Dernière MàJ : 07/12/2016

Si vous travaillez sur un projet Office 365 ou Azure, vous avez forcément du entendre parler de la synchronisation des identités dans Azure Active Directory. Avant de se lancer dans la synchronisation de votre annuaire Active Directory dans le cloud, vous devrez choisir avec soin le bon outil de synchronisation.

Pour y voir plus clair, je vous propose de faire le point ensemble sur les différents outils à votre disposition, ainsi que leurs différences fondamentales.

1. Directory Sync
2. Azure AD Sync
3. Azure AD Connect
4. Chemins de migration

Directory Sync tool (DirSync)

Update 06/2016 : DirSync ne sera plus supporté à partir du 13 Avril 2017

Cet outil possède en fait bien des noms ! Certains l’appelent DirSync, d’autres Azure Directory Sync ou encore Office 365 DirSync et j’en passe… Historiquement, DirSync est le tout premier outil de synchronisation des identités dans le cloud.

De nombreuses personnes utilisent encore le terme DirSync pour désigner de manière générique l’outil de synchronisation vers Azure, je vous conseille cependant de toujours utiliser le bon nom pour éviter toute confusion.

Important : DirSync n’est plus proposé en téléchargement.

Historique des versions

[table width=”500″ colalign=”center|center”]

Version|Date de publication
1.0.7020.0000|31/07/2014
1.0.6985.0000|22/07/2014
1.0.6862.0000|05/06/2014
1.0.6765.0006|18/04/2014
1.0.6694.0086|18/04/2014
1.0.6593.0012|03/02/2014
1.0.6567.0018|22/11/2013
1.0.6467.0010|19/08/2013
1.0.6455.0815|12/08/2013
1.0.6455.0807|07/08/2013
1.0.6438.0003|24/07/2013
1.0.6411.0007|25/06/2013
1.0.6385.0029|06/06/2013
1.0.6385.0012|31/05/2013

[/table]

Fonctionnalités

[table width=”500″ colalign=”left|center”]

Fonctionnalité|Statut

Fréquence de synchro|3h

Migration Exchange hybride|Oui

Synchronisation multi-domaines|Oui

Filtrage par OU|Oui

Personnalisation des règles de synchronisation|Oui

Choix des attributs à synchroniser|Non supporté*

Synchronisation multi-forêts|Non

Choix de l’attribut pour l’UPN Office 365|Non supporté*

Support d’annuaires LDAP tiers|Non

Aide à la configuration ADFS|Non

Mode “staging”|Non

Cmdlets PowerShell|Oui

Auto-upgrade|Non

[/table]

* possible en changeant les paramètres des connecteurs, mais non supporté par Microsoft

Note : Il n’est pas possible de mettre en place une mode Exchange hybride multi-forêt avec cet outil.

On-premises > Cloud

[table width=”500″ colalign=”left|center”]

Fonctionnalité|Statut

Synchronisation des utilisateurs|Oui

Synchronisation des contacts|Oui

Synchronisation des groupes de sécurité|Oui

Synchronisation des groupes de distribution|Oui

Synchronisation du mot de passe|Oui

Synchronisation des attributs étendus|Non

Synchronisation des devices|Non

Pass-Through Authentication|Non

Seamless SSO|Non

[/table]

Cloud > On-premises

[table width=”500″ colalign=”left|center”]

Fonctionnalité|Statut

Write-back du mot de passe|Non

Write-back des groupes de distribution|Non

Write-back des groupes de sécurité|Non

Write-back des groupes Office 365|Non

Write-back des utilisateurs Office 365|Non

Write-back des contacts|Non

[/table]

 

Azure Active Directory Sync (AADSync)

Update 06/2016 : Azure AD Sync ne sera plus supporté à partir du 13 Avril 2017

Azure Active Directory Sync est le remplaçant de DirSync. Toujours basé sur le moteur de Forefront Identity Manager 2010 R12 (FIM), il introduit des nouveautés majeures : le support du password write-back et de la synchronisation multi-forêt. L’édition et la création de nouvelles règles de synchronisation est déportée dans une nouvelle interface : Synchronization Rules Editor.

Dans cette mouture, seul Active Directory est supporté en tant qu’annuaire source.

Important : Azure AD Sync n’est plus proposé en téléchargement.

Historique des versions

[table width=”500″ colalign=”center|center”]

Version|Date de publication

1.0.0494.0501|02/05/2015
1.0.0491.0413|16/04/2015
1.0.0485.0222|23/02/2015
1.0.0475.1202|16/12/2014
1.0.0470.1023|27/10/2014
1.0.0419.0911|15/09/2014
[/table]

Fonctionnalités

[table width=”500″ colalign=”left|center”]

Fonctionnalité|Statut

Fréquence de synchro|1h

Migration Exchange hybride|Oui

Synchronisation multi-domaines|Oui

Filtrage par OU|Oui

Personnalisation des règles de synchronisation|Oui

Choix des attributs à synchroniser|Oui

Synchronisation multi-forêts|Oui

Choix de l’attribut pour l’UPN Office 365|Oui

Support d’annuaires LDAP tiers|Non

Aide à la configuration ADFS|Non

Mode “staging”|Non

Cmdlets PowerShell|Oui

Auto-upgrade|Non

[/table]

Note : Il n’est pas possible de mettre en place une mode Exchange hybride multi-forêt avec cet outil.

