Le connecteur Active Directory pour Dropbox

Certains types d’administrateurs peuvent gérer la liste des membres de leur équipe Dropbox à l’aide d’Active Directory. Avec le connecteur Active Directory (AD) pour Dropbox, toutes les modifications apportées dans Active Directory sont automatiquement synchronisées avec Dropbox.

Si vous souhaitez obtenir de l’aide concernant la configuration du connecteur AD pour votre équipe Dropbox, contactez nos partenaires de gestion des identités.

Étape 1 : revoir les bonnes pratiques relatives au connecteur AD

Obligatoire

• Tous les utilisateurs souhaitant effectuer une synchronisation depuis Active Directory doivent être des utilisateurs actifs d’un unique domaine AD
• PowerShell 4.0 ou version ultérieure
• Windows Server 2008 (ou version ultérieure)
• Outils d’administration de serveur distant

Recommandé

• Créez un groupe unique appelé "Dropbox" contenant tous les membres à provisionner. Placez dans ce groupe Dropbox les utilisateurs, mais aussi les groupes.
• Installez le connecteur AD sur un serveur avec un accès en lecture seule (le connecteur AD synchronise uniquement les modifications provenant d’Active Directory).
• Mise à niveau depuis une version précédente du connecteur AD : une mise à niveau de la version 2.0.1 à la version 2.0.2 suffit habituellement pour mettre à jour le connecteur. En revanche, quand vous passez d’une version principale à une autre (par exemple, de la version 1.0 à la version 2.0), vous devez désinstaller la version actuelle avant d’installer la nouvelle.
• Avec la version actuelle du connecteur AD, nous vous recommandons de ne pas synchroniser plus de 10 000 utilisateurs à partir d’Active Directory. Si vous souhaitez utiliser le connecteur AD avec davantage d’utilisateurs, veuillez contacter votre équipe de relation clients Dropbox.

Étape 2 : télécharger le fichier Microsoft Installer (MSI) du connecteur AD

Étape 3 : installer le connecteur AD

1. Recherchez et exécutez le fichier d’installation Dropbox-AD-Connector.msi.
2. Cliquez sur Suivant pour poursuivre l’installation à l’aide de l’assistant.
3. Cochez la case pour accepter les conditions d’utilisation, puis cliquez sur Suivant.
4. Cliquez sur Suivant pour utiliser le chemin d’accès par défaut pour installer le connecter.
5. Cliquez sur Installer, puis sur Oui si les paramètres Contrôle de compte d’utilisateur (UAC) vous y invitent.
6. L’option Mise en route est cochée par défaut. Décochez-la si vous suivez déjà les instructions de ce guide.
7. Sélectionnez Terminer pour terminer l’installation.

Étape 4 : terminer la configuration du connecteur AD

Configuration

1. Recherchez le raccourci appelé Configure AD Connector (Configurer le connecteur AD) sur votre ordinateur et ouvrez-le.
2. Cliquez sur Get OAuth2 Token (Obtenir le jeton OAuth2) pour vous connecter à votre compte Dropbox.
   • Si nécessaire, connectez-vous à votre compte Dropbox avec vos identifiants d’administrateur.
   • Si besoin, approuvez les autorisations associées à l’application du connecteur AD.
3. Copiez le jeton.
4. Collez le jeton copié dans le champ OAuth 2 DfB Token (Jeton OAuth 2 DfB).
5. Si vous souhaitez réaliser des tests de configuration, sélectionnez Simulation Mode (Mode de simulation).
   •  Remarque : en mode de simulation, aucune modification n’est apportée à votre équipe Dropbox.

Synchronisation des utilisateurs Active Directory

1. Sélectionnez le groupe Active Directory à synchroniser avec votre équipe Dropbox.
   • Nous vous recommandons de créer un groupe Active Directory appelé "Dropbox".
2. Vérifiez que l’attribut e-mail Email Attribute est bien défini sur Email Address (Adresse e-mail).
3. Cochez la case Manage existing users (Gérer les utilisateurs existants) pour synchroniser les modifications apportées aux utilisateurs créés manuellement via l’interface d’administration.

Synchronisation des groupes Active Directory

1. Vous pouvez, si vous le souhaitez, choisir de synchroniser les groupes avec votre équipe Dropbox (facultatif).
2. Pour synchroniser les groupes, choisissez si vous voulez utiliser le même groupe que celui sélectionné pour synchroniser chacun des utilisateurs.
3. Si vous souhaitez utiliser un groupe différent pour synchroniser les groupes, sélectionnez le nom du groupe.

Journal

1. Pour choisir un autre chemin d’enregistrement du fichier journal, cliquez sur Change (Modifier).
   • Remarque : si vous ne fournissez pas d’autre chemin d’accès, le fichier journal est enregistré à l’emplacement par défaut : C:\ProgramData\Dropbox\AD Connector\db_ad_connector.log

Notifications envoyées par e-mail

1. Si vous souhaitez recevoir des notifications par e-mail en cas d’erreur de synchronisation, cliquez sur Settings (Paramètres).
   • Remarque : utilisez les ports 587 ou 25 (non chiffrés). Le port 465 n’est actuellement pas pris en charge.
2. À la fin de chaque section, cliquez sur Test Connection (Tester la connexion) pour vous assurer que la configuration est correcte.
3. Cliquez sur OK lorsque vous avez terminé la configuration des options de messagerie électronique.

