Dernière MàJ : 07/12/2016
Si vous travaillez sur un projet Office 365 ou Azure, vous avez forcément du entendre parler de la synchronisation des identités dans Azure Active Directory. Avant de se lancer dans la synchronisation de votre annuaire Active Directory dans le cloud, vous devrez choisir avec soin le bon outil de synchronisation.
Pour y voir plus clair, je vous propose de faire le point ensemble sur les différents outils à votre disposition, ainsi que leurs différences fondamentales.
Directory Sync tool (DirSync)
Update 06/2016 : DirSync ne sera plus supporté à partir du 13 Avril 2017
Cet outil possède en fait bien des noms ! Certains l'appelent DirSync, d'autres Azure Directory Sync ou encore Office 365 DirSync et j'en passe... Historiquement, DirSync est le tout premier outil de synchronisation des identités dans le cloud.
De nombreuses personnes utilisent encore le terme DirSync pour désigner de manière générique l'outil de synchronisation vers Azure, je vous conseille cependant de toujours utiliser le bon nom pour éviter toute confusion.
Important : DirSync n'est plus proposé en téléchargement.
Historique des versions
| Version | Date de publication |
|---|---|
| 1.0.7020.0000 | 31/07/2014 |
| 1.0.6985.0000 | 22/07/2014 |
| 1.0.6862.0000 | 05/06/2014 |
| 1.0.6765.0006 | 18/04/2014 |
| 1.0.6694.0086 | 18/04/2014 |
| 1.0.6593.0012 | 03/02/2014 |
| 1.0.6567.0018 | 22/11/2013 |
| 1.0.6467.0010 | 19/08/2013 |
| 1.0.6455.0815 | 12/08/2013 |
| 1.0.6455.0807 | 07/08/2013 |
| 1.0.6438.0003 | 24/07/2013 |
| 1.0.6411.0007 | 25/06/2013 |
| 1.0.6385.0029 | 06/06/2013 |
| 1.0.6385.0012 | 31/05/2013 |
Fonctionnalités
| Fonctionnalité | Statut |
|---|---|
| Fréquence de synchro | 3h |
| Migration Exchange hybride | Oui |
| Synchronisation multi-domaines | Oui |
| Filtrage par OU | Oui |
| Personnalisation des règles de synchronisation | Oui |
| Choix des attributs à synchroniser | Non supporté* |
| Synchronisation multi-forêts | Non |
| Choix de l'attribut pour l'UPN Office 365 | Non supporté* |
| Support d'annuaires LDAP tiers | Non |
| Aide à la configuration ADFS | Non |
| Mode "staging" | Non |
| Cmdlets PowerShell | Oui |
| Auto-upgrade | Non |
* possible en changeant les paramètres des connecteurs, mais non supporté par Microsoft
Note : Il n'est pas possible de mettre en place une mode Exchange hybride multi-forêt avec cet outil.
On-premises > Cloud
| Fonctionnalité | Statut |
|---|---|
| Synchronisation des utilisateurs | Oui |
| Synchronisation des contacts | Oui |
| Synchronisation des groupes de sécurité | Oui |
| Synchronisation des groupes de distribution | Oui |
| Synchronisation du mot de passe | Oui |
| Synchronisation des attributs étendus | Non |
| Synchronisation des devices | Non |
| Pass-Through Authentication | Non |
| Seamless SSO | Non |
Cloud > On-premises
| Fonctionnalité | Statut |
|---|---|
| Write-back du mot de passe | Non |
| Write-back des groupes de distribution | Non |
| Write-back des groupes de sécurité | Non |
| Write-back des groupes Office 365 | Non |
| Write-back des utilisateurs Office 365 | Non |
| Write-back des contacts | Non |
Azure Active Directory Sync (AADSync)
Update 06/2016 : Azure AD Sync ne sera plus supporté à partir du 13 Avril 2017
Azure Active Directory Sync est le remplaçant de DirSync. Toujours basé sur le moteur de Forefront Identity Manager 2010 R12 (FIM), il introduit des nouveautés majeures : le support du password write-back et de la synchronisation multi-forêt. L'édition et la création de nouvelles règles de synchronisation est déportée dans une nouvelle interface : Synchronization Rules Editor.
Dans cette mouture, seul Active Directory est supporté en tant qu'annuaire source.
Important : Azure AD Sync n'est plus proposé en téléchargement.
