Migrer la réécriture de groupe Microsoft Entra Connect Sync V2 vers Microsoft Entra Cloud Sync
Important
La préversion publique de l'écriture différée de groupe V2 dans Microsoft Entra Connect Sync ne sera plus disponible après le 30 juin 2024. Cette fonctionnalité ne sera plus disponible à cette date et vous ne serez plus pris en charge dans Connect Sync pour approvisionner des groupes de sécurité cloud sur Active Directory.
Nous proposons une fonctionnalité similaire dans Microsoft Entra Cloud Sync appelée Approvisionnement de groupe vers Active Directory que vous pouvez utiliser au lieu d'Écriture différée de groupe v2 pour approvisionner des groupes de sécurité cloud sur Active Directory. Nous travaillons à améliorer cette fonctionnalité dans Cloud Sync, ainsi que d'autres nouvelles fonctionnalités que nous développons dans Cloud Sync.
Les clients qui utilisent cette fonctionnalité d'évaluation dans Connect Sync doivent basculer leur configuration de Connect Sync vers Cloud Sync. Vous pouvez choisir de procéder à la migration de toute votre synchronisation hybride vers Cloud Sync (si elle prend en charge vos besoins). Vous pouvez également exécuter Cloud Sync côte à côte et déplacer uniquement l'approvisionnement de groupes de sécurité du cloud vers Active Directory vers Cloud Sync.
Pour les clients qui approvisionnent des groupes Microsoft 365 dans Active Directory, vous pouvez continuer à utiliser l'Écriture différée de groupe v1 pour cette capacité.
Vous pouvez évaluer le déplacement exclusivement vers Cloud Sync à l’aide de l’assistant de synchronisation des utilisateurs.
Le document suivant décrit comment migrer l'écriture de groupe à l'aide de Microsoft Entra Connect Sync (anciennement Azure AD Connect) vers Microsoft Entra Cloud Sync. Ce scénario s'adresse uniquement aux clients qui utilisent actuellement la réécriture de groupe Microsoft Entra Connect v2. Le processus décrit dans ce document concerne uniquement les groupes de sécurité créés dans le cloud et réécrits avec une portée universelle. Les groupes à extension messagerie et les DL réécrits à l'aide de l'écriture de groupe Microsoft Entra Connect V1 ou V2 ne sont pas pris en charge.
Important
Ce scénario s'adresse uniquement aux clients qui utilisent actuellement l'écriture différée de groupe Microsoft Entra Connect v2
De plus, ce scénario n'est pris en charge que pour :
- Groupes de sécurité créés dans le cloud
- ces groupes sont réécrits avec la portée des groupes AD de universel.
Les groupes à extension messagerie et les DL réécrits à l'aide de l'écriture de groupe Microsoft Entra Connect V1 ou V2 ne sont pas pris en charge.
Pour plus d’informations, consultez la FAQ sur l’approvisionnement dans Active Directory avec Microsoft Entra Cloud Sync.
Prérequis
Les conditions préalables suivantes sont requises pour mettre en œuvre ce scénario.
- Un compte Microsoft Entra avec au moins un rôle Administrateur d’identité hybride.
- Un compte AD sur site avec au moins les autorisations d'administrateur de domaine – requis pour accéder à l'attribut adminDescription et le copier dans l'attribut msDS-ExternalDirectoryObjectId
- Environnement de services de domaine Active Directory sur site avec le système d'exploitation Windows Server 2016 ou version ultérieure.
- Obligatoire pour l’attribut de schéma AD – msDS-ExternalDirectoryObjectId
- Agent de provisioning avec la version de build 1.1.1367.0 ou ultérieure.
- L'agent d'approvisionnement doit être capable de communiquer avec le(s) contrôleur(s) de domaine sur les ports TCP/389 (LDAP) et TCP/3268 (Global Catalog).
- Obligatoire pour la recherche dans le catalogue global afin de filtrer les références d’adhésion non valides
Convention d’affectation de noms pour les groupes réécrits
Microsoft Entra Connect Sync utilise le format suivant pour nommer les groupes qui sont réécrits.
