Réseaux Sociaux

Depuis Windows 10, il est possible de joindre un ordinateur non pas à un domaine local Active Directory, mais à l’annuaire cloud de Microsoft : Azure Active Directory. Pour plus d’informations concernant Azure AD Join, je vous conseille de consulter cet article.

La fonctionnalité de device writeback a été introduite avec Azure Active Directory Connect, la dernière mouture de l’outil de synchronisation des identités. Grâce au device writeback, les ordinateurs joints à Azure Active Directory peuvent être synchronisés du cloud vers votre Active Directory, ce qui permet de centraliser tous vos appareils dans votre annuaire local.

Voici les grandes étapes pour activer la synchronisation des devices joints à Azure AD dans votre annuaire (smartphones enrollés dans Intune, PC Windows 10…).

 

Etape 1 : Configurer Azure AD Connect

Lors de la configuration de l’outil Azure AD Connect, vous devez tout d’abord activer la fonctionnalité de Device Writeback.

 

enable device writeback

 

 

Etape 2 : Préparer la forêt AD pour le device writeback

Pour permettre la synchronisation des devices joints à Azure Active Directory (smartphones inscrits dans Intune, devices Windows 10), il est nécessaire de préparer la forêt Active Directory locale.

Prérequis Active Directory :

  • Compte Enterprise Admin de la forêt Active Directory
  • Au moins un catalogue global present dans la forêt
  • Schéma de la forêt en Windows Server 2012 R2 (ou supérieur)

Deux cas sont possibles :

Cas 1 : Vous avez déjà activé Device Registration Services

Si vous avez déjà active la fonctionnalité Device Registration Service incluse dans ADFS 2012 R2, vous n’avez pas besoin de préparer votre forêt Active Directory : en effet, la commande Initialize-ADDeviceRegistration a déjà créé le containeur dédié dans votre annuaire local. Vous devrez toutefois effectuer l’étape 3 si vous possédez des devices Windows 10.

Pour information, le conteneur utilisé se situe dans CN=Device Registration Configuration,CN=Services,CN=Configuration. Vous pouvez y accéder avec ADSI Edit.

 

device registration service conteneur

 

Les devices synchronisés seront quant à eux presents dans le conteneur CN=RegisteredDevices à la racine de votre domaine AD.

 

registered devices adsi

 

Cas 2 : Vous n’avez pas activé Device Registration Service

Si vous n’avez pas ou ne souhaitez pas activer Device Registration Service, Microsoft a mis en place un module PowerShell afin de créer ce conteneur sans activer l’intégralité du service sur l’ADFS.

Prérequis sur le serveur exécutant le script :

  • Module Active Directory PowerShell
  • Module Azure Active Directory PowerShell (+ Microsoft Online Services Sign-in Assistant)
  • Binaires du rôle Active Directory Domain Services installés (pour avoir l’outil dsacls.exe)

Récupération du script PowerShell

Pour effectuer la préparation de la forêt Active Directory, il est nécessaire de récupérer un module PowerShell présent sur le serveur Azure AD Connect et de l’exécuter sur le serveur possédant les prérequis ci-dessus

  1. Se connecter au serveur Azure AD Connect
  2. Aller dans le dossier C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep et récupérer le module AdSyncPrep.psm1

Exécution du script PowerShell

  1. Lancer une console PowerShell avec un compte ayant les permissions Enterprise Administrator
  2. Aller dans le dossier contenant le module PowerShell AdSyncPrep.psm1
  3. Exécuter la commande Import-Module .\AdSyncPrep.psm1
  4. Exécutez les commandes suivantes :
$ADSvcCredential = Get-Credential -Message "Entrez les identifiants du compte de service AD gérant les objets synchronisés"
Initialize-ADSyncDeviceWriteBack -DomainName votredomaine.com -AdConnectorAccount $ADSvcCredential

 

Etape 3 : Préparer la forêt AD pour les devices Windows 10

Une étape supplémentaire est nécessaire cette fois pour supporter la synchro des périphériques Windows 10 joints à Azure AD. Si vous ne possédez aucun device Windows 10, vous pouvez ignorer cette dernière étape.

