Comment synchroniser les comptes utilisateurs d'Active Directory avec EntraID en utilisant Microsoft Entra Connect

Mise à jour le 27 oct. 2024

On peut le regretter (du moins moi je le regrette), mais Entra ID est de plus en plus utilisé dans les entreprises comme solution cloud de Microsoft pour la gestion des comptes utilisateurs. Il sert d'annuaire des comptes utilisateurs pour tous les services cloud Microsoft tels que Microsoft Azure et Microsoft 365 et est utilisé pour authentifier les utilisateurs. Puisque de nombreuses organisations dépendent encore d'un Active Directory local (AD sur site), il peut être interessant de synchroniser les comptes utilisateurs de l'AD sur site avec Entra ID. Cette synchronisation offre plusieurs avantages, notamment une gestion simplifiée des comptes (les administrateurs n'ont besoin de créer le compte qu'une seule fois) et la synchronisation des mots de passe.

Pour activer cette synchronisation, Microsoft fournit un outil appelé Microsoft Entra Connect (anciennement connu sous le nom de Azure Connect (suivre la gestion des noms des produits de Microsoft est aussi difficile que de suivre les changements CSS de ce site…)).

Détails de l'architecture de test :
- Domaine local : std.priv
- Domaine Entra : std.rocks

Schéma Réseau

Diagramme montrant la synchronisation Microsoft Entra Connect entre Active Directory sur site (std.priv) et Microsoft Entra ID (std.rocks). Les comptes utilisateurs d'Active Directory sont synchronisés avec Entra ID via Entra Connect installé sur un serveur Windows. — Architecture de **Microsoft Entra Connect**

Prérequis

Prérequis :
- .Net : 4.7.2
- Tls : 1.2

Assurez-vous d'avoir une version de .Net au moins égale à 4.7.2 et Tls en version 1.2. Par exemple, sur un serveur Windows 2016, j'ai dû mettre à jour ma version de .Net et activer Tls 1.2. Depuis un serveur Windows 2025 j'ai simplement du activer le Tls.

Voici le message d'erreur : Version incorrecte de Tls lors du premier lancement de Entra Connect :

Écran d'erreur Microsoft Entra Connect Sync indiquant une version incorrecte de TLS. Le message précise que TLS 1.2 est requis mais non configuré sur le serveur. Les utilisateurs sont dirigés vers un document pour des instructions sur l'activation de TLS 1.2 avant de poursuivre l'installation. Le bouton 'Exit' est mis en surbrillance.

Pour résoudre ce problème, on peut déjà afficher la version de Tls actuellement configurée (Note : sur Windows Server 2025, cela renvoie uniquement : SystemDefault, ce qui n'est pas très utile…) :

PS C:\> [Net.ServicePointManager]::SecurityProtocol
Ssl3, Tls

Exécutez ce script PowerShell pour activer définitivement Tls 1.2 :

If (-Not (Test-Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319'))
{
    New-Item 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319'))
{
    New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server'))
{
    New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client'))
{
    New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null

Un autre prérequis dans notre configuration est de remplir le champ E-mail dans les propriétés des comptes utilisateurs de l'Active Directory qui seront synchronisés dans Entra. En effet, je suis ici dans un cas où le domaine local est privé (std.priv) et donc différent de celui de Entra-ID qui lui est public (std.rocks). C'est donc le champ E-mail qui permettra de faire le "lien" entre le compte sur site et celui qui se trouve dans Entra-ID.

Fenêtre des propriétés de l'utilisateur Active Directory pour 'butters stotch.' Le champ E-mail affiche 'b.stotch@std.rocks,' indiquant l'adresse e-mail attribuée à l'utilisateur.

Installation de Microsoft Entra Connect

Téléchargez la dernière version de Microsoft Entra Connect depuis le site officiel de Microsoft : https://www.microsoft.com/en-us/download/.

Page de téléchargement de Microsoft Entra Connect avec la sélection de langue et le bouton de téléchargement mis en surbrillance.

