Vous pouvez utiliser la fonctionnalité d’intégration à Active Directory (ADI) de KnowBe4 pour intégrer l'Active Directory (AD) de votre organisation à votre console KSAT. Après la configuration de l’ADI, les utilisateurs et les groupes seront automatiquement ajoutés, modifiés et archivés dans la console KSAT, selon les informations envoyées à partir de votre AD. Il est important de souligner qu’il s’agit d'un processus de synchronisation à sens unique et qu’aucune information ne sera retournée vers Active Directory à partir de la console KSAT. 

Pour en apprendre davantage au sujet des avantages de la configuration d’ADI pour votre organisation, consultez notre article Avantages de la mise en place de l’intégration Active Directory (ADI). Si vous préférez les tutoriels vidéos, visionnez notre vidéo Intégration à Active Directory pour apprendre comment configurer l’ADI. Si vous le souhaitez, vous pouvez également utiliser SCIM pour synchroniser vos utilisateurs. Veuillez consulter notre Guide de configuration SCIM.

Fonctionnement de l’ADI pour les comptes avec des utilisateurs existants

Si vous avez déjà ajouté des utilisateurs à votre console KSAT, vous devez savoir certaines choses avant de configurer votre ADI. Pour plus d’informations, consultez la liste ci-dessous :

• Après avoir configuré l’ADI, les données qui sont synchronisées à partir de votre AD font autorité. Les actions suivantes se dérouleront au cours de la synchronisation entre votre console KSAT et votre AD :
  • Les utilisateurs qui ne se trouvent pas dans votre AD seront archivés dans votre console KSAT.
  • Si vous avez fait des modifications aux informations d’un utilisateur dans votre console KSAT, elles seront écrasées par les données contenues dans votre AD.
• Avant la configuration de l’ADI, les comptes utilisateurs de la console KSAT sont considérés comme étant gérés par la console. Lorsque les utilisateurs sont gérés par la console, vous pouvez modifier les informations sur les utilisateurs en téléversant un fichier CSV ou en modifiant les profils d’utilisateur directement dans votre console. 
  • Dès que vous avez configuré l’ADI et que la première synchronisation avec AD a eu lieu, les utilisateurs sont considérés comme étant gérés par AD. Lorsque les utilisateurs seront gérés par AD, vous devrez modifier les informations sur les utilisateurs dans votre AD et ces modifications seront ensuite poussées dans la console KSAT au cours de la prochaine synchronisation.
• Pendant la première synchronisation d’AD, la console KSAT appariera automatiquement les comptes d’utilisateurs gérés par la console avec les comptes de votre AD. Ce processus convertira vos utilisateurs d’une gestion par la console à une gestion par AD. Vous trouverez une description du fonctionnement de ce processus ci-dessous :
  1. Installez et configurez l’outil de synchronisation ADI dans votre environnement. Pour obtenir plus d’informations, consultez la section Installation et configuration de cet article.
  2. Configurez les informations que vous souhaitez synchroniser à partir de votre AD. Pour obtenir plus d’informations, consultez la section Détermination des unités organisationnelles (UO), des groupes et des utilisateurs à synchroniser du présent article.
  3. Le service de synchronisation de l’ADI fait ensuite une demande à votre AD ou à vos répertoires pour obtenir les informations sur les utilisateurs et les groupes et envoie les résultats aux serveurs de KnowBe4.
  4. Les serveurs KnowBe4 examinent les informations envoyées de votre AD et ils mettent automatiquement à jour les utilisateurs et les groupes dans votre console KSAT selon la logique suivante :

     Si un utilisateur d’AD possède une adresse courriel qui correspond à un compte sur la console KSAT, ce compte d’utilisateur de la console KSAT deviendra un compte géré par AD.

     Si un utilisateur d’AD n’est pas trouvé sur la console KSAT, alors un compte d’utilisateur géré par AD est créé.

     Une fois que le traitement de tous les utilisateurs d’AD est terminé, tous les comptes sur la console qui n’ont pas été transformés en compte géré par AD seront archivés.

Après avoir configuré votre ADI, les informations sur les utilisateurs demeureront à jour avec les informations d’AD de votre organisation.

Prérequis

Avant de configurer l’ADI, assurez-vous que votre environnement répond aux exigences de base énumérées ci-dessous.