Suivez le pas-à-pas du Cas 2 pour importer le module ADSyncPrep.psm1, puis exécutez les commandes suivantes :

$ADSvcCredential = Get-Credential -Message "Entrez les identifiants du compte de service AD gérant les objets synchronisés"
$AzureAdminCredential = Get-Credential -Message "Entrez vos identifiants Administrateur Azure Active Directory"
Initialize-ADSyncDomainJoinedComputerSync -AdConnectorAccount $ADSvcCredential -AzureADCredentials $AzureAdminCredential

  

Depuis le 24/06/2015, Azure Active Directory Connect est disponible en version finale. Pour plus d’informations entre les versions DirSync, Azure AD Sync et Azure AD Connect, je vous recommande de livre mon precedent article : DirSync vs Azure AD Sync vs Azure AD Connect : lequel choisir ?

Pour télécharger Azure Active Directory Connect, cliquez ici !

 

dirsync upgrade to azure ad connect

 

Chemins de migration

Voici un tableau récapticulant les possibilités de migration d’un outil de synchronisation à un autre :

 

Migration de vers Azure AD Connect GA
DirSync (< 50 000 objets) Réinstallation par-dessus via le Wizard
DirSync (> 50 00 objets) Export de la configuration et migration sur un nouveau serveur en utilisant le Wizard
Filtrage des attributs AD utilisateur dans DirSync Bloqué
Azure AD Sync (toute version) Réinstallation par-dessus via le Wizard
Azure AD Connect Public Preview 1 (Décembre 2014) Bloqué
Azure AD Connect Public Preview 2 (Mars 2015) Réinstallation par-dessus via le Wizard

Légende :

  • Réinstallation par-dessus via le Wizard : il n’est pas necessaire de désinstaller l’ancienne version de l’outil pour passer à la suivante. Lancez simplement le nouvel exécutable et l’assistant d’installation devrait migrer vos paramètres de manière transparente. Cette migration s’appelle une migration « In-place ».
  • Export de la configuration et migration sur un nouveau serveur en utilisant le Wizard : il est nécessaire d’exporter manuellement la configuration pour la réimporter dans AADConnect. AADConnect doit donc être installé sur un nouveau serveur. Cette migrations’appelle une migration « side-by-side ».
  • Bloqué : ce scénario n’est pas supporté et une résinstallation par-dessus sera bloquée par l’assistant. Il convient de désinstaller l’ancien outil puis d’installer le nouveau : une reconfiguration des paramètres est à prévoir (OU, règles personnalisées…).

 

  

Si vous travaillez sur un projet Office 365 ou Azure, vous avez forcément du entendre parler de la synchronisation des identités dans Azure Active Directory. Avant de se lancer dans la synchronisation de votre annuaire Active Directory dans le cloud, vous devrez choisir avec soin le bon outil de synchronisation.

Pour y voir plus clair, je vous propose de faire le point ensemble sur les différents outils à votre disposition, ainsi que leurs differences fondamentales.

  1. Directory Sync
  2. Azure AD Sync
  3. Azure AD Connect
  4. Chemins de migration

Directory Sync tool (DirSync)

Cet outil possède en fait bien des noms ! Certains l’appelent DirSync, d’autres Azure Directory Sync ou encore Office 365 DirSync et j’en passe… Historiquement, DirSync est le tout premier outil de synchronisation des identités dans le cloud. C’est également lui qui est encore proposé en téléchargement depuis le tenant Office 365.

De nombreuses personnes utilisent encore le terme DirSync pour designer de manière générique l’outil de synchronisation vers Azure, je vous conseille cependant de toujours utiliser le bon nom pour éviter toute confusion.