Historique des versions
| Version | Date de publication |
|---|---|
| 1.0.0494.0501 | 02/05/2015 |
| 1.0.0491.0413 | 16/04/2015 |
| 1.0.0485.0222 | 23/02/2015 |
| 1.0.0475.1202 | 16/12/2014 |
| 1.0.0470.1023 | 27/10/2014 |
| 1.0.0419.0911 | 15/09/2014 |
Fonctionnalités
| Fonctionnalité | Statut |
|---|---|
| Fréquence de synchro | 1h |
| Migration Exchange hybride | Oui |
| Synchronisation multi-domaines | Oui |
| Filtrage par OU | Oui |
| Personnalisation des règles de synchronisation | Oui |
| Choix des attributs à synchroniser | Oui |
| Synchronisation multi-forêts | Oui |
| Choix de l'attribut pour l'UPN Office 365 | Oui |
| Support d'annuaires LDAP tiers | Non |
| Aide à la configuration ADFS | Non |
| Mode "staging" | Non |
| Cmdlets PowerShell | Oui |
| Auto-upgrade | Non |
Note : Il n'est pas possible de mettre en place une mode Exchange hybride multi-forêt avec cet outil.
On-premises > Cloud
| Fonctionnalité | Statut |
|---|---|
| Synchronisation des utilisateurs | Oui |
| Synchronisation des contacts | Oui |
| Synchronisation des groupes de sécurité | Oui |
| Synchronisation des groupes de distribution | Oui |
| Synchronisation du mot de passe | Oui |
| Synchronisation des attributs étendus | Non |
| Synchronisation des devices | Non |
| Pass-Through Authentication | Non |
| Seamless SSO | Non |
Cloud > On-premises
| Fonctionnalité | Statut |
|---|---|
| Write-back du mot de passe | Oui* |
| Write-back des groupes de distribution | Non |
| Write-back des groupes de sécurité | Non |
| Write-back des groupes Office 365 | Non |
| Write-back des utilisateurs Office 365 | Non |
| Write-back des contacts | Non |
* nécessite une licence Azure Active Directory Premium (P1 ou P2)
Azure Active Directory Connect (AADConnect)
Azure Active Directory Connect est le remplaçant d'Azure AD Sync. AADConnect introduit une nouvelle interface de configuration permettant de mieux guider les administrateurs dans la mise en place de leur synchronisation. Il est désormais possible de choisir entre la synchronisation des mots de passe ou la mise en place d'une infrastructure ADFS/ADFS Proxy. Le programme va ensuite piloter le déploiement de ces rôles.
AADConnect est pour l'instant en version Preview, et n'est pas supporté dans un environnement de production (sauf pour les clients membres du programme TAP).
Update 24/06/2015 : Azure AD Connect est désormais disponible en GA
Important : Azure AD Connect est désormais le seul outil de synchronisation fourni par Microsoft.
Historique des versions
| Version | Date de publication |
|---|---|
| 1.1.371.0 | 07/12/2016 |
| 1.1.370.0 | 06/12/2016 |
| 1.1.343.0 | 18/11/2016 |
| 1.1.281.0 | 07/09/2016 |
| 1.1.188.0 | 14/06/2016 |
| 1.1.180.0 | 09/05/2016 |
| 1.1.130.0 | 12/04/2016 |
| 1.1.119.0 | 10/03/2016 |
| 1.1.110.0 | 26/02/2016 |
| 1.1.105.0 | 18/02/2016 |
| 1.0.9131.0 | 20/12/2015 |
| 1.0.9125 | 03/11/2015 |
| 1.0.8667 | 20/08/2015 |
| 1.0.8624 GA | 24/06/2015 |
| 1.0.628.2 (Public Preview 2) | 20/03/2015 |
| 1.0.628.1 (Public Preview 1) | 04/08/2014 |
Fonctionnalités
| Fonctionnalité | Statut |
|---|---|
| Fréquence de synchro | 30 minutes (depuis 1.1.105.0) |
| Migration Exchange hybride | Oui |
| Synchronisation multi-domaines | Oui |
| Filtrage par OU | Oui |
| Personnalisation des règles de synchronisation | Oui |
| Choix des attributs à synchroniser | Oui |
| Synchronisation multi-forêts | Oui |
| Choix de l'attribut pour l'UPN Office 365 | Oui |
| Support d'annuaires LDAP tiers | Possible (supporté uniquement avec un Contrat Premier pour l'instant car en Preview) |
| Aide à la configuration ADFS | Oui |
| Mode "staging" | Oui |
| Cmdlets PowerShell | Oui |
| Auto-upgrade | Oui (depuis 1.1.105.0) |
Note : Il n'est pas possible de mettre en place une mode Exchange hybride multi-forêt avec cet outil.
