Microsoft Entra Connect Sync : apporter une modification à la configuration par défaut

L’objectif de cet article est de vous guider dans la façon d’apporter des modifications à la configuration par défaut dans Microsoft Entra Connect Sync. Il fournit des étapes pour certains scénarios courants. Avec cette connaissance, vous devez être en mesure d’apporter des modifications simples à votre propre configuration en fonction de vos propres règles métier.

Avertissement

Si vous apportez des modifications aux règles de synchronisation prêtes à l’emploi par défaut, ces modifications sont remplacées la prochaine fois que Microsoft Entra Connect est mis à jour, ce qui entraîne des résultats de synchronisation inattendus et probablement indésirables.

Les règles de synchronisation out-of-box par défaut ont une empreinte numérique. Si vous apportez une modification à ces règles, l’empreinte numérique ne correspond plus. Vous pouvez rencontrer des problèmes à l’avenir lorsque vous essayez d’appliquer une nouvelle version de Microsoft Entra Connect. Apportez uniquement des modifications de la façon dont elle est décrite dans cet article.

Éditeur de règles de synchronisation

L’éditeur de règles de synchronisation est utilisé pour afficher et modifier la configuration par défaut. Vous pouvez le trouver dans le menu Démarrer sous le groupe Microsoft Entra Connect.
Menu Démarrer

À l’ouverture de l’éditeur, les règles prêtes à l’emploi par défaut apparaissent.

Navigation dans l’éditeur

À l’aide des listes déroulantes situées en haut de l’éditeur, vous pouvez rapidement trouver une règle spécifique. Par exemple, si vous souhaitez voir les règles dans lesquelles l'attribut proxyAddresses est inclus, vous pouvez modifier les listes déroulantes comme suit :

Pour réinitialiser le filtrage et charger une nouvelle configuration, appuyez sur F5 sur le clavier.

En haut à droite se trouve le bouton Ajouter une nouvelle règle. Vous utilisez ce bouton pour créer votre propre règle personnalisée.

En bas sont des boutons permettant d’agir sur une règle de synchronisation sélectionnée. Modifier et Supprimer faire ce que vous attendez de ces derniers. Export produit un script PowerShell pour recréer la règle de synchronisation. Avec cette procédure, vous pouvez déplacer une règle de synchronisation d’un serveur vers un autre.

Créer votre première règle personnalisée

Les modifications les plus courantes sont apportées aux flux d’attributs. Les données de votre répertoire source peuvent ne pas être identiques à celles de Microsoft Entra ID. Dans l’exemple de cette section, il faut toujours que le nom donné à un utilisateur ait une casse de nom propre.

Désactiver le planificateur

Le planificateur fonctionne toutes les 30 minutes par défaut. Assurez-vous qu’il ne démarre pas pendant que vous apportez des modifications et résolvez vos nouvelles règles. Pour désactiver temporairement le planificateur, démarrez PowerShell et exécutez Set-ADSyncScheduler -SyncCycleEnabled $false.

Créer la règle

1. Cliquez sur Ajouter une nouvelle règle.
2. Dans la page Description, entrez les éléments suivants :
   
   • Nom: donnez un nom descriptif à la règle.
   • Description: donnez des précisions pour que quelqu’un d’autre puisse comprendre ce que la règle est pour.
   • système connecté: il s’agit du système dans lequel l’objet est trouvé. Dans ce cas, sélectionnez le Connecteur Active Directory.
   • Type d’objet de système connecté/métaverse : sélectionnez respectivement Utilisateur et Personne.
   • Type de lien : remplacez cette valeur par Jointure.
   • Priorité : indiquez une valeur unique dans le système. Une valeur numérique inférieure indique une priorité plus élevée.
   • Balise : laissez ce champ vide. Seules les règles par défaut de Microsoft doivent contenir une valeur dans cette zone.
3. Sur la page Scoping Filter (Filtre d’étendue), entrez givenName ISNOTNULL.
   