Historique des versions

Version Date de publication
1.0.7020.0000 31/07/2014
1.0.6985.0000 22/07/2014
1.0.6862.0000 05/06/2014
1.0.6765.0006 18/04/2014
1.0.6694.0086 18/04/2014
1.0.6593.0012 03/02/2014
1.0.6567.0018 22/11/2013
1.0.6467.0010 19/08/2013
1.0.6455.0815 12/08/2013
1.0.6455.0807 07/08/2013
1.0.6438.0003 24/07/2013
1.0.6411.0007 25/06/2013
1.0.6385.0029 06/06/2013
1.0.6385.0012 31/05/2013

Fonctionnalités

Fonctionnalité Statut
Migration Exchange hybride Oui
Synchronisation multi-domaines Oui
Filtrage par OU Oui
Personnalisation des règles de synchronisation Oui
Choix des attributs à synchroniser Non supporté*
Synchronisation multi-forêts Non
Choix de l’attribut pour l’UPN Office 365 Non supporté*
Support d’annuaires LDAP tiers Non
Aide à la configuration ADFS Non
Mode «staging» Non
Cmdlets PowerShell Oui

* possible en changeant les paramètres des connecteurs, mais non supporté par Microsoft

Note : Il n’est pas possible de mettre en place une mode Exchange hybride multi-forêt avec cet outil.

On-premises > Cloud

Fonctionnalité Statut
Synchronisation des utilisateurs Oui
Synchronisation des contacts Oui
Synchronisation des groupes de sécurité Oui
Synchronisation des groupes de distribution Oui
Synchronisation du mot de passe Oui
Synchronisation des attributs étendus Non
Synchronisation des devices Non

Cloud > On-premises

Fonctionnalité Statut
Write-back du mot de passe Non
Write-back des groupes de distribution Non
Write-back des groupes de sécurité Non
Write-back des groupes Office 365 Non
Write-back des utilisateurs Office 365 Non
Write-back des contacts Non

 

Azure Active Directory Sync (AADSync)

Azure Active Directory Sync est le remplaçant de DirSync. Toujours basé sur le moteur de Forefront Identity Manager 2010 R12 (FIM), il introduit des nouveautés majeures : le support du password write-back et de la synchronisation multi-forêt. L’édition et la création de nouvelles règles de synchronisation est déportée dans une nouvelle interface : Synchronization Rules Editor.

Dans cette mouture, seul Active Directory est supporté en tant qu’annuaire source.

Historique des versions

Version Date de publication
1.0.0494.0501 02/05/2015
1.0.0491.0413 16/04/2015
1.0.0485.0222 23/02/2015
1.0.0475.1202 16/12/2014
1.0.0470.1023 27/10/2014
1.0.0419.0911 15/09/2014

Fonctionnalités

Fonctionnalité Statut
Migration Exchange hybride Oui
Synchronisation multi-domaines Oui
Filtrage par OU Oui
Personnalisation des règles de synchronisation Oui
Choix des attributs à synchroniser Oui
Synchronisation multi-forêts Oui
Choix de l’attribut pour l’UPN Office 365 Oui
Support d’annuaires LDAP tiers Non
Aide à la configuration ADFS Non
Mode «staging» Non
Cmdlets PowerShell Oui

Note : Il n’est pas possible de mettre en place une mode Exchange hybride multi-forêt avec cet outil.

On-premises > Cloud

Fonctionnalité Statut
Synchronisation des utilisateurs Oui
Synchronisation des contacts Oui
Synchronisation des groupes de sécurité Oui
Synchronisation des groupes de distribution Oui
Synchronisation du mot de passe Oui
Synchronisation des attributs étendus Non
Synchronisation des devices Non

Cloud > On-premises

Fonctionnalité Statut
Write-back du mot de passe Oui*
Write-back des groupes de distribution Non
Write-back des groupes de sécurité Non
Write-back des groupes Office 365 Non
Write-back des utilisateurs Office 365 Non
Write-back des contacts Non

* nécessite une licence Azure Active Directory Premium

 

Azure Active Directory Connect (AADConnect)

Azure Active Directory Connect est le remplaçant d’Azure AD Sync. AADConnect introduit une nouvelle interface de configuration permettant de mieux guider les administrateurs dans la mise en place de leur synchronisation. Il est désormais possible de choisir entre la synchronisation des mots de passe ou la mise en place d’une infrastructure ADFS/ADFS Proxy. Le programme va ensuite piloter le déploiement de ces rôles.

