Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Entra Cloud Sync représente l’orientation stratégique de Microsoft pour la synchronisation d’identités hybrides, offrant une approche moderne et gérée par le cloud pour synchroniser les utilisateurs, les groupes et les contacts entre Active Directory et Microsoft Entra ID. À mesure que les organisations évaluent leur infrastructure d’identité hybride, il est essentiel de comprendre les avantages techniques et la préparation de la migration pour prendre des décisions éclairées.
Ce guide de décision aide les architectes informatiques et les décideurs à évaluer la migration de Microsoft Entra Connect à Cloud Sync en comparant les fonctionnalités techniques, en identifiant les avantages architecturaux et en fournissant des évaluations de préparation à la migration. Pour obtenir des informations de base sur la vue d’ensemble, consultez Présentation de Microsoft Entra Cloud Sync ? et pour connaître les procédures de migration pas à pas, consultez Migration de Microsoft Entra Connect vers Microsoft Entra Cloud Sync.
De nouvelles fonctionnalités d’identité et de synchronisation sont développées principalement sur la plateforme Cloud Sync, ce qui en fait le chemin recommandé pour la plupart des organisations.
Avantages techniques de la migration
Cette section présente les principaux avantages techniques de la migration de Microsoft Entra Connect à Cloud Sync, fournissant des informations sur la façon dont l’architecture et les fonctionnalités de Cloud Sync peuvent améliorer votre environnement d’identité hybride.
Architecture de configuration gérée par le cloud
Microsoft Entra Connect s’appuie sur la configuration de serveur local qui nécessite un accès direct au serveur pour la gestion, les mises à jour et la résolution des problèmes. Cloud Sync déplace la gestion de la configuration vers le cloud, en stockant tous les paramètres de synchronisation dans Microsoft Entra ID dans le cadre du service. Cette architecture élimine la nécessité d’une gestion de serveur locale tout en fournissant un contrôle centralisé via le Centre d’administration Microsoft Entra.
Les administrateurs peuvent modifier les configurations de synchronisation, surveiller l’état de synchronisation et résoudre les problèmes à partir de n’importe quel emplacement sans avoir besoin d’un accès VPN ou d’une connectivité locale. Les modifications de configuration sont automatiquement distribuées aux agents, ce qui réduit la surcharge administrative et la dérive de configuration potentielle.
Fiabilité améliorée par le biais de plusieurs agents actifs
Microsoft Entra Connect crée un point de défaillance unique : si le serveur Connect devient indisponible, la synchronisation s’arrête jusqu’à ce que le serveur soit restauré. Cloud Sync prend en charge plusieurs agents d’approvisionnement actifs déployés sur différents serveurs, fournissant des fonctionnalités de basculement automatique.
Lorsqu’un agent devient indisponible, d’autres agents continuent à traiter les demandes de synchronisation sans interruption. Ce modèle distribué élimine les temps d’arrêt planifiés pour la maintenance et offre une résilience intégrée aux défaillances matérielles ou aux problèmes de connectivité réseau. Les organisations peuvent déployer des agents de manière stratégique sur différents emplacements ou segments réseau pour optimiser les performances et la fiabilité.
Modèle de déploiement et d’extensibilité moderne
Le modèle d’agent d’approvisionnement léger nécessite des ressources serveur minimales par rapport à l’installation complète de Connect Sync. Les agents peuvent être déployés sur des contrôleurs de domaine existants ou sur des serveurs autonomes avec un impact minimal sur les ressources. Cette flexibilité de déploiement permet aux organisations de mettre à l’échelle l’infrastructure de synchronisation en fonction de la distribution géographique ou des exigences organisationnelles.
Les agents reçoivent automatiquement les mises à jour et les correctifs de sécurité de Microsoft sans intervention manuelle, ce qui garantit que l’infrastructure de synchronisation reste actuelle et sécurisée. Le processus de mise à jour gérée par le cloud réduit les fenêtres de maintenance et les efforts d’administration.
Fonctionnalités avancées de forêt déconnectée
Cloud Sync prend en charge la synchronisation à partir de plusieurs forêts Active Directory déconnectées. Ces scénarios sont couramment requis lors des fusions, acquisitions ou structures organisationnelles complexes. Contrairement à la synchronisation de Connect, qui nécessite des configurations complexes ou plusieurs instances pour des environnements non connectés, Cloud Synch gère ces scénarios via son architecture multi-locataires.
Chaque forêt déconnectée peut avoir des agents dédiés tout en conservant la gestion unifiée via le service cloud. Cette fonctionnalité simplifie les scénarios organisationnels complexes et réduit la complexité de l’infrastructure traditionnellement requise pour la synchronisation multi-forêts.
