PREREQUIS SYNCHRONISATION AAD CONNECT

Pourquoi mettre en place une synchronisation Azure AD Connect ?

Un client nécessite une synchronisation AAD Connect entre son architecture AD On premise et son tenant Office 365. Openhost intervient en prestation pour la synchronisation entre les deux environnements. Des prérequis sont à respecter OBLIGATOIREMENT dans ce cas.

Les prérequis pour mettre en place une connexion Azure AD Connect

Les préconisations Microsoft sur l'installation et l'utilisation de la synchronisation Azure AD Connect  sont les suivantes:

 Système :

  • Vous ne pouvez pas installer Azure AD Connect sur Small Business Server ou Windows Server Essentials version antérieure à 2019 (Windows Server Essentials 2019 est pris en charge). Le serveur doit utiliser Windows Server Standard ou une version supérieure.
  • Azure Active Directory Connect doit être installé sur Windows Server 2012 ou version ultérieure. Ce serveur doit être joint à un domaine et peut être un contrôleur de domaine ou un serveur membre.
  • L’installation d’Azure AD Connect sur un contrôleur de domaine n’est pas recommandée en raison des pratiques de sécurité et de paramètres plus restrictifs pouvant empêchant Azure AD Connect de s’installer correctement. Un serveur pour l’installation de l’agent doit être prévu.
  • Le serveur Azure AD Connect doit disposer d’une interface utilisateur graphique complète. Il ne peut pas être installé sur un Server Core.

Comptes nécessaires à la synchronisation :

Deux comptes sont nécessaires à la mise en place de la synchronisation Azure AD Connect :

  • Compte Administrateur général du tenant Office 365
  • Compte Administrateur du domaine Active Directory On Premises

Domaine :

Plusieurs domaines AD :

Si le client dispose de plusieurs domaines AD, la prestation de synchronisation sera différente. Celle-ci est à l’étude côté technique.

Domaine *.local

Le domaine doit être routable. Ce qui signifie que celui-ci ne doit pas contenir *.local en top level domain. Son domaine AD doit être équivalent à l’un des domaines vérifiés sur Azure AD.

 Si le client a un domaine en *.local 2 solutions peuvent être mises en œuvre son infra AD :

  • Renommer son domaine (complexe)
  • Ajouter un suffixe UPN et configurer les utilisateurs avec l’UPN nouvellement créé

 Accès :

L’équipe technique en charge de la synchronisation doit disposer d’un accès à l’Active Directory cliente ainsi qu’à la machine où sera installé l’agent.

NOTE :

Si le client est un client qui vient de l'infrastructure Exchange 2016 d'Openhost, une contrainte se pose.

En effet, la migration des objets AD de nos infrastructures vers le tenant Office 365 du client est une opération possible (dans ce sens).

Cependant, pour un client qui souhaite passer l’ADConnect de son côté, il est nécessaire que les objets AD puisse aller vers l’AD Onprem du client. Or dans ce sens, nativement la synchro ADConnect n’est pas autorisé à le faire.

 A ce cas, deux solutions :

  • La première est de disposer d'une licence Azure AD Premium P1 (5,10€ /utilisateur/mois Sans engagement) pour réaliser la synchronisation des objets AD, désormais sur Office 365, vers votre AD Onprem qui ne les possède pas.
  • La seconde est de créer un script pour recréer groupes manquant sur votre AD OnPrem. Action qui n’est pas à inclure dans la prestation initiale.

 IMPORTANT : Evolution des prérequis

Cette documentation est en version 1.0. Celle-ci est à amener à évoluer en raison des évolutions des solutions proposées par Microsoft. Nous vous tiendrons informés des éventuelles évolutions à venir.

N'hésitez pas à nous contacter pour en savoir : +33 (0)2 51 83 18 39

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 0

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.