Bonnes pratiques pour administrer Office 365 depuis Active Directory
Après avoir migré votre messagerie Microsoft dans le cloud de l'éditeur, il vous faut administrer certains attributs depuis d'AD local.
Après avoir migré vers Office 365, il faut encore administrer les boîtes aux lettres dans le cloud. Car si Microsoft prend en charge la gestion de l’infrastructure de messagerie, vous devez encore administrer les comptes utilisateurs et les BAL.
Votre AD est toujours (pour l’essentiel) le nœud pour administrer Office 365
Si vous utilisez l’outil de synchronisation d’annuaire fournis par Microsoft avec Azure, le bien nommé DirSync, c’est que vous avez déjà lié votre annuaire local Active Directory avec Office 365. Cela signifie que vous ne pouvez éditer que peut de réglages depuis Office 365. La plupart des attributs doivent être modifiés dans Active Directory puis synchronisés. Il s’agit plutôt d’une bonne nouvelle car si un nom est incorrect, il est possible de l’éditer dans AD. De même, si vous modifiez les réglages d’un utilisateur dans AD, les changements seront répercutés dans le cloud.
Toutefois, si vous avez déjà désinstallé vos serveurs Exchange internes, préparez-vous à un choix lorsque vous voudrez créer une nouvelle BAL ou modifier les détails d’une BAL existante, comme l’e-mail d’un utilisateur. Ces attributs sont gérés dans l’AD local. En désinstallant vos serveurs Exchange et leurs outils d’administration, vous pouvez par inadvertance supprimer la capacité d’éditer les attributs spécifiques à Exchange dans l’AD. Et devoir ajouter de nouvelles adresses e-mail via un outil comme ADSI Edit ou via l’éditeur d’attributs des utilisateurs et ordinateurs d’AD n’est pas franchement ce que vous voulez faire, sauf si vous êtes en quête d’un nouveau challenge.
Administrer les attributs Office 365 et Exchange Online dans l’AD local
Microsoft recommande d’utiliser la licence serveur hybride gratuite pour l’administration d’Office 365 dans AD. Ceci permet d’installer une copie d’Exchange à la seule fin de disposer des outils d’administration du serveur collaboratif de l’éditeur.
Si vous êtes un client existant d’Office 365, vous pouvez obtenir votre licence hybride depuis le portail office 365 et effectuant une demande de support. Il vous faudra toutefois choisir au préalable qu’elle version d’Exchange vous préférez utiliser avec les outils d’administration.
Exchange vous permet d’utiliser la même interface d’administration web qu’Exchange Online. Si vous choisissez cette mouture, il vous faudra installer les rôles de boîte aux lettres et d’accès client.
Exchange 2010 SP3 offre la même richesse d’administration mais via l’interface familière de la console d’administration Exchange. Il vous suffira d’installer un rôle Exchange 2010 et le rôle de service de transport (Hub Transport role) fera le reste. Si vous le souhaitez il est aussi possible d’installer le serveur d’administration Exchange 2010 sur le serveur faisant fonctionner DirSync.
Après l’installation, créez des domaines correspondant à ceux déclarés sur Office 365 ainsi qu’un domaine distant similaire à celui de votre compte Office 365 tel que contoso.mail.microsoft.com. Une fois cette dernière opération effectuée, configurez le domaine distant comme votre domaine Office 365 t.
Si vous avez réalisé une migration partielle de votre messagerie vers Office 365, l’ensemble de ces outils seront déjà en place, et vous pouvez continuer à administrer vos BAL. Il n’est pas utile de lancer l’assistant de configuration hybride, car tout ce qu’il permet est de gérer ce qui est déjà dans votre AD...
Lorsque vous créez une nouvelle BAL dans Office 365 mémorisez ces quelques astuces :
- Vous ne créez pas une nouvelle BAL mais une BAL distante. Cette option se situe dans les menus suivants :
- Dans le centre d’administration d’Exchange 2013 , dans destinaires > Boites aux lettres / Boîte aux lettres Office 365
- In the Exchange 2010 Management Console, dans configuration du destinataire > Nouvelle boîte aux lettres à distance.
- Depuis le Shell Exchange : New-RemoteMailbox and Enable-RemoteMailbox.
- Une fois votre nouvelle BAL créée avec les outils Exchange, DirSync la créera dans Office 365. N’oubliez pas d’assigner la licence appropriée rapidement, même si Microsoft vous laisse une petite période de grâce..
- Lorsque vous créez la nouvelle BAL distante, assurez-vous que vous utilisez bien le nom d’utilisateur principal (UPN) correct. L’UPN détermine l’ID Microsoft Online et correspondra de façon typique à l’adresse SMTP du nouvel utilisateur
- Les outils locaux d’administration d’Exchange attribueront parfois l’adresse de réponse du nouveau compte de messagerie au mauvais domaine. Editez alors les propriétés de l’utilisateur et désélectionnez l’option utilisez la stratégie d'adresse de messagerie et modifiez l’adresse primaire SMTP pour la faire correspondre au domaine désiré..
Et si vous ne souhaitez pas installer une copie d’Exchange ? Microsoft ne fournit pas de méthode pour installer seulement les outils d’administration d’Exchange. Mais un peu d’expertise de PowerShell peut régler ce problème. Sur le site 365lab.com, Andreas Lindhal a écrit un module PowerShell pour permettre une administration aisée des attributs Exchange Online.
Ce qu’Active Directory ne permet pas de gérer dans Office 365
L’Active Directory local permet d’administrer la plupart des aspects d’une BAL Office 365, mais pas tous. Tous les détails généraux d’un utilisateur sont synchronisés comme le nom, l’entreprise, les appartenances aux groupes, l’adresse mail, le n° de téléphone, les informations sur le supérieur hiérarchique, les attributs personnalisés, la photo et le nom de login. Pour une liste complète des attributs synchronisés, consultez le site de support de Microsoft.
Ce qui n’est pas synchronisé est minimal car certains attributs d’Exchange ne vivent pas dans l’AD local. Par exemple les paramètres d’accès ou de suppression de la messagerie unifiée ou l’accès à OWA, ActiveSync, IMAP et POP3 sont des attributs pilotables directement depuis Office 365 via l’Exchange Admin Center (EAC) ou via la console PowerShell d’Exchange Online.
Un petit sous-ensemble d’attributs que vous pourriez espérer administrer en local ne peuvent l’être si vous définissez une adresse de suivi (forwarding) ou si vous voulez convertir une BAL en BAL partagée. Il vous faudra alors aussi gérer ces attributs depuis le cloud.
A propos de l’auteur:
Steve Goodman est un MVP Exchange qui travaille comme architecte pour l’un des principaux partenaires Glod de Microsoft. Goodman a travaillé de façon intensive sur Exchange depuis la version 5.5 et sur Office 365 depuis ses débuts au sein des Exchange Labs et de Live@EDU.