   Cette section est utilisée pour définir les objets auxquels la règle doit s’appliquer. S’il est laissé vide, la règle s’applique à tous les objets utilisateur. Toutefois, cela comprend des salles de conférence, des comptes de service et d’autres objets utilisateur non-personnes.
4. Sur la page Règles de jointure, laissez le champ vide.
5. Sur la page Transformations, définissez le FlowType sur Expression. Pour Attribut cible, sélectionnez givenName. Et, pour Source, entrez PCase([givenName]). transformations de règle de trafic entrant
   Le moteur de synchronisation respecte la casse aussi bien pour le nom de la fonction que pour celui de l’attribut. Si vous faites une erreur de frappe, vous voyez un avertissement lorsque vous ajoutez la règle. Vous pouvez enregistrer et continuer, mais vous devrez ouvrir à nouveau la règle pour la corriger.
6. Cliquez sur Ajouter pour enregistrer la règle.

Votre nouvelle règle personnalisée doit être visible avec les autres règles de synchronisation dans le système.

Vérifier la modification

Avec cette nouvelle modification, vous souhaitez vous assurer qu’elle fonctionne comme prévu et qu’elle ne génère aucune erreur. Selon le nombre d’objets que vous avez, il existe deux façons d’effectuer cette étape :

• Exécutez une synchronisation complète sur tous les objets.
• Exécutez une préversion et une synchronisation complète sur un seul objet.

Ouvrez le service de synchronisation à partir du menu Démarrer. Les étapes de cette section sont toutes présentes dans cet outil.

synchronisation complète sur tous les objets

1. Sous Actions, sélectionnez Connecteurs en haut de la page. Identifiez le connecteur que vous avez modifié dans la section précédente (dans ce cas, Services de domaine Active Directory), puis sélectionnez-le.
2. Pour Actions, sélectionnez Exécuter.
3. Sélectionnez Synchronisation complète, puis sélectionnez OK.
   Les objets sont maintenant mis à jour dans le métaverse. Vérifiez vos modifications en examinant l’objet dans le métaverse.

Aperçu et synchronisation complète sur un seul objet

1. Sous Actions, sélectionnez Connecteurs en haut de la page. Identifiez le connecteur que vous avez modifié dans la section précédente (dans ce cas, Services de domaine Active Directory), puis sélectionnez-le.
2. Sélectionnez Search Connector Space(Rechercher l’espace de connecteur).
3. Utilisez Scope pour localiser un objet que vous souhaitez utiliser pour tester le changement. Sélectionnez l’objet, puis cliquez sur Aperçu.
4. Sur le nouvel écran, sélectionnez Aperçu Validation.
   
   La modification est maintenant validée dans le métaverse.

Afficher l’objet dans le métavers

1. Choisissez quelques exemples d’objets pour vous assurer que la valeur est attendue et que la règle a été appliquée.
2. Sélectionnez Metaverse Search (Recherche dans le métaverse) en haut de l’écran. Ajoutez tout filtre dont vous avez besoin pour rechercher les objets pertinents.
3. À partir du résultat de la recherche, ouvrez un objet. Examinez les valeurs d’attribut et vérifiez également dans la colonne de la règle de synchronisation que la règle a été appliquée comme prévu.
   

Activer le planificateur

Si tout est comme prévu, vous pouvez réactiver le planificateur. À partir de PowerShell, exécutez Set-ADSyncScheduler -SyncCycleEnabled $true.

Autres modifications courantes du flux d’attributs

La section précédente a décrit comment apporter des modifications à un flux d’attributs. Dans cette section, certains exemples supplémentaires sont fournis. Les étapes de création de la règle de synchronisation sont abrégées, mais vous trouverez les étapes complètes de la section précédente.

