Exporter (0) Imprimer
Développer tout

Préparer la synchronisation d'annuaires

Publication: juin 2012

Mis à jour: novembre 2014

S'applique à: Azure, Office 365, Windows Intune

noteRemarque
Il est possible que cette rubrique ne soit pas entièrement applicable aux utilisateurs de Microsoft Azure en Chine. Pour plus d'informations sur le service Azure en Chine, consultez la page windowsazure.cn.

En tant qu'administrateur, vous devez effectuer quelques préparatifs avant de synchroniser votre annuaire Active Directory local à Microsoft Azure Active Directory (Microsoft Azure AD).

Si vous déployez l'authentification unique, nous vous recommandons de configurer l'authentification unique avant de configurer la synchronisation d'annuaires.

Après avoir configuré l'authentification unique, vérifiez que les conditions suivantes sont remplies :

  • Vous avez les logiciels requis.

  • Vous avez mis en place les autorisations appropriées.

  • Vous connaissez les conséquences de la synchronisation d'annuaires sur les performances.

L'activation de la synchronisation d'annuaires doit être considérée comme un engagement à long terme. Après avoir activé la synchronisation d'annuaires, vous pouvez seulement changer les objets synchronisés à l'aide de vos outils de gestion Active Directory locaux. Pour plus d'informations, consultez Synchronisation d'annuaires et source d'autorité.

Tous les clients d'Azure Active Directory et d'Office 365 ont une limite d'objets fixée à 50 000 objets à extension messagerie (utilisateurs, contacts à extension messagerie et groupes) par défaut.
Cette limite détermine le nombre d'objets que vous pouvez créer dans votre locataire.
Vous pouvez créer les objets à l'aide de DirSync, PowerShell ou l'API Graph.

Quand vous vérifiez votre premier domaine, cette limite d'objets est automatiquement augmentée à 300 000 objets.
Une seule augmentation est permise par locataire.

ImportantImportant
Si vous avez vérifié un domaine et si vous devez synchroniser plus de 300 000 objets, ou bien si vous n'avez aucun domaine à vérifier et si vous devez synchroniser plus de 50 000 objets à extension messagerie, contactez le support technique d'Azure Active Directory pour demander une augmentation de votre quota d'objets.

Si votre annuaire Active Directory local a moins de 50 000 objets à extension messagerie, déployez la synchronisation d'annuaires avec Microsoft SQL Server 2008 Express.
Toutefois, si votre annuaire Active Directory local a plus de 50 000 objets à extension messagerie, déployez la synchronisation d'annuaires avec une instance complète de SQL Server. Les instances complètes requises de SQL Server sont Microsoft SQL Server 2008 Standard, Microsoft SQL Server 2008 R2 ou Microsoft SQL Server 2012. Pour plus d'informations sur le déploiement de la synchronisation sur une version autonome de SQL Server, consultez la page relative à l'installation de l'outil de synchronisation d'annuaires sur SQL Server.

Cette section décrit les conditions requises pour l'ordinateur qui exécute l'outil de synchronisation d'annuaires. L'outil de synchronisation d'annuaires communique avec vos serveurs contrôleurs de domaine. L'installation par défaut de l'outil de synchronisation d'annuaires inclut une version de Microsoft SQL Server 2012 Express SP1.

L'ordinateur de synchronisation d'annuaires doit répondre aux conditions requises suivantes :

  • Il doit exécuter le système d'exploitation Windows Server. Les versions suivantes du système d'exploitation Windows Server sont prises en charge :

    • édition 64 bits de Windows Server 2008 Standard, Enterprise ou édition Datacenter avec SP1 ou version ultérieure

    • Windows Server 2008 R2 Standard, Enterprise ou édition Datacenter avec SP1 ou version ultérieure

    • Windows Server 2012 Standard ou Datacenter

    • Windows Server 2012 R2 Standard ou Datacenter

  • Il doit être membre d'Active Directory. L'ordinateur doit être membre de la forêt Active Directory que vous envisagez de synchroniser. Pour un scénario de déploiement Exchange hybride, il s'agit d'une obligation, car le serveur DirSync énumère et contacte explicitement tous les contrôleurs de domaine de la forêt pour définir les autorisations de mise à jour. La situation est différente si vous n'avez pas activé le déploiement hybride.
    L'ordinateur doit également pouvoir se connecter à tous les autres contrôleurs de domaine de votre forêt. Une forêt regroupe un ou plusieurs domaines Active Directory qui partagent les mêmes définitions de classes et d'attributs, les mêmes informations de site et de réplication, ainsi que les mêmes fonctionnalités de recherche à l'échelle de la forêt.

  • Elle doit exécuter Microsoft .NET Framework 3.5 SP1 et Microsoft .NET Framework 4.5.1 Si vous utilisez Windows Server 2008, .NET Framework sera déjà installé ; sinon, vous pouvez le télécharger à partir des emplacements suivants :

  • Il doit exécuter Windows PowerShell : si vous exécutez Windows Server 2003, vous devez télécharger Windows PowerShell. Si vous exécutez Windows Server 2008, vous devez activer Windows PowerShell. Pour plus d'informations, consultez Installer Windows PowerShell sur l'ordinateur de synchronisation d'annuaires.

