Comment installer et configurer Microsoft Entra Connect pour la synchronisation de répertoires

Avant d'installer Entra Connect, vous devez nettoyer votre Active Directory pour éviter les erreurs de synchronisation. Téléchargez et exécutez l'outil IdFix pour identifier et corriger les problèmes AD courants.

Téléchargez IdFix depuis le Microsoft Download Center et exécutez-le sur un contrôleur de domaine ou une station de gestion :

# Exécutez IdFix en tant qu'administrateur
# Accédez au dossier IdFix téléchargé
.\IdFix.exe

Dans IdFix, cliquez sur Query pour analyser votre annuaire. L'outil identifiera les objets avec des erreurs telles que des proxyAddresses en double, des caractères invalides dans userPrincipalName, ou des attributs de messagerie manquants.

Examinez chaque erreur et cliquez sur Edit pour corriger automatiquement les problèmes, ou corrigez-les manuellement dans Active Directory Users and Computers. Les corrections courantes incluent :

• Suppression des adresses e-mail en double
• Correction des caractères invalides dans UPN
• Ajout des attributs de messagerie manquants pour les objets activés pour la messagerie

Vérification : Relancez la requête dans IdFix jusqu'à ce qu'aucune erreur n'apparaisse, ou que seules des erreurs acceptables restent et que vous avez documentées.

Microsoft Entra Connect nécessite TLS 1.2 pour une communication sécurisée avec les services Azure. Vérifiez et activez TLS 1.2 si nécessaire.

Exécutez ce script PowerShell pour vérifier la configuration de TLS 1.2 :

# Vérifier les paramètres de registre TLS 1.2
$tls12Client = Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -ErrorAction SilentlyContinue
$tls12Server = Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -ErrorAction SilentlyContinue

if ($tls12Client.Enabled -eq 1 -and $tls12Server.Enabled -eq 1) {
    Write-Host "TLS 1.2 est correctement configuré" -ForegroundColor Green
} else {
    Write-Host "TLS 1.2 nécessite une configuration" -ForegroundColor Red
}

Si TLS 1.2 n'est pas activé, configurez-le avec ces modifications de registre :

# Activer TLS 1.2
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -Value 1 -PropertyType DWORD -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -Value 0 -PropertyType DWORD -Force

New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -Value 1 -PropertyType DWORD -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -Value 0 -PropertyType DWORD -Force

Restart-Computer

Assurez-vous que votre serveur peut atteindre ces points de terminaison Microsoft :

• https://login.microsoftonline.com
• https://aadcdn.msauth.net
• https://aadcdn.msftauth.net

Vérification : Testez la connectivité avec Test-NetConnection login.microsoftonline.com -Port 443

Téléchargez la dernière version de Microsoft Entra Connect directement depuis le centre d'administration Microsoft Entra pour vous assurer d'obtenir la version la plus récente.

Accédez au centre d'administration Microsoft Entra :

1. Ouvrez un navigateur web et allez sur https://entra.microsoft.com
2. Connectez-vous avec votre compte Administrateur Global
3. Accédez à Identité > Gestion hybride > Microsoft Entra Connect
4. Cliquez sur Connect Sync
5. Cliquez sur Télécharger la dernière version d'Entra Connect Sync

Cela télécharge le fichier AzureADConnect.msi. Transférez ce fichier sur votre serveur Entra Connect désigné si vous l'avez téléchargé depuis une autre machine.

Avant de continuer, vérifiez que votre serveur répond aux exigences minimales :

• 4 Go de RAM minimum
• 70 Go d'espace disque disponible
• Processeur double cœur 1,6 GHz
• Windows Server 2016 ou ultérieur joint au domaine

Vérification : Vérifiez les propriétés du fichier téléchargé pour confirmer qu'il est signé par Microsoft Corporation et notez le numéro de version pour vos dossiers.

Exécutez l'installateur Entra Connect et choisissez l'installation personnalisée pour un contrôle maximal sur les paramètres de synchronisation. Cette approche est recommandée par rapport à l'installation Express pour les environnements de production.