Utiliser un attribut autre que la valeur par défaut

Dans ce scénario Fabrikam, il existe une forêt où l’alphabet local est utilisé pour le prénom, le nom de famille et le nom d'affichage. La représentation de caractères latins de ces attributs se trouve dans les attributs d’extension. Pour créer une liste d’adresses globale dans Microsoft Entra ID et Microsoft 365, l’organisation souhaite utiliser ces attributs à la place.

Avec une configuration par défaut, un objet de la forêt locale ressemble à ceci :
flux d’attributs

Pour créer une règle avec d’autres flux d’attributs, procédez comme suit :

1. Ouvrez l'éditeur de règles de synchronisation dans le menu Démarrer.
2. En maintenant l’option Entrant sélectionnée sur la gauche, cliquez sur le bouton Ajouter une nouvelle règle.
3. Donnez à la règle un nom et une description. Sélectionnez l’instance Active Directory locale et les types d’objets appropriés. Dans Type de lien, sélectionnez Jointure. Pour priorité, choisissez un nombre qui n’est pas utilisé par une autre règle. Les règles par défaut commencent à 100, donc, il est possible d’utiliser la valeur 50 dans cet exemple. flux d’attributs
4. Laissez le champ Filtre d’étendue vide. (Autrement dit, il doit s’appliquer à tous les objets utilisateur de la forêt.)
5. Laissez le champ Règles de jointure vide. (C’est la règle prête à l’emploi qui gérera toutes les jointures.)
6. Dans Transformations, créez les flux suivants :
   
7. Cliquez sur Ajouter pour enregistrer la règle.
8. Accédez à Synchronization Service Manager. Sous Connecteurs, sélectionnez le connecteur auquel vous avez ajouté la règle. Sélectionnez Exécuter, puis Synchronisation complète. Une synchronisation complète recalcule tous les objets à l’aide des règles actuelles.

Il s’agit du résultat pour le même objet avec cette règle personnalisée :

Longueur des attributs

Les attributs de chaîne sont indexables par défaut, et la longueur maximale est de 448 caractères. Si vous utilisez des attributs de chaîne qui peuvent contenir plus, veillez à inclure les éléments suivants dans le flux d’attributs :
attributeName<- Left([attributeName],448).

Changement du suffixe principal de l'utilisateur

L’attribut userPrincipalName dans Active Directory n’est pas toujours connu par les utilisateurs et peut ne pas convenir comme ID de connexion. Avec l'assistant d'installation de synchronisation Microsoft Entra Connect, vous pouvez choisir un attribut différent--par exemple mail. Toutefois, dans certains cas, l’attribut doit être calculé.

Par exemple, la société Contoso a deux répertoires Microsoft Entra, un pour la production et un pour les tests. Ils veulent que les utilisateurs de leur locataire de test utilisent un autre suffixe dans l’ID de connexion :
Word([userPrincipalName],1,"@") & "@contosotest.com".

Dans cette expression, prenez tout ce qui est à gauche du premier signe @ (Word) et concaténez-le avec une chaîne fixe.

Convertir un attribut à valeurs multiples en valeur unique

Certains attributs dans Active Directory sont à valeurs multiples dans le schéma, même s’ils semblent à valeur unique dans les utilisateurs et ordinateurs Active Directory. Voici un exemple d’attribut de description :
description<- IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448)).

Dans cette expression, si l’attribut a une valeur, prenez le premier élément (Item) dans l’attribut, supprimez les espaces de début et de fin (Trim), puis conservez les 448 premiers caractères (Gauche) dans la chaîne.

Ne transmettez pas d'attribut

Pour plus d’informations sur le scénario de cette section, consultez Contrôler le processus de flux d’attributs.

Il existe deux manières de ne pas transmettre un attribut. La première consiste à utiliser l'Assistant Installation pour supprimer les attributs sélectionnés. Cette option fonctionne si vous n’avez jamais synchronisé l’attribut précédemment. Toutefois, si vous avez commencé à synchroniser cet attribut et que vous l’avez supprimé ultérieurement avec cette fonctionnalité, le moteur de synchronisation cesse de gérer l’attribut et les valeurs existantes sont laissées dans l’ID Microsoft Entra.