On-premises > Cloud

[table width=”500″ colalign=”left|center”]

Fonctionnalité|Statut

Synchronisation des utilisateurs|Oui

Synchronisation des contacts|Oui

Synchronisation des groupes de sécurité|Oui

Synchronisation des groupes de distribution|Oui

Synchronisation du mot de passe|Oui

Synchronisation des attributs étendus|Non

Synchronisation des devices|Non

Pass-Through Authentication|Non

Seamless SSO|Non

[/table]

Cloud > On-premises

[table width=”500″ colalign=”left|center”]

Fonctionnalité|Statut

Write-back du mot de passe|Oui*

Write-back des groupes de distribution|Non

Write-back des groupes de sécurité|Non

Write-back des groupes Office 365|Non

Write-back des utilisateurs Office 365|Non

Write-back des contacts|Non

[/table]

* nécessite une licence Azure Active Directory Premium (P1 ou P2)

 

Azure Active Directory Connect (AADConnect)

Azure Active Directory Connect est le remplaçant d’Azure AD Sync. AADConnect introduit une nouvelle interface de configuration permettant de mieux guider les administrateurs dans la mise en place de leur synchronisation. Il est désormais possible de choisir entre la synchronisation des mots de passe ou la mise en place d’une infrastructure ADFS/ADFS Proxy. Le programme va ensuite piloter le déploiement de ces rôles.

AADConnect est pour l’instant en version Preview, et n’est pas supporté dans un environnement de production (sauf pour les clients membres du programme TAP).

Update 24/06/2015 : Azure AD Connect est désormais disponible en GA

Important : Azure AD Connect est désormais le seul outil de synchronisation fourni par Microsoft.

Historique des versions

[table width=”500″ colalign=”center|center”]

Version|Date de publication

1.1.371.0|07/12/2016

1.1.370.0|06/12/2016

1.1.343.0|18/11/2016

1.1.281.0|07/09/2016

1.1.188.0|14/06/2016

1.1.180.0|09/05/2016

1.1.130.0|12/04/2016

1.1.119.0|10/03/2016

1.1.110.0|26/02/2016

1.1.105.0|18/02/2016

1.0.9131.0|20/12/2015

1.0.9125|03/11/2015

1.0.8667|20/08/2015

1.0.8624 GA|24/06/2015

1.0.628.2 (Public Preview 2)|20/03/2015

1.0.628.1 (Public Preview 1)|04/08/2014

[/table]

Fonctionnalités

[table width=”500″ colalign=”left|center”]

Fonctionnalité|Statut

Fréquence de synchro|30 minutes (depuis 1.1.105.0)

Migration Exchange hybride|Oui

Synchronisation multi-domaines|Oui

Filtrage par OU|Oui

Personnalisation des règles de synchronisation|Oui

Choix des attributs à synchroniser|Oui

Synchronisation multi-forêts|Oui

Choix de l’attribut pour l’UPN Office 365|Oui

Support d’annuaires LDAP tiers|Possible (supporté uniquement avec un Contrat Premier pour l’instant car en Preview)

Aide à la configuration ADFS|Oui

Mode “staging”|Oui

Cmdlets PowerShell|Oui

Auto-upgrade|Oui (depuis 1.1.105.0)

[/table]

Note : Il n’est pas possible de mettre en place une mode Exchange hybride multi-forêt avec cet outil.

On-premises > Cloud

[table width=”500″ colalign=”left|center”]

Fonctionnalité|Statut

Synchronisation des utilisateurs|Oui*

Synchronisation des contacts|Oui

Synchronisation des groupes de sécurité|Oui

Synchronisation des groupes de distribution|Oui

Synchronisation du mot de passe|Oui

Synchronisation des attributs étendus|Oui

Synchronisation des devices|Oui

Pass-Through Authentication|Oui

Seamless SSO|Oui

[/table]

Cloud > On-premises

[table width=”500″ colalign=”left|center”]

Fonctionnalité|Statut

Write-back du mot de passe|Oui*

Write-back des groupes de distribution|Non (pas dans la roadmap pour l’instant)

Write-back des groupes de sécurité|Non (pas dans la roadmap pour l’instant)

Write-back des groupes Office 365|Oui (Preview)*

Write-back des utilisateurs Office 365|Dans une future release (avait été introduit puis supprimé)*

Write-back des devices|Oui*

Write-back des contacts|Non (pas dans la roadmap pour l’instant)

[/table]

* nécessite une licence Azure Active Directory Premium (P1 ou P2)

 

Chemins de migration

Voici un tableau récapitulant les possibilités de migration d’un outil de synchronisation à un autre :

 

[table colalign=”center|center|center”]

Migration de|vers la dernière version d’Azure AD Connect
DirSync (< 50 000 objets)|Réinstallation par-dessus via le Wizard
DirSync (> 50 00 objets)|Export de la configuration et migration sur un nouveau serveur en utilisant le Wizard
Filtrage des attributs AD utilisateur dans DirSync|Bloqué
Azure AD Sync (toute version)|Réinstallation par-dessus via le Wizard
Ancienne version d’AAD Connect|Réinstallation par-dessus via le Wizard (guide ici)

[/table]

Légende :

• Réinstallation par-dessus via le Wizard : il n’est pas necessaire de désinstaller l’ancienne version de l’outil pour passer à la suivante. Lancez simplement le nouvel exécutable et l’assistant d’installation devrait migrer vos paramètres de manière transparente. Cette migration s’appelle une migration “In-place”.
• Export de la configuration et migration sur un nouveau serveur en utilisant le Wizard : il est nécessaire d’exporter manuellement la configuration pour la réimporter dans AADConnect. AADConnect doit donc être installé sur un nouveau serveur. Cette migration s’appelle une migration “side-by-side”.
• Bloqué : ce scénario n’est pas supporté, et une réinstallation par-dessus sera bloquée par l’assistant. Il convient de désinstaller l’ancien outil puis d’installer le nouveau : une reconfiguration des paramètres est à prévoir (OU, règles personnalisées…).