Vous pouvez utiliser la fonctionnalité Intégration Active Directory (ADI) de KnowBe4 pour intégrer l’Active Directory de votre organisation à votre console KSAT. Une fois l’ADI configurée, les utilisateurs et les groupes sont automatiquement ajoutés, modifiés et archivés dans votre console KSAT, en fonction des informations envoyées par votre Active Directory. Il est important de souligner qu’il s’agit d’un processus de synchronisation à sens unique, et qu’aucune information n’est renvoyée à votre Active Directory par votre console KSAT. 

Pour connaître les avantages liés à la configuration de l’ADI pour votre organisation, consultez notre article Avantages de la configuration de l’intégration Active Directory (ADI). Si vous préférez les tutoriels vidéo pour apprendre à configurer l’ADI, regardez notre vidéo Intégration Active Directory (ADI). D’autre part, si vous souhaitez utiliser SCIM pour synchroniser vos utilisateurs, vous pouvez consulter notre Guide de configuration SCIM.

Comment l’ADI fonctionne-t-elle pour les comptes avec des utilisateurs existants ?

Si vous avez déjà ajouté des utilisateurs à votre console KSAT, il y a certaines choses que vous devez savoir avant de configurer l’ADI. Pour en savoir plus, consultez la liste ci-dessous :

• Une fois que vous avez configuré l’ADI, les données qui sont synchronisées depuis votre Active Directory sont considérées comme prioritaires. Les actions suivantes se produisent durant les synchronisations entre votre console KSAT et votre Active Directory :
  • Les utilisateurs introuvables dans votre Active Directory sont archivés dans votre console KSAT.
  • Si vous avez apporté des modifications aux informations relatives à un utilisateur dans votre console KSAT, ces changements sont remplacés par les données contenues dans votre Active Directory.
• Avant l’ADI, les comptes utilisateurs contenus dans la console KSAT sont considérés comme gérés par la console. Lorsque des utilisateurs sont gérés par la console, vous pouvez modifier les informations les concernant, en chargeant un fichier CSV sur votre console ou en modifiant les profils utilisateurs directement dans votre console. 
  • Une fois que vous avez configuré l’ADI et que la première synchronisation avec Active Directory a eu lieu, les utilisateurs sont considérés comme gérés par l’Active Directory. Lorsque les utilisateurs sont gérés par Active Directory, vous devez modifier les informations les concernant dans votre Active Directory, ces changements étant appliqués dans votre console KSAT lors de la synchronisation suivante.
• Lors de la première synchronisation Active Directory, la console KSAT associe automatiquement les comptes utilisateurs gérés par la console aux comptes présents dans votre Active Directory. Cela a pour effet de transférer la gestion des utilisateurs de la console vers Active Directory. Le fonctionnement de ce processus est détaillé ci-dessous :
  1. Vous installez et configurez l’outil de synchronisation ADI dans votre environnement. Pour en savoir plus, consultez la section Installation et configuration de cet article.
  2. Vous définissez les informations que vous souhaitez synchroniser depuis votre Active Directory. Pour en savoir plus, consultez la section Définition des unités organisationnelles, des groupes et des utilisateurs à synchroniser de cet article.
  3. Le service de synchronisation ADI interroge ensuite vos annuaires Active Directory pour obtenir les informations sur les groupes et les utilisateurs, puis envoie les résultats aux serveurs KnowBe4.
  4. Les serveurs KnowBe4 analysent les informations envoyées par votre Active Directory et mettent automatiquement à jour les utilisateurs et les groupes dans votre console KSAT, en appliquant la logique suivante :

     Si un utilisateur d’Active Directory possède une adresse e-mail correspondant à un compte préexistant dans la console KSAT, la gestion de ce compte utilisateur est transférée vers Active Directory.

     Si un utilisateur d’Active Directory est introuvable dans la console KSAT, un compte utilisateur géré par Active Directory est créé.