Si vous souhaitez supprimer la valeur d’un attribut et vous assurer qu’il ne circule pas à l’avenir, vous devez créer une règle personnalisée.

Dans ce scénario Fabrikam, nous avons réalisé que certains des attributs que nous synchronisons avec le cloud ne devraient pas être là. Nous voulons nous assurer que ces attributs sont supprimés de l’ID Microsoft Entra.

1. Créez une règle de synchronisation entrante et remplissez la description.
2. Créez des flux de valeurs d’attributs avec Expression comme FlowType et AuthoritativeNull comme Source. Le littéral AuthoritativeNull indique que la valeur devrait être vide dans le métaverse, même si une règle de synchronisation de précédence inférieure essaie de la remplir. Transformation
3. Enregistrez la règle de synchronisation. Démarrez le service de synchronisation , recherchez le connecteur, sélectionnez Exécuter, puis sélectionnez Synchronisation complète. Cette étape recalcule tous les flux d’attributs.
4. Vérifiez que les modifications prévues sont sur le point d’être exportées en recherchant l’espace connecteur.

Créer des règles avec PowerShell

L’utilisation de l’éditeur de règle de synchronisation fonctionne correctement lorsque vous n’avez que quelques modifications à apporter. Si vous avez besoin d’apporter de nombreuses modifications, PowerShell peut être une meilleure option. Certaines fonctionnalités avancées sont disponibles uniquement avec PowerShell.

Obtenir le script PowerShell pour une règle out-of-box

Pour voir le script PowerShell qui a créé une règle out-of-box, sélectionnez la règle dans l’éditeur de règles de synchronisation, puis cliquez sur Exporter. Cette action vous donne le script PowerShell qui a créé la règle.

Priorité avancée

Les règles de synchronisation out-of-box commencent avec une valeur de priorité de 100. Si vous avez de nombreuses forêts et que vous devez apporter de nombreuses modifications personnalisées, 99 règles de synchronisation peuvent ne pas suffire.

Vous pouvez indiquer au moteur de synchronisation que vous souhaitez insérer des règles supplémentaires avant les règles par défaut. Pour obtenir ce comportement, procédez comme suit :

1. Marquez la première règle de synchronisation prête à l’emploi (Entrant à partir d’AD – User Join) dans l’éditeur de règles de synchronisation, puis sélectionnez Exporter. Copiez la valeur de l’identificateur SR.
   
2. Créez la nouvelle règle de synchronisation. Vous pouvez utiliser l’éditeur de règles de synchronisation pour le créer. Exportez la règle vers un script PowerShell.
3. Dans la propriété PrecedenceBefore, insérez la valeur d’identificateur de la règle prête à l’emploi. Définissez la priorité sur 0. Vérifiez que l’attribut Identificateur est unique et que vous ne réutilyez pas un GUID à partir d’une autre règle. Vérifiez également que la propriété ImmutableTag n’est pas définie. Elle ne doit l’être que pour les règles prêtes à l’emploi.
4. Enregistrez le script PowerShell et exécutez-le. Le résultat est que votre règle personnalisée se voit affecter la priorité 100 et que toutes les autres règles out-of-box sont incrémentées.
   

Vous pouvez avoir de nombreuses règles de synchronisation personnalisées à l’aide de la même valeur PrecedenceBefore si nécessaire.

Activer la synchronisation de UserType

Microsoft Entra Connect prend en charge la synchronisation de l’attribut UserType pour les objets User dans la version 1.1.524.0 et les versions ultérieures. Plus précisément, les modifications suivantes ont été introduites :

• Le schéma du type d’objet User dans le connecteur Microsoft Entra est étendu pour inclure l’attribut UserType, qui est de la chaîne de type et est à valeur unique.
• Le schéma du type d’objet Person dans le métaverse est étendu pour inclure l’attribut UserType, qui est de la chaîne de type et est à valeur unique.

