Comment associer Office 365 à Active Directory

Après avoir migré vers le Cloud, vous devez désormais gérer les éléments d’Exchange qui ne sont pas contrôlés par Active Directory.

Vous avez réussi votre passage à Office 365. Vous devez désormais migrer vos boîtes aux lettres Exchange dans le Cloud. Si Microsoft a la charge de l’infrastructure, vous devez, de votre côté, gérer vos comptes utilisateurs ainsi que les boîtes aux lettres associées.

Active Directory, une clé pour gérer Office 365

Si vous utilisez Windows Azure Directory Sync Tool (DirSync), vous avez déjà relié Active Directory (AD) en local à Office 365. Cela signifie que vous ne pouvez pas aller plus loin avec Office 365. Vous devez éditer les attributs dans Active Directory et les laisser se synchroniser.

C’est une bonne nouvelle en terme de gestion opérationnelle au quotidien. Si un nom est incorrect, les informations détaillées peuvent être éditées dans AD. Si une appartenance à un groupe est modifiée dans Active Directory, les modifications seront appliquées via le Cloud.

Toutefois, si vous avez déjà désinstallé vos serveurs Exchange, la création une boite aux lettres ou la modification de certaines informations - comme les adresses emails d’un utilisateur - sera plus difficile. Ces attributs sont gérés en local, dans Active Directory. En supprimant vos serveurs Exchange et les outils de gestion, vous avez sans doute perdu aussi la possibilité d’éditer les attributs spécifiques à Exchange dans Active Directory. De plus, ajouter des nouvelles adresses email via ADSI Edit ou via Active Directory Users et Computers Attribute Editor n’est pas souhaitable -  à moins que vous aimiez la difficulté.

Gérer Office 365 et Exchange Online dans AD en local

Microsoft recommande d’utiliser la licence serveur hybride (gratuite) pour la gestion continue d’Office 365 dans AD. Cela permet d’installer une copie d’Exchange pour avoir accès aux outils d’administration.

Si vous êtes un client Office 365, vous pouvez demander les codes de cette licence depuis le portail Office 365, en sollicitant le support. Vous devez d’abord décider quelle version d’Exchange utiliser avec les outils d’administration.

Exchange 2013 vous permet d’utiliser la même interface Web d’administration qu’Exchange Online et les deux sont intégrées. Si vous choisissez une licence hybride Exchange 2013, vous devez installer les rôles Mailbox et Client Access.

D’un autre côté, Exchange 2010 SP3 offre des fonctions identiques d’administration, mais avec Exchange Management Console - un environnement plus familier. Vous ne devez installer qu’un seul rôle Exchange 2010 et le rôle Hub Transport fera tout le reste. Cette dernière option conviendra à nombre d’entreprises, notamment de part le peu de contraintes. Vous pouvez également installer Exchange 2010 Management Server sur le serveur qui exécute DirSync.

Après l’installation, créez des domaines associés à Office 365, ainsi qu’un domaine distant associé à votre instance d’Office 365, comme contoso.mail.microsoft.com. Après avoir créer ce domaine distant, configurez-le pour qu’il devienne votre domaine Office 365.

Si vous effectuez une migration hybride, tout cela sera probablement en place et vous pouvez continuer à gérer à distance vos boîtes aux lettres. Inutile d’exécuter l’assistant Hybrid Configuration Wizard car tout ce qu’il permet de faire est de gérer ce qui est déjà dans Active Directory.

Lorsque vous créez une nouvelle boîte aux lettres dans Office 365, rappelez-vous ceci :

  • Vous ne créez pas une nouvelle boîte aux lettres; vous créez une boîte aux lettres distante (Remote Mailbox). Voici comment trouver cette option :
    • Dans Exchange 2013 Admin Center, dans Recipent > Mailboxes puis New Office 365 Mailbox. 
    • Dans Exchange 2010 Management Console dans Recipent Configuration puis Contacts as New Remote Mailbox. Vous gérez également les attributs de ces utilisateurs dans Contacts.
    • Depuis Exchange Management Shell : <code>New-RemoteMailbox and Enable-RemoteMailbox </code>
  • Après avoir créer une nouvelle boîte aux lettres distante avec vos outils d’administration Exchange, DirSync la crée dans Office 365. N’oubliez pas d’attribuer une licence adaptée dès que possible.
  • Lorsque vous créez un nouvel utilisateur dans votre boîte aux lettres distante, utilisez le bon UPN (User Principal Name). Il configure le Microsoft Online Services ID et correspond généralement à l’adresse SMTP de votre nouvel utilisateur.
  • Parfois, les outils d’administration en local configurent l’adresse de réponse du nouvel utilisateur avec le mauvais domaine. Editez les propriétés de l’utilisateur, désélectionnez l’option Email Adress Policy et modifiez l’adresse du Primary SMTP.

Mais comment faire si vous ne voulez pas installer une copie d’Exchange ? Ou encore si vous voulez seulement gérer les attributs AD ? Microsoft ne propose pas de méthodes pour installer uniquement les Exchange Management Tools, mais les plus aguerris à PowerShell peuvent le faire. Sur le site 365lab.com, Andreas Lindhal a écrit un module PowerShell qui permet de gérer assez facilement les attributs Exchange et Exchange Online.

Ce qu’AD ne prendra pas en compte dans Office 365

En local, Active Directory prend en charge la plupart des aspects d’un boîte aux lettres Office 365, mais pas tous. Tous les détails concernant les utilisateurs sont synchronisés, tels que le nom, les informations liées à l’ entreprise, les membres des groupes, les adresses emails, les numéros de téléphone, les informations liées aux supérieurs hiérarchiques, la photo et l’identifiant. Nombre d’attributs Exchange qui définissent ce qu’est une boîte aux lettres sont également synchronisés. Pour une liste complète des attributs synchronisés, rendre-vous sur le suite du support Microsoft.

Au final, peu d’élément ne sont pas synchronisés. Notamment parce que certaines fonctions Exchange n’existent pas dans Active Directory en local. Par exemple, activer ou désactiver Unified Messaging, accéder à OWA, ActiveSync, IMAP, POP3 ou encore Outlook for Devices sont gérés dans Office 365 via Exchange Admin Center ou Exchange Online PowerShell.

D’autres attributs pourraient certes être gérés depuis AD en local, comme une adresse de reroutage ou la possibilité de convertir une boîte aux lettres en boîte aux lettres partagée. Mais ils ne le sont pas. Tournez-vous alors vers le Cloud pour prendre en compte ces attributs.

A propos de l’auteur
Steve Goodman est MVP Exchange et travaille comme architecte technique chez l’un des plus importants partenaires Microsoft au Royaume-uni.

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)

Close