Microsoft Entra Connect Sync et Entra Cloud Sync sont deux outils de synchronisation des identités entre l’Active Directory et Entra ID, le service de gestion des identités Cloud de Microsoft. Voici ce que vous devez savoir pour bien comprendre ce qui diffère entre ces deux solutions de synchronisation.
Microsoft Entra Connect Sync (anciennement Azure AD Connect) est l’outil historique permettant de synchroniser un annuaire Active Directory (AD DS) vers Microsoft Entra ID. Microsoft propose également une approche plus moderne : Microsoft Entra Cloud Sync, une solution de synchronisation légère, orchestrée depuis le cloud.
Dans cet article, nous allons passer en revue ces deux solutions, leurs différences, leurs limites et les scénarios dans lesquels chacune est pertinente. En tant que consultant Microsoft, j’interviens régulièrement sur des projets de synchronisation des identités entre l’écosystème Microsoft on-premise et le cloud.
Le besoin des entreprises
Les organisations disposant de plusieurs systèmes d’authentification cherchent à harmoniser leurs identités, tout en simplifiant leur cycle de vie. La synchronisation d’identité permet de simplifier l’expérience utilisateur, renforcer la sécurité et d’éviter la multiplicité des comptes entre les postes de travail, les applications métiers et les services cloud.
Microsoft Entra Connect Sync et Entra Cloud Sync permettent tous deux de synchroniser les identités d’un annuaire Active Directory (AD DS) vers Microsoft Entra ID, principalement sur la base de l’UPN (User Principal Name). Cette synchronisation peut s’appliquer autant qu’aux utilisateurs qu’aux groupes.
Normaliser les identifiants de connexion
Au quotidien, nous parlons souvent d’identifiant, de login ou encore d’adresse mail pour s’authentifier. En réalité, dans un Active Directory, l’identifiant principal est l’UPN (User Principal Name). Il est composé de deux éléments :
Le nom d’utilisateur (sAMAccountName)
Nom du domaine
Pour un utilisateur dont l’identifiant est « pierre.gerard » sur le domaine Active Directory « it-connect.cloud », son UPN serait alors « [email protected] ».
Du côté d’Entra ID, c’est le même principe.
Bien que l’UPN s’apparente à une adresse mail, il peut être différent de l’adresse mail de l’utilisateur. Ici, l’adresse mail de Pierre GERARD pourrait être « [email protected] ». Tout comme l’utilisateur peut ne pas disposer de service de messagerie.
Entra Connect Sync
Présentation
Microsoft Entra Connect Sync (anciennement Azure AD Connect) est la solution historique de synchronisation entre Active Directory (AD DS) et Entra ID. Elle repose sur un serveur installé dans l’infrastructure on-premises et offre le périmètre fonctionnel le plus complet pour les environnements hybrides.
Les méthodes d’authentification prises en charge par Microsoft Entra Connect Sync sont les suivantes :
Password Hash Sync (PHS) : le hash du mot de passe est synchronisé vers Entra ID (jamais le mot de passe en clair). L’authentification est ensuite entièrement gérée dans le cloud.
Pass-through Authentication (PTA) : l’authentification est déléguée à l’Active Directory on-premises via des agents PTA. Entra ID transmet la demande d’authentification au domaine local.
Fédération (AD FS) : cette option historique permet d’externaliser l’authentification vers une ferme AD FS. Cette approche est encore supportée mais n’est plus recommandée pour les nouveaux déploiements.
Prérequis de déploiement
Voici les prérequis à respecter pour l’installation d’Entra Connect Sync :
L’installation de Microsoft Entra Connect Sync nécessite un serveur dédié exécutant Windows Server 2022 ou 2025.
Le niveau fonctionnel de la forêt doit être, au minimum Windows Server 2003, et le contrôleur de domaine contacté doit être accessible en écriture.
L’outil nécessite une base SQL Server. Vous pouvez utiliser la version SQL Express déployée avec l’agent, ou utiliser une instance personnalisée dédiée.
L’activation de la corbeille Active Directory est nécessaire, et l’outil ne peut pas être installé sur un contrôleur de domaine en lecture seule (RODC).
Enfin, Entra Connect Sync doit être maintenu à jour régulièrement, Microsoft appliquant un cycle de support strict sur les versions.
Fonctionnalités et usage
Microsoft Entra Connect Sync propose les fonctionnalités suivantes :
Synchronisation de mot de passe : Synchronise le hash du mot de passe local vers Entra ID afin d’unifier le mot de passe des utilisateurs des 2 comptes
Réécriture de mot de passe : Permet la réécriture du mot de passe depuis Microsoft 365 vers l’Active Directory*
Réécriture de groupe depuis Entra ID vers l’Active Directory*
Réécriture d’équipements : Réécriture des ordinateurs joint à l’AD dans Entra ID (Entra ID Hybrid Join)
Synchronisation des extensions d’attributs dans Entra ID*
* Nécessite Entra ID P1
Source : Microsoft
Entra ID Connect Sync reste aujourd’hui la solution la plus complète pour les environnements nécessitant une synchronisation avancée ou des scénarios hybrides complexes. Concrètement, il est totalement pertinent pour une organisation souhaitant basculer vers le cloud, en conservant une partie de la gestion des postes de travail par l’AD (en raison d’une adhérence à une PKI on-premise, ou pour exploiter AD FS, par exemple), et donc bénéficier de la jonction hybride des postes de travail.
