1) Prérequis
- AD DS sain (réplication OK,
dcdiag,repadmin /replsummary), temps NTP cohérent. - Suffixe UPN public routable (ex.
@nicolas-sapin.fr) aligné avec le domaine vérifié dans Entra ID. - Un serveur Windows membre (pas DC) pour Entra Connect, avec accès Internet sortant (443).
- Rôles M365/Entra requis : Global Admin/Cloud App Admin durant l’assistant (peut être retiré ensuite).
2) Architecture cible
- AD DS on‑prem (utilisateurs, groupes, devices).
- Entra ID pour l’auth dans le cloud (M365, SaaS).
- Entra Connect synchronise identités/attributs (cycle delta ~30 min).
- Auth : PHS (Password Hash Sync, recommandé & simple) ou PTA (Pass‑Through Authentication).
- Seamless SSO pour l’ouverture de session transparente sur le réseau interne.
- Hybrid Azure AD Join pour les postes Windows 10/11.
PHS vs PTA
Choix par défaut : PHS Seamless SSO
| Mode | Avantages | Quand |
|---|---|---|
| PHS | Simple, haute dispo native, pas d’agent auth sur site | La plupart des cas |
| PTA | Mot de passe jamais synchronisé (hash), contrôle local | Exigences de sécu spécifiques |
3) Déploiement pas à pas
a) Préparer l’AD local
- Ajouter un UPN suffix public (ex.
nicolas-sapin.fr) et l’assigner aux utilisateurs. - Nettoyer les doublons d’attributs (UPN, proxyAddresses), résoudre les objets orphelins.
- Vérifier DNS/temps, et que les DCs sortent sur 443 si nécessaire (Connect Health).
b) Vérifier le domaine dans Entra ID
- Ajouter
nicolas-sapin.frdans Entra ID, publier l’enregistrement TXT via l’hébergeur (OVH) puis valider.
c) Installer Entra Connect
- Installer sur un serveur membre dédié (non‑DC), joindre au domaine.
- Lancer l’assistant : choisir PHS + Seamless SSO (par défaut), filtrer les OU nécessaires.
- Activer (option) : Password Writeback si reset de mot de passe depuis le cloud.
d) Hybrid Azure AD Join (appareils)
- Configurer le SCP (Service Connection Point) pour le tenant.
- Déployer la GPO d’inscription automatique (Windows 10/11).
- Vérifier côté poste :
dsregcmd /status→ AzureAdJoined : YES / DomainJoined : YES.
e) Postes & accès
- Activer MFA & Conditional Access (ex : pas d’accès sans MFA hors France, device compliant requis…).
- (Option) Intune pour la gestion MDM/MAM et la conformité.
4) Sécurité & conformité
- Comptes break‑glass cloud, exclus des politiques CA, stockés en lieu sûr.
- Logs et Connect Health pour les agents/sync ; alertes sur échec de sync.
- Moindre privilège : comptes de service dédiés par rôle, rotation des secrets.
- Staging server Entra Connect pour reprise rapide (basculer en actif en cas de panne).
- Respect RGPD : revue des attributs synchronisés (minimisation), cartographie des traitements, droits des personnes.
5) Supervision, sauvegarde & PRA
- Installer Azure AD Connect Health (agents) pour AD DS & sync.
- Surveiller Synchronization Service Manager (
miisclient.exe), cycles delta/initial. - Sauvegarde du serveur Connect (VM snapshot/backup) et de sa configuration.
- Doc PRA : procédure de réinstall/bascule (staging → actif), vérifications post‑restauration.
6) Tests & validation
Côté utilisateur & device
:: Vérifier l’inscription
dsregcmd /status
:: Vérifier l’UPN et le domaine
whoami /upn
:: Tester un accès M365 + MFA/CACôté sync
# Lancer une synchro delta
Start-ADSyncSyncCycle -PolicyType Delta
# Voir les logs dans Synchronization Service Manager
miisclient
# Vérifier les connexions sortantes
Test-NetConnection login.microsoftonline.com -Port 4437) Dépannage
- UPN non routable : passer en suffixe public (ex.
.local→nicolas-sapin.fr). - Doublons (UPN, proxyAddresses) : nettoyer côté AD avant sync initiale.
- Horloge désalignée : corriger NTP (Kerberos/TLS).
- PTA indisponible : installer plusieurs agents PTA ou revenir à PHS.
- Hybrid Join KO : vérifier SCP, GPO, et
dsregcmd /status.
8) KPI & exploitation
- Délai de provisionning (création AD → dispo cloud)
- Taux d’échec de sync, alertes Connect Health
- Couverture MFA/CA, conformité device (si Intune)
← Retour aux réalisations
PHS
PTA
Seamless SSO
Hybrid Join