- Format par défaut : CN=Group_<guid>,OU=<conteneur>,DC=<composant de domaine>,DC=<composant de domaine>
- Exemple : CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com
Pour faciliter la recherche des groupes réécrits depuis Microsoft Entra ID vers Active Directory, Microsoft Entra Connect Sync a ajouté une option permettant de réécrire le nom unique des groupes en utilisant le nom d’affichage cloud. Pour ce faire, sélectionnez l’option Réécrire le nom unique des groupes avec le nom d’affichage cloud lors de la configuration initiale de la réécriture de groupes v2. Si cette fonctionnalité n’est pas activée, le format par défaut est utilisé.
Si la fonctionnalité Réécrire le nom unique des groupes avec le nom d’affichage cloud est activée, Microsoft Entra Connect utilise le format suivant.
- Nouveau format : CN=<nom d’affichage>_<12 derniers chiffres de l’ID d’objet>,OU=<conteneur>,DC=<composant de domaine>,DC=<composant de domaine>
- Exemple : CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com
Lors de la migration, la synchronisation cloud utilise le nouveau format. Peu importe si la fonctionnalité Réécrire le nom unique des groupes avec le nom d’affichage cloud est activée ou non.
Important
Si vous utilisez le nommage Microsoft Entra Connect par défaut et que vous migrez le groupe afin qu’il soit géré par la synchronisation cloud Microsoft Entra, celui-ci est renommé avec le nouveau format. Utilisez la section ci-dessous pour autoriser la synchronisation cloud Microsoft Entra à utiliser l’ancien format.
Utilisation du format par défaut
Si vous souhaitez que la synchronisation cloud utilise le format par défaut, vous devez modifier l’expression de flux d’attribut pour l’attribut CN. La valeur par défaut du mappage est :
| Expression | Syntaxe | Description |
|---|---|---|
| Expression par défaut | Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)) | Expression par défaut utilisée par la synchronisation cloud Microsoft Entra. |
| Nouvelle expression | Append("Group_", [objectId]) | Il s’agit de la nouvelle expression, vous pouvez utiliser le format par défaut utilisé par Microsoft Entra Connect. |
Pour plus d’informations, consultez Ajouter un mappage d’attributs – Microsoft Entra ID vers Active Directory
Étape 1 – Copiez adminDescription dans msDS-ExternalDirectoryObjectID
Dans votre environnement sur site, ouvrez ADSI Edit.
Copiez la valeur qu'elle contient dans l'attribut adminDescription du groupe
Collez-le dans l’attribut msDS-ExternalDirectoryObjectID
Le script PowerShell suivant peut être utilisé pour automatiser cette étape. Ce script prend tous les groupes dans le conteneur OU=Groups,DC=Contoso,DC=com et copie la valeur de l’attribut adminDescription dans la valeur d’attribut msDS-ExternalDirectoryObjectID.
Import-module ActiveDirectory
$groups = Get-ADGroup -Filter * -SearchBase "OU=Groups,DC=Contoso,DC=com" -Properties * | Where-Object {$_.adminDescription -ne $null} |
Select-Object Samaccountname, adminDescription, msDS-ExternalDirectoryObjectID
foreach ($group in $groups)
{
Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
}
Étape 2 – Placez le serveur Microsoft Entra Connect Sync en mode intermédiaire et désactivez le planificateur de synchronisation
Démarrer l’Assistant Microsoft Entra Connect Sync
Cliquez sur Configurer
Sélectionnez Configurer le mode intermédiaire et cliquez sur Suivant
Entrez les informations d'identification Microsoft Entra
Cochez la case Activer le mode intermédiaire et cliquez sur Suivant
Cliquez sur Configurer
Cliquez sur quitter
Sur votre serveur Microsoft Entra Connect, ouvrez une invite PowerShell en tant qu'administrateur.