On-premises > Cloud
| Fonctionnalité | Statut |
|---|---|
| Synchronisation des utilisateurs | Oui* |
| Synchronisation des contacts | Oui |
| Synchronisation des groupes de sécurité | Oui |
| Synchronisation des groupes de distribution | Oui |
| Synchronisation du mot de passe | Oui |
| Synchronisation des attributs étendus | Oui |
| Synchronisation des devices | Oui |
| Pass-Through Authentication | Oui |
| Seamless SSO | Oui |
Cloud > On-premises
| Fonctionnalité | Statut |
|---|---|
| Write-back du mot de passe | Oui* |
| Write-back des groupes de distribution | Non (pas dans la roadmap pour l'instant) |
| Write-back des groupes de sécurité | Non (pas dans la roadmap pour l'instant) |
| Write-back des groupes Office 365 | Oui (Preview)* |
| Write-back des utilisateurs Office 365 | Dans une future release (avait été introduit puis supprimé)* |
| Write-back des devices | Oui* |
| Write-back des contacts | Non (pas dans la roadmap pour l'instant) |
* nécessite une licence Azure Active Directory Premium (P1 ou P2)
Chemins de migration
Voici un tableau récapitulant les possibilités de migration d'un outil de synchronisation à un autre :
| Migration de | vers la dernière version d'Azure AD Connect |
|---|---|
| DirSync (< 50 000 objets) | Réinstallation par-dessus via le Wizard |
| DirSync (> 50 00 objets) | Export de la configuration et migration sur un nouveau serveur en utilisant le Wizard |
| Filtrage des attributs AD utilisateur dans DirSync | Bloqué |
| Azure AD Sync (toute version) | Réinstallation par-dessus via le Wizard |
| Ancienne version d'AAD Connect | Réinstallation par-dessus via le Wizard (guide ici) |
Légende :
- Réinstallation par-dessus via le Wizard : il n'est pas necessaire de désinstaller l'ancienne version de l'outil pour passer à la suivante. Lancez simplement le nouvel exécutable et l'assistant d'installation devrait migrer vos paramètres de manière transparente. Cette migration s'appelle une migration "In-place".
- Export de la configuration et migration sur un nouveau serveur en utilisant le Wizard : il est nécessaire d'exporter manuellement la configuration pour la réimporter dans AADConnect. AADConnect doit donc être installé sur un nouveau serveur. Cette migration s'appelle une migration "side-by-side".
- Bloqué : ce scénario n'est pas supporté, et une réinstallation par-dessus sera bloquée par l'assistant. Il convient de désinstaller l'ancien outil puis d'installer le nouveau : une reconfiguration des paramètres est à prévoir (OU, règles personnalisées...).
Tags: aadconnect, AADSync, azure active directory, azure active directory connect, azure active directory premium, Azure Active Directory Sync, azure ad connect, azure ad premium, azure ad sync, dirsync, migration azure ad sync, migration dirsync, migration dirsync aadsync, synchronisation annuaire, synchronisation azure
Comparatif DirSync vs Azure AD Sync vs Azure AD Connect « Identity Cosmos
[…] L’article est accessible [ ici ] […]
Office 365: MS Directory Synchronization Tool Comparison | Marc Lognoul's IT Infrastructure Blog
[…] The table hereunder is attempt to compare them as comprehensively as possible. Please note that 95% of credit for this comparison table go to French Directory Service MVP Maxime Rastello. Here is his original French article: DirSync vs Azure AD Sync vs Azure AD Connect : lequel choisir ? […]
Office 365: MS Directory Synchronization Tool Comparison | Marc Lognoul
[…] The table hereunder is attempt to compare them as comprehensively as possible. Please note that 95% of credit for this comparison table go to French Directory Service MVP Maxime Rastello. Here is his original French article: DirSync vs Azure AD Sync vs Azure AD Connect : lequel choisir ? […]
Migrer DirSync ou Azure AD Sync vers Azure AD Connect | Maxime Rastello
[…] Depuis le 24/06/2015, Azure Active Directory Connect est disponible en version finale. Pour plus d’informations entre les versions DirSync, Azure AD Sync et Azure AD Connect, je vous recommande de livre mon precedent article : DirSync vs Azure AD Sync vs Azure AD Connect : lequel choisir ? […]
Jeff
Bonjour Maxime,
Pour information, AADConnect est en version 1.0.8667 (20/08/2015). Ceci pour actualiser ton tableau 🙂
Merci pour cet article fort intéressant et très clair.
