Social Networks

Dernière MàJ : 07/12/2016

Si vous travaillez sur un projet Office 365 ou Azure, vous avez forcément du entendre parler de la synchronisation des identités dans Azure Active Directory. Avant de se lancer dans la synchronisation de votre annuaire Active Directory dans le cloud, vous devrez choisir avec soin le bon outil de synchronisation.

Pour y voir plus clair, je vous propose de faire le point ensemble sur les différents outils à votre disposition, ainsi que leurs différences fondamentales.

  1. Directory Sync
  2. Azure AD Sync
  3. Azure AD Connect
  4. Chemins de migration

Directory Sync tool (DirSync)

Update 06/2016 : DirSync ne sera plus supporté à partir du 13 Avril 2017

Cet outil possède en fait bien des noms ! Certains l’appelent DirSync, d’autres Azure Directory Sync ou encore Office 365 DirSync et j’en passe… Historiquement, DirSync est le tout premier outil de synchronisation des identités dans le cloud.

De nombreuses personnes utilisent encore le terme DirSync pour désigner de manière générique l’outil de synchronisation vers Azure, je vous conseille cependant de toujours utiliser le bon nom pour éviter toute confusion.

Important : DirSync n’est plus proposé en téléchargement.

Historique des versions

Version Date de publication
1.0.7020.0000 31/07/2014
1.0.6985.0000 22/07/2014
1.0.6862.0000 05/06/2014
1.0.6765.0006 18/04/2014
1.0.6694.0086 18/04/2014
1.0.6593.0012 03/02/2014
1.0.6567.0018 22/11/2013
1.0.6467.0010 19/08/2013
1.0.6455.0815 12/08/2013
1.0.6455.0807 07/08/2013
1.0.6438.0003 24/07/2013
1.0.6411.0007 25/06/2013
1.0.6385.0029 06/06/2013
1.0.6385.0012 31/05/2013

Fonctionnalités

Fonctionnalité Statut
Fréquence de synchro 3h
Migration Exchange hybride Oui
Synchronisation multi-domaines Oui
Filtrage par OU Oui
Personnalisation des règles de synchronisation Oui
Choix des attributs à synchroniser Non supporté*
Synchronisation multi-forêts Non
Choix de l’attribut pour l’UPN Office 365 Non supporté*
Support d’annuaires LDAP tiers Non
Aide à la configuration ADFS Non
Mode « staging » Non
Cmdlets PowerShell Oui
Auto-upgrade Non

* possible en changeant les paramètres des connecteurs, mais non supporté par Microsoft

Note : Il n’est pas possible de mettre en place une mode Exchange hybride multi-forêt avec cet outil.

On-premises > Cloud

Fonctionnalité Statut
Synchronisation des utilisateurs Oui
Synchronisation des contacts Oui
Synchronisation des groupes de sécurité Oui
Synchronisation des groupes de distribution Oui
Synchronisation du mot de passe Oui
Synchronisation des attributs étendus Non
Synchronisation des devices Non
Pass-Through Authentication Non
Seamless SSO Non

Cloud > On-premises

Fonctionnalité Statut
Write-back du mot de passe Non
Write-back des groupes de distribution Non
Write-back des groupes de sécurité Non
Write-back des groupes Office 365 Non
Write-back des utilisateurs Office 365 Non
Write-back des contacts Non

 

Azure Active Directory Sync (AADSync)

Update 06/2016 : Azure AD Sync ne sera plus supporté à partir du 13 Avril 2017

Azure Active Directory Sync est le remplaçant de DirSync. Toujours basé sur le moteur de Forefront Identity Manager 2010 R12 (FIM), il introduit des nouveautés majeures : le support du password write-back et de la synchronisation multi-forêt. L’édition et la création de nouvelles règles de synchronisation est déportée dans une nouvelle interface : Synchronization Rules Editor.

Dans cette mouture, seul Active Directory est supporté en tant qu’annuaire source.

Important : Azure AD Sync n’est plus proposé en téléchargement.

Historique des versions

Version Date de publication
1.0.0494.0501 02/05/2015
1.0.0491.0413 16/04/2015
1.0.0485.0222 23/02/2015
1.0.0475.1202 16/12/2014
1.0.0470.1023 27/10/2014
1.0.0419.0911 15/09/2014

Fonctionnalités

Fonctionnalité Statut
Fréquence de synchro 1h
Migration Exchange hybride Oui
Synchronisation multi-domaines Oui
Filtrage par OU Oui
Personnalisation des règles de synchronisation Oui
Choix des attributs à synchroniser Oui
Synchronisation multi-forêts Oui
Choix de l’attribut pour l’UPN Office 365 Oui
Support d’annuaires LDAP tiers Non
Aide à la configuration ADFS Non
Mode « staging » Non
Cmdlets PowerShell Oui
Auto-upgrade Non

Note : Il n’est pas possible de mettre en place une mode Exchange hybride multi-forêt avec cet outil.