Par défaut, l’attribut UserType n’est pas activé pour la synchronisation, car il n’existe aucun attribut UserType correspondant dans Active Directory local. Vous devez activer manuellement la synchronisation. Avant de procéder ainsi, vous devez prendre note du comportement suivant appliqué par l’ID Microsoft Entra :

• Microsoft Entra-only accepte deux valeurs pour l’attribut UserType : Membre et Guest.
• Si l’attribut UserType n’est pas activé pour la synchronisation dans Microsoft Entra Connect, les utilisateurs de Microsoft Entra créés via la synchronisation d’annuaires auront l’attribut UserType défini sur membre .
• Avant la version 1.5.30.0, Microsoft Entra ID n’autorisait pas la modification de l'attribut UserType pour les utilisateurs existants via Microsoft Entra Connect. Dans les anciennes versions, il ne pouvait être défini que lors de la création des utilisateurs Microsoft Entra et modifié via PowerShell.

Avant d’activer la synchronisation de l’attribut UserType, vous devez d’abord déterminer la façon dont l’attribut est dérivé d’Active Directory local. Voici les approches les plus courantes :

• Désignez un attribut AD local non utilisé (par exemple, extensionAttribute1) à utiliser comme attribut source. L’attribut AD local désigné doit être de type chaîne, être à valeur unique et contenir la valeur membre ou invité .

  Si vous choisissez cette approche, vous devez vous assurer que l’attribut désigné est rempli avec la valeur correcte pour tous les objets utilisateur existants dans Active Directory local synchronisés avec l’ID Microsoft Entra avant d’activer la synchronisation de l’attribut UserType.

• Vous pouvez également dériver la valeur de l’attribut UserType à partir d’autres propriétés. Par exemple, vous voulez synchroniser tous les utilisateurs en tant qu’Invités si leur attribut userPrincipalName AD local se termine par l’élément de domaine @partners.fabrikam123.org.

  Comme mentionné précédemment, les versions antérieures de Microsoft Entra Connect n’autorisent pas la modification de l’attribut UserType sur les utilisateurs Microsoft Entra Connect existants. Par conséquent, vous devez vous assurer que la logique que vous avez décidé est cohérente avec la façon dont l’attribut UserType est déjà configuré pour tous les utilisateurs Microsoft Entra existants dans votre locataire.

Les étapes permettant d’activer la synchronisation de l’attribut UserType peuvent être résumées comme suit :

1. Désactivez le planificateur de synchronisation et vérifiez qu’aucune synchronisation n’est en cours.
2. Ajoutez l’attribut source au schéma du connecteur AD local.
3. Ajoutez userType au schéma microsoft Entra Connector.
4. Créez une règle de synchronisation entrante pour transmettre la valeur d’attribut à partir d’Active Directory local.
5. Créez une règle de synchronisation sortante pour transmettre la valeur d’attribut à l’ID Microsoft Entra.
6. Exécutez un cycle de synchronisation complet.
7. Activez le planificateur de synchronisation.

Remarque

Le reste de cette section décrit ces étapes. Ils sont décrits dans le contexte d’un déploiement Microsoft Entra avec une topologie à forêt unique et sans règles de synchronisation personnalisées. Si vous avez une topologie multi-forêt, des règles de synchronisation personnalisées configurées ou un serveur intermédiaire, vous devez ajuster les étapes en conséquence.

Étape 1 : Désactiver le planificateur de synchronisation et vérifier qu’aucune synchronisation n’est en cours

Pour éviter d’exporter des modifications involontaires vers l’ID Microsoft Entra, assurez-vous qu’aucune synchronisation n’a lieu pendant que vous êtes au milieu de la mise à jour des règles de synchronisation. Pour désactiver le planificateur de synchronisation intégré :

1. Démarrez une session PowerShell sur le serveur Microsoft Entra Connect.
2. Désactivez la synchronisation planifiée en exécutant l’applet de commande Set-ADSyncScheduler -SyncCycleEnabled $false.
3. Ouvrez Synchronization Service Manager en accédant au menu Démarrer>Service de synchronisation.
4. Allez dans l’onglet Opérations et assurez-vous qu’aucune opération avec un statut de n’est en cours.

