Comment intégrer rapidement vos filiales dans Microsoft Office 365

Nous verrons qu’il existe plusieurs niveaux d’intégration selon la stratégie retenue à court ou moyen terme et que les niveaux de complexité technique peuvent varier, selon l’environnement de transition et l’outillage retenu.

L’objectif de cet article est, par conséquent, de préciser les différentes étapes d’intégration, les risques inhérents et les outillages possibles pour ce genre d’opérations.

Intégration et cohabitation

L’acquisition d’une nouvelle entité va potentiellement générer des changements importants au niveau de son système d’information, et ce, au profit de la maison mère. Les applications métiers de la filiale vont être abandonnées au profit des applications « Corporate ». Le premier sujet adressé par cette contrainte métier va concerner l’identité.

Gestion des identités

Première brique permettant l’authentification des utilisateurs vers le système d’information et les applications métiers, l’ensemble des identités est, bien souvent, créé rapidement introduisant la notion d’un double compte pour les utilisateurs de la filiale.

Les utilisateurs de la filiale acquise se connectent alors traditionnellement à leurs environnements puis de nouveaux, sont authentifiés par celui de la maison mère. Cette double authentification peut être partiellement transparente pour les accès Microsoft s’il est possible d’établir des relations de confiance entre les forêts Active Directory respectives.

Forêts Active Directory

La plupart du temps la mise en place de ces relations d’authentification permet aux nouveaux comptes créés de conserver l’accès aux anciennes ressources Microsoft mais toutes les applications métiers ne savent pas gérer ses relations de confiance. Elles demanderont, alors, aux utilisateurs une connexion additionnelle avec le compte de la maison mère.

Une des questions importantes à se poser est la question de la cible définitive.

Devrez-vous à terme conserver l’environnement de compte de la filiale ou au contraire, devrez-vous la faire disparaitre au profit de celui de la maison mère ?

Dans le premier cas (Conservation) :

on ne parle pas véritablement d’intégration mais de cohabitation. Les deux environnements Active Directory vont cohabiter sur le long terme, se faire confiance et les utilisateurs des deux mondes resteront dans leurs domaines respectifs.

Dans le second cas (Intégration) :

le système d’information de la filiale doit être « soluble » dans celui de la maison mère. Les stations de travail vont être intégrées dans la ou les forêts de la maison mère et les données de messagerie devront migrées vers le tenant 0365 de cette dernière.

Etape 1 : Donnez l’impression

Dans le cas d’acquisition, une des problématiques est de permettre rapidement aux personnes de la filiale de pouvoir envoyer avec le même domaine SMTP (ex :@coporate.com)  que celui de la maison mère. Cela revient à partager un espace de nom SMTP sur plusieurs entités (la maison mère et la ou les filiales) ce qui vous allez le voir n’est pas forcement évident, surtout si la filiale utilise Exchange Online.

Si la filiale que vous devez intégrer vient avec son Tenant 0365, il ne vous sera pas possible d’étendre le nom de votre domaine SMTP sur ce dernier. Ceci en raison d’une limitation fonctionnelle qui limite l’usage d’un nom de domaine à un seul et unique Tenant 0365.

Pour l’envoi, il vous faudra, par conséquent utiliser un service de réécriture d’adresses depuis votre filiale. Service, qui va convertir tous les messages envoyés en tant que @filiale.com en @corporate.com. Pour des questions de sécurité nous vous conseillons d’acheminer ce flux sortant vers les équipements de messagerie de la maison mère ayant la responsabilité déclarée sur internet (SPF, MX) d’envoyer et de recevoir les messages. Vous éviterez ainsi que vos messages soient considérés comme Spam.

Le diagramme suivant (1)

Il décrit la façon dont sont organisés les services d’envoi dans un scénario où le domaine Corporate est partagé par la maison mère et deux autres filiales (Filiale-1 & Filiale-2). Dans ce scénario, la maison mère et la filiale 1 possèdent toutes les deux un tenant 0365.

Le service de récriture d’adresse est présent sur un serveur Edge Exchange. Ce service n’existe pas encore sur l’environnement Microsoft Exchange Online.

Pour la réception, les équipements de la maison mère devront rester en en place et devront réacheminer les messages pour les utilisateurs de la filiale vers leur tenant. Cette redirection peut être faite de deux façons.

Routage via l’annuaire

La première consiste à faire du routage par le biais de l’annuaire, le second est une simple configuration SMTP via les services de réécriture d’annuaire.