On-premises > Cloud

Fonctionnalité Statut
Synchronisation des utilisateurs Oui
Synchronisation des contacts Oui
Synchronisation des groupes de sécurité Oui
Synchronisation des groupes de distribution Oui
Synchronisation du mot de passe Oui
Synchronisation des attributs étendus Non
Synchronisation des devices Non
Pass-Through Authentication Non
Seamless SSO Non

Cloud > On-premises

Fonctionnalité Statut
Write-back du mot de passe Oui*
Write-back des groupes de distribution Non
Write-back des groupes de sécurité Non
Write-back des groupes Office 365 Non
Write-back des utilisateurs Office 365 Non
Write-back des contacts Non

* nécessite une licence Azure Active Directory Premium (P1 ou P2)

 

Azure Active Directory Connect (AADConnect)

Azure Active Directory Connect est le remplaçant d’Azure AD Sync. AADConnect introduit une nouvelle interface de configuration permettant de mieux guider les administrateurs dans la mise en place de leur synchronisation. Il est désormais possible de choisir entre la synchronisation des mots de passe ou la mise en place d’une infrastructure ADFS/ADFS Proxy. Le programme va ensuite piloter le déploiement de ces rôles.

AADConnect est pour l’instant en version Preview, et n’est pas supporté dans un environnement de production (sauf pour les clients membres du programme TAP).

Update 24/06/2015 : Azure AD Connect est désormais disponible en GA

Important : Azure AD Connect est désormais le seul outil de synchronisation fourni par Microsoft.

Historique des versions

Version Date de publication
1.1.371.0 07/12/2016
1.1.370.0 06/12/2016
1.1.343.0 18/11/2016
1.1.281.0 07/09/2016
1.1.188.0 14/06/2016
1.1.180.0 09/05/2016
1.1.130.0 12/04/2016
1.1.119.0 10/03/2016
1.1.110.0 26/02/2016
1.1.105.0 18/02/2016
1.0.9131.0 20/12/2015
1.0.9125 03/11/2015
1.0.8667 20/08/2015
1.0.8624 GA 24/06/2015
1.0.628.2 (Public Preview 2) 20/03/2015
1.0.628.1 (Public Preview 1) 04/08/2014

Fonctionnalités

Fonctionnalité Statut
Fréquence de synchro 30 minutes (depuis 1.1.105.0)
Migration Exchange hybride Oui
Synchronisation multi-domaines Oui
Filtrage par OU Oui
Personnalisation des règles de synchronisation Oui
Choix des attributs à synchroniser Oui
Synchronisation multi-forêts Oui
Choix de l’attribut pour l’UPN Office 365 Oui
Support d’annuaires LDAP tiers Possible (supporté uniquement avec un Contrat Premier pour l’instant car en Preview)
Aide à la configuration ADFS Oui
Mode « staging » Oui
Cmdlets PowerShell Oui
Auto-upgrade Oui (depuis 1.1.105.0)

Note : Il n’est pas possible de mettre en place une mode Exchange hybride multi-forêt avec cet outil.

On-premises > Cloud

Fonctionnalité Statut
Synchronisation des utilisateurs Oui*
Synchronisation des contacts Oui
Synchronisation des groupes de sécurité Oui
Synchronisation des groupes de distribution Oui
Synchronisation du mot de passe Oui
Synchronisation des attributs étendus Oui
Synchronisation des devices Oui
Pass-Through Authentication Oui
Seamless SSO Oui

Cloud > On-premises

Fonctionnalité Statut
Write-back du mot de passe Oui*
Write-back des groupes de distribution Non (pas dans la roadmap pour l’instant)
Write-back des groupes de sécurité Non (pas dans la roadmap pour l’instant)
Write-back des groupes Office 365 Oui (Preview)*
Write-back des utilisateurs Office 365 Dans une future release (avait été introduit puis supprimé)*
Write-back des devices Oui*
Write-back des contacts Non (pas dans la roadmap pour l’instant)

* nécessite une licence Azure Active Directory Premium (P1 ou P2)

 

Chemins de migration

Voici un tableau récapitulant les possibilités de migration d’un outil de synchronisation à un autre :

 

Migration de vers la dernière version d’Azure AD Connect
DirSync (< 50 000 objets) Réinstallation par-dessus via le Wizard
DirSync (> 50 00 objets) Export de la configuration et migration sur un nouveau serveur en utilisant le Wizard
Filtrage des attributs AD utilisateur dans DirSync Bloqué
Azure AD Sync (toute version) Réinstallation par-dessus via le Wizard
Ancienne version d’AAD Connect Réinstallation par-dessus via le Wizard (guide ici)

Légende :

