Intégration à « Active Directory »

Partager

C’est article est-il utile?

Dernière mise à jour :

Guide de configuration avancée de l’intégration à Active Directory (ADI)

Une fois la configuration initiale d’Active Directory (AD) effectuée, des options supplémentaires vous permettront de personnaliser votre synchronisation afin de répondre aux besoins de votre organisation. Pour plus d’informations, consultez les sections ci-dessous. Pour des informations sur l’installation de base de l’intégration Active Directory (ADI) et son processus de configuration, consultez notre Guide de configuration de l’intégration Active Directory (ADI).

Créer un compte de service ADI dans Active Directory

Pour configurer l’ADI, vous devez créer un compte dans AD avec les autorisations suivantes :

  • Lire toutes les informations d’utilisateur
  • Lire toutes les informations relatives à inetOrgPerson

Pour créer un utilisateur AD avec les autorisations de lecture nécessaires, suivez les instructions suivantes :

  1. Ouvrez Utilisateurs et ordinateurs Active Directory.

  2. Cliquez avec le bouton droit de la souris sur votre domaine, puis sélectionnez Déléguer le contrôle. Lorsque vous sélectionnez Déléguer le contrôle, la fenêtre modale Délégation de contrôle s’ouvre.

  3. Dans la fenêtre modale Délégation de contrôle, ajoutez le compte de service ADI préalablement créé.

  4. Déléguez les tâches Lire toutes les informations d’utilisateur et Lire toutes les informations relatives à inetOrgPerson.

  5. Finalement, vous devez reconfigurer votre service de synchronisation ADI de KnowBe4 pour qu’il utilise votre nouveau compte de service AD avec ADI.

Pour modifier l’utilisateur spécifié, suivez les étapes ci-dessous :

  1. Accédez à votre dossier C:\ProgramData\KnowBe4\ADI Sync\Config\ et supprimez le fichier <domaine>.dat.
  2. Ouvrez l’invite de commande en tant qu’administrateur et accédez à votre dossier C:\Program Files\KnowBe4\ADI Sync\, puis entrez « adisync.exe config ».

Modifier l’endroit d’où sont extraites les adresses courriel dans Active Directory

Par défaut, la synchronisation ADI synchronisera toutes les adresses courriel mandataires pour vos utilisateurs. Cependant, vous pouvez modifier l’emplacement d’où vous voulez extraire les adresses courriel dans Active Directory. De plus, vous pouvez choisir de synchroniser uniquement les adresses courriel mandataires principales des utilisateurs. Ouvrez le fichier adisync.conf qui se trouve dans votre dossier C:\ProgramData\KnowBe4\ADI Sync\Config. Par défaut, vous verrez les champs suivants :

  • emailAttribute = "proxyAddresses"
  • primaryproxyonly = false
Remarque : Si vous ne voyez pas ces champs, assurez-vous de modifier le fichier adisync.conf et non le fichier <domaine>.conf. Si vous ne voyez pas le champ emailAttribute dans votre fichier adisync.conf, vous utilisez peut-être une ancienne version d’ADI. Si vous devez modifier le champ emailAttribute, mettez à jour votre ADI vers la version la plus récente.

Pour plus d’informations sur la modification des adresses courriel qui sont synchronisées pour vos utilisateurs, consultez la liste suivante :

Remarque : Les champs suivants sont sensibles à la casse.
  • Mandataire principal uniquement : Si vous voulez utiliser uniquement l’adresse mandataire principale pour chaque utilisateur, modifiez la valeur du champ primaryProxyOnly de « false » à « true ». Enregistrez le fichier adisync.conf et redémarrez le service ADI. Ce processus garantit qu’aucun alias d’adresse courriel ne soit synchronisé.

  • Attribut de courriel : Si vous voulez que la synchronisation utilise l’attribut Mail au lieu de l’attribut proxyAddresses, modifiez le champ emailAttribute de « proxyAddresses » à « mail ». Enregistrez le fichier adisync.conf et redémarrez le service de synchronisation ADI de KnowBe4.