Étape 2 : Ajouter l’attribut source au schéma du connecteur AD local

Tous les attributs Microsoft Entra ne sont pas importés dans l’espace de connecteur AD local. Pour ajouter l’attribut source à la liste des attributs importés :

1. Accédez à l’onglet Connecteurs dans le Gestionnaire de service de synchronisation.
2. Cliquez avec le bouton droit sur le Connecteur AD local, puis sélectionnez Propriétés.
3. Dans la boîte de dialogue contextuelle, accédez à l’onglet Sélectionner des attributs.
4. Assurez-vous que l’attribut source est vérifié dans la liste d’attributs.
5. Cliquez sur OK pour enregistrer.

Étape 3 : Ajouter l’attribut UserType au schéma microsoft Entra Connector

Par défaut, l’attribut UserType n’est pas importé dans l’espace Microsoft Entra Connect. Pour ajouter l’attribut UserType à la liste des attributs importés :

1. Accédez à l’onglet Connecteurs dans le Gestionnaire de service de synchronisation.
2. Cliquez avec le bouton droit sur le connecteur Microsoft Entra et sélectionnez Propriétés.
3. Dans la boîte de dialogue contextuelle, accédez à l’onglet Sélectionner des attributs.
4. Vérifiez que l’attribut UserType est coché dans la liste des attributs.
5. Cliquez sur OK pour enregistrer.

Étape 4 : Créer une règle de synchronisation entrante pour transmettre la valeur d’attribut à partir d’Active Directory local

La règle de synchronisation entrante permet à la valeur d’attribut de passer de l’attribut source d’Active Directory local vers le métaverse :

1. Ouvrez l’Éditeur de règles de synchronisation en accédant à Démarrer>'Éditeur de règles de synchronisation.

2. Définissez le filtre de recherche Direction sur Entrant.

3. Cliquez sur le bouton Ajouter une nouvelle règle pour créer une nouvelle règle entrante.

4. Sous l’onglet Description, fournissez la configuration suivante :

   Attribut	Valeur	Détails
   Nom	Fournissez un nom	Par exemple, Entrant à partir d’AD – User UserType
   Description	Fournir une description
   Système connecté	Choisir le connecteur AD local
   Type d’objet système connecté	Utilisateur
   Type d’objet metaverse	Person
   Type de lien	Rejoindre
   Préséance	Choisir un nombre compris entre 1 et 99	1 à 99 est réservé aux règles de synchronisation personnalisées. Ne choisissez pas de valeur utilisée par une autre règle de synchronisation.

5. Accédez à l’onglet Filtre d’étendue, puis ajoutez un groupe de filtres à étendue unique avec la clause suivante :

   Attribut	Opérateur	Valeur
   Description de l'administrateur	NOTSTARTWITH	Utilisateur_

   Le filtre d’étendue détermine les objets AD locaux auxquels cette règle de synchronisation entrante est appliquée. Dans cet exemple, nous utilisons le même filtre de portée que celui utilisé dans la règle de synchronisation prête à l’emploi Entrant depuis AD – Utilisateur Common, qui empêche l’application de la règle de synchronisation aux objets Utilisateur créés via la fonctionnalité d’écriture différée d’utilisateur Microsoft Entra. Vous devrez peut-être ajuster le filtre d’étendue en fonction de votre déploiement Microsoft Entra Connect.

