DirSync, Azure AD Sync, Azure AD Connect : lequel choisir ?
Dernière MàJ : 07/12/2016
Si vous travaillez sur un projet Office 365 ou Azure, vous avez forcément du entendre parler de la synchronisation des identités dans Azure Active Directory. Avant de se lancer dans la synchronisation de votre annuaire Active Directory dans le cloud, vous devrez choisir avec soin le bon outil de synchronisation.
Pour y voir plus clair, je vous propose de faire le point ensemble sur les différents outils à votre disposition, ainsi que leurs différences fondamentales.
Directory Sync tool (DirSync)
Update 06/2016 : DirSync ne sera plus supporté à partir du 13 Avril 2017
Cet outil possède en fait bien des noms ! Certains l’appelent DirSync, d’autres Azure Directory Sync ou encore Office 365 DirSync et j’en passe… Historiquement, DirSync est le tout premier outil de synchronisation des identités dans le cloud.
De nombreuses personnes utilisent encore le terme DirSync pour désigner de manière générique l’outil de synchronisation vers Azure, je vous conseille cependant de toujours utiliser le bon nom pour éviter toute confusion.
Important : DirSync n’est plus proposé en téléchargement.
Historique des versions
Fonctionnalités
* possible en changeant les paramètres des connecteurs, mais non supporté par Microsoft
Note : Il n’est pas possible de mettre en place une mode Exchange hybride multi-forêt avec cet outil.
On-premises > Cloud
Cloud > On-premises
Azure Active Directory Sync (AADSync)
Update 06/2016 : Azure AD Sync ne sera plus supporté à partir du 13 Avril 2017
Azure Active Directory Sync est le remplaçant de DirSync. Toujours basé sur le moteur de Forefront Identity Manager 2010 R12 (FIM), il introduit des nouveautés majeures : le support du password write-back et de la synchronisation multi-forêt. L’édition et la création de nouvelles règles de synchronisation est déportée dans une nouvelle interface : Synchronization Rules Editor.
Dans cette mouture, seul Active Directory est supporté en tant qu’annuaire source.
Important : Azure AD Sync n’est plus proposé en téléchargement.
Historique des versions
Fonctionnalités
Note : Il n’est pas possible de mettre en place une mode Exchange hybride multi-forêt avec cet outil.
On-premises > Cloud
Cloud > On-premises
* nécessite une licence Azure Active Directory Premium (P1 ou P2)
Azure Active Directory Connect (AADConnect)
Azure Active Directory Connect est le remplaçant d’Azure AD Sync. AADConnect introduit une nouvelle interface de configuration permettant de mieux guider les administrateurs dans la mise en place de leur synchronisation. Il est désormais possible de choisir entre la synchronisation des mots de passe ou la mise en place d’une infrastructure ADFS/ADFS Proxy. Le programme va ensuite piloter le déploiement de ces rôles.
AADConnect est pour l’instant en version Preview, et n’est pas supporté dans un environnement de production (sauf pour les clients membres du programme TAP).
Update 24/06/2015 : Azure AD Connect est désormais disponible en GA
Important : Azure AD Connect est désormais le seul outil de synchronisation fourni par Microsoft.
Historique des versions
Fonctionnalités
Note : Il n’est pas possible de mettre en place une mode Exchange hybride multi-forêt avec cet outil.
On-premises > Cloud
Cloud > On-premises
* nécessite une licence Azure Active Directory Premium (P1 ou P2)
Chemins de migration
Voici un tableau récapitulant les possibilités de migration d’un outil de synchronisation à un autre :
Légende :
- Réinstallation par-dessus via le Wizard : il n’est pas necessaire de désinstaller l’ancienne version de l’outil pour passer à la suivante. Lancez simplement le nouvel exécutable et l’assistant d’installation devrait migrer vos paramètres de manière transparente. Cette migration s’appelle une migration “In-place”.