Cliquez avec le bouton droit sur le fichier AzureADConnect.msi et sélectionnez Exécuter en tant qu'administrateur. Suivez ces étapes dans l'assistant d'installation :

1. Page de bienvenue : Acceptez les termes de la licence et l'avis de confidentialité
2. Paramètres Express : Cliquez sur Personnaliser au lieu de Utiliser les paramètres express
3. Installer les composants requis : Laissez les sélections par défaut sauf si vous avez besoin de fonctionnalités spécifiques comme SQL Server Express ou un compte de service personnalisé
4. Cliquez sur Installer pour installer les prérequis

L'installation des composants requis prend généralement 2-3 minutes. Vous verrez la progression pour :

• Composants .NET Framework
• Modules PowerShell
• SQL Server Express LocalDB
• Assistant de connexion aux services en ligne Microsoft

Vérification : L'installateur vérifiera automatiquement les prérequis et affichera les composants manquants. Tous les éléments doivent afficher des coches vertes avant de continuer.

Configurez comment les utilisateurs s'authentifieront et établiront la connexion à votre locataire Microsoft Entra ID.

Sur la page Connexion utilisateur, sélectionnez votre méthode d'authentification :

• Synchronisation de hachage de mot de passe : Choix le plus courant - synchronise les hachages de mot de passe vers Azure
• Authentification par passage : Valide les mots de passe contre l'AD sur site
• Fédération avec AD FS : Pour les organisations avec une infrastructure ADFS existante

Pour ce tutoriel, sélectionnez Synchronisation de hachage de mot de passe et cliquez sur Suivant.

Sur la page Se connecter à Azure AD, entrez vos identifiants d'administrateur global :

Nom d'utilisateur : admin@yourtenant.onmicrosoft.com
Mot de passe : [Votre mot de passe d'administrateur global]

Si votre compte a l'AMF activée, vous serez invité à compléter l'étape d'authentification supplémentaire. Assurez-vous que votre navigateur autorise les pop-ups des domaines Microsoft.

Après une authentification réussie, vous verrez les informations de votre locataire affichées, y compris le nom du locataire et les domaines vérifiés.

Vérification : L'assistant affichera les détails de votre locataire et les domaines vérifiés. Confirmez que ceux-ci correspondent à votre locataire Microsoft 365 attendu.

Établissez la connexion entre Entra Connect et votre forêt Active Directory locale.

Sur la page Connectez vos répertoires :

1. Votre forêt AD devrait être automatiquement détectée et listée
2. Cliquez sur Ajouter un répertoire à côté de votre forêt
3. Sélectionnez Créer un nouveau compte AD (recommandé) ou utilisez des identifiants existants
4. Entrez les identifiants d'Administrateur d'Entreprise pour votre domaine :

Nom d'utilisateur : DOMAINE\AdministrateurEntreprise
Mot de passe : [Mot de passe Administrateur d'Entreprise]

Entra Connect créera un compte de service (généralement nommé MSOL_[aléatoire]) avec les autorisations nécessaires pour la synchronisation des répertoires. Ce compte aura :

• Autorisations de Réplication des Modifications du Répertoire
• Autorisations de Réplication de Toutes les Modifications du Répertoire
• Autorisations de lecture sur tous les objets AD

Si vous avez plusieurs forêts, répétez ce processus pour chaque forêt que vous souhaitez synchroniser.

Cliquez sur Suivant après avoir ajouté avec succès tous les répertoires.

Vérification : Vérifiez que toutes vos forêts AD affichent une coche verte et le statut "Ajouté avec succès" avant de continuer.

Sélectionnez les domaines et unités organisationnelles (UO) à synchroniser. Cette étape est cruciale pour contrôler ce qui est synchronisé avec Microsoft Entra ID.

Sur la page Filtrage de domaine et UO, vous verrez la structure de votre forêt AD. Vous pouvez choisir de :

• Synchroniser tous les domaines et UO : Synchronise tout (par défaut)
• Synchroniser les domaines et UO sélectionnés : Offre un contrôle granulaire

Pour les environnements de production, il est recommandé de sélectionner des UO spécifiques. Développez votre domaine et cochez les cases pour les UO contenant :

• Comptes d'utilisateurs nécessitant un accès à Microsoft 365
• Groupes de sécurité
• Groupes de distribution
• Contacts activés pour le courrier
• Comptes d'ordinateurs (si nécessaire pour la gestion des appareils)

UO couramment à exclure :

• UO des comptes de service
• Comptes d'utilisateurs de test/développement
• UO des comptes d'utilisateurs désactivés
• Comptes d'ordinateurs hérités

Exemple de sélection :
✓ Utilisateurs
✓ Groupes  
✓ Contacts de messagerie
✗ Comptes de service
✗ Utilisateurs désactivés
✗ Comptes de test

Vérification : Vérifiez soigneusement vos sélections. Vous pouvez modifier le filtrage des UO plus tard, mais cela nécessite de relancer l'assistant de configuration.

