Synchronisation Entra ID Connect (Azure AD Connect) et Azure AD Connect Cloud Sync

Bonjour, dans nos articles précédents Synchronisation Azure AD Connect dès l'installation et 365 Nous avons parlé de nombreuses procédures qui doivent être mises en œuvre. Vous pouvez accéder aux articles connexes à partir des liens ci-dessous.

Qu’est-ce qu’Azure AD Connect ?

Azure Azure AD (Azure Active Directory) Relier, Active Directory sur site objets dans votre environnement Entra IDIl fournit une égalisation à . En fait, AD Connect On-Prem agit comme un pont entre notre environnement et Azure AD. De nombreuses entreprises ANNONCE DS objets Azure AD Connect Il utilise.

Azure AD Connect, outil complémentaire, entre en jeu lorsque vous souhaitez utiliser les services Microsoft 365 (Teams, Exchange Online, SharePoint Online, etc.) et bénéficier de la fonctionnalité SSO (Single Sign-On) en synchronisant les objets AD DS dans votre environnement vers Azure Active Directory.

Fonctionnalités d'Azure AD Connect

Classique Sync à commencer par la direction Connexion AD Au fur et à mesure de son développement, il existe des différences dans ses fonctionnalités utilisables, Azure AD ConnecterSes principales caractéristiques sont les suivantes :

  • Son talent le plus marquant synchronisation Il semble que les caractéristiques pertinentes puissent être façonnées en fonction de la structure de votre environnement ;
    • Forêt unique ve Locataire unique Il peut se synchroniser sur . Azure AD Connect sur site ve Agit comme un pont entre Azure AD ve Synchronisation AD Connect Il fournit une connexion entre deux services à l'aide de ses composants. Il analyse les objets qui doivent être synchronisés, puis exécute le processus de synchronisation par filtrage.
    • Multi-forêt et locataire unique Il peut se synchroniser sur . Sur place Les organisations ayant plusieurs forêts dans l'environnement peuvent utiliser une seule forêt. Entra ID Ils peuvent se synchroniser avec leur locataire. Ces types de scénarios sont utilisés dans les fusions d’entreprises et les structures de succursales. Dans les bâtiments Multi Forest Azure AD Connect utilise des règles de fusion et de correspondance, ce processus garantit que les objets sont correctement Sync Il est obligatoire de le faire. Configurations multi-forêts et à locataire unique, Azure AD Connect Une structuration plus approfondie et plus minutieuse doit être effectuée.
  • Authentification directe (PTA) – Utilisateurs utilisant les mêmes mots de passe On-Premises ve le cloud Il vous permet de l'utiliser dans vos services. PTA Vous pouvez également réduire partiellement la charge de travail du côté du helpdesk. Entra ID Lorsque vous vous connectez à PTA avec AD sur site Le processus de vérification y est également effectué. PTA Les caractéristiques générales sont les suivantes :
    • Expérience utilisateur haut de gamme
    • Facilité de déploiement et de gestion
    • Güvenlik
    • Dans toutes les applications Web Authentification moderne Prise en charge de la connexion en utilisant
Synchronisation du hachage du mot de passe (PHS) – Il s’agit de l’option de vérification la plus simple à mettre en œuvre sur Azure AD Connect et elle est fournie par défaut. Chaque fois que le mot de passe change dans votre environnement sur site, il synchronise les informations de hachage avec Azure AD.
  • Surveillance de la santé - Santé Azure AD Connect On-Premises est responsable de la surveillance de votre environnement et une connexion sécurisée est fournie grâce à Health Monitoring. Il permet aux managers d'agir de manière proactive en effectuant un suivi en temps réel.
    • Surveillance des performances
    • Avertissements et notifications
    • Service de reporting complet
    • Conseils pour un dépannage rapide

Connexion AD Les fonctionnalités les plus connues sont les suivantes, les autres fonctionnalités sont les suivantes :

  • Azure AD Connecterpour t SQL Server est dans le besoin, Azure AD Connect lors de l'installation SQL Server 2019 express est également installé et 10 GB peut être utilisé jusqu’à sa limite.
  • Azure AD ConnecterMot de passe libre-service Quoi utiliser pour la réinitialisation Réécriture du mot de passe Il a la fonctionnalité
  • La prise en charge d’Azure Join hybride est disponible
  • Domaines multiples Il y a du soutien
  • Personnalisation du schéma
  • Prise en charge LDAP (LDAPS) - « Azure AD Connecter »in LDAPv3 Il est compatible pour et LDAPS Il peut rendre les processus d'authentification et de synchronisation plus sécurisés en communiquant avec le protocole.
  • Règles personnalisables – Nous pouvons déterminer comment synchroniser les objets sur site AD avec Azure AD et créer des règles pour le processus de conversion.
  • Filtrer les attributs des objetse – Nous pouvons sélectionner et filtrer les attributs des objets synchronisés avec Azure AD.
  • Match doux / Match dur – Nous pouvons faire correspondre des objets sur AD sur site en tant qu’attributs ou GUID.
Image : Tom Coupe.

Qu’est-ce qu’Azure AD Connect Cloud Sync ?

Synchronisation cloud Azure AD Connect, objets dans votre structure hybride Entra IDutilisé pour synchroniser avec Azure AD Connect C'est une application alternative. Il est déployé plus rapidement que l'application AD Connect et constitue une application plus légère.

