Microsoft Entra Connect Sync : apporter une modification à la configuration par défaut

Le but de cet article est de vous expliquer comment apporter des modifications à la configuration par défaut dans Microsoft Entra Connect Sync. Il fournit des étapes pour certains scénarios courants. À la fin, vous serez capable d’apporter des modifications simples à votre configuration en fonction de vos propres règles d’entreprise.

Avertissement

Si vous apportez des modifications aux règles de synchronisation prêtes à l'emploi par défaut, ces modifications seront écrasées lors de la prochaine mise à jour de Microsoft Entra Connect, ce qui entraînera des résultats de synchronisation inattendus et probablement indésirables.

Les règles de synchronisation out-of-box par défaut ont une empreinte numérique. Si vous apportez une modification à ces règles, l’empreinte numérique ne correspondra plus. Vous pourriez rencontrer des problèmes à l'avenir lorsque vous tenterez d'appliquer une nouvelle version de Microsoft Entra Connect. Procédez à des modifications uniquement de la façon décrite dans cet article.

Éditeur de règles de synchronisation

L’éditeur de règles de synchronisation sert à afficher et modifier la configuration par défaut. Vous pouvez le trouver dans le menu Démarrer sous le groupe Microsoft Entra Connect.
Start menu with Sync Rule Editor

À l’ouverture de l’éditeur, les règles prêtes à l’emploi par défaut apparaissent.

Sync Rule Editor

Utilisez les listes déroulantes situées en haut de l’éditeur pour trouver rapidement une règle en particulier. Si, par exemple, vous souhaitez afficher les règles comprenant l’attribut proxyAddresses, vous pouvez modifier ainsi les listes déroulantes :
SRE filtering
Pour réinitialiser le filtrage et charger une nouvelle configuration, appuyez sur la touche F5 du clavier.

Dans le coin supérieur droit se trouve le bouton Ajouter une nouvelle règle, qui permet de créer des règles personnalisées.

En bas se trouvent les boutons permettant d’appliquer une règle de synchronisation sélectionnée. Les boutons Modifier et Supprimer permettent de modifier et de supprimer des règles. Le bouton Exporter génère un script PowerShell qui recrée la règle de synchronisation. Cette procédure vous permet de déplacer une règle de synchronisation d’un serveur vers un autre.

Création de votre première règle personnalisée

Les modifications les plus courantes portent sur les flux de valeurs d’attributs. Les données de votre répertoire source peuvent ne pas être les mêmes que celles de Microsoft Entra ID. Dans l’exemple de cette section, il faut toujours que le nom donné à un utilisateur ait une casse de nom propre.

Désactivation du planificateur

Par défaut, le planificateur s’exécute toutes les 30 minutes. Faites attention à ce qu’il ne démarre pas pendant que vous effectuez les modifications et que vous résolvez les problèmes de vos nouvelles règles. Pour désactiver temporairement le planificateur, démarrez PowerShell et exécutez Set-ADSyncScheduler -SyncCycleEnabled $false.

