Microsoft Entra Connect Sync : Présentation des utilisateurs, des groupes et des contacts
Il existe plusieurs raisons pour lesquelles vous pouvez avoir plusieurs forêts Active Directory et il existe plusieurs topologies de déploiement différentes. Parmi les modèles courants, citons les déploiements de ressources de comptes et les forêts avec liste d’adresses globale synchronisées après fusion et acquisition. Mais même s’il existe des modèles pures, les modèles hybrides sont également courants. La configuration par défaut dans Microsoft Entra Connect Sync ne suppose aucun modèle particulier. Toutefois, selon la façon dont la correspondance utilisateur a été sélectionnée dans le guide d’installation, différents comportements peuvent être observés.
Dans cet article, nous allons voir comment la configuration par défaut se comporte dans certaines topologies. Nous allons examiner la configuration et voir comment utiliser l’éditeur de règles de synchronisation pour vérifier la configuration.
Il existe quelques règles générales que la configuration considère comme étant respectées :
- Quel que soit l’ordre dans lequel nous importons des données depuis les annuaires Active Directory sources, le résultat final doit toujours être le même.
- Un compte actif fournit des informations de connexion, notamment userPrincipalName et sourceAnchor.
- Un compte désactivé fournira userPrincipalName et sourceAnchor, sauf s’il s’agit d’une boîte aux lettres liée si aucun compte actif n’est trouvé.
- Un compte avec une boîte aux lettres liée n’est jamais utilisé pour userPrincipalName et sourceAnchor. On part du principe qu’un compte actif sera trouvé ultérieurement.
- Un objet de contact peut être approvisionné pour Microsoft Entra ID en tant que contact ou utilisateur. Vous ne pouvez vraiment savoir qu'une fois que toutes les forêts sources Active Directory sont traitées.
Groupes
Notes
N’oubliez pas que lorsque vous ajoutez un utilisateur d’une autre forêt au groupe, une ancre est créée dans Active Directory où les groupes existent dans une unité d’organisation spécifique. Cette ancre est un principal de sécurité étranger et est stockée dans l’unité d’organisation « ForeignSecurityPrincipals ». Si vous ne synchronisez pas cette unité d’organisation, les utilisateurs sont supprimés de l’appartenance au groupe.
Points importants à prendre en compte pendant la synchronisation de groupes depuis Active Directory vers Microsoft Entra ID :
Microsoft Entra Connect exclut les groupes de sécurité intégrés de la synchronisation d’annuaires.
Microsoft Entra Connect ne prend pas en charge la synchronisation des Appartenances au groupe principal sur Microsoft Entra ID.
Microsoft Entra Connect ne prend pas en charge la synchronisation des Appartenances de groupe de distribution dynamique avec Microsoft Entra ID.
Pour synchroniser un groupe Active Directory avec Microsoft Entra ID en tant que groupe à extension messagerie :
Si l’attribut proxyAddress du groupe est vide, son attribut mail doit comporter une valeur
Si l’attribut proxyAddress du groupe n’est pas vide, il doit au moins comporter une valeur d’adresse de proxy SMTP. En voici quelques exemples :
Un groupe Active Directory dont l’attribut proxyAddress a la valeur {"X500:/0=contoso.com/ou=users/cn=testgroup"} n’est pas à extension messagerie dans Microsoft Entra ID. Il n’a pas d’adresse SMTP.
Un groupe Active Directory dont l’attribut proxyAddress a les valeurs {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} est à extension messagerie dans Microsoft Entra ID.
Un groupe Active Directory dont l’attribut proxyAddress a les valeurs {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} est aussi à extension messagerie dans Microsoft Entra ID.
