IT-Connect » Cours - Tutoriels » Administration Systèmes » Autres » Office 365 » Déplacer la synchronisation Azure AD Connect vers un nouveau tenant Microsoft 365

Office 365 

Déplacer la synchronisation Azure AD Connect vers un nouveau tenant Microsoft 365

Florian BURNEL 2075 Views 1 Commentaire , , 8 min read

I. Présentation

Dans ce tutoriel, nous allons voir comment synchroniser une instance Azure AD Connect vers un nouveau tenant Microsoft 365, en conservant le même domaine. Autrement dit, nous allons déconnecter Azure AD Connect d'un tenant Microsoft 365 (ou Office 365) en cours de synchronisation, pour le remettre en place vers un nouveau tenant, à partir du même annuaire Active Directory et en utilisant le même domaine "it-connect.tech".

J'ai eu besoin d'effectuer cette opération récemment pour réorganiser mon environnement de tests, alors j'en ai profité pour faire cette procédure. Il est à noter que cet article ne couvre pas la récupération éventuelle des données : tout ce qui est sur le tenant actuel sera supprimé si ce n'est pas récupéré dans les temps (puisque les comptes ne restent pas indéfiniment dans la corbeille).

Voici un résumé des étapes à réaliser, dans le bon ordre :

  • Vérifier l'état de la synchronisation Azure AD Connect
  • Arrêter la synchronisation automatique Azure AD Connect
  • Créer une OU vide dans l'Active Directory et baser la synchronisation Azure AD Connect sur cette OU (cela va supprimer tous les objets synchronisés auparavant)
  • Supprimer le seuil qui bloque la synchronisation s'il y a 500 objets ou plus à supprimer
  • Forcer la synchronisation Azure AD Connect : à partir de là, tous vos utilisateurs précédemment synchronisés iront dans les éléments supprimés
  • Désinstaller Azure AD Connect et supprimer les données (dans Programmes et le profil dans Users)
  • Supprimer le nom de domaine du tenant actuel
  • Ajouter le nom de domaine sur le nouveau tenant
  • Réinstaller complètement Azure AD Connect
  • Vérifier que les objets sont bien synchronisés sur le nouveau tenant

Prêt ? Alors c'est parti...!

II. Vérifier l'état de la synchronisation Azure AD Connect

À partir du centre d'administration Office 365, vous pouvez vérifier l'état de la synchronisation Azure AD Connect en regardant le widget correspondant. En complément, je vous encourage à lancer l'outil "Synchronization Service" pour voir l'état des dernières synchronisations. C'est essentiel de vérifier que la synchronisation soit opérationnelle avant d'aller plus loin.

Azure AD Connect - Etat de la synchronisation

III. Arrêter la synchronisation automatique Azure AD Connect

Azure AD Connect effectue une synchronisation automatique à intervalle régulier. Dans le cadre de cette migration et pour maîtriser la synchronisation, nous allons désactiver la synchronisation automatique avec cette commande PowerShell :

Set-ADSyncScheduler -SyncCycleEnabled $False

Ensuite, vous pouvez vérifier que c'est bien pris en compte avec la commande ci-dessous.

Get-ADSyncScheduler

Dans le résultat de cette commande, la propriété "SyncCycleEnabled" doit avoir la valeur "False".

IV. Synchroniser à partir d'une OU vide

Le meilleur moyen de désynchroniser tous les éléments entre Active Directory et le tenant, c'est de changer les règles de synchronisation. En fait, cette étape est indispensable, car nous avons besoin de supprimer le domaine "it-connect.tech" du tenant actuel pour l'ajouter sur le nouveau tenant. Le problème, c'est que s'il y a des objets qui l'utilisent (par exemple, un utilisateur avec son adresse e-mail), ce ne sera pas possible de le supprimer, car cela crée une dépendance.

L'idée est la suivante : créer une OU nommée "Vide" (ou avec un autre nom) dans l'AD, en faisant en sorte qu'elle soit réellement vide comme son nom l'indique... Ensuite, nous allons reconfigurer l'instance Azure AD Connect pour que l'outil synchronise uniquement les objets de cette OU. Ainsi, tous les autres objets ne seront plus dans le périmètre donc ils finiront dans les éléments supprimés sur Office 365.

Sur votre annuaire, créez cette fameuse OU... Soit en PowerShell ou avec la console graphique, comme vous voulez.

Active Directory - OU avec le nom Vide

Ensuite, démarrez Azure AD Connect, choisissez "Personnalisation des options de synchronisation" et authentifiez-vous avec le compte de votre tenant actuel. Avancez jusqu'à l'étape "Filtrage par domaine/unité d'organisation" et ici sélectionnez "Synchroniser les domaines et les unités d'organisation sélectionnés" afin de cocher uniquement l'OU "Vide".

Azure AD Connect - Désynchroniser tous les comptes

Poursuivez jusqu'à la fin... Afin de valider et cocher l'option "Démarrez le processus de synchronisation une fois la configuration terminée" afin de démarrer une synchronisation.

Azure AD Connect - Démarrer la synchronisation

Cette synchronisation est lourde de conséquences : tous vos éléments synchronisés vont être supprimés du tenant !

V. Désactiver le seuil "Deletion Threshold"

Si vous avez moins de 500 objets synchronisés, cette limitation ne vous posera pas de problème. Sinon il faut savoir que Azure AD Connect intègre une sécurité qui va permettre d'empêcher la synchronisation s'il y a 500+ d'objets à supprimer : de quoi éviter la catastrophe si cela n'est pas volontaire.