Disable the scheduler

Création de la règle

  1. Cliquez sur Ajouter une nouvelle règle.
  2. Sur la page Description, entrez les informations suivantes :
    Inbound rule filtering
    • Name : donnez un nom descriptif à la règle.
    • Description : texte descriptif permettant aux autres utilisateurs de comprendre l’objet de la règle.
    • Système connecté : système dans lequel se trouve l’objet. Dans ce cas, sélectionnez le Connecteur Active Directory.
    • Type d’objet de système connecté/métaverse : sélectionnez respectivement Utilisateur et Personne.
    • Type de liaison : remplacez cette valeur par Jointure.
    • Précédence : indiquez une valeur unique dans le système. Une valeur numérique inférieure indique une priorité plus élevée.
    • Balise : laissez ce champ vide. Seules les règles par défaut de Microsoft doivent contenir une valeur dans cette zone.
  3. Sur la page Scoping Filter (Filtre d’étendue), entrez givenName ISNOTNULL.
    Inbound rule scoping filter
    Cette section permet de préciser à quels objets la règle s’applique. Si vous la laissez vide, la règle s’appliquera à tous les objets utilisateurs, y compris les salles de conférence, les comptes de service et d’autres objets utilisateurs non humains.
  4. Sur la page Règles de jointure, laissez le champ vide.
  5. Sur la page Transformations, définissez le FlowType sur Expression. Pour Attribut cible, sélectionnez givenName. Et, pour Source, entrez PCase([givenName]) . Inbound rule transformations
    Le moteur de synchronisation respecte la casse aussi bien pour le nom de la fonction que pour celui de l’attribut. Si vous faites une erreur de saisie, un message d’avertissement s’affiche lorsque vous ajoutez la règle. Vous pouvez enregistrer et continuer, mais vous devrez ouvrir à nouveau la règle pour la corriger.
  6. Cliquez sur Ajouter pour enregistrer la règle.

Votre nouvelle règle personnalisée doit être visible pour les autres règles de synchronisation du système.

Vérification des modifications

Après avoir apporté une nouvelle modification, il est préférable de s’assurer que tout fonctionne comme prévu et qu’aucune erreur n’est générée. Selon le nombre d’objets dont vous disposez, il existe deux façons de procéder :

  • exécuter une synchronisation complète de tous les objets ;
  • exécuter un aperçu et une synchronisation complète sur un seul objet.

Ouvrez le Service de synchronisation dans le menu Démarrer. Les étapes décrites dans cette section se trouvent toutes dans cet outil.

Synchronisation complète de tous les objets

  1. Sous Actions, sélectionnez Connecteurs en haut de la page. Identifiez le connecteur que vous avez modifié dans la section précédente (dans ce cas, Active Directory Domain Services), puis sélectionnez-le.
  2. Pour Actions, sélectionnez Exécuter.
  3. Sélectionnez Synchronisation complète, puis OK. Full sync
    Les objets ne sont pas mis à jour dans le métaverse. Vérifiez vos modifications en examinant l’objet dans le métaverse.

Aperçu et synchronisation complète d’un seul objet

  1. Sous Actions, sélectionnez Connecteurs en haut de la page. Identifiez le connecteur que vous avez modifié dans la section précédente (dans ce cas, Active Directory Domain Services), puis sélectionnez-le.
  2. Sélectionnez Search Connector Space(Rechercher l’espace de connecteur).
  3. Utilisez l’Étendue pour trouver l’objet que vous souhaitez utiliser dans le but de tester la modification. Sélectionnez l’objet et cliquez sur Aperçu.
  4. Sur le nouvel écran, sélectionnez Aperçu Validation.
    Commit preview
    La modification est maintenant validée dans le métaverse.

Afficher l’objet dans le métaverse

  1. Sélectionnez quelques exemples d’objets pour vérifier qu’ils ont la valeur attendue et que la règle s’est bien appliquée.
  2. Sélectionnez Metaverse Search (Recherche dans le métaverse) en haut de l’écran. Ajoutez les filtres dont vous avez besoin pour trouver les objets concernés.
  3. Dans les résultats de la recherche, ouvrez un objet. Examinez les valeurs d’attributs, et vérifiez dans la colonne Règles de synchronisation que la règle a bien été appliquée comme prévu.
    Metaverse search

Activation du planificateur

Si tout fonctionne comme prévu, vous pouvez réactiver le planificateur. À partir de PowerShell, exécutez Set-ADSyncScheduler -SyncCycleEnabled $true.

Autres modifications courantes du flux d’attributs

Dans la section précédente, nous avons vu comment apporter des modifications à un flux d’attributs. Dans cette section, vous trouverez d’autres exemples. Les étapes de création de la règle de synchronisation ont été condensées, mais vous trouverez la procédure complète dans la section précédente.

