Tout savoir sur Azure Active Directory Connect pour votre entreprise

Important
Depuis août 2023, Azure Active Directory a été remplacé par le Microsoft Entra ID.
Toutes les licences et fonctionnalités restent inchangées.
En savoir plus

De plus en plus d’entreprises s’appuient sur le Cloud Azure et plus particulièrement sur des solutions comme Microsoft 365, Teams, SharePoint et OneDrive qui permettent de collaborer efficacement, aussi bien sur site qu’en télétravail. La gestion des droits de connexion (la gestion des identités) se complique lorsque votre entreprise héberge une partie de ses données sur son serveur local et l’autre sur le Cloud. Si vos utilisateurs ont une identité distincte sur chaque environnement de données, ils devront inévitablement se connecter deux fois : 

• Se connecter sur le serveur local de l’entreprise pour accéder aux données et applications hébergées en local 
• Se connecter à Azure pour accéder aux données et applications hébergées sur le Cloud (données sur les services Office 365 & données sur des services ou serveurs Azure) 

Sans synchronisation des gestionnaires d’identités, l’utilisateur John aura très probablement deux identifications à gérer pour se connecter : d’un côté aux données de son entreprise stockées sur site (à gauche sur le schéma)  et de l’autre aux donnés de son entreprise stockées dans le cloud O365 ou Azure (à droite sur le schéma).

Utiliser en même temps des logiciels en local et des logiciels hébergés sur le Cloud peut s’avérer compliqué pour les utilisateurs. C’est pour cette raison que Microsoft propose une solution à ce problème avec Azure Active Directory Connect. En raccordant les deux systèmes de gestion d’identité, celui de l’entreprise et celui d’Office 365 et Azure, les utilisateurs disposent alors d’une seule identité et d’un seul mot de passe pour accéder à leurs ressources, qu’elles soient stockées en local ou sur le Cloud.  

1. Présentation générale d’Azure Active Directory Connect 

1.1 Qu’est-ce qu’Active Directory ? 

Avant d’entrer dans le vif du sujet, rappelons ce qu’est un Active Directory (AD). 

Active Directory est un service de gestion centralisée des utilisateurs et des accès. Il regroupe un ensemble de fonctionnalités qui permettent aux administrateurs de votre système d’information de mettre en lien des utilisateurs avec les ressources (en local) dont ils ont besoin pour mener à bien leurs missions.  

Un utilisateur se voit ainsi accordé des droits d’accès à des données localisées sur les serveurs informatiques situés dans l’entreprise (ordinateur, serveurs de fichiers, ressources ou logiciels métier, NAS…). 

L’Active Directory est donc l’annuaire qui contient un grand nombre d’informations stratégiques sur votre environnement telles que les utilisateurs, les ordinateurs et les serveurs qui le composent ainsi que les différentes autorisations d’accès. 

Prenons l’exemple d’une PME avec 50 comptes utilisateurs. L’annuaire (Active Directory local) recense le poste occupé par chacun de vos utilisateurs, son nom, prénom, nom d’utilisateur, son login de connexion, son adresse email, son numéro de téléphone, son mot de passe, sa position hiérarchique, le service dans lequel il exerce… 
 

Sur le schéma ci-dessous, Franck qui appartient au groupe d’utilisateurs  “Compta” est autorisé à accéder uniquement au dossier dénommé “Documents compta ” sur le serveur de fichiers de l’entreprise. Mathilde, qui appartient au groupe “Vente” a accès aux “Documents vente” mais aussi aux “Documents Compta”, mais uniquement en lecture seule. Contrairement à Franck, elle peut consulter les données liées à la comptabilité de l’entreprise mais n’a pas la possibilité de les modifier. 

Il est donc particulièrement important de bien organiser la répartition du personnel de l’entreprise à minima en plusieurs services reflétant l’organisation de l’entreprise et d’entendre les groupes d’utilisateurs avec des groupes transversaux comme cela peut être le cas dans certains métiers où le personnel est amené à travailler en équipe projet, équipe sécurité, équipe de nuit, par agence ou filiale. L’objectif ? Gérer précisément et facilement les droits d’accès de chacun des collaborateurs. 

En résumé, grâce à l’annuaire Active Directory, vous pouvez :

• Assurer la gestion des identités
• Mettre en place l’Authentification Multifacteur
• Gérer plus facilement les mots de passe utilisateur
• Contrôler les accès automatiquement
• Surveiller les utilisations d’applications critiques
• Etc.

