Exchange 2016 : Configuration d’une fédération Exchange

1. Présentation de Azure AD Connect

Azure AD Connect intègre l’annuaire Active Directory local à Azure Active Directory. Cela permet d’unifier les systèmes de gestion d’identité utilisateurs des applications pour offrir une expérience utilisateur simplifiée. Ainsi l’accès aux services Office 365, Azure et SaaS intégrées à Azure AD se fait de manière transparente.

Azure AD Connect prend en charge la mise à niveau à partir de Microsoft Azure Active Directory Sync (DirSync) ou Azure AD Sync. Ces ancêtres d’Azure AD Connect sont désormais déconseillés et ne seront plus pris en charge à partir du 13 avril 2017.

L’utilisation d’Azure AD Connect offre de nombreux avantages en améliorant la productivité de vos utilisateurs en fournissant une identité commune pour accéder aux ressources cloud et locales. Voici quelques fonctions intéressantes :

  • Identité unique pour accéder aux applications locales et aux services cloud comme Office 365. L’utilisateur n’a pas à retaper ses informations de compte (SSO – Single Sign On).

  • Simplification du déploiement pour la synchronisation et la connexion aux services tiers.

  • Prise en charge des scénarios les plus récents et complexes.

2. Fonctionnement d’Azure AD Connect

Azure Active Directory Connect est constitué de trois composants principaux :

  • Le service de Synchronisation : permet de créer les utilisateurs, les groupes et autres objets. Il garantit l’uniformité de la configuration entre votre infrastructure locale et celle dans le cloud.

  • Le service AD FS : permet de configurer un environnement hybride à l’aide d’une infrastructure locale. Ce composant permet aux organisations de faire face à des déploiements complexes, par exemple l’authentification unique de jonction de domaine, l’application de la stratégie de connexion AD, l’utilisation de cartes à puce ou d’une solution tierce d’authentification multifacteur. Ce composant reste une partie facultative d’Azure AD Connect.

  • Le service Azure AD Connect Health : permet de mettre en place une supervision des services de fédération et d’intégrer les résultats dans le portail Azure.

3. Installation d’Azure AD Connect

Le composant Azure AD Connect est téléchargeable dans le Centre de téléchargement Microsoft à l’adresse suivante : https://www.microsoft.com/en-us/download/details.aspx?id=47594

Les prérequis d’installation d’Azure AD Connect se rapprochent des prérequis d’Office 365 à savoir :

  • un domaine enregistré et vérifié dans Office 365,

  • le niveau fonctionnel de forêt en Windows Server 2003 minimum,

  • les contrôleurs de domaine devront exécuter Windows Server 2008 minimum pour prendre en charge l’écriture différée du mot de passe,

  • les serveurs doivent bénéficier du .NET Framework 4.5.2 et de PowerShell 3.0,

  • des certificats SSL doivent être déployés,

  • une base SQL Server Express sera déployée (100 000 objets maximum) ou il sera possible de joindre une instance classique de SQL Server (de 2008 SP5 à 2014).

images/14CE16.png

Il faudra ensuite préparer les paramètres de synchronisation des données locales sachant que lorsqu’une fonctionnalité de synchronisation a été activée, vous ne pouvez plus la désactiver.

Un annuaire Azure AD autorise par défaut 50 000 objets qui est augmentée à 300 000 objets après validation du domaine. Une demande au support permet d’étendre la limite selon les besoins. Pour plus de 500 000 objets, vous avez besoin d’une licence Office 365, Azure AD de base, Azure AD Premium ou Enterprise Mobility Suite.

Plusieurs scénarios d’installation sont pris en charge, à savoir :

  • Paramètres Express : recommandé pour une seule forêt Active Directory.

  • Paramètres personnalisés : prend en charge de nombreuses topologies locales comme les environnements ayant plusieurs forêts.

  • Mise à niveau à partir de DirSync : lorsque DirSync est déjà en cours d’exécution.

  • Mise à niveau à partir d’Azure AD Sync ou d’Azure AD Connect : plusieurs méthodes sont possibles en fonction de vos préférences.

4. Configuration des fonctionnalités

Le comportement d’Azure AD Connect peut être personnalisé en activant et en configurant certaines fonctionnalités :

  • Le filtrage : permet de limiter le nombre d’objets synchronisés sur Azure AD. Par défaut, tous les utilisateurs, contacts, groupes et ordinateurs Windows 10 sont synchronisés. Vous pouvez modifier le filtrage en fonction des domaines, des unités d’organisation ou des attributs.

  • La synchronisation de mot de passe : permet de synchroniser le hash de mot de passe des comptes Active Directory dans Azure AD. L’utilisateur final peut utiliser le même mot de passe en local et dans le cloud tout en le gérant de manière centralisée.

  • L’écriture différée du mot de passe : permet aux utilisateurs de modifier et de réinitialiser leurs mots de passe dans le cloud en appliquant une stratégie de mot de passe locale.

  • L’écriture différée d’appareils : autorise un appareil inscrit dans Azure AD à bénéficier de l’écriture différée dans Active Directory en local afin de pouvoir être utilisé pour l’accès conditionnel.

  • La prévention des suppressions accidentelles : protège votre annuaire des actions de suppressions d’un grand nombre d’objets en même temps. Cette fonctionnalité est activée par défaut.

  • La mise à niveau automatique : permet de mettre à jour automatiquement Azure AD Connect. Ce paramètre est activé par défaut.

images/14CE17.png

Azure AD Connect intègre le paramétrage de nombreuses applications Microsoft hébergées dans le cloud pour en faciliter l’intégration comme :

  • Office 365 proPlus

  • Exchange Online

  • SharePoint Online

  • Lync Online

  • Azure RMS

  • Intune

  • Dynamics CRM

  • Des applications tierces…

images/14CE18.png

Une fois les paramètres standards configurés, il est possible de personnaliser le fonctionnement pour répondre à des besoins spécifiques. Pour cela, les principes de fonctionnement reprennent les concepts d’un méta-annuaire comme ses prédécesseurs, à savoir MIIS2003, ILM2007 et FIM2010.