     Une fois que tous les utilisateurs ont été traités, les comptes de la console dont la gestion n’a pas été transférée à Active Directory sont archivés.

Une fois que votre ADI est configurée, les informations de l’utilisateur sont à jour en permanence par rapport à celles contenues dans l’Active Directory de votre organisation.

Prérequis

Avant de configurer l’ADI, assurez-vous que votre environnement respecte nos critères de base répertoriés ci-dessous :

1. Votre organisation doit disposer de Microsoft Active Directory ou de Microsoft Entra ID. Pour en savoir plus, consultez la liste ci-dessous :
   1. Si votre organisation utilise Microsoft Active Directory, votre domaine nécessite le niveau fonctionnel de Windows Server 2016 ou version ultérieure.
   2. Si votre organisation utilise Microsoft Entra ID, vous pouvez synchroniser Microsoft Entra ID Domain Services avec votre console KSAT. Pour en savoir plus, consultez notre article Utiliser l’intégration Active Directory (ADI) avec Microsoft Entra ID Domain Services.
2. Nous vous recommandons d’installer l’outil ADI sur un serveur d’applications, et non sur le poste de travail d’un utilisateur. Assurez-vous que le système sur lequel vous installez l’ADI possède les caractéristiques suivantes :
   1. Le système utilise Windows Desktop 10 ou 11, ou Windows Server 2016/2019 ou 2022 (64 bits).
   2. Vérifiez que le système peut accéder au serveur de l’instance de formation pour votre compte. Vous trouverez une liste des instances dans notre article Instances de formation de KnowBe4. L’instance de formation correspond à l’URL du serveur que l’outil de synchronisation Active Directory de KnowBe4 doit contacter par le biais d’une requête POST. Vous devez autoriser les connexions sortantes avec les serveurs distants sur le port 443 (SSL/HTTPS).
   3. L’ordinateur possède au moins 2 Go de RAM.
   4. Le lecteur système de l’ordinateur possède au moins 1 Go d’espace disponible sur le disque dur.
   5. Le contrôle de compte d’utilisateur (UAC) est activé dans les paramètres de l’ordinateur.

Consultez la section suivante afin de connaître les étapes importantes à suivre pour préparer la configuration de l’ADI.

Avant de commencer : actions requises

Avant de pouvoir installer et configurer l’outil de synchronisation Active Directory de KnowBe4 sur votre système local, suivez les étapes ci-dessous :