1. Votre organisation doit avoir Microsoft Active Directory ou Microsoft Entra ID. Pour plus d’informations, consultez la liste ci-dessous.
   1. Si votre organisation a Microsoft Active Directory, le niveau fonctionnel de votre domaine doit être Windows Server 2016 ou plus récent.
   2. Si votre organisation a Microsoft Entra ID, vous pouvez synchroniser Microsoft Entra ID Domain Services avec votre console KSAT. Pour en apprendre davantage, consultez notre article Utiliser l’intégration à Active Directory (ADI) avec Microsoft Entra ID Domain Services.
2. Nous vous recommandons d’installer l’outil ADI sur un serveur d’applications et non sur un poste de travail. Assurez-vous que le système sur lequel sera installé l’ADI réponde aux spécifications suivantes.
   1. Le système utilise Windows Desktop 10 ou 11 ou Windows Server 2016/2019 ou 2022 (64 bit).
   2. Assurez-vous que le système peut atteindre le serveur de l’instance de formation pour votre compte. Pour une liste des instances, consultez notre article Instances de formation de KnowBe4. L’instance de formation est l’URL du serveur que l’outil de synchronisation d’AD de KnowBe4 devra contacter via une requête POST. Vous devrez autoriser les connexions sortantes vers les serveurs distants sur le port 443 (SSL/HTTPS).
   3. L’ordinateur possède au moins 2 Go de mémoire vive;
   4. Le lecteur du système de l’ordinateur possède au moins 1 Go d’espace libre sur le disque dur;
   5. Le Contrôle du compte de l’utilisateur (UAC) est activé dans les paramètres de contrôle de compte d’utilisateur de l’ordinateur.

Consultez la prochaine section pour connaître les étapes importantes nécessaires pour préparer la configuration de votre ADI.

Avant de commencer : étapes obligatoires

Avant d’installer et de configurer l’outil de synchronisation d’AD de KnowBe4 sur votre système local, vous devez suivre les étapes ci-dessous :

1. Rassemblez les informations suivantes au sujet de votre AD :
   Important :Si vos utilisateurs sont situés dans plus d’un contrôleur de domaine, vous devrez recueillir les informations suivantes pour chaque contrôleur de domaine. Vous devrez aussi configurer l’ADI pour chacun de ces domaines. Pour en apprendre davantage, consultez la section Assistance pour les domaines à plusieurs sources de notre Guide de configuration avancée pour l’intégration à Active Directory (ADI).
   • Trouvez l’adresse IP ou le nom de domaine complet (Fully Qualified Domain Name, FQDN) du contrôleur de domaine de l’emplacement où est situé votre AD.
   • Assurez-vous que votre contrôleur de domaine AD peut répondre aux requêtes LDAP. Par défaut, tous les contrôleurs de domaine sont configurés pour répondre aux requêtes LDAP.
     Conseil :La synchronisation AD peut communiquer en utilisant le protocole LDAP. Cependant, si vous le souhaitez, vous pouvez activer le protocole LDAPS sur votre contrôleur de domaine avant d’effectuer la synchronisation de votre AD. Par défaut, le protocole LDAPS n’est pas activé sur la plupart des contrôleurs de domaine. Pour en apprendre davantage, voir notre FAQ ADI.
   • Trouvez le nom de domaine AD. Le nom de domaine AD est le domaine racine qui est contrôlé par votre contrôleur de domaine AD. Pour voir un exemple d’un nom de domaine AD, consultez l’image ci-dessous :
   • Assurez-vous que vous avez le nom d’utilisateur et le mot de passe d’un compte administrateur AD qui possède les autorisations d’effectuer des requêtes LDAP. Par défaut, tout compte du groupe « Utilisateurs de domaine » possède ces autorisations. Cependant, pour une sécurité supplémentaire, nous vous recommandons d’utiliser un compte de service qui ne possède que les autorisations de « lecture » pour votre AD. Pour connaître les permissions de « lecture » qui sont nécessaires pour le compte de ce service, consultez notre Guide de configuration avancée de l’intégration à « Active Directory ».
2. Obtenez votre jeton de synchronisation ADI et téléchargez l’outil de synchronisation ADI à partir de vos Paramètres de compte KSAT. Suivez ces étapes :
   1. Une fois connecté à votre console KSAT, cliquez sur votre adresse courriel située dans le coin supérieur droit de la page. Puis, cliquez sur Paramètres du compte.
   2. Rendez-vous à la section Provisionnement des utilisateurs. Cochez ensuite la case Activer le provisionnement des utilisateurs (synchronisation des utilisateurs).
   3. Assurez-vous que le paramètre Mode test est activé. Le mode test ne devrait être désactivé qu’après avoir terminé la configuration de votre ADI et que vous avez vérifié que l’ADI fonctionne correctement. Pendant que le mode test est activé, le provisionnement ou la synchronisation des utilisateurs ne peut avoir lieu. Un rapport est plutôt généré pour vous montrer ce qui serait survenu si le provisionnement des utilisateurs avait eu lieu. Le mode de test vous permet de résoudre des problèmes potentiels sans affecter les utilisateurs actuels présents dans votre console. 
      Conseil : Cocher la case Afficher le domaine du groupe peut se révéler utile si vos utilisateurs sont répartis sur plusieurs sources de domaine. Pour en apprendre davantage, consultez notre FAQ ADI.
      