Dans le cas où cela se produit, l'erreur "stopped-deletion-threshold-exceeded" est visible dans l'Observateur d'événements et dans la console Synchronization Service d'Azure AD Connect. Voici un exemple :

Pour désactiver cette sécurité, exécutez la commande PowerShell suivante :

Disable-ADSyncExportDeletionThreshold

Ensuite, relancez une synchronisation en ligne de commande :

Start-ADSyncSyncCycle -PolicyType Initial

Suite à cette synchronisation, les journaux de Synchronization Service doivent indiquer un grand nombre d'éléments supprimés ("Deletes") et sur le tenant, vous devez voir aussi du mouvement. Je vous invite à effectuer cette double vérification.

Office 365 - Désynchronisation Azure AD Connect - Utilisateurs supprimés

VI. Désinstallation d'Azure AD Connect

Pour qu'Azure AD Connect bascule d'un tenant à un autre, il convient de le réinstaller et de le reconfigurer entièrement. À partir de la console "Programmes et fonctionnalités", désinstallez Azure AD Connect.

Désinstaller Azure AD Connect

Laissez l'option "Désinstaller également les composants de prise en charge" cochée et validez.

Azure AD Connect - Assistant de désinstallation

Quelques minutes plus tard, Azure AD Connect est désinstallé.

Azure AD Connect - Désinstallation terminée

En complément, nous devons supprimer les données d'Azure AD Connect. Supprimez le répertoire "C:\Programmes\Microsoft Azure AD Sync", comme sur l'image ci-dessous.

Azure AD Connect - Supprimer les données

Au passage, on en profite pour supprimer le dossier du compte utilisateur associé au service Azure AD Connect, cette fois-ci dans "C:\Users". Recherchez un dossier dont le nom commence par "ADSyncMSA". Par exemple :

Azure AD Connect - Supprimer le profil

Voilà, la désinstallation d'Azure AD Connect est effectuée.

VII. Supprimer le domaine du tenant actuel

À partir de l'interface admin.microsoft.com, connecté avec un compte du tenant actuel (amené à disparaître), nous devons supprimer le domaine "it-connect.tech" afin de le libérer et de pouvoir l'utiliser avec un autre tenant.

Ceci s'effectue dans "Paramètres" puis "Domaines". Ensuite, il faut définir le domaine onmicrosoft.com par défaut, puis sélectionner le domaine "it-connect.tech", et cliquer sur "Supprimer le domaine" en suivant l'assistant qui s'ouvre à ce moment-là. S'il y a une erreur, les éventuels éléments qui posent problème seront spécifiés.

Office 365 - Supprimer un domaine

VIII. Ajouter le domaine sur le nouveau tenant

Une fois que le domaine est correctement supprimé, il est libéré et peut être ajouté sur le nouveau tenant, toujours via admin.microsoft.com, dans "Paramètres" puis "Domaines".  Sauf que cette fois-ci il faut ajouter un nom de domaine en suivant la procédure classique, notamment la création des enregistrements DNS, mais ici ils existent déjà.*

Office 365 - Ajouter un domaine

A partir du moment où le domaine est ajouté et qu'il est dans l'état "Sain", vous pouvez passer à la suite.

IX. Nouvelle installation d'Azure AD Connect

Le nom de domaine étant prêt sur le nouveau tenant, nous pouvons effectuer une nouvelle installation d'Azure AD Connect. Je ne vais pas décrire toutes les options, car j'ai déjà décrit l'installation de cet outil dans un précédent tutoriel.

Réinstallation Azure AD Connect

Cette fois-ci, il faudra s'authentifier avec le compte Office 365 sur le nouveau domaine, soit avec un compte onmicrosoft.com ou avec un compte it-connect.tech créé au préalable.

Azure AD Connect - Connexion à Azure AD

Le domaine it-connect.tech est bien vérifié ! bonne nouvelle !

Azure AD Connect - Validation du domaine

En mode personnalisé, il est possible de choisir les unités d'organisation à synchroniser. Cette fois-ci, on choisit les unités d'organisation où se situent nos utilisateurs, groupes, etc... à synchroniser, et on pourra en profiter pour supprimer l'OU "Vide" créée précédemment.

Azure AD Connect - Sélection des OUs

Une fois l'installation terminée, la synchronisation se lance... En regardant les journaux via Synchronization Service, on voit bien que les objets sont ajoutés et mis à jour sur le tenant Office 365.

Azure AD Connect - Synchronization Service - Logs

Ils sont également visibles à partir du centre d'administration, comme ceci :

Azure AD Connect - Comptes synchronisés sur le tenant

X. Conclusion

Nous venons de voir comment connecter Azure AD Connect sur un nouveau tenant, en conservant le nom de domaine. Maintenant, il faudra reconfigurer les autres fonctionnalités en place sur le tenant d'origine : MFA, règles d'anti-spam, groupes pour l'affectation des licences, etc... Car ce nouveau tenant dispose de sa propre configuration.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5579.Voir tous les posts

Vous pourrez aussi aimer

Office 365 : Désactiver la complexité des mots de passe

Florian BURNEL 0

Office 365 : comment améliorer la délivrabilité et la sécurité de vos e-mails ?

Thibault Baheux 9

Comment gérer ses équipes Teams avec PowerShell ?

Florian BURNEL 20

One thought on “Déplacer la synchronisation Azure AD Connect vers un nouveau tenant Microsoft 365

  • Bonjour Florian,
    J’ai une question, je souhaites désynchro une OU sans quelle soit supprimée du tenant Azure.
    A chaque fois que j’essai quelque chose ça se supprime et parfois ce n’est pas restaurable.

    Est-possible ?

    Cordialement,
    Arnaud.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.