Microsoft Entra Connect : Configurer les autorisations du compte de connecteur AD DS
Le module PowerShell dénommé ADSyncConfig.psm1 a été introduit avec la version 1.1.880.0 (sortie en août 2018). Il fournit une collection de cmdlets pour vous aider à configurer les autorisations Active Directory adéquates pour votre déploiement Microsoft Entra Connect.
Vue d’ensemble
Les applets de commande PowerShell suivantes peuvent être utilisées pour configurer les autorisations Active Directory du compte connecteur AD DS, pour chaque fonctionnalité que vous sélectionnez pour activer dans Microsoft Entra Connect. Pour éviter tout problème, vous devez définir les autorisations Active Directory préalablement à toute installation Microsoft Entra Connect à l’aide d’un compte de domaine personnalisé, pour pouvoir ensuite vous connecter à votre forêt. Ce module ADSyncConfig est également utile pour configurer les autorisations après le déploiement Microsoft Entra Connect.
Pour l’installation de Microsoft Entra Connect Express, un compte généré automatiquement (MSOL_nnnnnnnnnn) est créé dans Active Directory avec toutes les autorisations nécessaires. Vous n’avez pas besoin d’utiliser ce module ADSyncConfig, sauf si vous avez bloqué l’héritage des autorisations sur les unités organisationnelles ou sur des objets Active Directory spécifiques que vous souhaitez synchroniser avec l’ID Microsoft Entra.
Résumé des autorisations
Le tableau suivant récapitule les autorisations nécessaires sur les objets AD :
| Fonctionnalité | Autorisations |
|---|---|
| Fonctionnalité de ms-DS-ConsistencyGuid | Autorisations de lecture et d’écriture sur l’attribut ms-DS-ConsistencyGuid documenté dans Principes de conception Azure AD Connect - Utilisation de ms-DS-ConsistencyGuid en tant qu’attribut sourceAnchor. |
| Synchronisation de hachage de mot de passe | |
| Déploiement Exchange hybride | Autorisations de lecture et d’écriture sur les attributs documentés dans Écriture différée d’Exchange hybride pour les utilisateurs, les groupes et les contacts. |
| Dossier public de messagerie Exchange | Autorisations de lecture sur les attributs documentées dans Dossier public de messagerie Exchange pour les dossiers publics. |
| Réécriture du mot de passe | Autorisations de lecture et d’écriture sur les attributs documentés dans Bien démarrer avec la gestion des mots de passe pour les utilisateurs. |
| Écriture différée des appareils | Autorisations de lecture et d’écriture sur les objets et conteneurs d’appareil documentés dans la réécriture d’appareil. |
| Écriture différée de groupe | Lire, créer, mettre à jour et supprimer des objets de groupe pour les groupes Office 365 synchronisés. |
Utilisation du module PowerShell ADSyncConfig
Le module ADSyncConfig nécessite les outils d’administration de serveur distant pour AD DS, car il dépend des outils et du module PowerShell AD DS. Pour installer les outils d’administration de serveur distant pour AD DS, ouvrez une fenêtre Windows PowerShell avec l’option « Exécuter en tant qu’administrateur » et exécutez la commande suivante :
Install-WindowsFeature RSAT-AD-Tools
Remarque
Vous pouvez également copier le fichier C:\Program Files\Microsoft Entra Connect\AdSyncConfig\ADSyncConfig.psm1 sur un contrôleur de domaine où sont déjà installés les outils d’administration de serveur distant pour AD DS et utiliser ensuite ce module PowerShell à partir de ce contrôleur. N’oubliez pas que plusieurs cmdlets ne peuvent être exécutées que sur l’ordinateur qui héberge Microsoft Entra Connect.
Pour commencer à utiliser le module ADSyncConfig, vous devez d’abord le charger dans une fenêtre Windows PowerShell :
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
Pour afficher toutes les applets de commande incluses dans ce module, entrez la commande suivante :
Get-Command -Module AdSyncConfig
Chaque applet de commande utilise les mêmes paramètres d’entrée du compte de connecteur AD DS, ainsi qu’un commutateur AdminSDHolder. Pour spécifier votre compte de connecteur AD DS, entrez le nom du compte et le domaine correspondants, ou entrez simplement le nom unique du compte.
Par exemple:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
Ou :
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
Veillez à remplacer <ADAccountName>, <ADDomainName> et <ADAccountDN> par les valeurs de votre environnement.
Si vous souhaitez changer les autorisations sur le conteneur AdminSDHolder, utilisez le commutateur -IncludeAdminSdHolders. Cela n’est pas recommandé.