  • Il doit être situé dans un environnement dont l'accès est contrôlé. L'accès à l'ordinateur qui exécute l'outil de synchronisation d'annuaires doit être limité aux utilisateurs qui ont accès à vos contrôleurs de domaine Active Directory et autres composants réseau sensibles. Seuls les utilisateurs ou les administrateurs ayant les autorisations nécessaires pour apporter des changements aux contrôleurs de domaine dans Active Directory doivent avoir accès à cet ordinateur.

noteRemarque
La prise en charge de Windows Server 2012 a été ajoutée au serveur qui exécute l'outil de synchronisation d'annuaires.

ImportantImportant
Vous ne pouvez installer qu'un seul ordinateur exécutant l'outil de synchronisation d'annuaires entre un service d'annuaire Active Directory local et un locataire Office 365.

Le tableau suivant présente les conditions requises pour les contrôleurs de domaine déployés dans vos forêts Active Directory et qui communiquent avec l'environnement Office 365.

 

Composant Conditions requises

Forêt Active Directory

  • Niveau fonctionnel ou supérieur d'une forêt Windows Server 2003

Contrôleur de domaine

  • Édition 32 bits ou 64 bits de Windows Server 2003 Standard ou Entreprise avec Service Pack 1 (SP1)

  • Édition 32 bits ou 64 bits de Windows Server 2008 Standard ou Entreprise, Windows Server 2008 R2 Standard ou Entreprise, Windows Server 2008 Datacenter ou Windows Server 2008 R2 Datacenter.

  • Windows Server 2012 Standard ou Datacenter.

ImportantImportant
Dans chaque site Active Directory où vous envisagez d'installer des serveurs hybrides Exchange 2010 SP2, vous devez disposer d'au moins un serveur de catalogue global configuré.

Quand vous installez l'outil de synchronisation d'annuaires, l'Assistant Configuration crée un compte de service qui lit le contenu de votre annuaire Active Directory local et écrit dans Azure AD. L'Assistant crée ce compte à l'aide de vos autorisations d'administrateur Active Directory local et de vos autorisations d'administrateur cloud, que vous fournissez dans le cadre de l'installation.

Pour exécuter l'outil de synchronisation d'annuaires, vous devez disposer d'autorisations d'administrateur pour les éléments suivants :

  • ordinateur exécutant l'outil de synchronisation d'annuaires ;

  • annuaire Active Directory local de votre société ;

  • compte d'administrateur de service cloud Microsoft de votre société. (Consultez Informations d'identification Azure AD)

La première fois que l'outil de synchronisation d'annuaires s'exécute, il copie tous les objets appropriés (comptes d'utilisateurs et groupes de sécurité) vers Azure AD. Avant d'effectuer cette opération, vous devez connaître le nombre d'objets à copier pour pouvoir anticiper son impact sur la latence de votre réseau et sur les ordinateurs qui exécutent Microsoft Exchange Server.

noteRemarque
Le service Azure AD prend en charge la synchronisation de 50 000 objets à extension messagerie au maximum. Pour synchroniser plus de 50 000 objets à extension messagerie, contactez le support technique.

TipConseil
Vous utilisez Office 365 ? Les objets synchronisés à partir de votre service d'annuaire local apparaissent immédiatement dans la liste d'adresses globale. Toutefois, ces objets peuvent prendre jusqu'à 24 heures pour apparaître dans le carnet d'adresses en mode hors connexion et dans Lync Online.

Pour configurer la synchronisation d'annuaires, vous devez désigner un ordinateur comme ordinateur de synchronisation d'annuaires, puis installer l'outil de synchronisation d'annuaires sur cet ordinateur.

Les performances de l'outil de synchronisation d'annuaires dépendent de la taille et de la complexité de l'annuaire Active Directory du client, ainsi que du matériel sur lequel s'exécute l'outil de synchronisation d'annuaires. L'exécution de l'outil de synchronisation d'annuaires sur un matériel inadapté a un impact sur les performances, ce qui se traduit par une augmentation de la latence ou même un échec de la propagation des données locales vers le cloud.

Dans le cas de déploiements Active Directory avec plus de 50 000 objets à extension messagerie, nous vous recommandons de déployer l'outil de synchronisation d'annuaires avec une instance SQL complète (déploiement avec une autre version que SQL Server Express, par exemple SQL Server Standard, Enterprise ou DataCenter). Les clients ayant moins de 50 000 objets à extension messagerie peuvent également choisir d'utiliser une instance SQL complète. Toutefois, la version de SQL Server Express installée par défaut avec l'outil de synchronisation d'annuaires est suffisante.

Le tableau suivant indique les configurations matérielles minimales pour l'ordinateur de synchronisation d'annuaires en fonction du nombre d'objets présents dans votre annuaire Active Directory local.