Contacts
Avoir des contacts représentant un utilisateur dans une autre forêt est courant après une fusion et acquisition où une solution GALSync joue le rôle de pont entre plusieurs forêts Exchange. L’objet de contact est toujours joint de l’espace de connecteur au métaverse à l’aide de l’attribut de messagerie. S’il existe déjà un objet contact ou un objet utilisateur avec la même adresse e-mail, les objets sont joints. Ce comportement est configuré dans la règle In from AD – Contact Join. Il existe également une règle nommée In from AD – Contact Common avec un flux d’attribut vers l’attribut de métaverse sourceObjectType avec la constante Contact. Cette règle a une priorité faible. Par conséquent, si un objet utilisateur est joint au même objet métaverse, la règle In à partir d’AD – User Common contribue à la valeur Utilisateur à cet attribut. Avec cette règle, cet attribut a la valeur Contact si aucun utilisateur n’est joint et si au moins un utilisateur est trouvé.
Pour l’approvisionnement d’un objet dans Microsoft Entra ID, la règle sortante Out to Microsoft Entra ID – Contact Join crée un objet contact si l’attribut de métaverse sourceObjectType a la valeur Contact. Si cet attribut a la valeur User, la règle Out to Microsoft Entra ID – User Join crée plutôt un objet utilisateur. Il est possible qu’un objet soit promu du contact à l’utilisateur lorsque d’autres répertoires actifs sources sont importés et synchronisés.
Par exemple, dans une topologie GALSync, nous trouverons des objets contacts pour tous les membres de la deuxième forêt quand nous importerons la première forêt. De nouveaux objets contacts seront ainsi créés dans le connecteur Microsoft Entra. Quand plus tard nous importerons et synchroniserons la deuxième forêt, nous trouverons les utilisateurs réels et nous les joindrons aux objets de métaverse existants. Nous allons ensuite supprimer l’objet contact dans Microsoft Entra ID et créer un objet utilisateur à la place.
Si vous disposez d’une topologie dans laquelle les utilisateurs sont représentés en tant que contacts, veillez à sélectionner la mise en correspondance des utilisateurs sur l’attribut de messagerie dans le guide d’installation. Si vous sélectionnez une autre option, vous avez une configuration dépendante de l’ordre. Les objets contact se joignent toujours à l’attribut de messagerie, mais les objets utilisateur se joignent uniquement à l’attribut de messagerie si cette option a été sélectionnée dans le guide d’installation. Vous pourriez alors vous retrouver avec deux objets différents dans le métaverse avec le même attribut de messagerie si l’objet contact a été importé avant l’objet utilisateur. Lors de l’exportation vers Microsoft Entra ID, une erreur s’affiche. Ce comportement est par conception et indiquerait des données incorrectes ou que la topologie n’a pas été correctement identifiée pendant l’installation.
Comptes désactivés
Les comptes désactivés sont aussi synchronisés vers Microsoft Entra ID. Les comptes désactivés représentent couramment des ressources dans Exchange, par exemple des salles de conférence. L'exception concerne les utilisateurs avec une boîte aux lettres liée ; comme cela a été mentionné précédemment, ils ne créent jamais de compte dans Microsoft Entra ID.
L’hypothèse est que si un compte d’utilisateur désactivé est trouvé, nous ne trouverons plus d’autre compte actif ultérieurement. L’objet est approvisionné dans Microsoft Entra ID avec userPrincipalName et sourceAnchor trouvés. Si un autre compte actif joint au même objet métaverse, son userPrincipalName et sourceAnchor sont utilisés.
Changement de l’attribut sourceAnchor
Lorsqu’un objet est exporté vers l’ID Microsoft Entra, il n’est plus autorisé à modifier la sourceAnchor. Lorsque l’objet est exporté l’attribut métaverse cloudSourceAnchor est défini avec la valeur sourceAnchor acceptée par l’ID Microsoft Entra. Si sourceAnchor est modifié et ne correspond pas à cloudSourceAnchor, la règle Out to Microsoft Entra ID – User Join génère l’erreur L’attribut sourceAnchor a changé. Dans ce cas, la configuration ou les données doivent être corrigées pour que le même sourceAnchor soit présent dans le métaverse et que l’objet puisse être de nouveau synchronisé.