Utiliser un attribut autre que l’attribut par défaut

Dans ce scénario Fabrikam, il existe une forêt où l’alphabet local est utilisé pour le prénom, le nom de famille et le nom complet. La représentation sous forme de caractères latins de ces attributs est stockée dans les attributs d’extension. Pour créer une liste d’adresses globale dans Microsoft Entra ID et Microsoft 365, l’organisation souhaite plutôt utiliser ces attributs.

Avec une configuration par défaut, un objet de la forêt locale ressemble à ceci :
Attribute flow 1

Pour créer une règle avec d’autres flux d’attributs, procédez comme suit :

  1. Ouvrez l’Éditeur de règles de synchronisation dans le menu Démarrer.
  2. En maintenant l’option Entrant sélectionnée sur la gauche, cliquez sur le bouton Ajouter une nouvelle règle.
  3. Attribuez à la règle un nom et une description. Sélectionnez l’instance Active Directory locale et les types d’objets souhaités. Dans Type de lien, sélectionnez Jointure. PourPrécédence, choisissez un nombre qui n’est pas utilisé par une autre règle. Les règles par défaut commencent à 100, donc, il est possible d’utiliser la valeur 50 dans cet exemple. Attribute flow 2
  4. Laissez le champ Filtre d’étendue vide. (Elle doit s’appliquer à tous les objets utilisateurs de la forêt.)
  5. Laissez le champ Règles de jointure vide. (C’est la règle prête à l’emploi qui gèrera toutes les jointures.)
  6. Dans Transformations, créez les flux suivants :
    Attribute flow 3
  7. Cliquez sur Ajouter pour enregistrer la règle.
  8. Accédez à Synchronization Service Manager. Sous Connecteurs, sélectionnez le connecteur auquel vous avez ajouté la règle. Sélectionnez Exécuter, puis Synchronisation complète. Une synchronisation complète recalcule tous les objets à partir des règles actives.

Il s’agit du résultat obtenu pour le même objet avec cette règle personnalisée :
Attribute flow 4

Longueur des attributs

Les attributs de chaîne sont indexables par défaut ; la longueur maximale est de 448 caractères. Si vous utilisez des attributs de chaîne susceptibles d’en comporter davantage, ajoutez cette ligne au flux de valeur d’attribut :
attributeName<- Left([attributeName],448).

Modification de userPrincipalSuffix

L’attribut userPrincipalName dans Active Directory n’est pas toujours connu des utilisateurs et peut ne pas convenir comme ID de connexion. Avec l'assistant d'installation de synchronisation Microsoft Entra Connect, vous pouvez choisir un attribut différent--par exemple mail. mais, dans certains cas, l’attribut doit être calculé.

Par exemple, la société Contoso dispose de deux répertoires Microsoft Entra, un pour la production et un pour les tests. Elle souhaite que les utilisateurs de son client test utilisent un autre suffixe dans l’ID de connexion :
Word([userPrincipalName],1,"@") & "@contosotest.com".

Dans cette expression, prenez tout ce qui est à gauche du premier signe @ (Word) et concaténez cela avec une chaîne fixe.

Convertir un attribut à valeurs multiples en attribut à valeur unique

Dans Active Directory, certains attributs ont plusieurs valeurs dans le schéma, même s’ils semblent être à valeur unique dans Utilisateurs et ordinateurs Active Directory. Citons par exemple l’attribut de description :
description<- IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448)).

Dans cette expression, si l’attribut a une valeur, prendre le premier élément (Item) de l’attribut, supprimer les espaces de début et de fin (Trim), puis conserver les 448 premiers caractères (Left) de la chaîne.

Ne transmettez pas d'attribut

Pour plus d’informations sur le scénario de cette section, consultez la section Contrôler le processus de flux d’attributs.