6. Accédez à l’onglet transformation, et implémentez la règle de transformation souhaitée. Par exemple, si vous avez désigné un attribut AD local inutilisé (par exemple, extensionAttribute1) comme attribut source pour UserType, vous pouvez implémenter un flux d’attribut direct :

   Type de flux	Attribut cible	Source	Appliquer une seule fois	Type de fusion
   Direct	Type d'utilisateur	extensionAttribute1	Désactivé	Mettre à jour

   Dans un autre exemple, vous souhaitez dériver la valeur de l’attribut UserType à partir d’autres propriétés. Par exemple, vous souhaitez synchroniser tous les utilisateurs en tant qu'invités si leur attribut userPrincipalName AD sur site se termine par le domaine @partners.fabrikam123.org. Vous pouvez implémenter une expression comme suit :

   Type de flux	Attribut cible	Source	Appliquer une seule fois	Type de fusion
   Expression	Type d'utilisateur	IIF(IsPresent([userPrincipalName]),IIF(CBool(InStr(LCase([userPrincipalName]),"@partners.fabrikam123.org")=0),"Member","Guest"),Error("UserPrincipalName is not present to determine UserType"))	Désactivé	Mettre à jour

7. Cliquez sur Ajouter pour créer la règle de trafic entrant.

Étape 5 : Créer une règle de synchronisation sortante pour transmettre la valeur d’attribut à Microsoft Entra ID

La règle de synchronisation sortante permet à la valeur de l’attribut de passer du métaverse à l’attribut UserType dans Microsoft Entra ID :

1. Accédez à l’Éditeur de règles de synchronisation.

2. Définissez le filtre de recherche Direction sur Sortante.

3. Cliquez sur le bouton Ajouter une nouvelle règle.

4. Sous l’onglet Description, fournissez la configuration suivante :

   Attribut	Valeur	Détails
   Nom	Fournir un nom	Par exemple, Vers Microsoft Entra ID – Utilisateur UserType
   Description	Fournir une description
   Système connecté	Sélectionner le connecteur Microsoft Entra
   Type d’objet système connecté	Utilisateur
   Type d’objet metaverse	Person
   Type de lien	Rejoindre
   Préséance	Choisir un nombre compris entre 1 et 99	1 à 99 est réservé aux règles de synchronisation personnalisées. Ne choisissez pas de valeur utilisée par une autre règle de synchronisation.

5. Accédez à l’onglet Filtre d’étendue, puis ajoutez un groupe de filtres à étendue unique avec deux clauses :

   Attribut	Opérateur	Valeur
   sourceObjectType	ÉGAL	Utilisateur
   cloudMastered	NOTEQUAL	Vrai

   Le filtre d’étendue détermine les objets Microsoft Entra auxquels cette règle de synchronisation sortante est appliquée. Dans cet exemple, nous utilisons le filtre d’étendue de la règle de synchronisation prête à l’emploi Sortant vers AD – User Identity. Elle empêche l’application de la règle de synchronisation aux objets utilisateur qui ne sont pas synchronisés à partir d’Active Directory local. Vous devrez peut-être ajuster le filtre d’étendue en fonction de votre déploiement Microsoft Entra Connect.

6. Accédez à l’onglet Transformation et appliquez la règle de transformation suivante :

   Type de flux	Attribut cible	Source	Appliquer une seule fois	Type de fusion
   Direct	Type d'utilisateur	Type d'Utilisateur	Désactivé	Mettre à jour

7. Cliquez sur Ajouter pour créer la règle de trafic sortant.

Étape 6 : Exécuter un cycle de synchronisation complet

En général, un cycle de synchronisation complet est requis, car nous avons ajouté de nouveaux attributs aux schémas Active Directory et Microsoft Entra Connector, et introduit des règles de synchronisation personnalisées. Vous souhaitez vérifier les modifications avant de les exporter vers l’ID Microsoft Entra.

Vous pouvez utiliser les étapes suivantes pour vérifier les modifications lors de l’exécution manuelle des étapes qui constituent un cycle de synchronisation complet.