Configurez comment Entra Connect identifiera de manière unique les utilisateurs et mappera les attributs entre l'AD sur site et Microsoft Entra ID.

Sur la page Identifier vos utilisateurs de manière unique :

1. Les utilisateurs sont représentés une seule fois dans tous les annuaires : Sélectionnez ceci si les utilisateurs existent dans une seule forêt
2. Ancre source : Choisissez l'attribut qui identifie de manière unique les utilisateurs

Pour l'ancre source, vous avez ces options :

• Laissez Azure gérer l'ancre source : Recommandé pour la plupart des scénarios
• ms-DS-ConsistencyGuid : Bon pour les scénarios multi-forêts
• ObjectGUID : Choix traditionnel, mais moins flexible

Sélectionnez Laissez Azure gérer l'ancre source pour la meilleure expérience.

Sur la configuration du Nom Principal de l'Utilisateur :

• userPrincipalName : Choix standard, utilise le UPN de l'AD
• ID alternatif : Utilisez un attribut différent comme mail ou employeeID

Choisissez userPrincipalName sauf si vous avez des exigences spécifiques pour un ID alternatif.

Vérification : L'assistant affichera un résumé de votre configuration d'identité. Confirmez que les paramètres de l'ancre source et du UPN correspondent à vos exigences.

Configurez le filtrage des utilisateurs et des appareils, puis activez les fonctionnalités optionnelles en fonction des besoins de votre organisation.

Sur la page Filtrer les utilisateurs et les appareils :

• Synchroniser tous les utilisateurs et appareils : Option par défaut
• Synchroniser sélectionnés : Permet le filtrage par groupes ou attributs

Pour la plupart des organisations, sélectionnez Synchroniser tous les utilisateurs et appareils. Si vous avez besoin de filtrage, vous pouvez le configurer en fonction de :

• Appartenance à un groupe
• Valeurs d'attributs (comme le département ou l'emplacement)

Sur la page Fonctionnalités optionnelles, envisagez d'activer :

• Déploiement hybride Exchange : Si vous avez Exchange sur site
• Dossiers publics de messagerie Exchange : Pour l'accès aux dossiers publics dans Exchange Online
• Filtrage des applications et attributs Azure AD : Pour des scénarios avancés
• Réécriture de mot de passe : Permet aux changements de mot de passe dans Azure de se synchroniser avec AD
• Réécriture de groupe : Synchronise les groupes Microsoft 365 avec AD sur site
• Réécriture d'appareil : Pour les scénarios de jonction hybride Azure AD

Pour une configuration de base, vous n'avez généralement pas besoin d'activer des fonctionnalités supplémentaires initialement.

Vérification : Passez en revue vos sélections de filtrage et de fonctionnalités optionnelles. Vous pouvez les modifier ultérieurement via l'assistant de configuration.

Finalisez l'installation et vérifiez que la synchronisation des répertoires fonctionne correctement.

Sur la page Prêt à configurer :

1. Examinez tous vos paramètres de configuration
2. Assurez-vous que Démarrer le processus de synchronisation une fois la configuration terminée est coché
3. Cliquez sur Installer

Le processus d'installation :

• Appliquera vos paramètres de configuration
• Créera des règles de synchronisation
• Initialisera la base de données du moteur de synchronisation
• Démarrera le premier cycle de synchronisation

Ce processus prend généralement 5 à 10 minutes. Après l'achèvement, vérifiez la synchronisation de plusieurs manières :

Vérifiez le serveur Entra Connect :

# Ouvrir PowerShell en tant qu'administrateur
Import-Module ADSync

# Vérifier l'état de la synchronisation
Get-ADSyncScheduler

# Voir les résultats de la dernière synchronisation
Get-ADSyncRunProfile

Vérifiez le Centre d'administration Microsoft 365 :

1. Allez sur https://admin.microsoft.com
2. Accédez à Utilisateurs > Utilisateurs actifs
3. Cherchez les utilisateurs synchronisés (ils auront une icône de synchronisation verte)
4. Vérifiez Santé > État de la synchronisation des répertoires

Vérifiez le Centre d'administration Microsoft Entra :

1. Allez sur https://entra.microsoft.com
2. Accédez à Identité > Gestion hybride > Microsoft Entra Connect
3. Examinez le tableau de bord de l'état de la synchronisation

Vérification : Confirmez que les utilisateurs de vos UO sélectionnées apparaissent dans Microsoft 365 avec l'icône de synchronisation, et que l'état de la synchronisation est sain dans les deux centres d'administration.