AADConnect est pour l’instant en version Preview, et n’est pas supporté dans un environnement de production (sauf pour les clients membres du programme TAP).

Update 24/06/2015 : Azure AD Connect est désormais disponible en GA

Historique des versions

Version Date de publication
1.0.8624 GA 24/06/2015
1.0.628.2 (Public Preview 2) 20/03/2015
1.0.628.1 (Public Preview 1) 04/08/2014

Fonctionnalités

Fonctionnalité Statut
Migration Exchange hybride Oui
Synchronisation multi-domaines Oui
Filtrage par OU Oui
Personnalisation des règles de synchronisation Oui
Choix des attributs à synchroniser Oui
Synchronisation multi-forêts Oui
Choix de l’attribut pour l’UPN Office 365 Oui
Support d’annuaires LDAP tiers Dans une future release
Aide à la configuration ADFS Oui
Mode «staging» Oui
Cmdlets PowerShell Oui

Note : Il n’est pas possible de mettre en place une mode Exchange hybride multi-forêt avec cet outil.

On-premises > Cloud

Fonctionnalité Statut
Synchronisation des utilisateurs Oui
Synchronisation des contacts Oui
Synchronisation des groupes de sécurité Oui
Synchronisation des groupes de distribution Oui
Synchronisation du mot de passe Oui
Synchronisation des attributs étendus Oui*
Synchronisation des devices Oui*

Cloud > On-premises

Fonctionnalité Statut
Write-back du mot de passe Oui*
Write-back des groupes de distribution Dans une future release*
Write-back des groupes de sécurité Dans une future release*
Write-back des groupes Office 365 Oui*
Write-back des utilisateurs Office 365 Oui*
Write-back des devices Oui*
Write-back des contacts Dans une future release*

* nécessite une licence Azure Active Directory Premium

 

Chemins de migration

Voici un tableau récapticulant les possibilités de migration d’un outil de synchronisation à un autre :

 

Migration de vers Azure AD Connect Public Preview 2 vers Azure AD Connect GA
DirSync (< 50 000 objets) Réinstallation par-dessus via le Wizard Réinstallation par-dessus via le Wizard
DirSync (> 50 00 objets) Export de la configuration et migration sur un nouveau serveur en utilisant le Wizard Export de la configuration et migration sur un nouveau serveur en utilisant le Wizard
Filtrage des attributs AD utilisateur dans DirSync Bloqué Bloqué
Azure AD Sync (toute version) Réinstallation par-dessus via le Wizard Réinstallation par-dessus via le Wizard
Azure AD Connect Public Preview 1 (Décembre 2014) Bloqué Bloqué
Azure AD Connect Public Preview 2 (Mars 2015) - Réinstallation par-dessus via le Wizard

Légende :

  • Réinstallation par-dessus via le Wizard : il n’est pas necessaire de désinstaller l’ancienne version de l’outil pour passer à la suivante. Lancez simplement le nouvel exécutable et l’assistant d’installation devrait migrer vos paramètres de manière transparente. Cette migration s’appelle une migration « In-place ».
  • Export de la configuration et migration sur un nouveau serveur en utilisant le Wizard : il est nécessaire d’exporter manuellement la configuration pour la réimporter dans AADConnect. AADConnect doit donc être installé sur un nouveau serveur. Cette migrations’appelle une migration « side-by-side ».
  • Bloqué : ce scénario n’est pas supporté et une résinstallation par-dessus sera bloquée par l’assistant. Il convient de désinstaller l’ancien outil puis d’installer le nouveau : une reconfiguration des paramètres est à prévoir (OU, règles personnalisées…).

Étiquettes : , , , , , , , , , , , , , ,

  

Depuis Windows Server 2012 R2, ADFS et Web Application Proxy utilisent une fonctionnalité du protocole SSL/TLS : Server Name Indication (SNI). SNI permet d’inclure dans le header de la demande le hostname du serveur auquel il essaye d’établir une négociation TLS. Cela est notamment très utile afin d’utiliser plusieurs hostnames et plusieurs certificats SSL différents dans IIS sur une même interface réseau.