Pour les utilisateurs des services Office 365 et Azure, le même mode de fonctionnement est disponible. Microsoft propose dans son cloud public un annuaire dénommé Azure Active Directory.  

Nous arrivons donc à la problématique suivante : Comment interconnecter ces deux annuaires pour simplifier la gestion des identités en appliquant les droits des utilisateurs et des groupes d’utilisateurs aussi bien dans l’annuaire local que dans l’annuaire Azure ? 

1.2 Pourquoi utiliser Azure Active Directory Connect ? 

Azure AD Connect synchronise votre annuaire local (Active Directory On Premise) avec le cloud Azure et améliore la productivité de vos utilisateurs en leur fournissant un identifiant unique pour se connecter et accéder aux ressources du Cloud Microsoft ainsi qu’aux ressources locales de votre entreprise : 

• Microsoft 365 (services de collaboration, Email, OneDrive, Teams, SharePoint, Visio, Project, Dynamics CRM …) 
• Services Azure (Base de données, Serveurs, FW, Réseau VPN, Backup, PCA…) 
• Applications en mode SaaS 
• Applications situées sur votre réseau d’entreprise ou votre intranet 
• Applications cloud développées par votre société 
• Etc. 

Azure AD Connect remplace les anciennes versions des outils de synchronisation d’identités dénommés  DirSync et Azure AD Sync. 

1.3 Quelles sont les fonctionnalités d’Azure Active Directory Connect ? 

Azure AD Connect propose  5 fonctionnalités principales.

• Partage sécurisé des accès  

Le fait de n’avoir qu’un seul mot de passe pour tous les services simplifie la vie des utilisateurs. Ils n’ont qu’un seul mot de passe à retenir et sont donc moins susceptibles de l’oublier et d’avoir besoin d’aide. Avec AD Connect, un utilisateur dispose du même mot de passe pour les services Active Directory en local et pour les services Azure et Microsoft 365. 

La synchronisation se fait en toute sécurité entre les environnements, la synchronisation AD Connect envoie uniquement un hachage* du mot de passe Le mot de passe n’est jamais transmis, stocké ou envoyé en clair. 

• Authentification directe 

L’authentification directe Azure AD permet à vos utilisateurs de se connecter aux applications locales et aux services et applications Cloud à l’aide du même mot de passe. Cette fonctionnalité offre aux utilisateurs une meilleure expérience : moins de mots de passe à mémoriser pour les utilisateurs et un gain pour le service informatique car les utilisateurs sont moins susceptibles d’oublier* comment se connecter. 

Lorsque les utilisateurs se connectent à l’aide d’Azure AD, l’authentification directe valide les mots de passe utilisateurs directement à partir de votre Active Directory local. Cette fonctionnalité est une alternative au partage sécurisé du mot de passe (hachage). Certaines organisations qui souhaitent appliquer leurs stratégies de mot de passe et de sécurité Active Directory locales, peuvent choisir d’utiliser l’authentification directe à la place.  

* À ce titre Azure AD propose un service de réinitialisation de mot de passe avec double authentification permettant de décharger votre service technique de nombreux appels d’assistance quand les collaborateurs reviennent de vacances et ont oublié leur mot de passe. 

• Configuration de la fédération  

La fédération est un principe technique permettant d’établir un lien entre plusieurs annuaires. Ce lien de confiance entre les annuaires Active Directory permet d’étendre considérablement la facilité de mise en place d’Azure AD Connect. Une fédération classique peut inclure plusieurs sociétés ayant leur propre annuaire mais qui souhaitent  établir une relation de confiance entre elles pour mettre en place un accès partagé à un ensemble de ressources/données pour un groupe d’utilisateurs. 

Avec Active Directory Federation Services, vous pouvez fédérer votre environnement local avec Azure AD et utiliser cette fédération pour l’authentification et la connexion. Cette méthode de connexion garantit que toutes les opérations d’authentification de l’utilisateur se produisent localement (sur votre annuaire local). Les utilisateurs se connectent à l’aide de leurs informations de connexion locales et accèdent aux ressources mises à disposition dans le Cloud Microsoft (O365 et Azure). 

• Synchronisation  

Azure AD Connect Sync se charge de toutes les opérations liées à la synchronisation des données entre votre environnement local et Azure AD : 

• Nom d’utilisateur 
• Mot de passe 
• Adresse email 
• Groupe 
• Droit d’accès 
• Etc. 