Terminer

4. Cliquez sur Save (Enregistrer) pour enregistrer tous les paramètres de configuration.

Étape 5 : exécuter une série de tests avec l’outil Run AD Connector et vérifier son bon fonctionnement

Pour effectuer une série de tests :

1. Sur le bureau, recherchez le raccourci appelé Run AD Connector (Exécuter le connecteur AD).
2. Cliquez avec le bouton droit sur l’outil Run AD Connector, puis sélectionnez Run as Administrator (Exécuter en tant qu’administrateur).
3. Passez les résultats en revue pour vérifier que les utilisateurs attendus figurent bien dans la liste.
4. Si oui, rouvrez l’outil de configuration du connecteur AD et retirez la coche de la case Simulation Mode.
5. Utilisez l’outil Run AD Connector pour synchroniser de nouveaux membres avec votre équipe Dropbox.

Étape 6 : localiser la tâche planifiée et autoriser son exécution

Pour cela :

1. Accédez à Program Files\Dropbox\AD Connector\Helpers.
2. Cliquez avec le bouton droit sur le fichier AD-Connector-CreateTask.bat, puis sélectionnez Exécuter en tant qu’administrateur.
3. Ouvrez l’application Planificateur de tâches pour Windows Server.
4. Ouvrez le dossier Dropbox Tasks (Tâches Dropbox).
5. Cliquez avec le bouton droit sur la tâche Dropbox AD Connector, puis sélectionnez Activer.
   • Remarque : si cette tâche est introuvable, cliquez avec le bouton droit sur la bibliothèque du Planificateur de tâches, puis sélectionnez Actualiser.
6. Cliquez sur la tâche avec le bouton droit, puis sélectionnez Exécuter.
7. Recherchez le journal de synchronisation du connecteur AD pour vérifier que le test s'est bien exécuté.
8. Consultez la page Membres de l’interface d’administration pour vérifier que les invitations ont bien été envoyées aux membres de l’équipe.

Assurez-vous que les tâches planifiées ne s’interrompent pas mutuellement. Pour cela, sélectionnez l’option Do not start a new instance (Ne pas démarrer une nouvelle instance) dans l’onglet Settings (Paramètres) :

Configuration avancée et dépannage (facultatif)

Connecteur Active Directory pour Dropbox et gestion des groupes

Les groupes Active Directory sont synchronisés avec Dropbox, mais les groupes Dropbox ne sont pas synchronisés avec AD. Les modifications provenant de Dropbox ne se synchronisent pas en retour avec Active Directory. Si vous supprimez un groupe dans Dropbox, il ne sera pas supprimé dans Active Directory.

Pour supprimer un groupe à la fois dans Dropbox et dans Active Directory, vous devez :

• Supprimer tous les membres du groupe de synchronisation dans Active Directory
• Supprimer le groupe de synchronisation de l’étape de configuration

Que se passe-t-il lorsque vous sélectionnez un seul groupe pour synchroniser à la fois vos utilisateurs et vos groupes ?

Les groupes avec des utilisateurs qui ne font pas partie du groupe de synchronisation ne peuvent être synchronisés avec Dropbox.

Comment les groupes sont-ils synchronisés avec Dropbox si j’utilise un groupe AD différent pour synchroniser les comptes utilisateur ?

Tous les utilisateurs appartenant au groupe de synchronisation d’utilisateurs sont synchronisés. Tous les groupes appartenant au groupe de synchronisation d’utilisateurs sont ignorés. Les utilisateurs placés dans le groupe de synchronisation des groupes sont ignorés, sauf s’ils figurent également dans le groupe de synchronisation des utilisateurs. Les groupes placés dans le groupe de synchronisation des utilisateurs sont ignorés, sauf s’ils figurent également dans le groupe de synchronisation des groupes.

Connecteur Active Directory pour Dropbox et transferts de compte

Le connecteur AD ne prend pas en charge le transfert automatique de compte vers un autre membre de l’équipe. Toutefois, les comptes supprimés (et les fichiers associés) restent dans l’interface d’administration. Ils peuvent alors être transférés ou définitivement supprimés. 

Découvrez comment transférer les fichiers d’un compte utilisateur supprimé.

Connecteur Active Directory pour Dropbox et effacement à distance

Lorsque vous suspendez ou supprimez des utilisateurs avec le connecteur AD, le contenu de tous les appareils est automatiquement effacé à distance. Utilisez l’interface d’administration pour supprimer un utilisateur ou un appareil sans effacer à distance tous les fichiers.

Que faire en cas d’échec de la synchronisation du connecteur Active Directory ?

Chaque fois que le connecteur AD est exécuté, un code de sortie est ajouté à la fin du fichier journal. Celui-ci attribue le motif de l’échec et/ou détermine la partie du processus qui a échoué. Le tableau ci-dessous répertorie des exemples des motifs d’échec possibles.

