Partager via


Fonctionnalités du service de synchronisation de Microsoft Entra Connect

La fonctionnalité de synchronisation de Microsoft Entra Connect comprend deux composants :

  • Le composant local nommé Synchronisation Microsoft Entra Connect, également appelé moteur de synchronisation.
  • Le service résidant dans Microsoft Entra ID également appelé service de synchronisation de Microsoft Entra Connect

Cette rubrique explique comment les fonctionnalités suivantes du service de synchronisation Microsoft Entra Connect opèrent et comment les configurer à l’aide de PowerShell.

Pour voir la configuration dans votre répertoire Microsoft Entra à l'aide de Graph PowerShell, utilisez les commandes suivantes :

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"

Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List

Le résultat se présente comme suit :

BlockCloudObjectTakeoverThroughHardMatchEnabled  : False
BlockSoftMatchEnabled                            : False
BypassDirSyncOverridesEnabled                    : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled                : False
ConcurrentOrgIdProvisioningEnabled               : False
DeviceWritebackEnabled                           : False
DirectoryExtensionsEnabled                       : True
FopeConflictResolutionEnabled                    : False
GroupWriteBackEnabled                            : False
PasswordSyncEnabled                              : True
PasswordWritebackEnabled                         : False
QuarantineUponProxyAddressesConflictEnabled      : False
QuarantineUponUpnConflictEnabled                 : False
SoftMatchOnUpnEnabled                            : True
SynchronizeUpnForManagedUsersEnabled             : False
UnifiedGroupWritebackEnabled                     : True
UserForcePasswordChangeOnLogonEnabled            : False
UserWritebackEnabled                             : True
AdditionalProperties                             : {}

Remarque

Depuis le 24 août 2016, la fonctionnalité Résilience d’attribut en double est activée par défaut pour les nouveaux répertoires Microsoft Entra. Cette fonctionnalité a été déployée et activée sur les répertoires créés avant cette date. Vous recevrez une notification par e-mail lorsque votre annuaire est sur le point d’activer cette fonctionnalité.

Les paramètres suivants sont configurés dans Microsoft Entra Connect :

DirSyncFeature Commentaire
SoftMatchOnUpn Permet aux objets d’être joints sur userPrincipalName en plus de l’adresse SMTP principale.
SynchronizeUpnForManagedUsers Permet au moteur de synchronisation de mettre à jour l’attribut userPrincipalName pour les utilisateurs managés/sous licence (non fédérés).
DeviceWriteback Microsoft Entra Connect : activation de la réécriture d’appareil
DirectoryExtensions Microsoft Entra Connect Sync : extensions d'annuaire
DuplicateProxyAddressResiliency
DuplicateUPNResiliency
Permet à un attribut d’être mis en quarantaine lorsqu’il est un doublon d’un autre objet, plutôt que mettre en échec l’objet entier lors de l’exportation.
Synchronisation de hachage de mot de passe Implémenter la synchronisation de hachage de mot de passe avec la synchronisation Microsoft Entra Connect
Réécriture du mot de passe Non pris en charge. Cette fonctionnalité de service est supprimée. Pour configurer la réécriture du mot de passe, consultez Activer la réécriture du mot de passe dans Microsoft Entra Connect
Authentification directe Connexion de l’utilisateur avec l’authentification directe Microsoft Entra
UnifiedGroupWriteback Écriture différée de groupe
UserWriteback Non pris en charge actuellement.

Résilience d’attribut en double

Au lieu de rencontrer des problèmes lors de l’approvisionnement d’objets avec des UPN/proxyAddresses en double, l’attribut en double est « mis en quarantaine » et une valeur temporaire lui est attribuée. Lorsque le conflit est résolu, l’UPN temporaire est automatiquement converti dans la valeur correcte. Pour plus d’informations, consultez Synchronisation des identités et résilience des attributs en double.

Correspondance souple UserPrincipalName

Lorsque cette fonctionnalité est activée, la correspondance souple est activée pour l’UPN ainsi que pour l’ adresse SMTP principale, qui est toujours activée. La correspondance souple est utilisée pour faire correspondre les utilisateurs existants du cloud dans Microsoft Entra ID avec les utilisateurs locaux.

Si vous devez faire correspondre des comptes AD sur site avec des comptes existants créés dans le cloud et que vous n'utilisez pas Exchange Online, cette fonctionnalité est utile. Dans ce scénario, vous n’avez généralement pas de raison pour définir l’attribut SMTP dans le cloud.

Cette fonctionnalité est activée par défaut pour les répertoires Microsoft Entra nouvellement créés. Vous pouvez voir si cette fonctionnalité est activée en exécutant :

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"

$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled

Si cette fonctionnalité n'est pas activée pour votre répertoire Microsoft Entra, vous pouvez l'activer en exécutant :

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
   -OnPremisesDirectorySynchronizationId $DirectorySync.Id

BlockSoftMatch

Lorsque cette fonctionnalité est activée, elle bloque la fonctionnalité Soft Match. Les clients sont encouragés à activer cette fonctionnalité et à la garder activée jusqu’à ce que la correspondance souple soit de nouveau nécessaire pour leur location. Cet indicateur doit être réactivé une fois que la correspondance souple est terminée et n’est plus nécessaire.

Exemple : Blocage du soft matching dans votre locataire :

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
   -OnPremisesDirectorySynchronizationId $DirectorySync.Id

Synchroniser les mises à jour userPrincipalName

Historiquement, les mises à jour de l’attribut UserPrincipalName à l’aide du service de synchronisation en local étaient bloquées, sauf si les deux conditions suivantes étaient remplies :

  • L’utilisateur managé (non fédéré).
  • L’utilisateur n’a pas de licence attribuée.

Remarque

À compter de mars 2019, la synchronisation des modifications d’UPN pour les comptes d’utilisateur fédérés est autorisée.

L’activation de cette fonctionnalité permet au moteur de synchronisation de mettre à jour l’attribut userPrincipalName quand il est modifié en local et que vous utilisez la synchronisation de hachage de mot de passe pu l’authentification directe.

Cette fonctionnalité est activée par défaut pour les répertoires Microsoft Entra nouvellement créés. Vous pouvez voir si cette fonctionnalité est activée en exécutant :

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"

$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled

Si cette fonctionnalité n'est pas activée pour votre répertoire Microsoft Entra, vous pouvez l'activer en exécutant :

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
   -OnPremisesDirectorySynchronizationId $DirectorySync.Id

Après avoir activé cette fonctionnalité, les valeurs userPrincipalName existantes restent as-is. Lors de la modification suivante de l’attribut userPrincipalName localement, la synchronisation delta normale sur les utilisateurs met à jour l’UPN. Une fois cette fonctionnalité activée, il n’est pas possible de la désactiver.

Voir aussi