Installez simplement l'agent AD Connect Cloud Sync sur un serveur membre du domaine.

Remarque : NTLM doit être désactivé sur le serveur exécutant l'agent de provisionnement Azure AD Connect.

Microsoft continue de développer le produit Azure AD Connect Cloud Sync et prévoit de retirer Azure AD Connect une fois que l'agent Cloud Sync répond aux spécifications souhaitées. C'est pourquoi nous devons apprendre à connaître l'application Cloud Sync. Le moment venu, l'application Ad Connect actuelle passera à Cloud Sync.

Azure AD Connect Cloud Sync fournit une base de données, des règles, etc., tout comme Azure AD Connect. ne nécessite pas d'installation. Après le déploiement de l'agent, toute la configuration est stockée dans Azure Active Directory.

  • Prise en charge d'Azure AD Sync à partir d'un environnement Active Directory déconnecté multi-forêts : fusionner et ingérer dans des scénarios courants (dans lesquels les forêts AD de la société acquise sont isolées des forêts AD de la société mère)
  • Cloud Agent agit comme un pont entre AD et Azure AD, avec toute la configuration de synchronisation gérée dans le cloud.
  • Plusieurs agents de provisionnement peuvent être utilisés pour simplifier les déploiements à haute disponibilité ; est particulièrement critique pour les organisations qui s’appuient sur la synchronisation du hachage de mot de passe AD vers Azure AD.
  • Prise en charge de grands groupes jusqu'à 50.000 XNUMX membres.

Cloud Sync nécessite uniquement l'installation d'un agent léger pour l'authentification et l'autorisation. Avec Cloud Sync, Microsoft fournit gratuitement une architecture de synchronisation haute disponibilité et fiable. Passant du cœur du service de synchronisation, Cloud Sync est constamment maintenu et mis à jour par Microsoft.

Avec Azure AD Cloud Sync, vous pouvez mettre de côté les problèmes de sécurité. Puisque le processus de synchronisation et les configurations sont conservés dans Azure Active Directory, vous ne serez pas exposé aux vulnérabilités ou aux attaques d'Azure AD Connect ciblant Azure AD Connect. Exemple;

Les environnements Exchange Hybrid et Azure sont attaqués ! Prenez vos précautions – ÇözümPark (cozumpark.com)

Contrairement à Azure AD Connect, Azure AD Connect Cloud Sync offre la priorité DC. Alors qu'Azure AD Connect utilise DClocator pour ce processus, Cloud Sync propose une priorisation via l'interface.

Azure AD Connect Cloud Sync fonctionne en parallèle avec Azure AD Connect (AADC), il y a quelques détails importants pour ce processus de migration, je n'entrerai pas dans les détails car ce sujet n'a pas d'article.

Cloud Sync ne répondant pas encore à certaines fonctionnalités, il vous demande de l'examiner en détail avant de l'inclure dans votre environnement, et il est fortement recommandé d'effectuer la transition en effectuant au préalable une opération Pilote.

Azure AD Connect et Azure AD Cloud Sync

FONCTIONNALITÉSYNCHRONISATION DE CONNEXION AVEC AZURE ACTIVE DIRECTORYAZURE ACTIVE DIRECTORY CONNECT SYNCHRONISATION CLOUD
Connectez-vous à une seule forêt AD sur site
Connexion à plusieurs forêts AD sur site
Connexion à plusieurs forêts AD sur site déconnectées
Modèle d'installation d'agent simple
Plusieurs agents actifs pour une haute disponibilité
Connexion aux annuaires LDAP
Prise en charge des objets utilisateur
Prise en charge des objets de groupe
Prise en charge des objets personne
Prise en charge des objets de périphérique
Autoriser la personnalisation de base pour les flux d'attributs
Synchroniser les attributs en ligne Exchange
Synchroniser les attributs d'extension 1 à 15
Synchroniser les attributs AD définis par le client (extensions de répertoire)
Prise en charge de la synchronisation de hachage de mot de passe
Prise en charge de l'authentification directe
Soutien de la Fédération
Authentification unique transparente
Prend en charge l'installation sur le contrôleur de domaine
Prise en charge de Windows Server 2016
Filtrer par domaines/unités d'organisation/groupes
Filtrer les valeurs d'attribut des objets
Autoriser la synchronisation de l'ensemble d'attributs minimal (MinSync)
Autoriser la suppression des attributs à passer d'AD à Azure AD
Autoriser la personnalisation avancée des flux d'attributs
Prise en charge de la réécriture du mot de passe
Prise en charge de la réécriture de l'appareilDes clients pour ces progrès Confiance Cloud Kerberos devrait utiliser
Prise en charge de la réécriture de groupe
Prise en charge de la combinaison des attributs utilisateur de plusieurs domaines
Prise en charge des services de domaine Azure AD
Réécriture du hachage Exchange
Nombre illimité d'objets par domaine AD
Prise en charge jusqu'à 150.000 XNUMX objets par domaine AD
Groupes comptant jusqu'à 50.000 XNUMX membres
Grands groupes comptant jusqu'à 250.000 XNUMX membres
Références inter-domaines
Approvisionnement facultatif
Soutien du gouvernement américain

J'espère que cela vous a été utile, j'espère vous revoir dans un autre article.

Commenter