Devez-vous migrer d’Azure AD Connect vers Cloud Sync ? – TechToday

Même si une grande partie des fonctionnalités des contrôleurs de domaine peuvent être déplacées vers le cloud, la plupart des organisations qui utilisent Active Directory ont besoin d’une infrastructure hybride qui permet aux utilisateurs d’accéder aux ressources du cloud (comme OneDrive et Microsoft 365) via Azure Active Directory ainsi que sur- les partages de fichiers locaux, les imprimantes et les applications qui ont encore besoin d’informations d’identification locales.

Au fil des ans, Microsoft a eu plusieurs outils pour gérer l’identité hybride et synchroniser les utilisateurs et les groupes dans le cloud et sur site.

VOIR: Explorez la feuille de triche sur le cloud hybride de TechRepublic.

Microsoft Identity Manager, qui a remplacé Forefront Identity Manager, est pris en charge jusqu’au 9 janvier 2029, mais son connecteur Azure AD est obsolète. Le serveur Azure AD Multi-Factor Authentication est également obsolète et cessera de traiter les demandes MFA après le 30 septembre 2024. Si vous utilisez toujours ces outils, vous devrez passer à une option plus récente.

Sauter à:

Azure AD Connect et ses limites

Azure AD Connect a remplacé les anciennes options DirSync et Azure AD Sync pour la synchronisation des utilisateurs, des groupes et d’autres objets d’annuaire avec Azure AD. Elle supporte:

• Synchronisation du hachage du mot de passe: Synchronisation d’un hachage du mot de passe AD de chaque utilisateur dans Azure AD.
• Authentification directe: Envoi des utilisateurs vers Azure AD pour se connecter, puis valider par rapport à AD, afin qu’ils puissent utiliser le même mot de passe dans le cloud et pour les ressources locales sans avoir besoin de configurer la fédération.
• Services de fédération Active Directory utiliser.

Cependant, Azure AD Connect nécessite la configuration et la maintenance d’un serveur sur votre réseau, et certaines des conditions requises pour son exécution ne fonctionnent pas pour toutes les organisations, en particulier si vous avez plusieurs « forêts » AD, ce qui complique l’utilisation d’Azure AD.

« Pour l’utiliser, vous devez être dans une forêt connectée ; vous devez avoir installé une base de données », a déclaré Joseph Dadzie, directeur de l’équipe d’identité de Microsoft. « C’est coûteux à gérer et à déployer.

“Nous avons commencé à recevoir des commentaires de nombreux clients sur le coût du déploiement d’une synchronisation AD Connect et de sa maintenance, et sur certaines lacunes des fonctionnalités si vous êtes dans une forêt déconnectée ou si vous êtes dans une organisation où vous essayez de faire une fusion et acquisition. . Nous avons donc cherché des moyens de le simplifier.

La synchronisation cloud vise à remplacer Azure AD Connect pour le cloud

Le résultat est la synchronisation cloud Azure AD Connect, qui a commencé comme un outil permettant de regrouper les identités de plusieurs forêts AD déconnectées dans un seul locataire Azure AD.

Il le fait toujours, mais c’est maintenant une alternative légère à AD Connect qui n’a pas autant de fonctionnalités mais qui est beaucoup plus rapide à configurer et nécessite moins de ressources. En effet, la synchronisation du cloud déplace une grande partie de la configuration dans le cloud, ne nécessitant que des agents de provisionnement.

“Lorsque vous regardez AD Connect, presque toute la configuration est effectuée dans le monde sur site et elle est stockée sur ce serveur local”, a déclaré Dadzie. « Pour la synchronisation dans le cloud, l’idée est de basculer la configuration vers le cloud et d’avoir un agent très léger dans l’environnement du client afin qu’il soit facile à déployer.

« Cela prend environ 10 mégaoctets, vous pouvez donc en avoir plusieurs travaillant ensemble pour des solutions à haute disponibilité ; quelque chose qui est plus difficile à faire si vous disposez d’une capacité de synchronisation Connect complète.

Cette haute disponibilité est particulièrement utile si vous utilisez la synchronisation de hachage de mot de passe recommandée par Microsoft.

L’avenir de la synchronisation cloud

La synchronisation dans le cloud peut gérer des groupes comptant jusqu’à 50 000 membres, mais elle ne couvre pas encore tout ce que vous pouvez faire avec la synchronisation AD Connect, nous a dit Dadzie.