- Export de la configuration et migration sur un nouveau serveur en utilisant le Wizard : il est nécessaire d’exporter manuellement la configuration pour la réimporter dans AADConnect. AADConnect doit donc être installé sur un nouveau serveur. Cette migration s’appelle une migration “side-by-side”.
- Bloqué : ce scénario n’est pas supporté, et une réinstallation par-dessus sera bloquée par l’assistant. Il convient de désinstaller l’ancien outil puis d’installer le nouveau : une reconfiguration des paramètres est à prévoir (OU, règles personnalisées…).
Bonjour Maxime,
Pour information, AADConnect est en version 1.0.8667 (20/08/2015). Ceci pour actualiser ton tableau 🙂
Merci pour cet article fort intéressant et très clair.
Merci pour l’info, j’ai mis à jour l’article en conséquence 🙂 Pour info, la dernière version d’Azure AD Connect (update Août 2015) supprime la fonctionnalité User Writeback ! D’après l’équipe produit, cette fonctionnalité n’était pas assez mûre et posait pas mal de problèmes chez les clients.
Merci pour ce descriptif détaillé, il n’ y a pas beaucoup d’INFO qui filtre sur le net concernant ce sujet, alors que c’est primordiale pour une correcte configuration.
Encore un grand Merci.
Cordialement.
Bonjour,
très bon post, pour information, une nouvelle version d’aadconnect a vu le jour le 26 février 2016 : 1.1.110.0
plus d info sur :
https://blogs.technet.microsoft.com/ad/2016/02/18/azure-ad-connect-1-1-is-now-ga-faster-sync-times-automatic-upgrades-and-more/?wt.mc_id=DX_320012&MC=SysMagSof&MC=OfficeO365&MC=MachLearn&MC=Windows&MC=EntMobile
https://azure.microsoft.com/fr-fr/documentation/articles/active-directory-aadconnectsync-feature-scheduler/
Slesire@eliade.fr
Bonjour,
Merci pour ce récapitulatif, très utile! Pour info une version d’AADConnect est sortie en avril 2016 (1.1.130.0).
Que pensez-vous de la fonctionnalité de synchro de mot de passe pour certains utilisateurs seulement (via un scoping filter) ? Testé et ça fonctionne, elle reste une fonctionnalité non supportée par MS ?
Merci,
Pwnny
Bonjour Pwnny, j’ai confirmation de l’équipe produit que la synchro des mots de passe pour seulement quelques utilisateurs n’est pas officiellement supportée.
Bonjour Maxime,
Connaîtrais-tu la date d’intégration des annuaires LDAP (autres que AD) a Azure Active Directory Sync pour une synchro Office 365?
J’ai lu que cela est possible avec MIM 2016 et un connecteur LDAP, mais l’installation est plutôt lourde.
Merci,
Denis
Salut Denis,
L’intégration est bien dans la roadmap, mais aucune date publique n’est communicable pour le moment (sous NDA).
Hello,
L’intégration LDAP semble être prise en charge dans la dernière version d’AADConnect (1.1.180.0 – ça commence à être dur à suivre :-o). La possibilité de créer un connecteur LDAP est offerte depuis l’interface, mais également de créer un connecteur PowerShell, SQL, WebService. Non encore testé de mon côté, mais ça présage des choses intéressantes. 🙂
Une idée sur l’orientation de MS ? Pourquoi transforme t’il cet outil en un service de type FIM 2010/MIM 2016 ?
Merci,
Pwnny
Bonjour Maxime,
Vous m’avez l’air bien calé en synchro active directory Office 365. Nous sommes actuellement sur Dirsync et l’on se connecte à Office 365 avec notre login@domaine.fr. Tous les utilisateurs sans exception (même à la DSI se goure et utilise leur email prenom.nom@domaine.fr).
Je vouslais savoir si en passant à AD connect on pouvait changer cela et utiliser l’adresse email et non l’UPN pour se connecter à Office 365?
Question bonus, cela marche-il aussi sur l’adresse skype?
Merci d’avance pour vos réponses éclairée
Merci pour cet article très synthétique !