Le but est de synchroniser un domaine AD local vers un locataire Entra de façon à retrouver les utilisateurs de votre AD on-premise dans le cloud Microsoft, pour gérer les accès aux différentes applis cloud.
Dans cet article le serveur n’as encore reçu aucune modification liée au cloud Microsoft.
-> On suppose que vous avez déjà créer une souscription sur M365. Ici la souscription choisie est M365 E3 EEE NoTeams (Trial). Vous pouvez créer un compte d’essai de 1 mois gratuitement ici : Microsoft 365 E3 (no Teams) – Trial – Sign up
En théorie lorsque vous prenez la souscription et créez l’identifiant vous devenait automatiquement Admin global de l’infra Entra, donc vous utiliserez ce compte pour administrer Entra. En tout cas assurez-vous en.
Pour le compte admin de Entra, n’utilisez PAS un identifiant qui existe déjà dans votre AD local.
Nous allons donc travailler d’un côté sur la plateforme d’administration MS Entra entra.microsoft.com , et de l’autre côté sur le serveur local AD.
Sur l’AD local, vous aurez besoin d’un compte du domaine qui soit membre des groupes Admin du domaine ET Administrateurs de l’entreprise. Vérifiez donc que votre compte est dans ces 2 groupes.
1.Sur le serveur AD local
Vérifier Proxy et firewall :
S’assurer qu’aucun pare-feu ne bloque les connexion SORTANTES sur ports 80 et 443 TCP
Les URL suivantes doivent pouvoir être jointes depuis le serveur local.
login.windows.net
login.microsoftonline.com
mscrl.microsoft.com:80
crl.microsoft.com:80
ocsp.msocsp.com:80
www.microsoft.com:80
2.Dans l’interface d’administration M365 Entra (entra.microsoft.com)
-Aller dans Gestion hybride / Microsoft Entra Connect / Coud sync / Agents / Télécharger l’agent local.
-Envoyer le fichier sur le serveur AD local.
3.Sur le serveur AD local
-Faire l’installation de l’agent.
-Choisir HR-Driven provisioning
-Entrer les identifiants M365 de l’administrateur MS Entra.
-Sélectionner soit Create gMSA, soit Use Custom gMSA :
-> Create : Entrez vos identifiants d’admin du domaine, et l’agent créera lui-même un compte de service qui lui sera dédié (provAgentgMSA)
-> Custom : Vous définissez vous-même un compte AD de service que vous avez déjà créé au préalable.
-> De mon côté je sélectionne Create gMSA, puis je spécifie mes identifiants d’admin du domaine. L’installeur pourra alors créer l’objet provAgentgMSA dans l’OU Managed Service Accounts de l’AD.
-Page suivante, normalement votre domaine est sélectionné, sinon entrez le (votre_domaine.local). Puis Suivant et enfin Confirm.
4.Dans l’interface d’administration M365 Entra
-Allez dans Gestion hybride / MS Entra Connect / Cloud Sync / Agents
-Vous devriez voir votre serveur local hostname.votre_domaine.local donc l’installation de l’agent s’est bien passée.
5.Sur le serveur AD local
-Ouvrez services.msc pour vérifier la présence de l’agent.
-Les services Microsoft Entra Connect Agent Updater et Microsoft Entra Connect Provisioning Agent doivent être En cours et Automatique.
-Si besoin pour afficher la version de l’agent allez dans le dossier C:\Program Files\Microsoft Azure AD Connect Provisioning Agent
-Clique-droit / Propriétés sur AADConnectProvisioningAgent.exe puis Onglet Détails / champ Version de produit.
6.Dans l’interface d’administration M365 Entra
-Allez dans Gestion hybride / MS Entra Connect / Cloud Sync / Configurations.
-Cliquer sur Nouvelle Configuration / Synchronisation d’AD sur MS Entra.
-Normalement votre nom de domaine local est affiché dans le champ.
-Laissez la case cochée puis Créer. Ca va mouliner un petit peu.
-Vous arrivez ensuite dans la Vue d’ensemble de votre domaine local. Certaines options de Demarrage sont disponibles.
-Tout en bas, devant Activer votre configuration, cliquez sur Vérifier et Activer.
-Un volet s’ouvre, vérifiez le contenu puis cliquez sur Activer la configuration.
-Voila, normalement, dans Configurations, vous avez votre domaine local avec la mention Sain.
-S’il y a marqué Provisionnement en quarantaine à la place de Sain, cliquer sur le bouton 3 petits points.
-Cliquez ensuite sur le domaine pour afficher sa Vue d’ensemble.
-Cliquez sur Redémarrer le synchronisation.
-Aller ensuite dans Gestion hybride / MS Entra Connect / Connect Sync.
–Télécharger MS Entra Connect.
-Vous aurez un fichier AzureADConnect.msi, mettez le sur le serveur (on s’en occupe plus tard).
7.Sur le serveur AD local
Forcer TLS1.2
On doit forcer la prise en charge de TLS 1.2 sur le serveur.
-Pour activer TLS 1.2, télécharger ce script powershell www.infotrucs.fr/logiciels/tls_1.2_enable.ps1 et exécutez-le sur le serveur.
-Pour vérifier la bonne activation, téléchargez le script www.infotrucs.fr/logiciels/tls_1.2_check.ps1 et exécutez-le depuis un prompt powershell :
./chemin_du_script.ps1
-> La sortie doit afficher :
Path Name Value
---- ---- -----
HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319 SystemDefaultTlsVersions 1
HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319 SchUseStrongCrypto 1
HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 SystemDefaultTlsVersions 1
HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 SchUseStrongCrypto 1
HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server Enabled 1
HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server DisabledByDefault 0
HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client Enabled 1
HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client DisabledByDefault 0
8.Sur le serveur AD local
-Maintenant lancez l’installation de Entra Connect (fichier AzureADConnect.msi).
-Cliquez sur Utiliser la configuration rapide.
-Entrez votre identifiant d’administrateur Entra (de type machin@bidule.onmicrosoft.com)
-Mettre les identifiants dans la popup.
-Ensuite entrez les identifiants d’un admin du domaine.
-Cochez la case [Continuer sans faire correspondre tous les suffixe UPN…]
-Puis laissez coché [Démarrer le processus de synchro…] et cliquez sur Installer.
->Ca va mouliner un moment.
->Puis, c’est un succès, Configuration Terminée.
9.Dans l’interface d’administration M365 Entra
-La syncro s’est peut-être encore mise en quarantaine, allez vérifier et la désactiver de nouveau le cas échéant dans Gestion hybride / MS Entra Connect / Cloud Sync
-Allez dans Utilisateurs / Tous les utilisateurs.
->Vos utilisateurs AD locaux sont maintenant présents.
A partir de là, vos utilisateurs peuvent s’identifier sur leurs cloud microsoft myapps.microsoft.com leurs identifiants de l’AD local sous la forme :
Identifiant : user_AD@xxxxxx.onmicrosoft.com
Mot de passe : Celui de l’AD
-Une fois leurs identifiants entrés, il leur sera demandé d’installer l’appli Microsoft Authenticator sur le smartphone.