Tutoriel : Intégrer une seule forêt à un seul locataire Microsoft Entra

Ce tutoriel vous guide tout au long de la création d’un environnement d’identité hybride à l’aide de la synchronisation cloud Microsoft Entra.

Vous pouvez utiliser l’environnement que vous créez dans ce tutoriel à des fins de test, ou pour vous familiariser avec la synchronisation cloud.

Prerequisites

Dans le centre d’administration Microsoft Entra

• Microsoft recommande que les organisations disposent de deux comptes d'accès d'urgence uniquement en cloud, auxquels le rôle d'administrateur global est assigné de façon permanente. Ces comptes sont hautement privilégiés et ne sont pas attribués à des personnes spécifiques. Les comptes sont limités aux scénarios d’urgence, notamment dans les cas de « casse de vitre », où les comptes normaux ne peuvent pas être utilisés ou lorsque tous les autres administrateurs sont verrouillés accidentellement. Ces comptes doivent être créés en suivant les recommandations de création de comptes d'accès d'urgence .
• Ajoutez un ou plusieurs noms de domaine personnalisés à votre locataire Microsoft Entra. Vos utilisateurs peuvent se connecter à l’aide de l’un de ces noms de domaine.

Dans votre environnement local

1. Identifiez un serveur hôte joint à un domaine exécutant Windows Server 2016 ou une version ultérieure, avec au minimum 4 Go de RAM et un runtime .NET 4.7.1 et versions ultérieures

2. S’il existe un pare-feu entre vos serveurs et Microsoft Entra ID, configurez les éléments suivants :

   • Vérifiez que les agents peuvent effectuer des demandes sortantes vers l’ID Microsoft Entra sur les ports suivants :

     Numéro de port	Utilisation
     80	Télécharge les listes de révocation de certificats lors de la validation du certificat TLS/SSL
     443	Gère toutes les communications sortantes avec le service
     8080 (facultatif)	Les agents signalent leur état toutes les 10 minutes sur le port 8080, si le port 443 n’est pas disponible. Cet état est affiché dans le portail.

     Si votre pare-feu applique les règles en fonction des utilisateurs d’origine, ouvrez ces ports au trafic provenant des services Windows exécutés en tant que service réseau.

   • Si votre pare-feu ou proxy vous permet de spécifier des suffixes sécurisés, ajoutez des connexions à *.msappproxy.net et *.servicebus.windows.net. Si ce n’est pas le cas, autorisez l’accès aux plages d’adresses IP du centre de données Azure, qui sont mises à jour toutes les semaines.

   • Vos agents ont besoin d’un accès à login.windows.net et login.microsoftonline.com pour l’inscription initiale. Par conséquent, ouvrez également votre pare-feu pour ces URL.

   • Pour la validation de certificat, débloquez les URL suivantes : mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 et www.microsoft.com:80. Ces URL étant utilisées pour la validation de certificat avec d’autres produits Microsoft, elles sont peut-être déjà débloquées.

Installer l’agent d’approvisionnement Microsoft Entra

Si vous utilisez le tutoriel Environnement de base AD et Azure, il s’agit de DC1. Pour installer l’agent, suivez ces étapes :

1. Dans le portail Azure, sélectionnez Microsoft Entra ID.

2. Dans le volet gauche, sélectionnez Microsoft Entra Connect, puis Cloud Sync.

   

3. Dans le volet gauche, sélectionnez Agents.

4. Sélectionnez Télécharger l’agent local, puis sélectionnez Accepter les termes & téléchargement.

   

5. Après avoir téléchargé le package de l’agent d’approvisionnement Microsoft Entra Connect, exécutez le fichier d’installation AADConnectProvisioningAgentSetup.exe à partir de votre dossier de téléchargements.

6. Dans l’écran qui s’ouvre, cochez la case Je suis d’accord avec les termes et conditions du contrat de licence , puis sélectionnez Installer.

   

7. Une fois l’installation terminée, l’Assistant Configuration s’ouvre. Sélectionnez Suivant pour démarrer la configuration.

   

8. Connectez-vous avec un compte avec au moins le rôle d’administrateur d’identité hybride . Si vous avez la sécurité renforcée d’Internet Explorer activée, la connexion est bloquée. Si c’est le cas, fermez l’installation, désactivez la sécurité renforcée d’Internet Explorer et redémarrez l’installation du package microsoft Entra Provisioning Agent.

   

9. Dans l’écran Configurer le compte de service , sélectionnez un compte de service administré de groupe (gMSA). Ce compte est utilisé pour exécuter le service d’agent. Si un compte de service géré est déjà configuré dans votre domaine par un autre agent et que vous installez un deuxième agent, sélectionnez Créer un compte gMSA. Le système détecte le compte existant et ajoute les autorisations requises pour le nouvel agent afin d’utiliser le compte gMSA. Lorsque vous y êtes invité, choisissez l’une des deux options suivantes :

   • Créez gMSA : Laissez l’agent créer le compte de service managé provAgentgMSA$ pour vous. Le compte de service géré de groupe (par exemple) CONTOSO\provAgentgMSA$est créé dans le même domaine Active Directory que celui auquel le serveur hôte est joint. Pour utiliser cette option, entrez les informations d’identification de l’administrateur de domaine Active Directory (recommandée).
   • Utilisez gMSA personnalisé : indiquez le nom du compte de service géré que vous avez créé manuellement pour cette tâche.