1. Rassemblez les informations suivantes concernant votre Active Directory :
   Important :Si vos utilisateurs sont couverts par plusieurs contrôleurs de domaine, vous devez réunir les informations suivantes pour chaque contrôleur. Vous devez également configurer l’ADI pour chacun de ces domaines. Pour en savoir plus, consultez la section Prise en charge des domaines multisources de notre Guide de configuration avancée de l’intégration Active Directory (ADI).
   • Identifiez l’adresse IP ou le nom de domaine complet (Fully Qualified Domain Name, FQDN) du contrôleur de domaine où se trouve votre Active Directory.
   • Assurez-vous que votre contrôleur de domaine Active Directory peut répondre aux requêtes LDAP. Par défaut, tous les contrôleurs de domaine sont configurés pour répondre aux requêtes LDAP.
     Conseil :Votre synchronisation d’Active Directory peut communiquer via le protocole LDAP. Cependant, si vous préférez, vous pouvez activer le LDAPS sur votre contrôleur de domaine avant de synchroniser votre Active Directory. Par défaut, le LDAPS est désactivé sur la plupart des contrôleurs de domaine. Pour en savoir plus, consultez notre FAQ sur l’ADI.
   • Identifiez le nom de domaine Active Directory. Le nom de domaine Active Directory est le domaine racine contrôlé par votre contrôleur de domaine Active Directory. Consultez l’image ci-dessous pour obtenir un exemple de nom de domaine AD.
   • Assurez-vous de connaître le nom d’utilisateur et le mot de passe associés à un compte d’administrateur Active Directory ayant les autorisations requises pour émettre des requêtes LDAP. Par défaut, tous les comptes du groupe « Utilisateurs du domaine » disposent de ces autorisations. Cependant, pour plus de sécurité, nous vous recommandons d’utiliser un compte de service ayant uniquement des autorisations de « lecture » pour votre Active Directory. Afin de connaître les autorisations de lecture requises pour ce compte de service, consultez notre Guide de configuration avancée de l’intégration Active Directory (ADI).
2. Générez votre jeton de synchronisation ADI et téléchargez l’outil de synchronisation ADI depuis les paramètres de votre compte KSAT. Procédez comme suit :
   1. Une fois que vous êtes connecté à votre console KSAT, cliquez sur votre adresse e-mail en haut à droite de la page. Cliquez ensuite sur Paramètres du compte.
   2. Accédez à la section Approvisionnement d’utilisateurs. Cochez ensuite la case Activer l’approvisionnement d’utilisateurs (synchronisation des utilisateurs).
   3. Vérifiez que le paramètre Mode test est activé. Le mode test doit rester activé tant que vous n’avez pas terminé la configuration de votre ADI ni vérifié que l’ADI fonctionne correctement. Lorsque le mode test est activé, l’approvisionnement d’utilisateurs et la synchronisation n’ont pas lieu. En revanche, un rapport est généré, indiquant ce qui serait arrivé en cas d’approvisionnement d’utilisateurs. Le mode test vous permet de résoudre les problèmes potentiels, sans que cela n’affecte les utilisateurs actuels de votre console. 
      Conseil : il peut être utile de cocher la case Afficher le domaine du groupe si vos utilisateurs sont répartis sur plusieurs sources de domaine. Pour en savoir plus, consultez notre FAQ sur l’ADI.
      
   4. Copiez votre jeton de synchronisation ADI et enregistrez-le localement. Vous aurez besoin de ce jeton pour terminer la configuration. Votre jeton de synchronisation ADI se compose de 34 caractères, comme illustré dans l’exemple suivant : US9X140X4829E37XX545401X97912X604X.
   5. Cliquez sur l’icône de téléchargement en regard d’Outil ADI (ADISyncSetup.exe) pour télécharger le fichier de l’outil ADI. 
   6. Cliquez sur le bouton Enregistrer les modifications au bas de la page Paramètres du compte.
   7. Choisissez les utilisateurs à synchroniser, et identifiez l’emplacement de ces objets utilisateurs dans votre Active Directory. 
3. Une fois que vous avez réalisé les étapes décrites dans cette section et dans la rubrique Installation et configuration ci-dessous, vous devez définir l’emplacement des objets utilisateurs dans votre Active Directory. Vous pouvez synchroniser les objets utilisateurs à partir de l’un ou de plusieurs des éléments suivants : unités organisationnelles, groupes de sécurité et groupes de distribution. Pour en savoir plus sur la définition des utilisateurs à synchroniser, consultez la section Définition des unités organisationnelles, des groupes et des utilisateurs à synchroniser de cet article.

   S’il s’avère que vos objets utilisateurs ne se trouvent pas dans des unités organisationnelles, des groupes de sécurité ou des groupes de distribution, lisez les informations ci-dessous :