“Si vous avez effectué de nombreuses personnalisations sur les attributs de votre AD et que vous utilisez toujours Exchange sur site, il y a encore un certain delta dans les capacités”, a déclaré Dadzie. «À plus long terme, nous voudrons qu’il soit le remplacement complet; Nous ne sommes pas encore là.”

Actuellement, il ne peut pas se connecter aux annuaires LDAP et ne prend pas encore en charge les objets de périphérique, uniquement les utilisateurs, les groupes et les contacts. Il existe des options avancées de personnalisation et de filtrage qui ne sont pas disponibles, et la synchronisation cloud ne peut pas gérer la réécriture hybride Exchange, vous ne pouvez donc pas l’utiliser pour les migrations hybrides Exchange.

La fédération est prise en charge, mais pas les services de domaine Azure AD ni l’authentification directe, du moins pour les forêts déconnectées. C’est quelque chose sur lequel l’équipe AD Connect travaille, a déclaré Dadzie, et la réécriture pour les groupes de sécurité est également en cours de développement.

“Au cours de l’année écoulée, nous avons ajouté les scénarios de réécriture de mot de passe en libre-service”, a déclaré Dadzie.

L’écriture différée des appareils est également en cours de développement, car “presque tout déploiement commence par le transfert de certains des utilisateurs sur site vers le cloud”, note Dadzie. C’est un peu déroutant car Azure AS et Windows Hello For Business ont des services nommés Cloud Kerberos trust, qui font des choses différentes, mais Microsoft nous dit que la dénomination et la documentation devraient devenir plus claires à l’avenir.

L’équipe de synchronisation cloud étudie également des alternatives à l’écriture différée.

“Si vous avez une application sur site et que vous avez un utilisateur du cloud qui a besoin d’y accéder, comment accordez-vous cet accès à cet utilisateur sans avoir de compte dans l’AD sur site”, a déclaré Dadzie. “Nous examinons ce que nous pourrions faire dans cet espace : existe-t-il un moyen de faire en sorte que certains des secrets soient divulgués afin que vous puissiez avoir les informations d’identification de l’utilisateur, où l’utilisateur a accès à sur site sans avoir à avoir l’utilisateur objet là-dedans ? »

C’est encore à ses débuts, mais il y a des mises à jour régulières de la fonctionnalité de synchronisation dans le cloud.

“Tous les trimestres à six mois, nous mettons à jour et ajoutons de nouvelles fonctionnalités”, a déclaré Dadzie. “Nous sommes en mission pour éliminer les raisons pour lesquelles quelqu’un pourrait encore vouloir utiliser la synchronisation AD Connect complète. Nous avons pour mission de continuer à ajouter à la synchronisation dans le cloud au point de remplacer éventuellement la synchronisation AD Connect, mais nous n’en sommes pas encore là.

Choisir entre Azure AD Connect et la synchronisation cloud

Il n’y a aucune urgence à passer à la synchronisation dans le cloud si vous avez besoin d’une fonctionnalité de synchronisation AD Connect, mais il existe certains scénarios où la synchronisation dans le cloud est déjà le meilleur choix, ainsi que moins exigeante.

« Cela fonctionne bien pour les organisations qui ne sont pas aussi compliquées ou qui n’ont pas beaucoup d’objets ; s’ils ont moins de 150 000 objets dans leur répertoire, il est plus facile de commencer à utiliser la synchronisation dans le cloud », a déclaré Dadzie.

Il existe un assistant dans le centre d’administration Microsoft 365 qui vous guide dans le choix de la bonne option de synchronisation d’identité ainsi qu’un guide de migration étape par étape si vous souhaitez passer de la synchronisation Azure AD Connect à la synchronisation cloud.

La complexité de cette migration dépendra de la complexité de votre environnement AD : “Plus l’environnement est complexe, plus une approche progressive fonctionne”, a déclaré Dazie. Mais si vos besoins sont moins complexes et que vous débutez avec une identité hybride, il suggère de commencer par la synchronisation cloud pour plus de simplicité (Figure A).

Figure A

En fait, une grande partie de l’attrait de la synchronisation dans le cloud réside dans le fait qu’elle est conçue pour être beaucoup plus facile à utiliser.

“Dans la synchronisation Connect, vous devez effectuer vous-même tout le mappage de schéma, alors que dans la synchronisation cloud, nous essayons de les découvrir automatiquement pour vous, afin que vous n’ayez pas à chercher et à vous faciliter la configuration”, a déclaré Dadzie. . “La philosophie principale que nous essayons d’obtenir avec la synchronisation dans le cloud est de la rendre super, super facile, afin que les clients n’aient pas à réfléchir à ces choses.”