Par défaut, toutes les applets de commande d’autorisations définies tentent de définir des autorisations AD DS à la racine de chaque domaine de la forêt, ce qui signifie que l’utilisateur exécutant la session PowerShell nécessite des droits d’administrateur de domaine sur chaque domaine de la forêt. En raison de cette exigence, il est recommandé d’utiliser un compte Administrateur d’entreprise à partir de la racine de la forêt. Si votre déploiement Microsoft Entra Connect a plusieurs connecteurs AD DS, il est nécessaire d’exécuter la même applet de commande sur chaque forêt disposant d’un connecteur AD DS.
Vous pouvez également définir des autorisations sur une unité d’organisation ou un objet AD DS spécifique en ajoutant le paramètre -ADobjectDN suivi du nom unique de l’objet cible sur lequel vous souhaitez définir les autorisations. Lorsque vous utilisez un ADobjectDN cible, l’applet de commande définit des autorisations sur cet objet uniquement et non sur le conteneur racine de domaine ou AdminSDHolder. Ce paramètre peut être utile si vous avez bloqué l’héritage des autorisations sur des unités d’organisation ou objets AD DS spécifiques (voir la section « Rechercher les objets AD DS pour lesquels l’héritage des autorisations est désactivé »)
Les exceptions à ces paramètres courants sont l’applet de commande Set-ADSyncRestrictedPermissions utilisée pour définir les autorisations sur le compte de connecteur AD DS lui-même, et l’applet de commande Set-ADSyncPasswordHashSyncPermissions, car les autorisations requises pour la synchronisation de hachage de mot de passe sont définies uniquement à la racine du domaine. Cette applet de commande n’inclut donc pas les paramètres -ObjectDN ou -IncludeAdminSdHolders.
Identifier votre compte de connecteur AD DS
Si Microsoft Entra Connec est déjà installé et que vous souhaitez savoir quel compte de connecteur AD DS est actuellement utilisé par Microsoft Entra Connec, exécutez l’applet de commande suivante :
Get-ADSyncADConnectorAccount
Rechercher les objets AD DS pour lesquels l’héritage des autorisations est désactivé
Si vous souhaitez vérifier s’il existe un objet AD DS avec l’héritage d’autorisation désactivé, vous pouvez exécuter :
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>'
Par défaut, ce cmdlet recherche uniquement les unités d'organisation avec héritage désactivé, mais vous pouvez spécifier d'autres classes d'objets AD DS dans le paramètre -ObjectClass ou utiliser « * » pour toutes les classes d'objets, comme ceci :
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass *
Afficher les autorisations AD DS définies sur un objet
Vous pouvez utiliser l’applet de commande qui suit pour afficher la liste des autorisations actuellement définies sur un objet Active Directory en fournissant son DistinguishedName :
Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>'
Configurer les autorisations du compte de connecteur AD DS
Configurer des autorisations de lecture seule de base
Si vous n’utilisez aucune fonctionnalité Microsoft Entra Connect et souhaitez définir des autorisations de lecture seule de base pour le compte de connecteur AD DS, exécutez :
Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Ou :
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Cette applet de commande définit les autorisations suivantes :
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | Compte de connecteur AD DS | Lire toutes les propriétés | Objets appareil descendants |
| Allow | Compte de connecteur AD DS | Lire toutes les propriétés | Objets InetOrgPerson descendants |
| Allow | Compte de connecteur AD DS | Lire toutes les propriétés | Objets ordinateur descendants |
| Allow | Compte de connecteur AD DS | Lire toutes les propriétés | Objets foreignSecurityPrincipal descendants |
| Allow | Compte de connecteur AD DS | Lire toutes les propriétés | Objets groupe descendants |
| Allow | Compte de connecteur AD DS | Lire toutes les propriétés | Objets utilisateur descendants |
| Allow | Compte de connecteur AD DS | Lire toutes les propriétés | Objets contact descendants |
| Allow | Compte de connecteur AD DS | Réplication des modifications de l’annuaire | Cet objet uniquement (racine du domaine) |
Configurer les autorisations MS-DS-Consistency-Guid
Pour définir les autorisations du compte de connecteur AD DS en utilisant l’attribut ms-Ds-Consistency-Guid comme ancre source (option « Laisser Azure gérer l’ancre source pour moi »), exécutez :
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Ou :
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Cette applet de commande définit les autorisations suivantes :
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | Compte de connecteur AD DS | Lecture/Écriture de la propriété | Objets utilisateur descendants |
Autorisations pour la synchronisation du hachage de mot de passe
Pour définir les autorisations du compte de connecteur AD DS quand la synchronisation du hachage de mot de passe est activée, exécutez :
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>]
Ou :
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>]
Cette applet de commande définit les autorisations suivantes :