   • Si les utilisateurs que vous souhaitez synchroniser se trouvent dans le conteneur d’utilisateurs intégré au lieu d’une unité organisationnelle : vous ne pouvez pas synchroniser les conteneurs. Pour contourner cela, vous avez la possibilité de créer un groupe de sécurité, d’y ajouter ces utilisateurs, puis de synchroniser ce groupe de sécurité à la place du conteneur. 
   • S’il s’avère que l’organisation de votre Active Directory n’est pas idéale pour le synchroniser avec la console KSAT, ou en cas de doute : vous pouvez configurer un ou plusieurs groupes dans Active Directory, afin qu’ils contiennent tous les groupes et objets utilisateurs à synchroniser. Vous devez ensuite indiquer que vous souhaitez synchroniser uniquement ces groupes.
   • Si vous avez un domaine racine avec des Active Directory enfants, vous pouvez exécuter l’installeur ADI pour chaque domaine enfant. Chaque domaine enfant doit utiliser le même contrôleur de domaine que le domaine racine.
4. Déterminez à partir de quel champ les adresses e-mail de vos utilisateurs doivent être extraites dans Active Directory. Par défaut, le service ADI extrait les adresses de proxy de vos utilisateurs afin de les utiliser comme adresses e-mail pour leurs comptes KnowBe4. 
   • Si vous avez besoin d’utiliser autre chose que leurs adresses de proxy, vous devez modifier la valeur du champ emailAttrib dans votre fichier adisync.conf. Par exemple, si vous n’utilisez pas Microsoft Exchange ou Microsoft 365 comme serveur de messagerie, le champ réservé à l’adresse de proxy dans Active Directory est probablement vide. Modifiez la valeur du champ emailAttrib après avoir effectué l’installation, mais avant de démarrer le service de synchronisation ADI. Pour obtenir des instructions à ce sujet, consultez la section Modification de l’emplacement d’où sont extraites les adresses e-mail dans Active Directory de notre Guide de configuration avancée de l’intégration Active Directory (ADI).
     Remarque : Le champ useMailAttrib a été remplacé par le champ emailAttribute.
   • Vérifiez que les paramètres sont correctement configurés pour l’afflux d’utilisateurs pour toutes les campagnes. Vérifiez deux fois les paramètres de vos Groupes intelligents dans les campagnes car ils peuvent être altérés par l’apparition de nouveaux utilisateurs via ADI sync.

Après avoir réuni les informations ci-dessus, passez aux étapes de la section suivante.

Installation et configuration

Après avoir réuni les informations répertoriées dans la section ci-dessus, vous pouvez installer et configurer la synchronisation ADI. Suivez les étapes ci-dessous pour continuer :

1. Lancez l’outil de synchronisation Active Directory. Il s’agit du fichier ADISyncSetup.exe que vous avez téléchargé depuis les paramètres de votre compte KSAT à l’étape 2 de la section Avant de commencer : actions requises ci-dessus. Il n’est pas nécessaire que l’outil de synchronisation Active Directory soit installé sur un contrôleur de domaine. Il peut être installé n’importe où dans l’environnement, à condition que le système puisse communiquer avec un contrôleur de domaine prenant en charge les connexions LDAP.
   Conseil :Votre synchronisation d’Active Directory peut communiquer via le protocole LDAP. Cependant, si vous préférez, vous pouvez activer le LDAPS sur votre contrôleur de domaine avant de synchroniser votre Active Directory. Par défaut, le LDAPS est désactivé sur la plupart des contrôleurs de domaine. Pour en savoir plus, consultez notre article FAQ : Intégration Active Directory (ADI).

   Une invite de commande s’ouvre automatiquement concernant le répertoire d’installation. L’emplacement par défaut du répertoire d’installation sur les plateformes 64 bits est le suivant : C:\Program Files\KnowBe4\ADI Sync

