d’annuaires les utilise pour la résolution de noms à la place des serveurs DNS sur le réseau local.

  • S’il existe des contrôleurs de domaine dans un réseau virtuel Azure existant, déterminez si la configuration des sites et services Active Directory peut être une meilleure option pour vous. Le serveur de synchronisation d’annuaires peut interroger les contrôleurs de domaine dans le réseau virtuel Azure pour connaître les modifications apportées aux comptes et mots de passe au lieu des contrôleurs de domaine sur le réseau local.

Feuille de route de déploiement

Le déploiement de Microsoft Entra Connect sur une machine virtuelle dans Azure se compose de trois phases :

  • Phase 1 : créer et configurer le réseau virtuel Azure

  • Phase 2 : créer et configurer les machines virtuelles Azure

  • Phase 3 : Installer et configurer Microsoft Entra Connect

Après le déploiement, vous devez également attribuer des emplacements et des licences pour les nouveaux comptes d’utilisateur dans Microsoft 365.

Phase 1 : créer et configurer le réseau virtuel Azure

Pour créer et configurer le réseau virtuel Azure, effectuez la phase 1 en préparant votre réseau local et la phase 2 en créant le réseau virtuel entre différents locaux dans Azure décrites dans la feuille de route de déploiement de l’article Connecter un réseau local à Microsoft Azure Virtual Network.

Voici la configuration finale.

Phase 1 du serveur de synchronisation d’annuaires pour Microsoft 365 hébergé dans Azure.

Cette illustration montre un réseau local connecté à un réseau virtuel Azure via une connexion VPN ou ExpressRoute de site à site.

Phase 2 : créer et configurer les machines virtuelles Azure

Créez la machine virtuelle dans Azure en suivant les instructions décrites dans Créer votre première machine virtuelle Windows dans le portail Azure. Utilisez les paramètres suivants :

  1. Dans le volet De base, sélectionnez le même abonnement, le même emplacement et le même groupe de ressources que votre réseau virtuel. Enregistrez le nom d’utilisateur et le mot de passe dans un emplacement sécurisé. Vous en aurez besoin ultérieurement pour vous connecter à la machine virtuelle.

  2. Dans le volet Choisir une taille, choisissez la taille A2 Standard.

  3. Dans le volet Paramètres, dans la section Stockage, sélectionnez le type de stockage Standard. Dans la section Réseau , sélectionnez le nom de votre réseau virtuel et le sous-réseau pour héberger le serveur de synchronisation d’annuaires (et non gatewaySubnet). Tous les autres paramètres conservent leurs valeurs par défaut.

Vérifiez que votre serveur de synchronisation d’annuaires utilise correctement DNS en vérifiant votre DNS interne pour vous assurer qu’un enregistrement d’adresse (A) a été ajouté pour la machine virtuelle avec son adresse IP.

Suivez les instructions fournies dans Se connecter à la machine virtuelle et se connecter pour vous connecter au serveur de synchronisation d’annuaires avec une connexion Bureau à distance. Après vous être connecté, joignez la machine virtuelle au domaine AD DS local.

Pour Microsoft Entra connectez-vous pour accéder aux ressources Internet, vous devez configurer le serveur de synchronisation d’annuaires pour utiliser le serveur proxy du réseau local. Nous vous recommandons de contacter votre administrateur réseau pour toute étape de configuration supplémentaire à effectuer.

Voici la configuration finale.

Phase 2 du serveur de synchronisation d’annuaires pour Microsoft 365 hébergé dans Azure.

Cette illustration montre la machine virtuelle du serveur de synchronisation d’annuaires dans le réseau virtuel Azure.

Phase 3 : Installer et configurer Microsoft Entra Connect

Procédez comme suit :

  1. Connectez-vous au serveur de synchronisation d’annuaire à l’aide d’une connexion Bureau à distance avec un compte de domaine AD DS disposant de privilèges d’administrateur local. Voir Se connecter à la machine virtuelle et ouvrir une session.

  2. À partir du serveur de synchronisation d’annuaires, ouvrez l’article Configurer la synchronisation d’annuaires pour Microsoft 365 et suivez les instructions pour la synchronisation d’annuaires avec synchronisation de hachage de mot de passe.

Attention

Le programme d’installation crée le compte AAD_xxxxxxxxxxxx dans l’unité d’organisation (UO) Utilisateurs locaux. Ne déplacez pas ou ne supprimez pas ce compte, ou la synchronisation échouera.

Voici la configuration finale.

Phase 3 du serveur de synchronisation d’annuaires pour Microsoft 365 hébergé dans Azure.

Cette figure montre le serveur de synchronisation d’annuaires avec Microsoft Entra Connect dans le réseau virtuel Azure intersite.

Attribuer des emplacements et des licences aux utilisateurs dans Microsoft 365

Microsoft Entra Connect ajoute des comptes à votre abonnement Microsoft 365 à partir d’AD DS local, mais pour que les utilisateurs se connectent à Microsoft 365 et utilisent ses services, les comptes doivent être configurés avec un emplacement et des licences. Utilisez ces étapes pour ajouter l’emplacement et activer les licences pour les comptes d’utilisateur appropriés :

  1. Connectez-vous au Centre d'administration Microsoft 365, puis cliquez sur Administration.

  2. Dans le volet de navigation de gauche, cliquez sur Utilisateurs>Utilisateurs actifs.

  3. Dans la liste des comptes d’utilisateur, sélectionnez la case à cocher en regard de l’utilisateur que vous souhaitez activer.

  4. Sur la page de l'utilisateur, cliquez sur Modifier pour Licences de produits.

  5. Sur la page Licences de produit, sélectionnez un emplacement pour l'utilisateur pour Emplacement, puis activez les licences appropriées pour l'utilisateur.

  6. Lorsque vous avez terminé, cliquez sur Enregistrer, puis sur Fermer deux fois.

  7. Revenez à l’étape 3 pour d’autres utilisateurs.

Voir aussi

Centre de solutions et d'architecture Microsoft 365

Connecter un réseau local à Microsoft Azure Virtual Network

Télécharger Microsoft Entra Connect

Configurer la synchronisation d’annuaires pour Microsoft 365