Dans le dernier post, j’ai donné une démo sur l’utilisation du nouvel outil Azure AD connect pour intégrer votre domaine on premise avec Azure Active Directory. Le processus est assez simple, mais une question que j’ai reçue est la suivante : comment puis-je intégrer mon abonnement et mes utilisateurs Office 365 à mon domaine sur site ? Eh bien, grâce à l’outil, ce processus est assez facile si vous avez pris la peine de vous assurer que vos comptes utilisateurs Office 365 correspondent bien à vos comptes de domaine existants. Si ce n’est pas le cas, vous devrez probablement procéder à un nettoyage manuel avant votre intégration. Je couvrirai certaines de ces étapes manuelles plus tard dans le post.
Détails
Lorsque vous créez un abonnement Office 365, Microsoft provisionnera en fait une instance Azure Active Directory pour vous dans les coulisses. Si vous avez un abonnement Azure, vous pouvez connecter les deux afin que vous puissiez gérer votre domaine O365 depuis le portail de gestion Azure. En substance, le processus est très proche du processus précédent, à l’exception de quelques modifications mineures de la configuration. Le premier changement concerne l’étape d’identification des utilisateurs. Ici, vous devez sélectionner un attribut Active Directory qui fera correspondre les comptes sur site et en ligne. Dans mon cas, c’était très simple puisque les adresses e-mail étaient les mêmes, j’ai donc choisi l’attribut Mail. Les SID peuvent être votre choix pour les scénarios Exchange.
Puis, à l’étape des fonctionnalités optionnelles, vous pouvez cocher la case à côté de « Azure AD app and attribute filtering » pour faire savoir à l’outil Connect d’autres applications qui devraient être synchronisées.
Une fois que vous cochez l’option Apps, l’outil activera une nouvelle section où vous pouvez définir des options plus explicites sur l’application et les attributs. L’outil est assez intelligent pour mapper des attributs AD supplémentaires afin d’intégrer correctement les applications avec vos utilisateurs de domaine.
J’ai choisi toutes les applications par défaut juste au cas où je voudrais ajouter des outils Microsoft Online à l’avenir. Vous pouvez également être plus granulaire sur les attributs AD spécifiques, mais je les ai laissés tels quels. Après avoir terminé l’assistant et la première synchronisation, vos utilisateurs devraient commencer à apparaître dans O365.
Cela couvre la partie facile lorsque vos utilisateurs et votre structure sont assez simples. Cependant, les environnements de production sont souvent tout sauf simples. Voici quelques éléments dont vous devez être conscient :
- Active Directory doit avoir certains paramètres configurés afin de fonctionner correctement avec l’authentification unique. En particulier, le nom principal de l’utilisateur (UPN), ou nom de connexion, doit être configuré d’une manière spécifique pour chaque utilisateur. Utilisez l’outil Microsoft Deployment Readiness Tool pour inspecter votre environnement Active Directory et générer un rapport qui comprend des informations sur le fait que vous êtes prêt ou non à configurer l’authentification unique et sur les modifications que vous devez apporter pour vous préparer à l’authentification unique.
- Le domaine que vous choisissez de fédérer doit être enregistré en tant que domaine public auprès d’un registraire de domaines ou au sein de vos propres serveurs DNS publics.
- Si vous avez déjà configuré la synchronisation Active Directory, l’UPN de l’utilisateur peut ne pas correspondre à l’UPN sur site de l’utilisateur défini dans Active Directory. Pour résoudre ce problème, renommez le NUP de l’utilisateur à l’aide de la cmdlet Set-MsolUserPrincipalName dans le module Microsoft Azure Active Directory pour Windows PowerShell.
.