Maxime Rastello
Merci pour l’info, j’ai mis à jour l’article en conséquence 🙂 Pour info, la dernière version d'Azure AD Connect (update Août 2015) supprime la fonctionnalité User Writeback ! D'après l'équipe produit, cette fonctionnalité n'était pas assez mûre et posait pas mal de problèmes chez les clients.
Samir TABTI
Merci pour ce descriptif détaillé, il n' y a pas beaucoup d'INFO qui filtre sur le net concernant ce sujet, alors que c'est primordiale pour une correcte configuration.
Encore un grand Merci.
Cordialement.
Sylvain LESIRE
Bonjour,
très bon post, pour information, une nouvelle version d'aadconnect a vu le jour le 26 février 2016 : 1.1.110.0
plus d info sur :
https://blogs.technet.microsoft.com/ad/2016/02/18/azure-ad-connect-1-1-is-now-ga-faster-sync-times-automatic-upgrades-and-more/?wt.mc_id=DX_320012&MC=SysMagSof&MC=OfficeO365&MC=MachLearn&MC=Windows&MC=EntMobile
https://azure.microsoft.com/fr-fr/documentation/articles/active-directory-aadconnectsync-feature-scheduler/
Slesire@eliade.fr
Pwnny
Bonjour,
Merci pour ce récapitulatif, très utile! Pour info une version d'AADConnect est sortie en avril 2016 (1.1.130.0).
Que pensez-vous de la fonctionnalité de synchro de mot de passe pour certains utilisateurs seulement (via un scoping filter) ? Testé et ça fonctionne, elle reste une fonctionnalité non supportée par MS ?
Merci,
Pwnny
Maxime Rastello
Bonjour Pwnny, j'ai confirmation de l'équipe produit que la synchro des mots de passe pour seulement quelques utilisateurs n'est pas officiellement supportée.
Denis
Bonjour Maxime,
Connaîtrais-tu la date d'intégration des annuaires LDAP (autres que AD) a Azure Active Directory Sync pour une synchro Office 365?
J'ai lu que cela est possible avec MIM 2016 et un connecteur LDAP, mais l'installation est plutôt lourde.
Merci,
Denis
Maxime Rastello
Salut Denis,
L'intégration est bien dans la roadmap, mais aucune date publique n'est communicable pour le moment (sous NDA).
Pwnny
Hello,
L'intégration LDAP semble être prise en charge dans la dernière version d'AADConnect (1.1.180.0 - ça commence à être dur à suivre :-o). La possibilité de créer un connecteur LDAP est offerte depuis l'interface, mais également de créer un connecteur PowerShell, SQL, WebService. Non encore testé de mon côté, mais ça présage des choses intéressantes. 🙂
Une idée sur l'orientation de MS ? Pourquoi transforme t'il cet outil en un service de type FIM 2010/MIM 2016 ?
Merci,
Pwnny
disable
Bonjour Maxime,
Vous m'avez l'air bien calé en synchro active directory Office 365. Nous sommes actuellement sur Dirsync et l'on se connecte à Office 365 avec notre login@domaine.fr. Tous les utilisateurs sans exception (même à la DSI se goure et utilise leur email prenom.nom@domaine.fr).
Je vouslais savoir si en passant à AD connect on pouvait changer cela et utiliser l'adresse email et non l'UPN pour se connecter à Office 365?
Question bonus, cela marche-il aussi sur l'adresse skype?
Merci d'avance pour vos réponses éclairée
funkter
Merci pour cet article très synthétique !
DirSync et Azure AD Sync : fin de support le 13 Avril 2017 | Maxime Rastello
[…] vous ne connaissez pas encore les différences entre ces 3 produits, je vous invite à lire ce guide de comparaison. Pour résumer, Azure AD Connect apporte les nouveautés suivantes […]