Azure AD Connect est connu et répandu : il s’agit de l’outil de synchronisation d’annuaires Active Directory (AD DS) avec Azure AD. Une autre solution de synchronisation d’annuaires édité par Microsoft existe, il s’agit d’Azure AD Cloud Sync. Partons à sa découverte et les différences et limites des 2 produits.
Les entreprises et organisations disposant de plusieurs sources d’authentification apprécient harmoniser les identités sur chacun d’entre eux. Cela permet également aux utilisateurs de se concentrer sur leur productivité plutôt que de chercher le compte à utiliser sur son PC et celui à utiliser sur une application métier, par exemple.
Les deux outils de synchronisation d’annuaires Azure AD Connect et Azure AD Cloud Sync permettent de répondre à ce besoin en synchronisant l’identité des utilisateurs et des devices entre un annuaire Active Directory (AD DS) et Azure AD, souvent sur la base de l’UPN (User Principal Name).
L’UPN se constitue du nom d’utilisateur (sAMAccountName) suffixé du domaine AD utilisé. A titre d’exemple, pour l’utilisateur Thomas Jacques du domaine « entreprise.fr » et possédant le nom d’utilisateur tjacques, ça donne : tjacques@entreprise.fr.
Dans le cadre de mes missions et en alternance, je suis souvent intervenu pour mettre en place mais aussi ajuster la configuration d’Azure AD Connect, à plusieurs reprises, un sujet revenait dans la conversation : « Qu’est-ce que l’agent de synchronisation Azure AD Connect ? ». Cet article a pour but de présenter les deux solutions de manière simple et synthétique ainsi que leur avantages et inconvénients.
L’intégration technique d’Azure AD Connect et Azure AD Cloud Connect sera traitée dans un article distinct à chaque solution.
Azure AD Connect
Azure AD Connect est une méthode de synchronisation reposant sur votre infrastructure On-Premises pour synchroniser votre annuaire Active Directory avec Azure AD.
Les fonctionnalités d’authentification disponibles sont les suivantes :
Synchronisation du hachage de mot de passe local vers Azure AD : Permet d’uniformiser le mot de passe du compte sur les deux annuaires. Le mot de passe réel n’est pas transféré, il s’agit bien du hash de celui-ci.
L’authentification est gérée par Azure AD, indépendamment de l’AD DS.
Authentification directe : L’authentification s’effectue directement auprès de votre infrastructure On-Premises et de vos contrôleurs de domaine. Cela signifie qu’Azure AD transmet la demande à votre AD et traitera sa réponse pour octroyer ou non l’accès à la ressource voulue.
Sa mise en œuvre :
Pour son fonctionnement, Azure AD Connect il est recommandé d’installer l’outil sur un serveur dédié et prévu à cet usage sous Windows Serveur 2016 à minima.
Côté environnement AD DS, la version de schéma et son niveau fonctionnel de forêt doivent être Windows Serveur 2003 à minima.
Le contrôleur de domaine contacté par le serveur Azure AD Connect doit être accessible en écriture. Enfin, l’activation de la corbeille Active Directory est recommandée.
Le contrôleur de domaine utilisé par le serveur hébergeant l’Azure AD Connect ne doit pas être un contrôleur de domaine en lecture seule (RODC) et l’usage exclusif des noms NetBIOS n’est pas pris en charge.
Une fois déployé, Azure AD Connect gère la synchronisation de vos identités vers votre tenant Azure AD. Le cycle de synchronisation se fait toutes les 30 minutes par défaut. Cette valeur peut être ajustée si besoin.
Des fonctionnalités sont disponibles selon le niveau de plan de licence Azure AD Free/Premium, notamment la réécriture des mots de passe, l’hybridation des identités des ordinateurs, le SSO, etc…
Azure AD Cloud Sync
Azure AD Cloud Sync permet également de synchroniser vos identités AD vers Azure AD. La grande différence, que l’on constate dans la dénomination de l’outil : c’est géré par Microsoft.
Ici, Microsoft met à disposition un agent qui est lié à votre tenant Azure AD à déployer au sein de votre infrastructure AD. Ce n’est pas à vous de gérer la configuration de l’agent et du maintient de son infrastructure. L’orchestration de la synchronisation est géré par Azure AD.
Sa mise en œuvre :
La mise en oeuvre de l’agent de synchronisation Azure AD Cloud Sync nécessite Un compte de service (managé – gMSA) qui sera autorisé à récupérer le hash du mot de passe à synchroniser au sein de votre annuaire AD. Un serveur dédié à l’agent, isolé et prévu pour cet usage exclusivement.
Côté installation, tout peut être fait à l’aide d’un assistant d’installation en moins de 5 minutes. Il est téléchargeable sur votre portail Azure AD.
Une fois terminé, une vérification simple et rapide peut être faite sur le centre d’administration Azure AD dans lequel les agents installés sont affichés.
Les fonctionnalités supplémentaires restent disponibles et configurables via PowerShell.
Les différences et limitations des deux services
Du fait qu’Azure AD Connect soit gérable depuis une infrastructure On-Premises et Azure AD Cloud Sync est géré par Microsoft, cela implique des fonctionnalités disponibles avec l’un et pas l’autre ainsi que des limitations.
Pour aller plus loin :
- Documentation des identités hybrides – Microsoft Docs
- Présentation d’Azure AD Connect et Connect Health – Microsoft Docs
- Qu’est-ce qu’Azure AD Cloud Sync ? – Microsoft Docs