    Important :Quel que soit le champ que vous utilisez pour la synchronisation, l’attribut de courriel d’un utilisateur ne doit pas être vide. Dans le cadre de l’ADI, cette valeur n’a pas besoin d’être un domaine valide. Pour plus d’informations, contactez notre équipe de soutien.
  • Nom principal de l’utilisateur : Si vous voulez que la synchronisation utilise userPrincipalName (UPN) au lieu de proxyAddresses, modifiez le champ emailAttribute de « proxyAddresses » à « userPrincipalName ». Enregistrez le fichier adisync.conf et redémarrez le service de synchronisation ADI de KnowBe4.

Afficher les courriels et les adresses mandataires dans Active Directory

Suivez les instructions ci-dessous pour afficher le courriel et les adresses mandataires d’un utilisateur dans Active Directory. Vous pouvez également utiliser ces instructions pour afficher le nom principal d’un utilisateur.

  1. Dans la fenêtre Utilisateurs et ordinateurs Active Directory, cliquez sur Affichage dans la barre d’outils.

  2. Dans le menu déroulant Affichage, sélectionnez Fonctionnalités avancées.

  3. Double-cliquez sur un utilisateur pour ouvrir la fenêtre contextuelle Propriétés de l’utilisateur.
  4. Dans la fenêtre contextuelle Propriétés de l’utilisateur, sélectionnez l’onglet Éditeur d’attributs.

  5. Pour voir l’adresse courriel de l’utilisateur, recherchez mail dans la colonne Attribut. Sélectionnez mail, puis cliquez sur le bouton Modifier.

  6. Lorsque vous cliquez sur Modifier, la fenêtre contextuelle Éditeur d’attribut de type chaîne s’ouvre. Dans cette fenêtre contextuelle, vous pouvez ajuster la valeur de l’attribut mail.

  7. Pour voir l’adresse mandataire de l’utilisateur, recherchez proxyAddresses dans la colonne Attribut. Sélectionnez l’attribut proxyAddresses, puis cliquez sur le bouton Modifier.

  8. Lorsque vous cliquez sur le bouton Modifier, la fenêtre contextuelle Éditeur de chaîne à valeurs multiples s’ouvre. À cet endroit, vous pouvez ajouter ou supprimer une valeur de l’attribut proxyAddresses.

Prise en charge de domaines multisources

Si vos utilisateurs sont répartis sur plusieurs domaines, vous devrez configurer chaque domaine avec les objets utilisateurs devant être synchronisés.

Pour chaque domaine supplémentaire, vous devrez exécuter la configuration adisync.exe dans le répertoire d’installation de votre synchronisation ADI. Réexécuter la configuration de la synchronisation ADI créera des fichiers <domaine>.conf supplémentaires que vous devrez modifier pour spécifier les critères de filtrage de votre synchronisation.

Remarque : Pour permettre la prise en charge des domaines multisources, assurez-vous d’avoir déjà installé l’outil de synchronisation ADI. Il n’est pas nécessaire de réinstaller l’outil de synchronisation ADI, car une deuxième installation pourrait archiver vos utilisateurs.

Pour exécuter la configuration de la synchronisation ADI pour la prise en charge des domaines multisources, veuillez suivre les instructions ci-dessous.

  1. Ouvrez l’invite de commande en mode administrateur.
  2. Accédez au répertoire système ADI Sync. L’emplacement par défaut du répertoire système est C:\Program Files\KnowBe4\ADI Sync.

  3. Saisissez la ligne ci-dessous, puis appuyez sur la touche Entrée.

    adisync.exe config
  4. Saisissez les informations de votre contrôleur de domaine supplémentaire et de votre domaine. Pour plus d’informations, consultez l’étape 7 de la section Installation et configuration de notre Guide de configuration de l’intégration Active Directory (ADI).
  5. Une fois le fichier <domaine>.conf supplémentaire créé dans le répertoire C:\ProgramData\KnowBe4\ADI Sync\Config, modifiez-le pour spécifier les informations que vous voulez synchroniser. Pour plus d’informations, consultez notre Guide de configuration de l’intégration Active Directory (ADI).
  6. Enregistrez le fichier <domaine>.conf.
  7. Après avoir répété ce processus pour chaque domaine supplémentaire, vous pouvez commencer la synchronisation.
Remarque : Le système sur lequel est installé l’outil de synchronisation ADI doit être capable de se connecter à chaque contrôleur de domaine.