2. Dans la fenêtre d’invite de commande, vous devez saisir les informations répertoriées ci-dessous :
   1. Enter your 34 character ADI Sync Token (saisissez les 34 caractères de votre jeton de synchronisation ADI) : Si vous exécutez cette commande pour la première fois, vous devez saisir votre jeton de synchronisation Active Directory. Ce jeton correspond à la chaîne de caractères que vous avez copiée depuis les paramètres de votre compte KSAT. Pour en savoir plus, consultez l’étape 2 dans la section Avant de commencer : actions requises ci-dessus.
   2. Enter Active Directory domain name (saisissez le nom de domaine d’Active Directory) : le nom de domaine désigne le domaine racine de votre Active Directory. Vous trouverez un exemple dans la section Avant de commencer : actions requises ci-dessus. 
   3. Enter Active Directory domain controller hostname or IP address (saisissez le nom d’hôte ou l’adresse IP du contrôleur de domaine Active Directory) : l’adresse IP ou le nom d’hôte d’Active Directory désigne l’adresse IP ou le nom de domaine complet (FQDN) du contrôleur de domaine où se trouve votre Active Directory.
   4. Enable SSL (true/false)(activer SSL - vrai/faux) : par défaut, le LDAPS est désactivé sur votre contrôleur de domaine. Saisissez « false » (faux) ou appuyez sur la touche Entrée de votre clavier pour sélectionner automatiquement cette option. Si vous avez activé le LDAPS dans le cadre de cette synchronisation, saisissez « true » (vrai) à la place.
   5. Activer les champs SecurityCoach (vrai/faux) : Si vous avez acheté SecurityCoach, saisissez « vrai » pour activer les champs SecurityCoach. Ces champs vous permettront de synchroniser des informations pour le mappage utilisateur. Pour plus d’informations, voir la section Champs SecurityCoach de notre article Comment modifier votre fichier CONF pour l’intégration Active Directory (ADI). Par défaut, ces champs sont désactivés. Pour garder ces champs désactivés, appuyez sur la touche Entrée de votre clavier.
   6. Enter Active Directory Port number [389] (saisissez le numéro de port d’Active Directory [389]) : saisissez le port LDAP ou LDAPS approprié. Par défaut, le port est le 389 pour le LDAP et le 636 pour le LDAPS.
   7. Enter Username (user@domain) (saisissez le nom d’utilisateur [utilisateur@domaine]) : saisissez le nom d’utilisateur du compte d’administrateur d’Active Directory détenant les autorisations de lecture requises pour émettre des requêtes LDAP. Ce nom d’utilisateur doit être au format « utilisateur@domaine ».
   8. Saisir le mot de passe : Saisissez le mot de passe du compte d’administrateur d’Active Directory détenant les autorisations de lecture requises pour émettre des requêtes LDAP.
3. Si la connexion a réussi, vous verrez un message de confirmation indiquant que l’ADI a été connectée et configurée pour votre domaine, comme illustré dans l’exemple ci-dessus. 
4. Appuyez sur la touche Entrée de votre clavier pour quitter la fenêtre d’invite de commande.

   Si des problèmes sont survenus en tentant d’atteindre ou d’authentifier votre contrôleur de domaine, des messages d’erreur s’affichent dans la fenêtre d’invite de commande, et vous devez effectuer à nouveau les étapes indiquées dans cette section, en appliquant les données de configuration exactes. Si le problème persiste, veuillez contacter notre équipe d’assistance. 

   Une fois la connexion établie avec succès, passez à la section suivante pour pouvoir définir les utilisateurs et les informations que vous souhaitez synchroniser avec votre console KSAT.

Définition des unités organisationnelles, des groupes et des utilisateurs à synchroniser

Une fois que vous avez réalisé les étapes détaillées dans les deux sections précédentes, modifiez le fichier <votre domaine ici>.conf, afin de configurer les informations à synchroniser avec votre compte KSAT. Cette configuration est nécessaire pour synchroniser les utilisateurs depuis votre Active Directory.

Poursuivez la configuration de l’ADI en suivant les étapes ci-dessous :

1. Assurez-vous que vous avez modifié les autorisations du dossier C:\ProgramData\KnowBe4\ADI Sync\Config. 
2. Localisez le dossier <votre domaine ici>.conf dans le répertoire d’installation, tel qu’indiqué ci-dessous. Ouvrez le fichier dans un éditeur de texte, comme Notepad.