  • Réinstallation par-dessus via le Wizard : il n’est pas necessaire de désinstaller l’ancienne version de l’outil pour passer à la suivante. Lancez simplement le nouvel exécutable et l’assistant d’installation devrait migrer vos paramètres de manière transparente. Cette migration s’appelle une migration « In-place ».
  • Export de la configuration et migration sur un nouveau serveur en utilisant le Wizard : il est nécessaire d’exporter manuellement la configuration pour la réimporter dans AADConnect. AADConnect doit donc être installé sur un nouveau serveur. Cette migration s’appelle une migration « side-by-side ».
  • Bloqué : ce scénario n’est pas supporté, et une réinstallation par-dessus sera bloquée par l’assistant. Il convient de désinstaller l’ancien outil puis d’installer le nouveau : une reconfiguration des paramètres est à prévoir (OU, règles personnalisées…).

Étiquettes : , , , , , , , , , , , , , ,

[…] The table hereunder is attempt to compare them as comprehensively as possible. Please note that 95% of credit for this comparison table go to French Directory Service MVP Maxime Rastello. Here is his original French article: DirSync vs Azure AD Sync vs Azure AD Connect : lequel choisir ? […]

[…] The table hereunder is attempt to compare them as comprehensively as possible. Please note that 95% of credit for this comparison table go to French Directory Service MVP Maxime Rastello. Here is his original French article: DirSync vs Azure AD Sync vs Azure AD Connect : lequel choisir ? […]

[…] Depuis le 24/06/2015, Azure Active Directory Connect est disponible en version finale. Pour plus d’informations entre les versions DirSync, Azure AD Sync et Azure AD Connect, je vous recommande de livre mon precedent article : DirSync vs Azure AD Sync vs Azure AD Connect : lequel choisir ? […]

Bonjour Maxime,
Pour information, AADConnect est en version 1.0.8667 (20/08/2015). Ceci pour actualiser ton tableau 🙂

Merci pour cet article fort intéressant et très clair.

Merci pour l’info, j’ai mis à jour l’article en conséquence 🙂 Pour info, la dernière version d’Azure AD Connect (update Août 2015) supprime la fonctionnalité User Writeback ! D’après l’équipe produit, cette fonctionnalité n’était pas assez mûre et posait pas mal de problèmes chez les clients.

Merci pour ce descriptif détaillé, il n’ y a pas beaucoup d’INFO qui filtre sur le net concernant ce sujet, alors que c’est primordiale pour une correcte configuration.

Encore un grand Merci.

Cordialement.

Bonjour,

Merci pour ce récapitulatif, très utile! Pour info une version d’AADConnect est sortie en avril 2016 (1.1.130.0).
Que pensez-vous de la fonctionnalité de synchro de mot de passe pour certains utilisateurs seulement (via un scoping filter) ? Testé et ça fonctionne, elle reste une fonctionnalité non supportée par MS ?

Merci,
Pwnny


Maxime Rastello dit :

Bonjour Pwnny, j’ai confirmation de l’équipe produit que la synchro des mots de passe pour seulement quelques utilisateurs n’est pas officiellement supportée.

Bonjour Maxime,
Connaîtrais-tu la date d’intégration des annuaires LDAP (autres que AD) a Azure Active Directory Sync pour une synchro Office 365?

J’ai lu que cela est possible avec MIM 2016 et un connecteur LDAP, mais l’installation est plutôt lourde.

Merci,

Denis


Maxime Rastello dit :

Salut Denis,
L’intégration est bien dans la roadmap, mais aucune date publique n’est communicable pour le moment (sous NDA).

Hello,

L’intégration LDAP semble être prise en charge dans la dernière version d’AADConnect (1.1.180.0 – ça commence à être dur à suivre :-o). La possibilité de créer un connecteur LDAP est offerte depuis l’interface, mais également de créer un connecteur PowerShell, SQL, WebService. Non encore testé de mon côté, mais ça présage des choses intéressantes. 🙂
Une idée sur l’orientation de MS ? Pourquoi transforme t’il cet outil en un service de type FIM 2010/MIM 2016 ?

Merci,
Pwnny

Bonjour Maxime,

Vous m’avez l’air bien calé en synchro active directory Office 365. Nous sommes actuellement sur Dirsync et l’on se connecte à Office 365 avec notre login@domaine.fr. Tous les utilisateurs sans exception (même à la DSI se goure et utilise leur email prenom.nom@domaine.fr).
Je vouslais savoir si en passant à AD connect on pouvait changer cela et utiliser l’adresse email et non l’UPN pour se connecter à Office 365?
Question bonus, cela marche-il aussi sur l’adresse skype?

Merci d’avance pour vos réponses éclairée

Merci pour cet article très synthétique !

[…] vous ne connaissez pas encore les différences entre ces 3 produits, je vous invite à lire ce guide de comparaison. Pour résumer, Azure AD Connect apporte les nouveautés suivantes […]

Nouveau commentaire

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>