Installer la dernière version d’ADI

Suivez les instructions ci-dessous pour installer la version la plus récente d’ADI sans désinstaller votre version précédente.

  1. Téléchargez le nouvel installateur à partir des Paramètres de votre compte KSAT.
  2. Lancez l’installation.

  3. Si on vous le demande, cliquez sur Oui pour utiliser les données de la précédente installation.

    Le Service de synchronisation ADI de KnowBe4 démarrera automatiquement une fois l’installation terminée. Vous pouvez vérifier que le service fonctionne comme prévu dans le menu des services Windows.

Vos utilisateurs devraient continuer à se synchroniser comme prévu.

Synchroniser des champs personnalisés

Les profils utilisateurs de votre console KnowBe4 comprennent des champs personnalisés que vous pouvez utiliser pour synchroniser des informations supplémentaires à partir de votre Active Directory. Pour spécifier les informations que vous voulez synchroniser dans les champs personnalisés, modifiez le fichier <domaine>.conf, puis relancer le service afin de synchroniser vos modifications. Pour en apprendre davantage, voir la page Web Synchronisation d’autres informations sur les utilisateurs vers KnowBe4.

Remarque : Les champs de synchronisation personnalisés sont disponibles avec les versions ADI 1.0.16.5 et ultérieures. Si vous ne voyez pas les champs personnalisés dans votre fichier <domaine>.conf, vous devrez installer la dernière version d’ADI. Votre ou vos fichiers <domaine>.conf existant(s) seront mis à jour pour inclure les champs personnalisés synchronisés. Si vous décidez d’utiliser ces nouveaux champs personnalisés, vous devez relancer le service de synchronisation ADI de KnowBe4 pour synchroniser vos changements.

Activer les champs SecurityCoach

Si vous avez déjà configuré ADI et que votre abonnement comprend SecurityCoach, vous pouvez activer les champs SecurityCoach en installant la plus récente version d’ADI. Si vous utilisez déjà la dernière version d’ADI et que les champs SecurityCoach ne sont pas activés, vous devez reconfigurer ADI pour permettre l’utilisation de ces champs.

Remarque : Si vous installez la plus récente version d’ADI, assurez-vous de régler le paramètre Activer les champs SecurityCoach sur true. Pour plus d’informations, consultez la section Installation et configuration de notre Guide de configuration de l’intégration Active Directory (ADI).

Pour reconfigurer ADI et activer les champs SecurityCoach, suivez les instructions ci-dessous.

  1. Arrêtez le service de synchronisation ADI de KnowBe4 dans le menu des services Windows.
  2. Accédez au répertoire système \ADISync. L’emplacement par défaut du répertoire système est C:\Program Files\KnowBe4\ADI Sync\Config\.
  3. Renommez votre fichier <domaine>.conf « <domaine>-VIEUX.conf ».
  4. Déplacer le fichier <domaine>-VIEUX.conf dans un autre répertoire.
  5. Accédez au répertoire d’installation C:\Program Files\KnowBe4\ADI Sync\ et ouvrez une invite de commande avec élévation de privilèges.
  6. Dans l’invite de commande, exécutez adisync.exe config.
  7. Reconfigurez l’ADI en saisissant la même information que précédemment, mais en réglant le paramètre Activer les champs SecurityCoach sur true. Lorsque votre ADI est reconfigurée, un nouveau fichier <domaine>.conf apparaîtra dans le répertoire \Config.
  8. Ouvrez le fichier <domaine>-VIEUX.conf ainsi que le nouveau fichier <domaine>.conf.
  9. Copiez les données de la section [sync.users] du fichier <domaine>-VIEUX.conf. Collez ces données dans le nouveau fichier <domaine>.conf.
  10. Copiez les données de la section [sync.groups] du fichier <domaine>-VIEUX.conf. Collez ces données dans le nouveau fichier <domaine>.conf.
  11. (Facultatif) Si vous avez personnalisé la section [sync.fields] du fichier <domaine>-VIEUX.conf, vous pouvez apporter les mêmes modifications au nouveau fichier <domaine>.conf.
  12. Démarrez le service de synchronisation ADI de KnowBe4.

C’est article vous a-t-il été utile?

Utilisateurs qui ont trouvé cela utile : 6 sur 9

Vous ne trouvez pas ce que vous cherchez?

Contacter l’assistance