Il existe deux manières de ne pas transmettre un attribut. La première consiste à utiliser l'Assistant Installation pour supprimer les attributs sélectionnés. Cette option fonctionne si vous n'avez jamais synchronisé l'attribut auparavant. Cependant, si vous avez commencé à synchroniser cet attribut et que vous le supprimez ultérieurement avec cette fonctionnalité, le moteur de synchronisation cesse de gérer l'attribut et les valeurs existantes sont laissées dans Microsoft Entra ID.

Si vous souhaitez supprimer la valeur d’un attribut et vous assurer qu’il ne sera pas transmis par la suite, il vous faudra créer une règle personnalisée.

Dans ce scénario Fabrikam, nous nous sommes rendu compte que certains des attributs que nous synchronisons vers le cloud ne devraient pas s’y trouver. Nous voulons nous assurer que ces attributs sont supprimés de Microsoft Entra ID.
Bad extension attributes

  1. Créez une règle de synchronisation entrante et remplissez la description. Descriptions
  2. Créez des flux de valeurs d’attributs avec Expression comme FlowType et AuthoritativeNull comme Source. Le littéral AuthoritativeNull indique que la valeur devrait être vide dans le métaverse, même si une règle de synchronisation de précédence inférieure essaie de la remplir. Transformation for extension attributes
  3. Enregistrez la règle de synchronisation. Démarrez le Service de synchronisation, recherchez le connecteur et sélectionnez Exécuter, puis Synchronisation complète. Cette étape permet de recalculer tous les flux d’attributs.
  4. Vérifiez que les modifications à exporter sont correctes en parcourant l'espace connecteur. Staged delete

Création de règles avec PowerShell

L’éditeur de règles de synchronisation est adapté lorsque vous avez seulement quelques modifications à apporter. Si vous avez de nombreuses modifications à apporter, PowerShell sera peut-être préférable. Certaines fonctionnalités avancées sont uniquement disponibles avec PowerShell.

Obtenir le script PowerShell pour une règle out-of-box

Pour voir le script PowerShell qui a créé une règle out-of-box, sélectionnez la règle dans l’éditeur de règles de synchronisation, puis cliquez sur Exporter. Cette action vous donne le script PowerShell qui a créé la règle.

Priorité avancée

Les règles de synchronisation out-of-box commencent avec une valeur de priorité de 100. Si vous avez de nombreuses forêts et que vous devez apporter de nombreuses modifications personnalisées, 99 règles de synchronisation pourraient ne pas suffire.

Vous pouvez indiquer au moteur de synchronisation que vous souhaitez insérer des règles supplémentaires avant les règles prêtes à l’emploi. Pour obtenir ce comportement, procédez comme suit :

  1. Marquez la première règle de synchronisation prête à l’emploi (Entrant à partir d’AD – User Join) dans l’éditeur de règles de synchronisation, puis sélectionnez Exporter. Copiez la valeur d’identificateur SR.
    PowerShell before change
  2. Créez la nouvelle règle de synchronisation. Vous pouvez pour cela utiliser l’éditeur de règles de synchronisation. Exportez la règle dans un script PowerShell.
  3. Dans la propriété PrecedenceBefore, insérez la valeur d’identificateur de la règle prête à l’emploi. Définissez la priorité sur 0. L’attribut d’identificateur doit être unique ; ne réutilisez pas non plus le GUID d’une autre règle. Vérifiez également que la propriété ImmutableTag n’est pas définie. Elle ne doit l’être que pour les règles prêtes à l’emploi.
  4. Enregistrez le script PowerShell et exécutez-le. Le résultat est que votre règle personnalisée se voit affecter la priorité 100 et que toutes les autres règles out-of-box sont incrémentées.
    PowerShell after change

Vous pouvez définir plusieurs règles de synchronisation personnalisées en utilisant la même valeur PrecedenceBefore si nécessaire.

Activer la synchronisation de UserType

Microsoft Entra Connect prend en charge la synchronisation de l'attribut UserType pour les objets Utilisateur dans la version 1.1.524.0 et ultérieure. Plus précisément, ont été introduites les modifications suivantes :

  • Le schéma du type d'objet Utilisateur dans le connecteur Microsoft Entra est étendu pour inclure l'attribut UserType, qui est du type chaîne et à valeur unique.
  • Le schéma du type d’objet Personne dans le métaverse est étendu à l’attribut UserType, qui est de type chaîne et n’a qu’une seule valeur.