Plateforme stratégique pour les nouvelles fonctionnalités
Le focus de développement de Microsoft pour les nouvelles fonctionnalités de synchronisation et d’approvisionnement se concentre sur Cloud Sync. Les fonctionnalités telles que l’approvisionnement de groupes dans Active Directory, la source avancée de gestion d’autorité et les scénarios d’identité native cloud sont disponibles exclusivement dans Cloud Sync. Les organisations qui utilisent la synchronisation Connect peuvent manquer d’accès à de nouvelles fonctionnalités ou exiger des outils supplémentaires pour obtenir des fonctionnalités similaires.
Comparaison entre Microsoft Entra Connect et Cloud Sync
Le tableau suivant fournit une comparaison détaillée des fonctionnalités techniques entre Microsoft Entra Connect et Cloud Sync :
| Fonctionnalité/Capacité | Connecter la synchronisation | synchronisation dans le cloud | Notes techniques |
|---|---|---|---|
| Utilisateurs, groupes, synchronisation des contacts | ✓ | ✓ | Parité complète pour la synchronisation d’objets d’annuaire de base |
| Forêt connectée unique | ✓ | ✓ | Les deux prennent en charge les topologies à forêt unique standard |
| Forêts connectées multiples | ✓ | ✓ | Les deux prennent en charge plusieurs scénarios de forêt connectés |
| Soutien pour forêt déconnectée | ✗ | ✓ | Cloud Sync active les scénarios M&A sans consolidation de forêt |
| Synchronisation des appareils | ✓ | ✗ | Connect prend en charge la jonction Azure AD hybride ; non pris en charge actuellement dans Cloud Sync |
| Plusieurs instances de synchronisation active | ✗ | ✓ | Les agents Cloud Sync fournissent un basculement automatique et une répartition de charge. |
| Limites de mise à l’échelle par domaine | Illimité | 150 000 objets | Cloud Sync prend actuellement en charge jusqu’à 150 000 objets par domaine |
| Prise en charge des grands groupes | 250 000 membres | 50 000 membres | Connect prend en charge des groupes plus volumineux ; Cloud Sync limité à 50 000 membres |
| Synchronisation de hachage du mot de passe | ✓ | ✓ | Parité complète pour les fonctionnalités de synchronisation de mot de passe |
| Réécriture du mot de passe | ✓ | ✓ | La rétroaction SSPR est prise en charge sur les deux plateformes |
| Configuration de l’authentification Pass-Through | ✓ | ✗ | Configuration PTA gérée séparément de la synchronisation dans Cloud Sync ; L’authentification unique PTA et l’authentification unique transparente restent fonctionnelles après la migration |
| Configuration de l’intégration ADFS | ✓ | ✗ | La configuration de la fédération nécessite des outils distincts dans Cloud Sync |
| Attributs Hybrides Exchange | ✓ | ✓ | Prise en charge complète des scénarios hybrides Exchange |
| Extensions de répertoire (1-15) | ✓ | ✓ | Synchronisation d’attributs d’extension standard prise en charge |
| Attributs AD personnalisés | ✓ | ✓ | Attributs définis par le client et extensions d’annuaire pris en charge |
| Personnalisation des attributs de base | ✓ | ✓ | Personnalisation du flux d’attribut disponible via le générateur d’expressions |
| Règles de synchronisation avancées | ✓ | ✗ | Moteur de règle de synchronisation complexe disponible dans Connect ; Cloud Sync utilise le générateur d’expressions |
| Filtrage basé sur les OU | ✓ | ✓ | Les deux prennent en charge la délimitation de l’unité d’organisation |
| Filtrage basé sur des attributs | ✓ | Limité | Connect fournit un filtrage d’attributs complet ; Cloud Sync offre des fonctionnalités de base |
| Écriture différée de l’appareil | ✓ | ✗ | L’écriture différée de l’appareil a été abandonnée en faveur de la Confiance Kerberos dans le Cloud |
| Écriture différée de groupe V1 | ✓ | ✓ | Réécriture de groupe ancien prise en charge dans les deux systèmes |
| Provisionnement des groupes dans AD | ✗ | ✓ | L'approvisionnement de groupes cloud vers AD n'est disponible que dans Cloud Sync |
| Provisionnement des utilisateurs dans AD | ✗ | ✗ | Provisionnement des utilisateurs du cloud vers AD non pris en charge pour le moment |
| Références inter-domaines | ✓ | ✓ | Prise en charge des références utilisateur entre les domaines |
| Références inter-forêts | ✓ | ✗ | Connect prend en charge les relations d’objets de forêt à forêt |
| Fusionner des attributs à partir de plusieurs domaines | ✓ | ✗ | Connect peut fusionner des attributs à partir de différentes sources AD |
