Vue lecture

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
✇SharePoint & Products Technologies

OnPremise / Online / Hybride – Identité & Messagerie

Hi Folks, j’espère que vous allez bien,

Vous avez sans doute mis en place Teams pour pouvoir continuer de travailler à distance, la réservation des salles de réunion étant devenu des salles virtuelles Teams pour la plupart des sociétés qui ont déployée la solution rapidement face à cette pandémie, voir peut-être trop rapidement pour diverses questions techniques, financières, voire organisationelles. Et vous souhaitez aujourd’hui pouvoir rapprocher les deux monde (OnPremise / Legacy et celui du Cloud)

Dans cet article je vais m’attacher au fait de pouvoir rapprocher une identité Online avec une identité Cloud, et y rattacher la boite mail.

Vous avez / allez créer des comptes directement dans le cloud, et porter vos applications soit via Azure soit via 365 ou encore du PowerPlateform en low code. Mais attention, car si vous aviez des comptes existant OnPremise, vous vous retrouverez à devoir gérer alors deux environnements (un en local avec une identité, et un en online avec une autre identité, avec ou pas le même UPN) C’est ici que les choses deviennent plus complexes.

Dans ce cas de figure vous avez le besoin de rapprocher vos identités onpremise avec celle online, cela reste possible via une mécanique de « Hard Matching » – What ?

Le concept est le suivant, une fois votre système de synchronisation d’identité en place, il vous faudra faire « matcher » les identités cloud avec celle online.

Partons donc du principe suivant :

  • Vous disposez d’un AD non synchronisé
  • Vous disposez d’un Office365 avec des comptes créés à la main ou pas directement dans le Cloud
  • Donc ici vous avez 2 systèmes différents qu’il va falloir rapprocher (tant au niveau identité, que messagerie – tant qu’à faire autant profiter 🙂 )

En d’autres termes, comment passer d’un compte full cloud à un compte synchronisé ? Voyons cela ensemble

  1. Création d’une OU non synchronisée
  2. Ajout du compte utilisateur avec le même UPN que dans 365 (s’il n’existe pas, s’il existe passer cette étape)
  3. Exporter ensuite le GUID de l’utilisateur AD pour le transformer en ImmutableID (C’est ici que la magie opère)
    • ldifde -f c:\export.txt -r "(Userprincipalname=username@domain.com)" -l "objectGuid, userPrincipalName"
  4. Définissez ensuite l’ImmutableID de votre utilisateur dans 365
    • Set-MsolUser -UserPrincipalName username@domain.com -ImmutableId <ImmutableID>DRhSCJyOPAdhzoiunR8Z4Q==
  5. Déplacer votre utilisateurs dans une OU synchronisée, ou bien modifier Azure AD Connect afin de synchroniser l’OU qui contient vos utilisateurs

Votre utilisateur full cloud, est maintenant synchronisé avec votre AD local.

Oké, mais les boites aux lettres sont toujours séparées … effectivement, donc pour les migrer en cloud il y a plusieurs options, et nous allons nous attacher ici sur la synchronisation via une hybridation ce qui pourrait vous poser le plus de soucis.

Mais pourquoi est-il nécessaire de faire un reset de la BAL Online ?

Je prends comme hypothèse que l’hybridation de votre Exchange est conforme aux recommandations de l’éditeur, c’est à dire, que les connecteurs sont publiés (entrant et sortant), que les proxyaddress sont bien positionnées pour chaque utilisateur (attention à la différence entre SMTP et smtp) et que les mécanismes de coexistence sont bien en place et bien appliqués

Car rappelons le, vous avez une BAL OnPremise et une BAL Online et vous ne pourrez pas les synchroniser car la BAL Online est déjà existante. C’est la différence entre un UserMailbox et un MailUser. Ici nous recherchons à avoir cela dans 365 :

Pour avoir cela, il est nécessaire que votre utilisateur synchronisé ne soit pas de ce type :

BAL Online et non synchronisable

Mais plutôt de ce type là :

Utilisateur qui peut-être migré

Une fois que vous êtes de nouveau dans ce cas de figure, la victoire est proche 😉

Vous aurez deux cas de figures :

  • Conserver la BAL Online
    • via export PST et le centre de protection 365 (c’est long et lourd)
    • via l’utilisateur (well pourquoi pas)
    • via un outil de backup / restore (type Cloud Backup de AvePoint, Veeam, ou autres)
  • Ne pas conserver la BAL Online
    • Plus rapide (mais perte des infos de la BALs)

Ici je vais choisir de conserver les infos de la BAL 365 pour les restorer par la suite, puis faire un reset de la BAL Online, la synchroniser (ce qui deviendra alors possible), puis restorer le contenu de la BAL Online avec le backup dont je dispose, pour ne pas avoir de perte d’information.

Voici donc la timeline des actions, pour mieux situer

Il est possible que les actions de Clear ne fonctionne pas, si tel est le cas, je vous invite à vérifier que vous ne disposez d’aucunes adhérences au niveau conformité des boites aux lettres, notamment au niveau de la rétention des données. Si ces dernières sont actives, vous ne pourrez alors pas faire de clear de la BAL et d’autres alternatives seront alors à considérer.

Hope this helps,

Stay tuned & safe

mickey75019

❌