Par défaut, l’attribut UserType n’est pas activé pour la synchronisation, car il n’existe aucun attribut UserType correspondant dans l’Active Directory local. Vous devez activer manuellement la synchronisation. Avant de faire cela, vous devez prendre note du comportement suivant appliqué par Microsoft Entra ID :

  • Microsoft Entra accepte uniquement deux valeurs pour l'attribut UserType : Membre et Guest.
  • Si l'attribut UserType n'est pas activé pour la synchronisation dans Microsoft Entra Connect, les utilisateurs Microsoft Entra créés via la synchronisation d'annuaire auront l'attribut UserType défini sur Membre.
  • Avant la version 1.5.30.0, Microsoft Entra ID ne permettait pas à l'attribut UserType des utilisateurs Microsoft Entra existants d'être modifié par Microsoft Entra Connect. Dans les anciennes versions, il ne pouvait être défini que lors de la création des utilisateurs Microsoft Entra et modifié via PowerShell.

Avant d’activer la synchronisation de l’attribut UserType, vous devez déterminer comment il sera dérivé d’Active Directory en local. Voici les approches les plus courantes :

  • Vous pouvez désigner un attribut AD local inutilisé (par exemple, extensionAttribute1) à utiliser en tant qu’attribut source. Il doit être de type chaîne, avoir une seule valeur et contenir la valeur Membre ou Invité.

    Si vous choisissez cette approche, vous devez vous assurer que l'attribut désigné est renseigné avec la valeur correcte pour tous les objets utilisateur existants dans Active Directory sur site qui sont synchronisés avec Microsoft Entra ID avant d'activer la synchronisation de l'attribut UserType.

  • Vous avez également la possibilité de dériver la valeur de l’attribut UserType à partir d’autres propriétés. Par exemple, vous voulez synchroniser tous les utilisateurs en tant qu’Invités si leur attribut userPrincipalName AD local se termine par l’élément de domaine @partners.fabrikam123.org.

    Comme mentionné précédemment, les anciennes versions de Microsoft Entra Connect ne permettent pas de modifier l'attribut UserType sur les utilisateurs Microsoft Entra existants par Microsoft Entra Connect. Par conséquent, vous devez vous assurer que la logique que vous avez décidée est cohérente avec la façon dont l'attribut UserType est déjà configuré pour tous les utilisateurs Microsoft Entra existants dans votre locataire.

Les étapes d’activation de la synchronisation de l’attribut UserType peuvent se résumer comme suit :

  1. Désactiver le planificateur de synchronisation et vérifier qu’aucune synchronisation n’est en cours.
  2. Ajouter l’attribut source au schéma du Connecteur AD local.
  3. Ajoutez le UserType au schéma Microsoft Entra Connector.
  4. Créer une règle de synchronisation du trafic entrant pour transmettre la valeur de l’attribut à partir d’Active Directory en local.
  5. Créez une règle de synchronisation sortante pour transmettre la valeur de l'attribut à Microsoft Entra ID.
  6. Exécuter un cycle de synchronisation complet.
  7. Activer le planificateur de synchronisation.

Notes

Le reste de cette section décrit ces étapes. Ils sont décrits dans le contexte d'un déploiement Microsoft Entra avec une topologie à forêt unique et sans règles de synchronisation personnalisées. En présence d’une topologie à forêts multiples, de règles de synchronisation personnalisées ou d’un serveur de gestion intermédiaire, adaptez les étapes en conséquence.

