Microsoft a mis à jour sa documentation pour Azure Active Directory Connect à l’occasion de la disponibilité générale d’un scénario qui était recherché par de nombreuses entreprises afin de permettre la synchronisation d’objets vers plusieurs tenants Azure AD. Ceci permet donc de couvrir :
- La synchronisation des utilisateurs et des groupes d’Active Directory vers plusieurs tenants Azure AD
- La synchronisation des mots de passe à travers plusieurs tenants
- La synchronisation des mêmes utilisateurs, groupes ou contacts à travers différents Cloud Azure.
Parmi les règles de base, on retrouve :
- La même ancre source peut être utilisée pour un seul objet dans des tenants différents (mais pas pour plusieurs objets dans le même tenant).
- Vous devrez déployer un serveur AADConnect pour chaque tenant Azure AD que vous souhaitez synchroniser - un serveur AADConnect ne peut pas synchroniser avec plus d'un tenant Azure AD.
- Il est possible d'avoir différentes portées de synchronisation et différentes règles de synchronisation pour différents tenants.
- Une seule synchronisation avec un tenant Azure AD peut être configurée pour réécrire dans Active Directory pour le même objet. Cela inclut la réécriture de périphériques et de groupes ainsi que les configurations Exchange Hybrid - ces fonctionnalités ne peuvent être configurées que dans un seul tenant. La seule exception ici est la réécriture de mot de passe.
- Il est possible de configurer la synchronisation du hash du mot de passe (Password Hash Sync) depuis Active Directory vers plusieurs tenants Azure AD pour le même objet utilisateur. Si la synchronisation des hachages de mots de passe est activée pour un tenant, la réécriture des mots de passe peut également être activée, et cela peut être fait sur plusieurs tenants : si le mot de passe est modifié sur un tenant, la réécriture du mot de passe le mettra à jour dans Active Directory, et la synchronisation des hachages de mots de passe mettra à jour le mot de passe dans les autres tenants.
- Il n'est pas possible d'ajouter et de vérifier le même nom de domaine personnalisé dans plus d'un tenant Azure AD, même si ces tenants se trouvent dans des environnements Azure différents.
- Il n'est pas possible de configurer des expériences hybrides telles que Seamless SSO et Hybrid Azure AD Join sur plus d'un tenant. Cela écraserait la configuration de l'autre tenant et la rendrait inutilisable.
- Vous pouvez synchroniser les objets de périphérique sur plus d'un tenant, mais un seul tenant peut être configuré pour faire confiance à un périphérique.
- Chaque instance d'Azure AD Connect doit être exécutée sur une machine reliée à un domaine.
Plus d’informations dans le documentation => Azure AD Connect: Supported topologies | Microsoft Docs