   4. Copiez votre jeton de synchronisation ADI et enregistrez-le localement. Vous en aurez besoin pour terminer la configuration. Votre jeton de synchronisation ADI comporte 34 caractères et ressemble à l’exemple ci-dessous : US9X140X4829E37XX545401X97912X604X.
   5. Cliquez sur l’icône de téléchargement située à côté de l’outil ADI (ADISyncSetup.exe) pour télécharger le fichier pour l’outil ADI. 
   6. Cliquez sur le bouton Enregistrer les modifications au bas de la page Paramètres du compte.
   7. Déterminez quels utilisateurs vous voulez synchroniser et familiarisez-vous avec l’emplacement de ces objets utilisateurs dans votre AD. 
3. Après avoir terminé les étapes de cette section et celles de la section Installation et configuration ci-dessous, vous devrez déterminer à quel emplacement seront situés les objets utilisateurs dans votre AD. Vous pouvez synchroniser les objets utilisateurs d’un ou de plusieurs des groupes suivants : unités organisationnelles (UO), groupes de sécurité et groupes de distribution. Pour des informations supplémentaires au sujet de la définition des utilisateurs à synchroniser, consultez la section Détermination des unités organisationnelles (UO), des groupes et des utilisateurs à synchroniser du présent article.

   Si vous trouvez que vos objets utilisateurs ne sont pas situés dans des unités organisationnelles, des groupes de sécurité ou des groupes de distribution, consultez les informations ci-dessous :

   • Si les utilisateurs que vous voulez synchroniser sont situés dans le conteneur d’utilisateurs intégré au lieu d’une UO : vous ne pouvez pas synchroniser les conteneurs. Pour pallier cela, vous pouvez créer un groupe de sécurité, y ajouter ces utilisateurs, puis synchroniser ce groupe au lieu du conteneur. 
   • Si vous trouvez que l’organisation de votre AD n’est pas optimale pour la synchronisation avec la console KSAT ou si vous n’êtes pas certain : vous pouvez configurer un ou plusieurs groupes dans AD afin de contenir tous les objets utilisateurs et les groupes que vous voulez synchroniser. Vous n’aurez ensuite qu’à spécifier que vous ne voulez synchroniser uniquement ces groupes.
   • Si vous avez un domaine racine avec des AD enfants, vous pouvez exécuter le programme d’installation pour chaque domaine enfant. Chaque domaine enfant doit utiliser le même contrôleur de domaine que le domaine racine.
4. Déterminez à partir de quel champ doivent être extraites les adresses courriel de vos utilisateurs dans AD. Par défaut, le service ADI extrait les adresses mandataires de vos utilisateurs pour les utiliser comme adresses courriel de leur compte KnowBe4. 
   • Si vous devez utiliser une autre adresse que les adresses mandataires, vous devrez modifier le champ emailAttrib dans votre fichier adisync.conf. Par exemple, si vous n’utilisez pas Microsoft Exchange ou Microsoft 365 comme serveur de messagerie, votre champ Adresse mandataire dans AD sera probablement vide. Modifiez le champ emailAttrib après avoir complété l’installation, mais avant de commencer le service de synchronisation ADI. Pour obtenir des instructions, consultez la section Modifier l’emplacement d’où tirer les adresses courriel dans Active Directory de notre Guide de configuration avancée de l’intégration à Active Directory.
     Remarque : Le champ useMailAttrib a été remplacé par le champ emailAttribute.
   • Assurez-vous que les paramètres de toutes les campagnes sont correctement ajustés pour l’afflux d’utilisateurs. Vérifiez à nouveau les paramètres de vos groupes intelligents dans les campagnes, car ils peuvent être affectés par les nouveaux utilisateurs qui apparaissent via la synchronisation ADI.

Dès que vous avez rassemblé les informations ci-dessus, continuez avec les étapes présentées à la section suivante.