Étape 1 : Désactiver le planificateur de synchronisation et vérifier qu’aucune synchronisation n’est en cours

Pour éviter d'exporter des modifications involontaires vers Microsoft Entra ID, assurez-vous qu'aucune synchronisation n'a lieu pendant que vous êtes en train de mettre à jour les règles de synchronisation. Pour désactiver le planificateur de synchronisation intégré :

  1. Démarrez une session PowerShell sur le serveur Microsoft Entra Connect.
  2. Désactivez la synchronisation planifiée en exécutant la cmdlet Set-ADSyncScheduler -SyncCycleEnabled $false.
  3. Ouvrez Synchronization Service Manager en accédant au menu Démarrer>Service de synchronisation.
  4. Accédez à l’onglet Opérations et confirmez qu’aucune opération ne possède l’état En cours.

Étape 2 : Ajouter l’attribut source au schéma du connecteur AD local

Tous les attributs Microsoft Entra ne sont pas importés dans l’espace AD Connector sur site. Pour ajouter l’attribut source à la liste des attributs importés :

  1. Accédez à l’onglet Connecteurs dans Synchronization Service Manager.
  2. Cliquez avec le bouton droit sur le Connecteur AD local, puis sélectionnez Propriétés.
  3. Dans la boîte de dialogue contextuelle, accédez à l’onglet Sélectionner les attributs.
  4. Assurez-vous que l’attribut source est activé dans la liste d’attributs.
  5. Cliquez sur OK pour enregistrer. Add source attribute to on-premises AD Connector schema

Étape 3 : Ajoutez l'attribut UserType au schéma Microsoft Entra Connector

Par défaut, l'attribut UserType n'est pas importé dans Microsoft Entra Connect Space. Pour ajouter l’attribut UserType à la liste des attributs importés :

  1. Accédez à l’onglet Connecteurs dans Synchronization Service Manager.
  2. Cliquez avec le bouton droit sur le connecteur Microsoft Entra et sélectionnez Propriétés.
  3. Dans la boîte de dialogue contextuelle, accédez à l’onglet Sélectionner les attributs.
  4. Vérifiez que l’attribut UserType est activé dans la liste d’attributs.
  5. Cliquez sur OK pour enregistrer.

Add source attribute to Microsoft Entra Connector schema

Étape 4 : Créer une règle de synchronisation de trafic entrant pour transmettre la valeur de l’attribut à partir de l’Active Directory local

La règle de synchronisation du trafic entrant permet de transmettre la valeur de l’attribut au métaverse à partir de l’attribut source d’Active Directory en local :

  1. Ouvrez Synchronization Service Manager en accédant au menu Démarrer>Éditeur de règles de synchronisation.

  2. Définissez le filtre de recherche Direction sur Entrant.

  3. Cliquez sur Ajouter une nouvelle règle pour créer une règle de trafic entrant.

  4. Sous l’onglet Description, définissez la configuration suivante :

    Attribut Valeur Détails
    Nom Donnez-lui un nom Par exemple, Entrant à partir d’AD – User UserType.
    Description Fournissez une description
    Système connecté Sélectionnez le connecteur AD local
    Type d’objet système connecté Utilisateur
    Type d’objet métaverse Person
    Type de lien Join
    Priorité Choisissez une valeur comprise entre 1 et 99 Les valeurs comprises entre 1 et 99 sont réservées aux règles de synchronisation personnalisées. Ne sélectionnez pas de valeur utilisée par une autre règle de synchronisation.
  5. Accédez à l’onglet Filtre d’étendue, puis ajoutez un groupe de filtres à étendue unique avec la clause suivante :

    Attribut Opérateur Valeur
    adminDescription NOTSTARTWITH User_

    Le filtre d’étendue spécifie à quels objets AD locaux s’applique cette règle de synchronisation du trafic entrant. Dans cet exemple, nous utilisons le même filtre de portée que celui utilisé dans la règle de synchronisation prête à l’emploi Entrant depuis AD – Utilisateur Common, qui empêche l’application de la règle de synchronisation aux objets Utilisateur créés via la fonctionnalité d’écriture différée d’utilisateur Microsoft Entra. Vous devrez peut-être modifier le filtre de portée en fonction de votre déploiement Microsoft Entra Connect.