Cependant, certains clients ne supportent pas encore cette nouvelle fonctionnalité, et c’est le cas des clients :

  • Lync 2010 pour Android
  • Lync 2013 pour Android
  • Lync sous Windows Phone 7.8

Symptômes

Vous essayez de vous connecter à Lync Online au travers d’un compte fédéré via ADFS 3.0 sous Windows Server 2012 R2. Vous obtenez le message « We can’t sign you in. Please try again » sous Lync 2013 pour Android.

 

lync can't sign you in

 

Résolution

Les clients Lync Android et Windows Phone 7.8 n’étant pas compatibles avec SNI, vous devrez effectuer une manipulation sur vos serveurs ADFS internes et Web Application Proxy afin de rajouter un binding dédié.

Sur vos serveurs ADFS internes

  1. Ouvrez une invite de commande cmd en tant qu’administrateur
  2. Tapez la commande netsh http show sslcert pour afficher la liste des bindings configurés par ADFS
  3. Repérez et copiez quelque part les valeurs Certificate Hash et Application ID du binding lié à votre service ADFS (dans mon cas : adfs.home.maximerastello.com)

      

    netsh bindings sslcert

      

  4. Tapez la commande netsh http add sslcert ipport=0.0.0.0:443 certhash=<votre hash> appid={votre app id} en remplaçant par les valeurs notées à l’étape 3
  5. Redémarrez le service Active Directory Federation Services

Note : pour le service ADFS 2012 R2, l’app ID est censé être {5d89a20c-beab-4389-9447-324788eb944a}

 

netsh bindings sslcert 2

 

Important : N’oubliez pas de répéter cette opération sur tous les serveurs de votre ferme ADFS

Sur vos serveurs Web Application Proxy

Effectuez la même opération que sur les serveurs ADFS internes sur tous les serveurs WAP de votre ferme, et n’oubliez pas de redémarrer à chaque fois les services suivants :

  • Active Directory Federation Services
  • Web Application Proxy Controller Service

 

Vous êtes désormais en mesure de vous connecter à Lync Online via le client Android.

Étiquettes : , , , , , , , , , , , ,

  

Un bug a été détecté dans Azure AD Connect Preview, empêchant la désinstallation complète du produit.

En effet, lorsque vous souhaitez désinstaller le programme via Programs and Features, la désinstallation de Microsoft Azure Active Directory Connect Tool (Preview) ne désinstalle pas automatiquement l’outil de synchronisation Microsoft Azure AD Sync.

 

Uninstall AADConnect Preview

 

Il vous sera donc impossible de réinstaller correctement l’outil, et un nettoyage manuel sera nécessaire. Microsoft est au courant de ce problème et doit le corriger pour la sortie officielle du produit.

Solution

Nous n’avez pas encore désinstallé Azure AD Connect (ouf)

La solution de contournement consiste à désinstaller d’abord Microsoft Azure AD Sync AVANT de désinstaller Azure AD Connect Preview.

Pour cela :

  1. Ouvrez une Invite de Commande en tant qu’administrateur
  2. Tapez la commande cd « C:\Program Files\Microsoft Azure Active Directory Connect »
  3. Tapez ensuite la commande DirectorySyncTool.exe /uninstall

      

    Command Prompt

     

  4. Dans la fenêtre qui s’affiche, cliquez sur le bouton Uninstall

      

    AADConnect uninstall

     

  5. Vous pouvez maintenant désinstaller l’outil Azure Active Directory Connect Tool (Preview) depuis le menu Program and Features

 

Vous avez déjà désinstallé Azure AD Connect (zut)

Vous allez devoir effectuer un nettoyage du serveur pour pouvoir réinstaller correctement l’outil AADConnect.

Suivez ce guide pour plus d’informations.

Étiquettes : , , , , , , , , , , , , ,