Installation et configuration

Dès que vous avez rassemblé les informations définies dans la section précédente, vous êtes prêt à installer le service de synchronisation ADI et à le configurer. Continuez avec les étapes suivantes :

1. Lancez l’outil de synchronisation Active Directory. Il s’agit du fichier ADISyncSetup.exe que vous avez téléchargé dans vos paramètres de compte KSAT à l’étape 2 de la section ci-dessus Avant de commencer : étapes obligatoires. L’outil de synchronisation AD n’a pas besoin d’être installé sur un contrôleur de domaine. Il peut être installé n’importe où dans l’environnement tant que le système peut communiquer avec un contrôleur de domaine qui accepte les connexions LDAP.
   Conseil :La synchronisation AD peut communiquer en utilisant le protocole LDAP. Cependant, si vous le souhaitez, vous pouvez activer le protocole LDAPS sur votre contrôleur de domaine avant d’effectuer la synchronisation de votre Active Directory. Par défaut, le protocole LDAPS n’est pas activé sur la plupart des contrôleurs de domaine. Pour en apprendre davantage, consultez notre article FAQ : Intégration à Active Directory (ADI).

   Une invite de commande ouvrira automatiquement le répertoire d’installation. Le chemin suivant est l’emplacement par défaut du répertoire d’installation sur les plateformes 64 bits : C:\Program Files\KnowBe4\ADI Sync

2. Dans la fenêtre de l’invite de commande, vous serez invité à saisir les informations indiquées ci-dessous :
   1. Entrez les 34 caractères de votre jeton de synchronisation ADI : S’il s’agit de la première fois que vous lancez cette commande, vous serez invité à saisir votre jeton de synchronisation Active Directory. Ce jeton est la chaîne de caractères que vous avez copiée dans vos paramètres de compte KSAT. Pour plus d’informations, consultez l’étape 2 de la section ci-dessus Avant de commencer : étapes obligatoires.
   2. Saisissez le nom de domaine Active Directory : Le nom de domaine désigne le domaine racine de votre AD. Pour voir un exemple, consultez la section ci-dessus Avant de commencer : étapes obligatoires. 
   3. Saisissez le nom d’hôte ou l’adresse IP du contrôleur de domaine Active Directory : Le nom d’hôte ou l’adresse IP d’Active Directory désigne l’adresse IP ou le nom de domaine complet (FQDN) du contrôleur de domaine de l’emplacement où est situé votre AD.
   4. Activez le protocole SSL (vrai/faux) : Par défaut, le protocole LDAPS n’est pas activé sur votre contrôleur de domaine et vous devez saisir « false » ou appuyer sur la touche Entrée de votre clavier pour sélectionner « false » automatiquement. Sinon, si vous avez activé le protocole LDAPS aux fins de cette synchronisation, saisissez plutôt « true ».
   5. Activez des champs SecurityCoach (vrai/faux) : Si vous avez acheté SecurityCoach, saisissez « vrai » pour activer les champs SecurityCoach. Ces champs vous permettent de synchroniser des informations pour le mappage des utilisateurs. Pour plus d’informations, consultez la section Champs Security Coach de notre article Comment modifier votre fichier CONF pour l’Intégration à Active Directory (ADI). Par défaut, ces champs sont désactivés. Pour conserver la désactivation de ces champs, appuyez sur la touche Entrée de votre clavier.
   6. Saisissez le numéro de port Active Directory [389] : saisissez le port LDAP ou LDAPS approprié. Par défaut, le port pour LDAP est 389 et le port pour LDAPS est 636.
   7. Entrez le nom d’utilisateur (utilisateur@domaine) : saisissez le nom d’utilisateur du compte administrateur AD qui possède les autorisations de lecture nécessaires pour effectuer des requêtes LDAP. Ce nom d’utilisateur doit être au format « utilisateur@domaine ».
   8. Saisir le mot de passe : Saisissez le mot de passe du compte administrateur AD qui possède les autorisations de lecture nécessaires pour effectuer des requêtes LDAP.
3. Si la connexion réussit, vous obtiendrez un message de confirmation indiquant que l’ADI a été connectée et configurée pour votre domaine, comme dans l’exemple ci-dessus. 
4. Appuyez sur la touche Entrée de votre clavier pour fermer la fenêtre d’invite de commande.

   S’il y a des problèmes de connexion ou d’authentification avec votre contrôleur de domaine, vous verrez des messages d’erreur dans la fenêtre d’invite de commande et vous devrez refaire les étapes de cette section avec les bonnes données de configuration. Si les erreurs persistent, veuillez communiquer avec notre équipe d’assistance. 

   Une fois que la connexion a réussi, consultez la section suivante pour savoir comment spécifier les utilisateurs et les informations que vous voulez synchroniser avec votre console KSAT.