  6. Accédez à l’onglet Transformation, puis implémentez la règle de transformation souhaitée. Si, par exemple, vous avez désigné un attribut AD local inutilisé (p. ex., extensionAttribute1) en tant qu’attribut UserType source, vous pouvez implémenter un flux de valeur d’attribut direct :

    Type de flux Attribut cible Source Appliquer une seule fois Type de fusion
    Direct UserType extensionAttribute1 Désactivé Update

    Autre exemple : vous souhaitez dériver la valeur de l’attribut UserType à partir d’autres propriétés. Par exemple, vous voulez synchroniser tous les utilisateurs en tant qu’Invités si leur attribut userPrincipalName AD local se termine par l’élément de domaine @partners.fabrikam123.org. Vous pouvez implémenter une expression telle que la suivante :

    Type de flux Attribut cible Source Appliquer une seule fois Type de fusion
    Expression UserType IIF(IsPresent([userPrincipalName]),IIF(CBool(InStr(LCase([userPrincipalName]),"@partners.fabrikam123.org")=0),"Member","Guest"),Error("UserPrincipalName is not present to determine UserType")) Désactivé Update
  7. Cliquez sur Ajouter pour créer la règle de trafic entrant.

Create inbound synchronization rule

Étape 5 : Créez une règle de synchronisation sortante pour transmettre la valeur de l'attribut à Microsoft Entra ID

La règle de synchronisation sortante permet à la valeur de l'attribut de circuler du métaverse vers l'attribut UserType dans Microsoft Entra ID :

  1. Accédez à l’Éditeur de règles de synchronisation.

  2. Définissez le filtre de recherche Direction sur Sortante.

  3. Cliquez sur le bouton Ajouter une nouvelle règle.

  4. Sous l’onglet Description, définissez la configuration suivante :

    Attribut Valeur Détails
    Nom Donnez-lui un nom Par exemple, Vers Microsoft Entra ID – Utilisateur UserType
    Description Fournissez une description
    Système connecté Sélectionnez le connecteur Microsoft Entra
    Type d’objet système connecté Utilisateur
    Type d’objet métaverse Person
    Type de lien Join
    Priorité Choisissez une valeur comprise entre 1 et 99 Les valeurs comprises entre 1 et 99 sont réservées aux règles de synchronisation personnalisées. Ne sélectionnez pas de valeur utilisée par une autre règle de synchronisation.
  5. Accédez à l’onglet Filtre d’étendue, puis ajoutez un groupe de filtres à étendue unique avec deux clauses :

    Attribut Opérateur Valeur
    sourceObjectType EQUAL Utilisateur
    cloudMastered NOTEQUAL True

    Le filtre de portée détermine à quels objets Microsoft Entra cette règle de synchronisation sortante est appliquée. Dans cet exemple, nous utilisons le filtre d’étendue de la règle de synchronisation prête à l’emploi Sortant vers AD – User Identity. Il empêche que la règle ne s’applique aux objets utilisateurs non synchronisés à partir d’Active Directory en local. Vous devrez peut-être modifier le filtre de portée en fonction de votre déploiement Microsoft Entra Connect.

  6. Accédez à l’onglet Transformation, puis implémentez la règle de transformation suivante :

    Type de flux Attribut cible Source Appliquer une seule fois Type de fusion
    Direct UserType UserType Désactivé Update
  7. Cliquez sur Ajouter pour créer la règle de trafic sortant.

Create outbound synchronization rule

Étape 6 : Exécuter un cycle complet de synchronisation

En général, un cycle de synchronisation complet est requis car nous avons ajouté de nouveaux attributs aux schémas Active Directory et Microsoft Entra Connector, et introduit des règles de synchronisation personnalisées. Vous souhaitez vérifier les modifications avant de les exporter vers Microsoft Entra ID.