   Le fichier <votre domaine ici>.conf est utilisé pour définir les utilisateurs, les informations de l’utilisateur et les groupes que vous souhaitez synchroniser entre votre compte KSAT et votre Active Directory. Pour voir un exemple de ce fichier, ouvrez le fichier disponible ici : sample_domain.

   Remarque : veillez à bien modifier le fichier <votre domaine ici>.conf, et non le fichier adisync.conf.
3. Modifiez le fichier <votre domaine ici>.conf pour définir les critères applicables pour la synchronisation de vos groupes et utilisateurs. Dans le fichier <votre domaine ici>.conf, vous pouvez modifier trois sections :
   • [sync.fields] (facultatif) : modifiez cet élément pour définir les champs d’informations de l’utilisateur à synchroniser depuis votre Active Directory. Pour en savoir plus, consultez la section Synchronisation d’informations de l’utilisateur supplémentaires de notre article Comment synchroniser des informations par le biais d’Active Directory.
   • [sync.users] (obligatoire) : modifiez cet élément pour définir les utilisateurs à synchroniser depuis votre Active Directory. Assurez-vous d’inclure au moins une unité organisationnelle, un groupe ou un utilisateur dans la section [sync.users] du fichier .conf. Pour en savoir plus, consultez la section Synchroniser les utilisateurs par inclusion/exclusion d’une unité organisationnelle, d’un groupe ou d’un utilisateur spécifique (obligatoire) de notre article Comment synchroniser des informations par le biais d’Active Directory.
   • [sync.groups] (facultatif) : vous pouvez utiliser cet espace pour indiquer les groupes que vous souhaitez synchroniser depuis votre Active Directory. Ces groupes seront automatiquement créés dans votre console KnowBe4, et les utilisateurs concernés seront ajoutés aux groupes. Pour en savoir plus, consultez la section Synchroniser les groupes par inclusion/exclusion d’une unité organisationnelle ou d’un groupe (facultatif) de notre article Comment synchroniser des informations par le biais d’Active Directory.
   Remarque :si le nom de vos unités organisationnelles ou de vos groupes contient des lettres ne faisant pas partie de l’alphabet anglais standard, remplacez les guillemets (") par des apostrophes simples (') dans le fichier <votre domaine ici>.conf. Vous devez également utiliser une double barre oblique inverse pour contourner les caractères spéciaux, tels que les virgules, les dièses et les signes plus. Pour en savoir plus, consultez notre article Comment utiliser les caractères d’échappement avec l’intégration Active Directory.
4. Lorsque vous avez terminé, enregistrez les modifications que vous avez apportées au fichier <votre domaine ici>.conf.

Consultez la section suivante pour démarrer votre synchronisation ADI.

Commencer votre synchronisation ADI

Si vous avez réalisé toutes les étapes ci-dessus, votre service de synchronisation ADI de KnowBe4 est désormais configuré et vous pouvez démarrer la synchronisation ADI. Suivez les étapes ci-dessous pour continuer :

Vous pouvez démarrer la synchronisation à l’aide de Windows Service Control Manager pour lancer le service de synchronisation ADI de KnowBe4.

Le service de synchronisation ADI de KnowBe4 sera immédiatement exécuté. Lorsque les services sont connectés, la synchronisation entre votre Active Directory et la console KSAT a lieu toutes les six heures.

Quand Mode test est activé dans vos paramètres du compte, vous avez un aperçu de la façon dont votre Active Directory va se synchroniser avec KnowBe4. Pour afficher l’aperçu du mode test, accédez à Utilisateurs > Approvisionnement dans votre console KSAT.

Maintenez Mode test activé jusqu’à ce que vous soyez sûr que la configuration de l’ADI est adaptée aux besoins de votre organisation. Lorsque vous êtes satisfait de la configuration de l’ADI, accédez à vos paramètres du compte KSAT et désactivez Mode test. La synchronisation ADI suivante effectuera automatiquement l’approvisionnement de vos utilisateurs.