Le connecteur AD consigne une valeur égale à 0 lorsque l’exécution se termine avec succès.

Code	Motif de l’échec	Solution
Impossible de créer un canal sécurisé SSL/TLS	Le serveur ou le client ne prend pas en charge TLS 1.2	Installez la version la plus récente du connecteur AD (voir l’étape 2 ci-dessus) et vérifiez que le serveur prend en charge le protocole TLS 1.2.
-1	Version de PowerShell non prise en charge	Passez à la version 4, 5 ou une version ultérieure de PowerShell.
-10	Impossible de lire le fichier de configuration	Si vous avez modifié manuellement le fichier de configuration, il se peut que notre script ne parvienne pas à le lire en raison d’une erreur. Réexécutez le script de configuration pour remplacer les modifications manuelles. Vérifiez l’autorisation associée au fichier de configuration : le script d’exécution doit avoir l’autorisation d’exécuter ce fichier. Réexécutez le fichier de configuration pour enregistrer le nouveau fichier.
-11	Privilèges d’administrateur requis pour exécuter le script	Lorsque vous sélectionnez le script, faites un clic droit dessus et cliquez sur run with admin privileges (exécuter avec des privilèges d’administrateur).
-12	Impossible d’initialiser le module Active Directory	Assurez-vous qu’AD est opérationnel et sur la même machine que le connecteur AD. Vérifiez les privilèges du script sur AD. Vérifiez que vous n’avez pas plus de 5 000 membres dans votre groupe de synchronisation (sous-groupes compris). La version 2.0 ne prend pas en charge davantage d’utilisateurs.
-13	Échec d’initialisation de l’API Dropbox	Vérifiez que dropbox.com est accessible sur le site status.dropbox.com.
-14	Échec de récupération des informations de l’équipe à partir de l’API Dropbox	Vérifiez le code de l’erreur. Vérifiez la validité du jeton OAuth (réexécutez le script de configuration pour obtenir un nouveau jeton OAuth). Vérifiez que l’administrateur a bien été authentifié et que l’équipe existe toujours. Vérifiez que dropbox.com est accessible sur le site status.dropbox.com.
-15	Aucun utilisateur trouvé dans le groupe Active Directory configuré	Vérifiez que le groupe sélectionné contient bien les utilisateurs que vous souhaitez synchroniser (seuls les utilisateurs de ce groupe sont synchronisés avec votre compte d’équipe Dropbox).
-16	Échec de l’obtention des membres de l’équipe à partir de l’API Dropbox	Réessayez. Il s’agit peut-être d’un problème de réseau temporaire. Vérifiez que dropbox.com est accessible sur le site status.dropbox.com.
-17	Échec lors de la synchronisation	Réessayez. Il s’agit peut-être d’un problème de réseau temporaire. Vérifiez si la machine a été interrompue par un autre processus ou par une erreur. Vérifiez que vous n’avez pas plus de 5 000 membres dans votre groupe de synchronisation (sous-groupes compris). La version 2.0 ne prend pas en charge davantage d’utilisateurs. Nous vous recommandons de limiter la taille des groupes synchronisés à 2 000 utilisateurs avec la version actuelle (2.0). Essayez de ne pas dépasser cette limite. Comment contacter l’assistance Dropbox

Quelles sont les étapes du processus d’exécution du connecteur AD ?

Étape 1 : identifier les utilisateurs gérés

Le connecteur AD met uniquement à jour les utilisateurs gérés. Ceux-ci sont identifiés lorsque les critères suivants sont remplis :

1.  Le connecteur AD finalise tout d’abord le provisionnement. Celui-ci se produit quand :
   • L'adresse e-mail d'un utilisateur est ajoutée au groupe Active Directory configuré.
   • Cette adresse e‑mail est introuvable dans Dropbox.
2. L’utilisateur existe déjà dans votre équipe Dropbox. Cela signifie que les adresses e‑mail de l’équipe et du groupe Active Directory configuré correspondent.

Étape 2 : mettre à jour les informations des utilisateurs gérés uniquement

• Prénom de l’utilisateur
• Nom de l’utilisateur
• Adresse e-mail de l’utilisateur

Pour les utilisateurs gérés de l’étape 1, le connecteur AD vérifie que l’identifiant externe de l’utilisateur est identique entre Dropbox et AD.

Exception : le connecteur AD ne met pas à jour les informations des utilisateurs dont l’état est « Invité » dans Dropbox. Le connecteur AD retente cette mise à jour lors des exécutions suivantes.

Étape 3 : mettre à jour l’état des utilisateurs gérés uniquement

En désactivant les utilisateurs gérés, vous ne les supprimez pas de l’équipe Dropbox. Vous ne les supprimez pas non plus du groupe de synchronisation Active Directory. Au lieu de cela, vous les suspendez dans votre équipe Dropbox.

Pour les utilisateurs gérés qui ont été identifiés au cours de la première étape : le connecteur AD met à jour l’état de l’utilisateur (activé, désactivé ou supprimé) dans Dropbox et le fait correspondre à l’état de ce même utilisateur dans AD.