Posted by Qui est Azure AD Cloud Sync? Il est présenté comme le remplaçant d’Azure AD Connect par Microsoft. Mais est-il réellement à la hauteur de nos attentes ?
Vous trouverez ci-dessous une présentation complète de l’outil que j’ai réalisée en interne chez Microsoft lors de sessions de transfert de connaissances. Cette dernière inclut une présentation générale, les cas d’usages et plusieurs démonstrations dans un environnement réel (installation, configuration, provisioning avec un cloud HR) :
Rappel sur Azure AD Connect :
Azure AD Connect est un outil développé par Microsoft qui permet de synchroniser les identités de l’Active Directory (AD) local vers les services d’annuaires cloud Azure Active Directory (Azure AD). Il permet de simplifier la gestion des identités et des accès pour les utilisateurs, les groupes et les ressources dans un environnement hybride, où certaines ressources sont hébergées localement et d’autres sont hébergées dans le cloud.
En utilisant Azure AD Connect, les administrateurs informatiques peuvent centraliser la gestion des identités et des accès des utilisateurs et des groupes, tout en offrant une expérience transparente pour les utilisateurs finaux. Lorsque les utilisateurs se connectent à des services cloud, ils peuvent utiliser les mêmes informations d’identification qu’ils utilisent pour accéder aux ressources sur site, ce qui améliore la simplicité et la sécurité.
Azure AD Connect nécessite d’avoir au minimum un serveur on-premises à disposition afin de pouvoir y installer la fonctionnalité. Une connectivité du serveur AD Connect vers vos contrôleurs de domaine ET Azure sera nécessaire.
Azure AD Connect offre également des fonctionnalités de personnalisation pour répondre aux besoins spécifiques des organisations. Par exemple, il est possible de configurer des filtres pour exclure des utilisateurs, des groupes ou des domaines spécifiques de la synchronisation, ainsi que de définir des règles de transformation pour convertir les attributs d’annuaire locaux en attributs Azure AD.
Scenarios de synchronisation :
- Synchronisation à sens unique: les utilisateurs, les groupes et les mots de passe sont synchronisés de l’annuaire local vers Azure AD.
- Synchronisation à sens unique avec authentification pass-through: les utilisateurs peuvent se connecter à Azure AD sans avoir besoin d’un mot de passe Azure AD distinct.
- Synchronisation à sens unique avec fédération: les utilisateurs peuvent se connecter à Azure AD via une solution de fédération tierce.
- Synchronisation bidirectionnelle: les utilisateurs, les groupes et les mots de passe sont synchronisés de l’annuaire local vers Azure AD et inversement.
Avantages d’Azure AD Connect :
- Simplification de la gestion des identités: Azure AD Connect permet de centraliser la gestion des identités et des accès pour les utilisateurs, les groupes et les ressources dans un environnement hybride.
- Amélioration de l’expérience utilisateur pour les utilisateurs finaux: Les utilisateurs peuvent utiliser les mêmes informations d’identification pour accéder à des ressources locales et cloud.
- Sécurisation des accès: Azure AD Connect permet de synchroniser les hashs des mots de passe et de configurer des options d’authentification avancées pour renforcer la sécurité des accès.
- Personnalisation de la synchronisation: Azure AD Connect permet de configurer des filtres et des règles de transformation pour répondre aux besoins spécifiques de chaque organisation.
Les prérequis d’installation d’un serveur Azure AD Connect sont présentés ici .
Qu’est-ce qu’Azure AD Cloud Sync ?
Azure AD Cloud Sync est l’outil qui est amené à remplacer Azure AD Connect. Mais est-il vraiment fiable ?
Cloud Sync permet également de faire de la synchronisation d’identités de l’Active Directory On-prem vers Azure AD. Il peut être utilisé seul ou en parallèle d’Azure AD Connect.
L’intérêt de Cloud Sync est que vous pouvez l’utiliser même si vous avez plusieurs forêts Active Directory totalement déconnectées (sans relation d’approbation ni connectivité directe). Vous pourrez alors synchroniser les identités des ces forêts déconnectées vers un même tenant Azure AD.
Quelles sont les différences entre Cloud Sync et Azure AD Connect ?
Cloud Sync est plus facile à installer qu’Azure AD Connect. Il n’y a qu’un simple agent à déployer sur un serveur.
La haute disponibilité est beaucoup plus simple qu’avec Azure AD Connect. Vous pouvez installer plusieurs agents. Rappelez vous, avec Azure AD Connect, il fallait déployer un autre serveur on-prem (lourdes tâches d’administration et de maintenance…).
L’intégration avec un Cloud RH est beaucoup plus facile.
Enfin, l’ensemble de la configuration de Cloud Sync se fait sur Azure AD, au niveau du portail Azure.
Quelques éléments notables à relever :
- La synchronisation se fait toutes les 2 à 10 minutes
- Les coûts de maintenance et de déploiement sont moindres
- Certaines fonctionnalités sont encore en cours de développement
Les différentes topologies supportées par l’outil sont :
- Synchronisation d’une forêt Active Directory vers un tenant Azure AD
2. Synchronisation de plusieurs forêts Active Directory vers un tenant Azure AD
3. Utilisation d’Azure AD Connect pour une forêt Active Directory + Cloud Sync pour une 2ème forêt Active Directory
4. Synchronisation en parallèle d’Azure AD Connect et Cloud Sync sur une même forêt Active Directory
5. Fusion de 2 forêts Active Directory et synchronisation vers un même tenant Azure AD
6. Synchronisation d’une forêt Active Directory vers plusieurs tenants Azure AD
7. Synchronisation de plusieurs forêts Active Directory vers plusieurs tenants Azure AD
Conclusion :
Azure AD Cloud Sync a encore du chemin à faire pour concurrencer Azure AD Connect mais certaines fonctionnalités sont vraiment intéressantes.
A terme, cet outil sera vraiment l’allié des administrateurs des infrastructures en entreprise. A voir ce qu’il nous réserve dans les mois à venir.