   

10. Pour continuer, sélectionnez Suivant.

11. Dans l’écran Connecter Active Directory , si votre nom de domaine apparaît sous Domaines configurés, passez à l’étape suivante. Sinon, entrez votre nom de domaine Active Directory, puis sélectionnez Ajouter un répertoire.

    

12. Ensuite, connectez-vous avec votre compte d’administrateur de domaine Active Directory. Le compte d’administrateur de domaine ne doit pas avoir un mot de passe expiré. Si le mot de passe a expiré ou change pendant l’installation de l’agent, reconfigurez l’agent avec les nouvelles informations d’identification. Cette opération ajoute votre répertoire local. Sélectionnez OK, puis sélectionnez Suivant pour continuer.

13. Sélectionnez Suivant pour continuer.

14. Dans l’écran Configuration terminé , sélectionnez Confirmer. Cette opération inscrit et redémarre l’agent.

    

15. Une fois l’opération terminée, vous voyez une notification indiquant que la configuration de votre agent a été correctement vérifiée. Sélectionnez Quitter. Si vous obtenez toujours l’écran initial, sélectionnez Fermer.

Vérifier l’installation de l’agent

La vérification de l’agent se produit dans le portail Azure et sur le serveur local qui exécute l’agent.

Vérifier l’agent dans le portail Azure

Pour vérifier que l’ID Microsoft Entra inscrit l’agent, procédez comme suit :

1. Connectez-vous au portail Azure.

2. Sélectionnez l’ID Microsoft Entra.

3. Sélectionnez Microsoft Entra Connect, puis sélectionnez Synchronisation cloud.

   

4. Dans la page Cloud Sync , vous voyez les agents que vous avez installés. Vérifiez que l’agent apparaît et que l’état est sain.

Vérifier l’agent sur le serveur local

Pour vérifier que l’agent est en cours d’exécution, procédez comme suit :

1. Connectez-vous au serveur avec un compte Administrateur.

2. Accédez à Services. Vous pouvez également utiliser Start/Run/Services.msc pour y accéder.

3. Sous Services, vérifiez que Microsoft Entra Connect Agent Updater et Microsoft Entra Connect Provisioning Agent sont présents et que l’état est en cours d’exécution.

   

Vérifier la version de l’agent de provisionnement

Pour vérifier la version de l’agent en cours d’exécution, suivez les étapes suivantes :

1. Accédez à C :\Program Files\Microsoft Azure AD Connect Provisioning Agent.
2. Cliquez avec le bouton droit surAADConnectProvisioningAgent.exe et sélectionnez Propriétés.
3. Sélectionnez l’onglet Détails . Le numéro de version apparaît en regard de la version du produit.

Configurer la synchronisation cloud Microsoft Entra

Pour configurer et démarrer le provisionnement, suivez les étapes décrites ici :

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’identité hybride au moins.

2. Accédez à Entra ID>Entra Connect>Synchronisation cloud.

   

3. Sélectionner nouvelle configuration
4. Dans l’écran de configuration, entrez un e-mail de notification, déplacez le sélecteur pour activer et sélectionnez Enregistrer.
5. L’état de configuration doit maintenant être sain.

Pour plus d’informations sur la configuration de Microsoft Entra Cloud Sync, consultez Approvisionner Active Directory sur Microsoft Entra ID.

Vérifier les utilisateurs créés et l’exécution de la synchronisation

Vous allez maintenant vérifier que les utilisateurs présents dans votre répertoire local et qui se trouvent dans l’étendu de la synchronisation ont été synchronisés et existent désormais dans votre client Microsoft Entra. L’opération de synchronisation peut prendre quelques heures. Pour vérifier que les utilisateurs sont synchronisés, procédez comme suit :

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’identité hybride au moins.
2. Accédez à Entra ID>Utilisateurs.
3. Vérifiez que les nouveaux utilisateurs apparaissent dans le client.

Tester la connexion avec l’un de vos utilisateurs

1. Accédez à https://myapps.microsoft.com

2. Connectez-vous avec un compte d’utilisateur que vous avez créé dans votre locataire. Vous devez vous connecter en utilisant le format suivant : (user@domain.onmicrosoft.com). Saisissez le même mot de passe que celui utilisé par l’utilisateur pour se connecter en local.

Vous avez maintenant correctement configuré un environnement d’identité hybride à l’aide de la synchronisation cloud Microsoft Entra.

Étapes suivantes

• Qu’est-ce que l’approvisionnement ?
• Qu’est-ce que le provisionnement cloud Microsoft Entra Connect ?