Vous pouvez procéder comme suit pour vérifier les modifications tandis que vous exécutez manuellement les étapes d’un cycle de synchronisation complète.

  1. Exécutez une Importation intégrale sur le Connecteur AD local :

    1. Accédez à l’onglet Connecteurs dans Synchronization Service Manager.

    2. Cliquez avec le bouton droit sur le Connecteur AD local, puis sélectionnez Exécuter.

    3. Dans la boîte de dialogue contextuelle, sélectionnez Importation intégrale, puis cliquez sur OK.

    4. Attendez que l'opération se termine.

      Notes

      Vous pouvez ignorer l’importation intégrale sur le Connecteur AD local si l’attribut source figure déjà dans la liste des attributs importés, en d’autres termes, si vous n’avez pas eu à effectuer de modifications au cours de l’Étape 2 : Ajouter l’attribut source au schéma du Connecteur AD local.

  2. Exécutez un Import complet sur le connecteur Microsoft Entra :

    1. Cliquez avec le bouton droit sur le connecteur Microsoft Entra et sélectionnez Exécuter.
    2. Dans la boîte de dialogue contextuelle, sélectionnez Importation intégrale, puis cliquez sur OK.
    3. Attendez que l'opération se termine.
  3. Vérifiez le changement de la règle de synchronisation sur un objet utilisateur existant :

    L'attribut source d'Active Directory sur site et le UserType de Microsoft Entra ID ont été importés dans leurs espaces de connecteur respectifs. Avant de passer à la synchronisation complète, effectuez un Aperçu d’un objet utilisateur existant dans l’espace connecteur AD local. L’attribut source de cet objet doit avoir une valeur définie.

    Si l’Aperçu réussit et que UserType est rempli dans le métaverse, c’est généralement le signe que les règles de synchronisation sont correctement configurées. Pour plus d’informations sur l’Aperçu, consultez la section Vérifier la modification.

  4. Exécutez une Synchronisation complète sur le Connecteur AD local :

    1. Cliquez avec le bouton droit sur le Connecteur AD local, puis sélectionnez Exécuter.
    2. Dans la boîte de dialogue contextuelle, sélectionnez Synchronisation complète, puis cliquez sur OK.
    3. Attendez que l'opération se termine.
  5. Vérifiez les exportations en attente vers Microsoft Entra ID :

    1. Cliquez avec le bouton droit sur le connecteur Microsoft Entra et sélectionnez Rechercher dans l'espace du connecteur.

    2. Dans la boîte de dialogue contextuelle Rechercher dans l’espace connecteur :

      • Définissez l’Étendue sur En attente d’exportation.
      • Cochez les trois cases : Ajouter, Modifier et Supprimer.
      • Cliquez sur le bouton Rechercher pour obtenir la liste d’objets contenant des modifications à exporter. Pour examiner les modifications apportées à un objet donné, double-cliquez sur celui-ci.
      • Vérifiez que les modifications sont correctes.
  6. Exécutez l'exportation sur le connecteur Microsoft Entra :

    1. Cliquez avec le bouton droit sur le connecteur Microsoft Entra et sélectionnez Exécuter.
    2. Dans la boîte de dialogue contextuelle Exécuter le connecteur, sélectionnez Exporter, puis cliquez sur OK.
    3. Attendez la fin de l’exportation vers Microsoft Entra ID.

Remarque

Ces étapes n'incluent pas les étapes complètes de synchronisation et d'exportation sur le connecteur Microsoft Entra. Ces étapes ne sont pas obligatoires, car les valeurs d'attribut transitent d'Active Directory sur site vers Microsoft Entra uniquement.

Étape 7 : Réactiver le planificateur de synchronisation

Réactivez le planificateur de synchronisation intégré :

  1. Démarrez une session PowerShell.
  2. Réactivez la synchronisation planifiée en exécutant la cmdlet Set-ADSyncScheduler -SyncCycleEnabled $true.

Étapes suivantes

Rubriques de présentation