Identités et le défi sous-estimé d’une intégration Office 365

Le plus logique mais parfois le plus compliqué, se trouve être la fusion, le second dit intégration généralement plus rapide consiste à interconnecter ce système d’informations via des approbations mutuelles entre les différents environnements. Dans les deux cas il faudra, à un moment, établir une cohabitation, une coexistence des systèmes qui  permettra rapidement aux utilisateurs des filiales acquises de pouvoir accéder aux applications métiers du groupe.

Généralement, cette coexistence n’est pas un but en soi, il s’agit plutôt d’une étape transitoire qui permet aux forces de vente, aux responsables métiers d’intégrer directement les applications du groupe. Cette coexistence devra ensuite céder la place à une véritable fusion qui peut comprendre à terme la suppression du système d’informations de la nouvelle filiale.

L’objectif dans ce cas est d’obtenir, à travers un annuaire unique, des services homogènes pour le groupe (messagerie, intranet, portails collaboratifs, téléphonie, etc.). Outre la migration des données, la question des identités va alors se poser. Sans Identité, pas de projet de migration.

Dans l’environnement Microsoft, l’annuaire technique de l’entreprise est représenté par l’Active Directory. Lors de l’acquisition de nouvelles sociétés la question se pose donc d’intégrer l’ensemble de ses utilisateurs, leurs stations de travail, leurs serveurs mais parfois leur environnement Office 365 vers les infrastructures du groupe. Le premier chantier qu’il faudra donc adresser est sans nul doute l’identité. Combien de compte utilisateurs sont à reprendre ? Comment sont gérés les comptes de sous-traitants, quelle est la politique de gestion des identités dans la nouvelle filiale ?

Sans la définition du projet de fusion ou d’intégration des identités, les autres services ne pourront pas migrer Share on X. C’est le premier chantier qu’il faudra adresser. C’est précisément ce que nous vous proposons d’étudier

Les scénarios possibles

Il existe en réalité 2 grands scénarios envisageables lorsqu’une acquisition de société se produit.

L’intégration 

Le premier scénario dit d’intégration, part du principe que l’environnement de cette nouvelle société va perdurer. Dans ce cas, les identités d’annuaire devront être conservées et devront être synchronisées vers Azure AD si le groupe possède un environnement Office 365. La mise en place de relations d’approbation entre ses deux environnements permettra de pouvoir facilement partager des ressources, via des processus d’authentification mono ou bidirectionnel.

Ce scénario peut bien évidemment se répéter, permettant aux nouvelles acquisitions, de rapidement intégrer les ressources du groupe. C’est parfois le cas lorsque la société rachetée conserve sa propre identité ou ses propres marques. Dans ce cas, l’intégration est simple, les utilisateurs conservent leur identité propre, leur adresse de messagerie, leur identifiant de messagerie instantanée etc. etc…

D’un point de vue architecture, les deux forêts coexistent de part et d’autre avec des serveurs contrôleurs de domaine déployés dans chaque agence respective. On notera au passage que ce mode de fonctionnement peut cependant poser quelques soucis de mobilité lorsqu’un utilisateur du groupe tentera de se connecter depuis un réseau de la filiale.

Dans notre cas, les processus de synchronisation des annuaires comme Azure Ad Connect vers Office 365, prennent en charge ces scénarios, et sont parfaitement adaptés à ces situations.

Malgré cela, et malgré cette relative simplicité, des adaptations sont souvent souhaitables en entreprises, comme par exemple, l’homogénéisation des adresses de messagerie, l’uniformisation du nommage des ressources comme peuvent l’être les salles de réunion, les listes de distribution, les groupes de sécurités. L’objectif est alors d’offrir aux utilisateurs un annuaire unique et homogène dans lequel ils pourront se repérer et adresser des ressources entre les diverses entités.

Cette intégration, peut être également améliorée si les deux entreprises possèdent notamment des systèmes de messagerie basés sur les mêmes technologies comme Microsoft Exchange. Dans ce cas, des interactions dites « riches » sont possibles comme le fait de pouvoir rechercher les plages libres occupées des collaborateurs situés dans une autre filiale. Plus simplement si le groupe a choisi la messagerie Exchange Online de Microsoft, les identités de la filiale étant synchronisées, il sera alors assez simple de migrer les données de messagerie de cette dernière vers ce nouvel environnement.

Dans ce scénario, les processus de Gestion des Identités et des Accès (IAM) du groupe seront également mis à jour. Ils devront prendre en compte a posteriori ce nouvel environnement, et pouvoir l’adresser lorsque que des nouvelles identités devront être créés ou supprimées. Cela passe généralement, par une remise aux normes du groupe de ce nouvel annuaire, en « populant » notamment des identifiants uniques (Matricules, Identifiant) sur les objets tels que les comptes utilisateurs, les comptes sous-traitants etc… Là encore, l’objectif n’est de ne pas faire disparaître l’annuaire de la filiale mais bel et bien de l’intégrer dans les processus de gestion d’identité du groupe.