 

Nombre d'objets dans Active Directory Unité centrale Mémoire Taille du disque dur

Moins de 10 000

1,6 GHz

4 Go

70 Go

10,000–50,000

1,6 GHz

4 Go

70 Go

50,000–100,000

Demande un serveur SQL Server complet

1,6 GHz

16 Go

100 Go

100,000–300,000

Demande un serveur SQL Server complet

1,6 GHz

32 Go

300 Go

300,000–600,000

Demande un serveur SQL Server complet

1,6 GHz

32 Go

450 Go

Plus de 600 000

Demande un serveur SQL Server complet

1,6 GHz

32 Go

500 Go

Divers processus de l'outil de synchronisation d'annuaires consomment de l'espace disque. L'espace disque consommé par l'outil de synchronisation d'annuaires augmente en fonction de plusieurs facteurs, notamment la taille et la complexité de l'infrastructure Active Directory à partir de laquelle s'effectue la synchronisation de l'outil de synchronisation d'annuaires.

Les capacités de disque dur répertoriées dans le tableau ci-dessus sont des estimations de l'espace disque total nécessaire pour synchroniser Active Directory en fonction des tailles indiquées.

Par défaut, l'outil de synchronisation d'annuaires installe Microsoft SQL Server 2008 R2 Express. Les fichiers de données sont stockés dans le même répertoire que les fichiers du produit de synchronisation d'annuaires Microsoft Online (chemin d'accès spécifié durant l'installation de l'outil de synchronisation d'annuaires - C:\Program Files\Microsoft Online Directory Sync). L'emplacement de ces fichiers de base de données n'est pas configurable pour SQL Server 2008 R2 Express.

L'outil de synchronisation d'annuaires n'impose pas ou ne demande pas de configuration spécifique du disque dur pour les clients qui utilisent une instance existante de SQL Server. Toutefois, les machines dont les configurations de disque sont optimisées pour SQL atteignent de meilleures performances globales durant la synchronisation d'annuaires.

Pour s'inscrire aux services en ligne de Microsoft, les utilisateurs doivent fournir des informations d'identification sous forme d'une combinaison de nom d'utilisateur et de mot de passe.
Un format possible pour un nom d'utilisateur est l'attribut UPN (nom de principe d'utilisateur) local, appelé également nom de connexion.
L'utilisation du nom UPN local nécessite l'attribut UPN pour utiliser un domaine publiquement routable.
Cependant, il existe des cas où le domaine local n'est pas routable.
C'est vrai, par exemple, des domaines de niveau unique comme « .local » ou « .intranet ».

L'une des méthodes pour y remédier est d'ajouter un suffixe UPN de remplacement dans votre Active Directory.
Les instructions ci-dessous illustrent comment ajouter un suffixe de remplacement.

Sinon, vous pouvez également configurer un ID de connexion de remplacement, ce qui est la méthode recommandée.
Pour plus de détails, consultez Using Alternate Login IDs with Azure Active Directory.

Vous devez ajouter un autre suffixe UPN pour associer les informations d'identification d'entreprise de l'utilisateur à l'environnement Office 365. Un suffixe UPN est la partie d'un nom d'utilisateur principal (UPN) située à droite du caractère @. Les UPN utilisés pour l'authentification unique peuvent contenir des lettres, des chiffres, des points, des tirets et des caractères de soulignement, mais pas d'autres types de caractère.

  1. Cliquez sur Démarrer, sur Outils d'administration, puis sur Domaines et approbations Active Directory.

  2. Connectez-vous à l'un des contrôleurs de domaine Active Directory de votre organisation.

  3. Dans l'arborescence de la console, cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Propriétés.

  4. Sélectionnez l'onglet Suffixes UPN, tapez un autre suffixe UPN pour la forêt, puis cliquez sur Ajouter.

  5. Répétez l'étape 3 pour ajouter d'autres suffixes UPN

Si vous n'avez pas encore configuré la synchronisation Active Directory, vous pouvez ignorer cette tâche et passer à la section suivante.

Si vous avez déjà configuré la synchronisation Active Directory, l'UPN de l'utilisateur pour Office 365 risque de ne pas correspondre à l'UPN local de l'utilisateur défini dans Active Directory. Cela peut se produire quand une licence est affectée à un utilisateur avant que le domaine ne soit vérifié.

Pour remédier à ce problème, utilisez Windows PowerShell pour mettre à jour les UPN des utilisateurs. Ainsi, vous saurez que leur UPN d'Office 365 correspond à leur nom d'utilisateur et domaine d'entreprise.

Après avoir éventuellement configuré l'authentification unique et préparé votre ordinateur de synchronisation d'annuaires, vous êtes prêt à Activer la synchronisation d'annuaires.

noteRemarque
Si vous avez des questions concernant le contenu de cet article ou si vous avez des commentaires généraux, envoyez un message au Azure Active Directory Discussion Forum.

Voir aussi

Concepts

Préparer l'authentification unique
Informations d'identification Azure AD

Autres ressources

Meilleures pratiques pour le déploiement et la gestion de l'outil de synchronisation Azure Active Directory
Liste des attributs synchronisés par l'outil de synchronisation Azure Active Directory

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft