Déplacer la synchronisation Azure AD Connect vers un nouveau tenant Microsoft 365
Sommaire
- I. Présentation
- II. Vérifier l'état de la synchronisation Azure AD Connect
- III. Arrêter la synchronisation automatique Azure AD Connect
- IV. Synchroniser à partir d'une OU vide
- V. Désactiver le seuil "Deletion Threshold"
- VI. Désinstallation d'Azure AD Connect
- VII. Supprimer le domaine du tenant actuel
- VIII. Ajouter le domaine sur le nouveau tenant
- IX. Nouvelle installation d'Azure AD Connect
- X. Conclusion
I. Présentation
Dans ce tutoriel, nous allons voir comment synchroniser une instance Azure AD Connect vers un nouveau tenant Microsoft 365, en conservant le même domaine. Autrement dit, nous allons déconnecter Azure AD Connect d'un tenant Microsoft 365 (ou Office 365) en cours de synchronisation, pour le remettre en place vers un nouveau tenant, à partir du même annuaire Active Directory et en utilisant le même domaine "it-connect.tech".
J'ai eu besoin d'effectuer cette opération récemment pour réorganiser mon environnement de tests, alors j'en ai profité pour faire cette procédure. Il est à noter que cet article ne couvre pas la récupération éventuelle des données : tout ce qui est sur le tenant actuel sera supprimé si ce n'est pas récupéré dans les temps (puisque les comptes ne restent pas indéfiniment dans la corbeille).
Voici un résumé des étapes à réaliser, dans le bon ordre :
- Vérifier l'état de la synchronisation Azure AD Connect
- Arrêter la synchronisation automatique Azure AD Connect
- Créer une OU vide dans l'Active Directory et baser la synchronisation Azure AD Connect sur cette OU (cela va supprimer tous les objets synchronisés auparavant)
- Supprimer le seuil qui bloque la synchronisation s'il y a 500 objets ou plus à supprimer
- Forcer la synchronisation Azure AD Connect : à partir de là, tous vos utilisateurs précédemment synchronisés iront dans les éléments supprimés
- Désinstaller Azure AD Connect et supprimer les données (dans Programmes et le profil dans Users)
- Supprimer le nom de domaine du tenant actuel
- Ajouter le nom de domaine sur le nouveau tenant
- Réinstaller complètement Azure AD Connect
- Vérifier que les objets sont bien synchronisés sur le nouveau tenant
Prêt ? Alors c'est parti...!
II. Vérifier l'état de la synchronisation Azure AD Connect
À partir du centre d'administration Office 365, vous pouvez vérifier l'état de la synchronisation Azure AD Connect en regardant le widget correspondant. En complément, je vous encourage à lancer l'outil "Synchronization Service" pour voir l'état des dernières synchronisations. C'est essentiel de vérifier que la synchronisation soit opérationnelle avant d'aller plus loin.
III. Arrêter la synchronisation automatique Azure AD Connect
Azure AD Connect effectue une synchronisation automatique à intervalle régulier. Dans le cadre de cette migration et pour maîtriser la synchronisation, nous allons désactiver la synchronisation automatique avec cette commande PowerShell :
Set-ADSyncScheduler -SyncCycleEnabled $False
Ensuite, vous pouvez vérifier que c'est bien pris en compte avec la commande ci-dessous.
Get-ADSyncScheduler
Dans le résultat de cette commande, la propriété "SyncCycleEnabled" doit avoir la valeur "False".
IV. Synchroniser à partir d'une OU vide
Le meilleur moyen de désynchroniser tous les éléments entre Active Directory et le tenant, c'est de changer les règles de synchronisation. En fait, cette étape est indispensable, car nous avons besoin de supprimer le domaine "it-connect.tech" du tenant actuel pour l'ajouter sur le nouveau tenant. Le problème, c'est que s'il y a des objets qui l'utilisent (par exemple, un utilisateur avec son adresse e-mail), ce ne sera pas possible de le supprimer, car cela crée une dépendance.
L'idée est la suivante : créer une OU nommée "Vide" (ou avec un autre nom) dans l'AD, en faisant en sorte qu'elle soit réellement vide comme son nom l'indique... Ensuite, nous allons reconfigurer l'instance Azure AD Connect pour que l'outil synchronise uniquement les objets de cette OU. Ainsi, tous les autres objets ne seront plus dans le périmètre donc ils finiront dans les éléments supprimés sur Office 365.
Sur votre annuaire, créez cette fameuse OU... Soit en PowerShell ou avec la console graphique, comme vous voulez.
Ensuite, démarrez Azure AD Connect, choisissez "Personnalisation des options de synchronisation" et authentifiez-vous avec le compte de votre tenant actuel. Avancez jusqu'à l'étape "Filtrage par domaine/unité d'organisation" et ici sélectionnez "Synchroniser les domaines et les unités d'organisation sélectionnés" afin de cocher uniquement l'OU "Vide".
Poursuivez jusqu'à la fin... Afin de valider et cocher l'option "Démarrez le processus de synchronisation une fois la configuration terminée" afin de démarrer une synchronisation.
Cette synchronisation est lourde de conséquences : tous vos éléments synchronisés vont être supprimés du tenant !
V. Désactiver le seuil "Deletion Threshold"
Si vous avez moins de 500 objets synchronisés, cette limitation ne vous posera pas de problème. Sinon il faut savoir que Azure AD Connect intègre une sécurité qui va permettre d'empêcher la synchronisation s'il y a 500+ d'objets à supprimer : de quoi éviter la catastrophe si cela n'est pas volontaire.
Dans le cas où cela se produit, l'erreur "stopped-deletion-threshold-exceeded" est visible dans l'Observateur d'événements et dans la console Synchronization Service d'Azure AD Connect. Voici un exemple :
Pour désactiver cette sécurité, exécutez la commande PowerShell suivante :
Disable-ADSyncExportDeletionThreshold
Ensuite, relancez une synchronisation en ligne de commande :
Start-ADSyncSyncCycle -PolicyType Initial
Suite à cette synchronisation, les journaux de Synchronization Service doivent indiquer un grand nombre d'éléments supprimés ("Deletes") et sur le tenant, vous devez voir aussi du mouvement. Je vous invite à effectuer cette double vérification.
VI. Désinstallation d'Azure AD Connect
Pour qu'Azure AD Connect bascule d'un tenant à un autre, il convient de le réinstaller et de le reconfigurer entièrement. À partir de la console "Programmes et fonctionnalités", désinstallez Azure AD Connect.
Laissez l'option "Désinstaller également les composants de prise en charge" cochée et validez.
Quelques minutes plus tard, Azure AD Connect est désinstallé.
En complément, nous devons supprimer les données d'Azure AD Connect. Supprimez le répertoire "C:\Programmes\Microsoft Azure AD Sync", comme sur l'image ci-dessous.
Au passage, on en profite pour supprimer le dossier du compte utilisateur associé au service Azure AD Connect, cette fois-ci dans "C:\Users". Recherchez un dossier dont le nom commence par "ADSyncMSA". Par exemple :
Voilà, la désinstallation d'Azure AD Connect est effectuée.
VII. Supprimer le domaine du tenant actuel
À partir de l'interface admin.microsoft.com, connecté avec un compte du tenant actuel (amené à disparaître), nous devons supprimer le domaine "it-connect.tech" afin de le libérer et de pouvoir l'utiliser avec un autre tenant.
Ceci s'effectue dans "Paramètres" puis "Domaines". Ensuite, il faut définir le domaine onmicrosoft.com par défaut, puis sélectionner le domaine "it-connect.tech", et cliquer sur "Supprimer le domaine" en suivant l'assistant qui s'ouvre à ce moment-là. S'il y a une erreur, les éventuels éléments qui posent problème seront spécifiés.
VIII. Ajouter le domaine sur le nouveau tenant
Une fois que le domaine est correctement supprimé, il est libéré et peut être ajouté sur le nouveau tenant, toujours via admin.microsoft.com, dans "Paramètres" puis "Domaines". Sauf que cette fois-ci il faut ajouter un nom de domaine en suivant la procédure classique, notamment la création des enregistrements DNS, mais ici ils existent déjà.*
A partir du moment où le domaine est ajouté et qu'il est dans l'état "Sain", vous pouvez passer à la suite.
IX. Nouvelle installation d'Azure AD Connect
Le nom de domaine étant prêt sur le nouveau tenant, nous pouvons effectuer une nouvelle installation d'Azure AD Connect. Je ne vais pas décrire toutes les options, car j'ai déjà décrit l'installation de cet outil dans un précédent tutoriel.
Cette fois-ci, il faudra s'authentifier avec le compte Office 365 sur le nouveau domaine, soit avec un compte onmicrosoft.com ou avec un compte it-connect.tech créé au préalable.
Le domaine it-connect.tech est bien vérifié ! bonne nouvelle !
En mode personnalisé, il est possible de choisir les unités d'organisation à synchroniser. Cette fois-ci, on choisit les unités d'organisation où se situent nos utilisateurs, groupes, etc... à synchroniser, et on pourra en profiter pour supprimer l'OU "Vide" créée précédemment.
Une fois l'installation terminée, la synchronisation se lance... En regardant les journaux via Synchronization Service, on voit bien que les objets sont ajoutés et mis à jour sur le tenant Office 365.
Ils sont également visibles à partir du centre d'administration, comme ceci :
X. Conclusion
Nous venons de voir comment connecter Azure AD Connect sur un nouveau tenant, en conservant le nom de domaine. Maintenant, il faudra reconfigurer les autres fonctionnalités en place sur le tenant d'origine : MFA, règles d'anti-spam, groupes pour l'affectation des licences, etc... Car ce nouveau tenant dispose de sa propre configuration.
Bonjour Florian,
J’ai une question, je souhaites désynchro une OU sans quelle soit supprimée du tenant Azure.
A chaque fois que j’essai quelque chose ça se supprime et parfois ce n’est pas restaurable.
Est-possible ?
Cordialement,
Arnaud.