1. Exécutez une Importation intégrale sur le Connecteur AD local :

   1. Accédez à l’onglet Connecteurs dans le Gestionnaire de service de synchronisation.

   2. Cliquez avec le bouton droit sur le connecteur AD local , puis sélectionnez Exécuter.

   3. Dans la boîte de dialogue contextuelle, sélectionnez importation complète, puis cliquez sur OK.

   4. Attendez la fin de l’opération.

      Remarque

      Vous pouvez ignorer une importation complète sur le connecteur AD local si l’attribut source est déjà inclus dans la liste des attributs importés. En d’autres termes, vous n’avez pas besoin d’apporter de modifications à l’étape 2 de : ajoutez l’attribut source au schéma du connecteur AD local.

2. Exécutez un Import complet sur le connecteur Microsoft Entra :

   1. Cliquez avec le bouton droit sur le connecteur Microsoft Entra et sélectionnez Exécuter.
   2. Dans la boîte de dialogue contextuelle, sélectionnez importation complète, puis cliquez sur OK.
   3. Attendez la fin de l’opération.

3. Vérifiez les modifications de la règle de synchronisation sur un objet Utilisateur existant :

   L’attribut source d’Active Directory sur site et le type d'utilisateur de Microsoft Entra ID ont été importés dans leurs espaces connecteurs respectifs. Avant de passer à la synchronisation complète, effectuez un Aperçu d’un objet utilisateur existant dans l’espace connecteur AD local. L’objet que vous avez choisi doit avoir l’attribut source renseigné.

   Si l’Aperçu réussit et que UserType est rempli dans le métaverse, c’est généralement le signe que les règles de synchronisation sont correctement configurées. Pour plus d’informations sur l’Aperçu, consultez la section Vérifier la modification.

4. Exécutez une synchronisation complète sur le connecteur AD sur site :

   1. Cliquez avec le bouton droit sur le connecteur AD local , puis sélectionnez Exécuter.
   2. Dans la boîte de dialogue contextuelle, sélectionnez de synchronisation complète, puis cliquez sur OK.
   3. Attendez la fin de l’opération.

5. Vérifiez les exportations en attente vers Microsoft Entra ID :

   1. Cliquez avec le bouton droit sur le Microsoft Entra Connector, puis sélectionnez Search Connector Space.

   2. Dans la boîte de dialogue contextuelle Rechercher dans l’espace connecteur :

      • Définissez l’Étendue sur En attente d’exportation.
      • Cochez les trois cases : Ajouter, Modifieret Supprimer.
      • Cliquez sur le bouton Rechercher pour obtenir la liste des objets avec les modifications à exporter. Pour examiner les modifications d’un objet donné, double-cliquez sur l’objet.
      • Vérifiez que les modifications sont attendues.

6. Exécutez exporter sur leMicrosoft Entra Connector :

   1. Cliquez avec le bouton droit sur le connecteur Microsoft Entra et sélectionnez Exécuter.
   2. Dans la fenêtre contextuelle Exécuter le connecteur, sélectionnez Exporter, puis cliquez sur OK.
   3. Attendez que l’exportation vers l’ID Microsoft Entra se termine.

Remarque

Ces étapes n’incluent pas la synchronisation complète et les étapes d’exportation sur le connecteur Microsoft Entra. Ces étapes ne sont pas requises, car les valeurs d’attribut sont transmises d’Active Directory local à Microsoft Entra-only.

Étape 7 : réactiver le planificateur de synchronisation

Réactivez le planificateur de synchronisation intégré :

1. Démarrez une session PowerShell.
2. Réactivez la synchronisation planifiée en exécutant l’applet de commande Set-ADSyncScheduler -SyncCycleEnabled $true.

Étapes suivantes

• En savoir plus sur le modèle de configuration dans Understanding Declarative Provisioning.
• En savoir plus sur le langage d'expressions dans "Comprendre les Expressions de Provisionnement Déclaratives".

Aperçu des rubriques

• Microsoft Entra Connect Sync : comprendre et personnaliser la synchronisation
• Intégration de vos identités locales à Microsoft Entra ID