Cochez la case "I agree to the license…" et cliquez sur "Continue" :

Écran d'installation de Microsoft Entra Connect Sync. La page d'accueil décrit l'objectif de l'outil, guidant les utilisateurs à travers la configuration de la synchronisation des identités. Une case à cocher pour accepter les termes de la licence et la politique de confidentialité est mise en surbrillance, nécessaire avant de continuer la configuration.

Sur la page "Express Settings", cliquez sur "Customize" :

Écran des paramètres Express de Microsoft Entra Connect Sync. La page décrit les étapes de configuration par défaut pour la synchronisation d'une forêt Active Directory unique. Une flèche mise en évidence pointe vers le bouton 'Personnaliser,' suggérant aux utilisateurs de sélectionner des options de déploiement avancées au lieu d'utiliser les paramètres express.

Sur la page "Install required components", cliquez sur "Install" :

Écran d'installation de Microsoft Entra Connect Sync montrant les composants requis. Les options incluent la spécification des paramètres d'installation personnalisés, l'utilisation d'un serveur SQL existant et l'importation des paramètres de synchronisation. Le bouton 'Installer' est mis en surbrillance, indiquant la prochaine étape pour procéder à l'installation.

Sur la page "User sign-in", sélectionnez "Password Hash Synchronization", puis cliquez sur "Next" :

Écran de Microsoft Entra Connect Sync pour les options de connexion des utilisateurs. La méthode sélectionnée est 'Synchronisation des mots de passe par hachage,' mise en surbrillance comme une option préférée pour activer une connexion transparente. Les autres options incluent l'authentification par passage, la fédération avec AD FS et PingFederate. Le bouton 'Suivant' est mis en surbrillance pour continuer.

Sur la page "Connect to Microsoft Entra ID", entrez un ID d'administrateur de locataire dans la case "USERNAME" et cliquez sur "Next" :

Écran de Microsoft Entra Connect Sync demandant de se connecter à Microsoft Entra ID. Le champ 'NOM D'UTILISATEUR' affiche 'administrator@std.rocks' comme entrée. L'utilisateur doit saisir les identifiants d'administrateur pour continuer. Le bouton 'Suivant' est mis en surbrillance pour continuer à l'étape suivante.

Connectez-vous avec les identifiants de compte :

Invite de connexion Microsoft demandant les identifiants. Le nom d'utilisateur 'administrator@std.rocks' est pré-rempli. Les utilisateurs sont invités à continuer en cliquant sur 'Suivant' ou à accéder à d'autres options de connexion.

Sur la page "Connect your directories", sélectionnez la "forêt" du site local, puis cliquez sur "Add Directory" :

Écran de Microsoft Entra Connect Sync pour connecter des répertoires. Le type de répertoire est défini sur 'Active Directory' avec 'std.priv' saisi comme nom de forêt. Une flèche pointe vers le bouton 'Ajouter un répertoire,' soulignant la prochaine action pour configurer la connexion du répertoire.

Dans la fenêtre "AD forest account", sélectionnez l'option "Create New AD Account", et entrez votre nom d'utilisateur et mot de passe administrateur de domaine pour créer automatiquement un compte qui sera utilisé pour synchroniser les comptes utilisateurs et mots de passe :

$Écran de Microsoft Entra Connect Sync pour la configuration du compte de la forêt AD. L'écran demande un nom d'utilisateur et un mot de passe d'administrateur d'entreprise, avec 'STD.PRIV\administrator' entré comme nom d'utilisateur. Le bouton 'OK' est mis en surbrillance, indiquant la prochaine étape pour procéder à la configuration.$

Le domaine on-premise devrait apparaître :

Écran de Microsoft Entra Connect Sync montrant les répertoires configurés. Le répertoire 'std.priv (Active Directory)' est listé avec une coche verte, indiquant une configuration réussie. Le bouton 'Suivant' est mis en surbrillance pour continuer à l'étape suivante.