Par défaut, la synchronisation se fait toutes les 30 minutes mais si vous avez besoin de réaliser une synchronisation en urgence pour appliquer des modifications sans attendre le prochain cycle, il est possible de forcer la synchronisation Azure AD au travers d’une commande PowerShell. 

• Analyse de la performance 

Azure AD Connect Health vous aide à superviser et à obtenir des informations (alertes, analyse de la performance, utilisations…) concernant votre infrastructure d’identité locale (annuaire local) pour garantir la fiabilité de votre environnement. Ces informations sont disponibles dans le portail Azure AD Connect Health. 

Exemples d’alertes que vous pouvez recevoir en tant qu’administrateur : 

• Le service de synchronisation Azure AD Connect ne fonctionne pas 
• Échec de l’importation depuis Azure Active Directory 
• La connexion à Azure Active Directory a échoué en raison d’une défaillance de l’authentification 
• La fréquence de synchronisation de hachage du mot de passe a été ignorée lors des 120 dernières minutes. 
• Etc. 

Vous pouvez configurer le service Azure AD Connect Health pour qu’il envoie des notifications par courrier électronique quand des alertes indiquent que votre infrastructure d’identité présente un défaut d’intégrité. Cet envoi se produit à la fois quand une alerte est générée et quand elle est résolue. 

2. Quelles sont les différents plans d’abonnement existants ? 

Quatre éditions d’Azure Active Directory sont disponibles en fonction de vos besoins opérationnels : 

• Azure Active Directory Free : Si votre entreprise possède un abonnement payant à Microsoft 365, Dynamics 365, Intune, Power Platform ou d’autres services Microsoft, vous disposez d’un abonnement gratuit à Microsoft Azure Active Directory. Vos administrateurs peuvent utiliser Azure AD Connect pour gérer l’authentification de vos utilisateurs.  
  
• Office 365 : Les fonctionnalités d’Azure AD sont incluses dans les abonnements Office 365 E1, E3, E5, F1 et F3.  
   
• Azure Active Directory Premium P1 : Azure AD Premium P1 est inclus dans Microsoft 365 E3. Les abonnés Azure et Office 365 peuvent souscrire à Azure AD Premium P1 via Openhost. Cet abonnement est conçu pour les organisations aux besoins exigeants en termes de gestion des accès et des identités. L’édition Azure Active Directory Premium ajoute de riches fonctionnalités de gestion des identités au niveau de l’entreprise. Elle permet aussi aux utilisateurs hybrides d’accéder de façon fluide aux fonctionnalités locales et dans le Cloud. Cette édition inclut tout ce dont vous avez besoin pour le personnel en charge de la mise à disposition des contenus et les administrateurs en charge des droits d’accès aux applications, de la gestion des identités ,des droits d’accès et plus généralement de la sécurité dans le cloud.
   
• Azure Active Directory Premium P2 : Azure AD Premium P2 est inclus dans Microsoft 365 E5. Les abonnés Azure et Office 365 peuvent acheter Azure Active Directory Premium P2 via Openhost. Azure Active Directory Premium P2 inclut l’ensemble des fonctionnalités de toutes les autres éditions d’Azure Active Directory, rehaussées des capacités de protection avancée des identités et de Privileged Identity Management

3. Quels sont les prérequis techniques pour l’installation d’Azure AD Connect ? 

Les préconisations de Microsoft sur l’installation et l’utilisation de la synchronisation Azure AD Connect  sont les suivantes : 

• Azure AD Connect doit être installé sur un serveur Windows Server 2016 joint à un domaine ou sur une version ultérieure. 
   
• Vous ne pouvez pas installer Azure AD Connect sur des serveurs Small Business Server ou Windows Server Essentials dont la version est antérieure à 2019 (Windows Server Essentials 2019 est pris en charge). Le serveur doit utiliser Windows Server Standard ou une version supérieure. 
   
• Le serveur Azure AD Connect doit disposer d’une interface utilisateur graphique complète. L’installation d’Azure AD Connect sur Windows Server Core n’est pas prise en charge. 
   
• La stratégie de groupe de transcription PowerShell ne doit pas être activée sur le serveur Azure AD Connect si vous utilisez l’Assistant Azure AD Connect pour gérer la configuration des services de fédération Active Directory (AD FS). Vous pouvez activer la transcription PowerShell si vous utilisez l’Assistant Azure AD Connect pour gérer la configuration de la synchronisation. 
   