Enfin, pour une organisation disposant de plus de 250 000 objets à synchroniser, seul Entra ID Connect Sync prend en charge ces volumes d’objets.
Entra Cloud Sync
Présentation
Microsoft Entra Cloud Sync (anciennement Azure AD Cloud Sync) permet également de synchroniser les identités d’un annuaire Active Directory (AD DS) vers Entra ID.
Contrairement à Microsoft Entra Connect Sync, Cloud Sync repose sur un agent léger installé dans l’environnement on‑premise. A contrario de Connect Sync, l’orchestration, la configuration et les règles de synchronisation sont entièrement gérées dans le cloud via le centre d’administration Entra. L’administration est donc déportée vers le Cloud.
Cette version dispose d’une haute disponibilité native puisque plusieurs instances du service peuvent être déployées au sein de votre tenant par Microsoft.
Cloud Sync représente aujourd’hui l’orientation stratégique de Microsoft pour la synchronisation hybride, bien que certains scénarios avancés restent réservés à Connect Sync.
Prérequis de déploiement
L’installation d’un agent Cloud Sync nécessite un compte de service dans l’Active Directory, idéalement un gMSA (Group Managed Service Account), utilisé pour lire les objets et les informations à synchroniser.
Il est recommandé d’installer l’agent sur un serveur dédié. L’installation se fait via un assistant simple et rapide, disponible depuis le Centre d’administration Microsoft Entra.
Une fois l’agent déployé, sa configuration et son état sont visibles directement dans le portail d’administration Entra. Il est possible d’installer plusieurs agents pour assurer une haute disponibilité et répartir la charge avec l’environnement Active Directory.
Source : Microsoft
Certaines fonctionnalités avancées (filtrage, attributs spécifiques, writeback) peuvent être configurées via PowerShell ou via les règles de synchronisation dans le portail.
Fonctionnalités et usage
Microsoft Entra ID Cloud Sync comporte quelques limitations par rapport à Connect Sync :
La jonction des postes de travail hybrides n’est pas disponible (Entra ID Hybrid Join)
La synchronisation des postes de travail n’est pas prise en charge
La synchronisation prend en charge 250 000 objets au maximum, au-delà il faut basculer sur Connect Sync
Windows Hello Entreprise n’est pas supporté lorsqu’il est configuré par l’Active Directory
La réécriture vers l’Active Directory n’est pas disponible
Entra ID Cloud Sync est pertinent pour les organisations ayant peu de dépendance à leur environnement sur site. Dans la continuité de l’exemple précédemment indiqué, il est pertinent pour une organisation gérant ses postes de travail via Microsoft Intune, par exemple. Cela retire également la charge liée à la maintenance d’Entra ID Connect Sync, parfois négligée par les équipes techniques.
Autre cas d’usage, pour les organisations disposant de plusieurs tenants Microsoft : utiliser cet agent est plus simple à mettre en oeuvre, et nécessite moins de ressources.
Conclusion
Microsoft Entra Connect Sync et Entra Cloud Sync répondent tous deux au besoin de synchroniser un annuaire Active Directory vers Microsoft Entra ID, mais avec des approches différentes.
ScénarioPris en charge avec Connect SyncPris en charge avec Cloud SyncFusions et acquisitions (forêt déconnectée)✖️✅Haute disponibilité – latence (besoin de haute disponibilité)✖️✅Jonction Microsoft Entra hybride✅✖️Exchange hybride✅✅Comptes utilisateur dans une forêt/boîtes aux lettres dans une forêt de ressources✅✖️Synchronisation des domaines contenant plus de 250 000 objets✅✖️Filtrage des objets en fonction des valeurs d’attribut✅✖️Windows Hello Entreprise✅✖️Synchronisation à partir du cloud vers AD local✖️✖️Synchronisation à partir du cloud vers LDAP local✖️✖️Synchronisation à partir du cloud vers SQL local✖️✖️
Connect Sync reste aujourd’hui la solution la plus complète pour les environnements complexes ou nécessitant des scénarios avancés (writeback étendu, synchronisation des devices, règles personnalisées poussées).
Cloud Sync, de son côté, représente l’orientation stratégique de Microsoft : agent léger, orchestration cloud, haute disponibilité native et maintenance simplifiée. Pour la majorité des organisations, il constitue désormais l’option recommandée.
Pour aller plus loin : Installation et configuration d’Azure AD Connect
Avec 7 années d’expérience en ESN, j’ai construit un parcours solide autour des technologies Microsoft, aussi bien On‑Premise que Cloud. J’interviens en tant que Consultant Freelance Microsoft, sur des projets Microsoft 365, Azure, Intune et Identity & Security.