| Fonctionnalités de rapprochement | ✓ | ✗ | Correction de synchronisation hors bande non prise en charge actuellement dans Cloud Sync |
| Approvisionnement à la demande | ✗ | ✓ | Cloud Sync fournit des fonctionnalités de test de synchronisation immédiates |
| Gestion de la configuration cloud | ✗ | ✓ | Cloud Sync géré entièrement via le Centre d’administration Microsoft Entra |
| Authentification unique transparente | ✓ | ✓ | Les deux plateformes prennent en charge l’authentification unique transparente |
| Cloud du gouvernement des États-Unis | ✓ | ✓ | Les deux prennent en charge les déploiements de cloud souverains |
Évaluation de la préparation de la migration
En fonction de vos besoins actuels et de la comparaison des fonctionnalités dans le tableau ci-dessus, évaluez votre préparation à la migration à l’aide des scénarios suivants :
Prêt pour la migration immédiate
Votre organisation peut migrer immédiatement si vous remplissez tous ces critères :
- Échelle de l’objet : moins de 150 000 objets par domaine Active Directory
- Taille du groupe : groupes avec moins de 50 000 membres
- Gestion des appareils : ne pas utiliser Hybrid Azure AD Join ou ne pas vouloir passer à l’approbation Kerberos Cloud
- Authentification : utilisation de la synchronisation de hachage de mot de passe ou gestion des configurations ADFS/PTA séparément.
- Filtrage : utilisation du filtrage basé sur l’unité d’organisation plutôt que des règles complexes basées sur des attributs
- Configuration de la forêt : forêts uniques ou forêts connectées (aucune configuration requise pour la forêt déconnectée)
Les organisations qui correspondent à ce profil bénéficient immédiatement des améliorations de l’architecture de Cloud Sync, de la prise en charge de plusieurs agents et de l’accès aux nouvelles fonctionnalités natives cloud.
Planifier la migration à court terme
Envisagez de planifier la migration en fonction de la disponibilité des fonctionnalités si vous avez ces exigences qui peuvent devenir prises en charge :
- Synchronisation des appareils : Actuellement, ils s'appuient sur la synchronisation des appareils avec Hybrid Azure AD Join
- Filtrage avancé : utiliser un filtrage complexe basé sur des attributs au-delà des fonctionnalités de synchronisation cloud actuelles
- Approvisionnement des utilisateurs vers AD : besoin de fonctionnalités d’approvisionnement d’utilisateurs du cloud à AD
Surveillez les annonces de fonctionnalités de Microsoft pour connaître la disponibilité des fonctionnalités et planifier le minutage de la migration en fonction de vos dépendances critiques.
Évaluer la migration future
Les organisations présentant ces caractéristiques doivent évaluer le minutage de la migration en fonction des cycles de planification des activités :
- Déploiements à grande échelle : plus de 150 000 objets par domaine ou groupes dépassant 50 000 membres
- Règles de synchronisation complexes : règles de synchronisation personnalisées étendues nécessitant un effort de reconfiguration important
- Dépendances inter-forêts : relations complexes d'objets inter-forêts qui ne sont pas prises en charge dans Cloud Sync
- Exigences de rapprochement : dépendance critique vis-à-vis des fonctionnalités de correction de synchronisation hors bande
- Planification des ressources : ressources limitées pour l’exécution du projet de migration
Pour les environnements à grande échelle, évaluez si le segmentage de la migration par domaine ou unité organisationnelle offre un chemin viable tout en conservant la continuité de l’activité.
Cadre de décision
Utilisez cette infrastructure pour prendre votre décision de migration :
- Évaluer les dépendances actuelles : passez en revue l’utilisation des fonctionnalités spécifiques à Connect à l’aide du tableau complet des fonctionnalités ci-dessus
- Évaluer la préparation de la migration : déterminer quel scénario de préparation correspond à votre environnement
- Planifier le minutage de la migration : surveiller les annonces de fonctionnalités, prendre en compte les cycles d’activité et évaluer la disponibilité des ressources
- Valider les conditions préalables : vérifiez que votre environnement répond aux prérequis de la synchronisation cloud
- Processus de migration de test : Utilisez le didacticiel de migration pilote pour valider le processus de migration