• Si l’authentification multifacteur est activée pour vos administrateurs généraux, l’URL https://secure.aadcdn.microsoftonlinep.comhttps://secure.aadcdn.microsoftonline-p.com doit figurer dans la liste des sites de confiance.  
   
• L’installation du client Azure AD Connect doit être effectuée sur un serveur membre du domaine, Microsoft recommande de ne pas installer le client Azure AD Connect sur un contrôleur de domaine. 
   
• Si Active Directory Federation Services est déployé, les serveurs sur lesquels le logiciel est installé doivent être des serveurs Windows Server 2012 R2 ou version ultérieure. La gestion à distance de Windows doit être activée sur ces serveurs pour l’installation à distance. Vous devez également configurer des certificats TLS/SSL et la résolution de noms. 
   
• Le fractionnement et l’analyse du trafic entre Azure AD Connect et Azure AD ne sont pas pris en charge. Cela pourrait perturber le service. 
   
• Si vous envisagez d’utiliser Azure AD Connect Health pour la synchronisation, assurez vous que les conditions préalables d’Azure AD Connect Health sont également remplies.  
   

Remarque : Cette partie a été rédigée grâce aux informations mises à disposition par Microsoft en Janvier 2022. Celle-ci peut être amenée à évoluer par la suite. N’hésitez pas à nous contacter pour en savoir plus. Cet article n’est pas un guide de mise en service. 

4. FAQ 

4.1 Je possède un domaine Active Directory en .local, comment faire ? 

Azure AD Connect synchronise uniquement les utilisateurs avec les domaines qui sont vérifiés par Microsoft 365 (et donc par Azure AD car les identités Microsoft 365 sont gérées par Azure AD). Le domaine doit être un domaine Internet valide (par exemple, .com, .org, .net, .us). Si votre entreprise utilise uniquement un domaine non routable (par exemple, « .local »), cela ne peut pas correspondre au domaine vérifié dont vous avez besoin pour votre client Microsoft 365. 

Vous avez deux solutions pour résoudre ce problème : 

• Modifier votre domaine principal : Vous pouvez préparer un domaine routable sur internet (« superdomaine.com » par exemple) et le passer en domaine principal sur Azure AD. Les utilisateurs en « superdomaine.local » seront synchronisés en « superdomaine.com ». 
• Ajouter un suffixe UPN et mettre à jour vos utilisateurs : Le suffixe UPN correspond à ce qui se trouve après le @ dans le nom d’utilisateur. Vous pouvez résoudre le problème « .local » en enregistrant un nouveau suffixe UPN correspondant au domaine que vous avez vérifié dans Microsoft 365 (par exemple « superdomaine.com ». Après avoir inscrit le nouveau suffixe, vous mettez à jour les UPN utilisateur pour remplacer le « .local » par le nouveau nom de domaine. Par exemple, l’utilisateur joe@superdomaine.local deviendra joe@superdomaine.com. Une fois que vous avez mis à jour les UPN pour utiliser le domaine vérifié, vous êtes prêt à synchroniser votre annuaire local avec Microsoft 365. 

4.2 Les comptes utilisateurs sont-ils gérés côté Active Directory (local) ou côté Azure Active Directory (Cloud) ? 

Lorsque la synchronisation Azure AD est en place, les modifications doivent se faire uniquement dans l’Active Directory local. 

En effet, la synchronisation se fait d’Active Directory vers Azure Active Directory et pas dans l’autre sens. 

4.3 Mon entreprise possède plusieurs domaines, comment faire ? 

Il existe plusieurs scénarios : 

• Vous possédez plusieurs domaines dans un seul environnement Active Directory : C’est le cas des entreprises avec plusieurs entités (commerciales ou non). Dans ce cas, le principe de fédération n’entre pas en jeu puisque l’environnement est le même. Simplement, vous devez préparer Azure Active Directory pour chaque domaine utilisé pour que vos utilisateurs gardent le même domaine. Par exemple, si vous avez 3 domaines (@domaine1.fr, @domaine2.com et @domaine3.io), ils devront tous les 3 être préparés sur Azure AD. 

• Vous possédez plusieurs environnements Active Directory : C’est le cas si votre entreprise A a racheté une nouvelle société B par exemple, et souhaite connecter leurs systèmes d’informations. On peut utiliser le principe de fédération pour installer une relation de confiance entre les deux AD. Ce qui donne : l’entreprise A fait confiance à la société B donc la société B peut se connecter aux systèmes d’informations de l’entreprise A.