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | Compte de connecteur AD DS | Réplication des modifications de l’annuaire | Cet objet uniquement (racine du domaine) |
| Allow | Compte de connecteur AD DS | Réplication de toutes les modifications de l’annuaire | Cet objet uniquement (racine du domaine) |
Autorisations pour la réécriture du mot de passe
Pour définir les autorisations du compte de connecteur AD DS quand la réécriture du mot de passe est activée, exécutez :
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Ou :
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Cette applet de commande définit les autorisations suivantes :
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | Compte de connecteur AD DS | Réinitialiser le mot de passe | Objets utilisateur descendants |
| Allow | Compte de connecteur AD DS | Écriture de la propriété lockoutTime | Objets utilisateur descendants |
| Allow | Compte de connecteur AD DS | Écriture de la propriété pwdLastSet | Objets utilisateur descendants |
Autorisations pour la réécriture de groupe
Pour définir les autorisations du compte de connecteur AD DS quand la réécriture de groupe est activée, exécutez :
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Ou :
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Cette applet de commande définit les autorisations suivantes :
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | Compte de connecteur AD DS | Lecture/Écriture générique | Tous les attributs d’un groupe de types d’objets et des sous-objets |
| Allow | Compte de connecteur AD DS | Création/Suppression de l’objet enfant | Tous les attributs d’un groupe de types d’objets et des sous-objets |
| Allow | Compte de connecteur AD DS | Suppression/Suppression d’objets d’arborescence | Tous les attributs d’un groupe de types d’objets et des sous-objets |
Autorisations pour le déploiement Exchange hybride
Pour définir les autorisations du compte de connecteur AD DS quand le déploiement Exchange hybride est activé, exécutez :
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Ou :
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Cette applet de commande définit les autorisations suivantes :
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | Compte de connecteur AD DS | Lecture/écriture de toutes les propriétés | Objets utilisateur descendants |
| Allow | Compte de connecteur AD DS | Lecture/écriture de toutes les propriétés | Objets InetOrgPerson descendants |
| Allow | Compte de connecteur AD DS | Lecture/écriture de toutes les propriétés | Objets groupe descendants |
| Allow | Compte de connecteur AD DS | Lecture/écriture de toutes les propriétés | Objets contact descendants |
Autorisations pour les dossiers publics de la messagerie Exchange
Pour définir les autorisations du compte de connecteur AD DS quand les dossiers publics de la messagerie Exchange sont activés, exécutez :
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Ou :
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Cette applet de commande définit les autorisations suivantes :
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | Compte de connecteur AD DS | Lire toutes les propriétés | Objets PublicFolder descendants |
Restreindre les autorisations du compte de connecteur AD DS
Ce script PowerShell renforce les autorisations pour le compte de connecteur AD fourni en tant que paramètre. La réduction des autorisations implique les étapes suivantes :
Désactivez l’héritage sur l’objet spécifié
Supprimer toutes les entrées de contrôle d’accès (ACE) sur l’objet spécifique, à l’exception de celles propres à SELF, car nous souhaitons conserver les autorisations par défaut pour SELF.
Le paramètre -ADConnectorAccountDN est le compte AD dont les autorisations doivent être réduites. Il s’agit généralement du compte de domaine MSOL_nnnnnnnnnnnn qui est configuré dans le connecteur AD DS (voir la section « Identifier votre compte de connecteur AD DS »). Le paramètre -Credential est utilisé afin de spécifier le compte administrateur qui a les privilèges nécessaires pour restreindre les autorisations Active Directory sur l’objet AD cible (ce compte doit être différent de celui de l’ADConnectorAccountDN). Il s’agit généralement du compte d’administrateur d’entreprise ou de domaine.
Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]
Par exemple :
$credential = Get-Credential
Set-ADSyncRestrictedPermissions -ADConnectorAccountDN 'CN=ADConnectorAccount,OU=Users,DC=Contoso,DC=com' -Credential $credential
Cette applet de commande définit les autorisations suivantes :
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | SYSTEM | Contrôle total | Cet objet |
| Allow | Administrateurs de l’entreprise | Contrôle total | Cet objet |
| Allow | Admins du domaine | Contrôle total | Cet objet |
| Allow | Administrateurs | Contrôle total | Cet objet |
| Allow | Contrôleurs de domaine d’entreprise | Lister le contenu | Cet objet |
| Allow | Contrôleurs de domaine d’entreprise | Lire toutes les propriétés | Cet objet |
| Allow | Contrôleurs de domaine d’entreprise | Autorisations de lecture | Cet objet |
| Allow | Utilisateurs authentifiés | Lister le contenu | Cet objet |
| Allow | Utilisateurs authentifiés | Lire toutes les propriétés | Cet objet |
| Allow | Utilisateurs authentifiés | Autorisations de lecture | Cet objet |