Définition des unités organisationnelles (UO), des groupes et des utilisateurs à synchroniser

Après avoir exécuté les étapes des deux sections précédentes, vous devez modifier le fichier <votre domaine ici>.conf pour configurer les informations que vous voulez synchroniser avec votre console KSAT. Cette configuration est obligatoire pour synchroniser les utilisateurs à partir de votre AD.

Poursuivez la configuration de votre ADI selon les instructions suivantes :

1. Assurez-vous d’avoir modifié les autorisations du dossier C:\ProgramData\KnowBe4\ADI Sync\Config. 
2. Localisez le fichier <votre domaine ici>.conf dans le répertoire d’installation, tel que décrit ci-dessous. Ouvrez le fichier dans un éditeur de texte comme le Bloc-notes.

   Le fichier <votre domaine ici>.conf est utilisé pour déterminer quels sont les utilisateurs, les informations sur les utilisateurs et les groupes que vous voulez synchroniser entre votre compte KSAT et votre AD. Pour voir un exemple de ce fichier, ouvrez le fichier exemple_domaine.

   Remarque : Assurez-vous de modifier le fichier <votre domaine ici>.conf et non le fichier adisync.conf.
3. Modifiez le fichier <votre domaine ici>.conf pour spécifier les critères pour la synchronisation de vos utilisateurs et de vos groupes. Le fichier <votre domaine ici>.conf comporte trois sections que vous pouvez modifier :
   • [sync.fields] (facultatif) : modifiez cette zone pour spécifier les champs des informations sur les utilisateurs que vous voulez synchroniser à partir de votre AD. Pour en apprendre davantage, consultez la section Synchronisation d’autres informations sur les utilisateurs de KnowBe4 de notre article Synchronisation des informations via Active Directory.
   • [sync.users] (obligatoire) : modifiez cette zone pour spécifier les utilisateurs que vous voulez synchroniser à partir de votre AD. Assurez-vous d’inclure au moins une UO, un groupe ou un utilisateur dans la section [sync.users] du fichier .conf. Pour en apprendre davantage, consultez la section Synchronisation des utilisateurs selon l’inclusion ou l’exclusion d’une UO, d’un groupe ou un utilisateur en particulier (obligatoire) de notre article Synchronisation des informations via Active Directory.
   • [sync.groups] (facultatif) : vous pouvez utiliser cette zone pour spécifier les groupes que vous voulez synchroniser à partir de votre AD. Ces groupes seront automatiquement créés dans votre console KnowBe4 et les utilisateurs applicables seront ajoutés aux groupes. Pour en apprendre davantage, consultez la section Synchronisation des groupes selon l’inclusion ou l’exclusion d’une UO ou d’un groupe (facultatif) de notre article Synchronisation des informations via Active Directory.
   Remarque : Si les noms de vos UO ou de vos groupes contiennent des lettres qui ne font pas partie de l’alphabet anglais standard, remplacez les guillemets doubles (") par des guillemets simples (') dans le fichier <votre domaine ici>.conf. De plus, vous devrez utiliser une double barre oblique inversée pour contourner les caractères spéciaux comme les virgules, les croisillons (#) et les signes plus (+). Pour plus d’informations, consultez notre article Utilisation des caractères d’échappement avec l’intégration à Active Directory.
4. Quand vous aurez terminé, enregistrez les modifications que vous avez apportées au fichier <votre domaine ici>.conf.

Voir la prochaine section pour commencer la synchronisation ADI.

Démarrer votre synchronisation ADI

Si vous avez terminé toutes les étapes ci-dessus, votre service de synchronisation ADI KnowBe4 est configuré et vous pouvez commencer la synchronisation ADI. Continuez avec les étapes suivantes :

Vous pouvez utiliser le Gestionnaire de contrôle de services Windows pour lancer le service de synchronisation de l’ADI de KnowBe4 et démarrer la synchronisation.

Le service de synchronisation de l’ADI de KnowBe4 s’exécutera immédiatement. Bien que les services soient connectés, la synchronisation entre votre AD et la console KSAT aura lieu toutes les six heures.

Lorsque le mode test est activé dans vos Paramètres de compte, vous verrez un aperçu de la façon dont AD se synchronise à KnowBe4. Pour afficher l’aperçu du mode test, accédez à Utilisateurs > Provisionnement dans votre console KSAT.

Gardez le mode test actif tant que vous n’êtes pas certain d’avoir configuré l’ADI de la façon optimale pour les besoins de votre organisation. Lorsque vous êtes satisfait de la configuration de votre ADI, accédez à vos Paramètres de compte KSAT et désactivez le mode test. Votre prochaine synchronisation ADI effectuera le provisionnement automatique de vos utilisateurs.