Comme mon domaine on-premise est std.priv, nous ne pouvons pas utiliser userPrincipalName comme attribut sur la page de configuration de connexion de Entra ID, veuillez vous assurer que la valeur mail est sélectionnée dans la liste déroulante USER PRINCIPAL NAME. Cochez également la case Continue without matching all UPN suffixes to verified domains et cliquez sur "Next" :

Écran de configuration de la connexion Microsoft Entra Connect Sync. Il montre la correspondance du suffixe UPN d'Active Directory 'std.priv' au domaine Microsoft Entra ID. Le 'Nom Principal de l'Utilisateur' est configuré pour utiliser l'attribut 'mail'. La case à cocher pour continuer sans faire correspondre tous les suffixes UPN est sélectionnée. À droite, une fenêtre de l'éditeur d'attributs affiche les détails de l'utilisateur, y compris l'attribut 'mail'.

Sur la page "Domain and OU filtering", sélectionnez "Sync selected domains and OUs" et développez votre domaine. Ensuite, cochez l'OU Active Directory contenant les comptes utilisateurs que vous souhaitez synchroniser :

Écran de Microsoft Entra Connect Sync pour le filtrage de domaine et d'OU. L'option 'Synchroniser les domaines et OU sélectionnés' est choisie, avec 'STD_USERS' sélectionné pour la synchronisation. À droite, une fenêtre Active Directory affiche les comptes utilisateurs dans l'unité organisationnelle 'STD_USERS'. Le bouton 'Suivant' est mis en surbrillance pour continuer.

Sur la page "Uniquely identifying your users", cliquez sur "Next" :

Écran de Microsoft Entra Connect Sync pour identifier de manière unique les utilisateurs. Les options incluent la sélection de la manière dont les utilisateurs sont identifiés dans les répertoires sur site, avec 'Les utilisateurs sont représentés une seule fois dans tous les répertoires' choisi. Azure est configuré pour gérer le point d'ancrage de la source. Le bouton 'Suivant' est mis en surbrillance pour continuer.

Sur la page "Filter users and devices", cliquez sur "Next" :

Écran de Microsoft Entra Connect Sync pour le filtrage des utilisateurs et des appareils. L'option 'Synchroniser tous les utilisateurs et appareils' est sélectionnée, avec la possibilité alternative de synchroniser des groupes spécifiques en saisissant un nom de groupe ou un DN. Le bouton 'Suivant' est mis en surbrillance pour continuer.

Sur la page "Optional features", "Password hash synchronization" doit être sélectionnée. Cliquez sur "Next" :

Écran de Microsoft Entra Connect Sync pour la sélection des fonctionnalités optionnelles. 'Synchronisation des mots de passe par hachage' est cochée, indiquant qu'elle est activée. Les autres options incluent le déploiement hybride Exchange, le rappel de mot de passe, et le rappel d'appareil. Le bouton 'Suivant' est mis en surbrillance pour continuer.

Sur la page "Ready to configure", cochez "Start the synchronization process when configuration completes", puis cliquez sur "Install" :

Écran de Microsoft Entra Connect Sync indiquant la préparation à la configuration. L'option 'Démarrer le processus de synchronisation une fois la configuration terminée' est cochée. La liste décrit les tâches de configuration, y compris l'activation de la synchronisation des mots de passe par hachage et la mise en place des connecteurs. Le bouton 'Installer' est mis en surbrillance pour commencer le processus.

Une fois l'installation terminée, cliquez sur "Exit" :

Écran de Microsoft Entra Connect Sync montrant l'achèvement de la configuration. Il confirme que le processus de synchronisation a été lancé. Des messages fournissent des recommandations supplémentaires, y compris l'activation de la corbeille Active Directory et la configuration de l'attribut d'ancrage de la source. Le bouton 'Quitter' est mis en surbrillance pour fermer l'installation.

Connectez-vous à Entra ID et vérifiez que vos comptes utilisateurs ont été créés :

Centre d'administration Microsoft Entra affichant la page 'Utilisateurs'. La liste montre les comptes utilisateurs, y compris 'butters stotch,' 'eric cartman,' et 'stan marsh,' avec des détails tels que les noms principaux des utilisateurs et le statut de synchronisation. L'interface indique que Azure Active Directory est désormais Microsoft Entra ID.

Notez que vous pouvez effectuer une synchronisation manuelle avec cette commande PowerShell (utilisez le paramètre Policytype Initial pour effectuer une synchronisation complète) :

PS C:\> Start-ADSyncSyncCycle -PolicyType Delta