Désactivez le planificateur de synchronisation :
Set-ADSyncScheduler -SyncCycleEnabled $false
Étape 3 – Créer une règle entrante de groupe personnalisée
Dans l'éditeur de règles de synchronisation Microsoft Entra Connect, vous devez créer une règle de synchronisation entrante qui filtre les groupes dont l'attribut de messagerie est NULL. La règle de synchronisation entrante est une règle de jointure avec un attribut cible de cloudNoFlow. Cette règle indique à Microsoft Entra Connect de ne pas synchroniser les attributs de ces groupes.
Exécutez l’éditeur de synchronisation à partir d’un menu d’application dans le poste de travail comme indiqué ci-après :
Sélectionnez Entrante dans la liste déroulante Direction, et sélectionnez Ajouter une nouvelle règle.
Dans la page Description, entrez les informations suivantes et sélectionnez Suivant :
Nom : attribuez un nom explicite à la règle.
Description : ajoutez une description explicite.
Système connecté : choisissez le connecteur Microsoft Entra pour lequel vous écrivez la règle de synchronisation personnalisée
Type d'objet du système connecté : Groupe
Type d'objet métaverse : Groupe
Link Type (Type de lien) : Join
Précédence : indiquez une valeur unique dans le système. Une valeur inférieure à 100 est recommandée afin qu’elle soit prioritaire sur les règles par défaut.
Balise : laissez ce champ vide
Sur la page Filtre de portée, Ajouter les éléments suivants, puis sélectionnez Suivant.
Attribut Opérateur Valeur cloudMastered EQUAL true mail ISNULL 
Dans la page des règles de jointure, sélectionnez Suivant.
Dans la page Transformations, ajoutez une transformation constante : spécifiez True pour l’attribut cloudNoFlow. Sélectionnez Ajouter.
Étape 4 – Créer une règle sortante de groupe personnalisée
Vous aurez également besoin d’une règle de synchronisation sortante avec un type de lien JoinNoFlow et le filtre d’étendue dont l’attribut cloudNoFlow est défini sur True. Cette règle indique à Microsoft Entra Connect de ne pas synchroniser les attributs de ces groupes.
Sélectionnez Sortante dans la liste déroulante Direction, et sélectionnez Ajouter une nouvelle règle.
Dans la page Description, entrez les informations suivantes et sélectionnez Suivant :
- Nom : attribuez un nom explicite à la règle.
- Description : ajoutez une description explicite.
- Système connecté : choisissez le connecteur AD pour lequel vous écrivez la règle de synchronisation personnalisée
- Type d'objet du système connecté : Groupe
- Type d'objet métaverse : Groupe
- Link Type (Type de lien) : JoinNoFlow
- Précédence : indiquez une valeur unique dans le système. Une valeur inférieure à 100 est recommandée afin qu’elle soit prioritaire sur les règles par défaut.
- Balise : laissez ce champ vide
Dans la page Scoping filter (Filtre d’étendue), choisissez cloudNoFlow EQUAL True. Sélectionnez ensuite Suivant.
Dans la page des règles de jointure, sélectionnez Suivant.
Dans la page Transformations, sélectionnez Ajouter.
Étape 5 – Utilisez PowerShell pour terminer la configuration
Sur votre serveur Microsoft Entra Connect, ouvrez une invite PowerShell en tant qu'administrateur.
Importez le module ADSync :
Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ADSyncTools.psm1'Exécutez un cycle de synchronisation complet :
Start-ADSyncSyncCycle -PolicyType InitialDésactivez la fonctionnalité d’écriture différée du groupe pour le locataire :
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $falseExécutez un cycle de synchronisation complet (oui encore) :
Start-ADSyncSyncCycle -PolicyType InitialRéactivez le planificateur de synchronisation :
Set-ADSyncScheduler -SyncCycleEnabled $true
Étape 6 – Supprimez le serveur Microsoft Entra Connect Sync du mode intermédiaire
- Démarrer l’Assistant Microsoft Entra Connect Sync
- Cliquez sur Configurer
- Sélectionnez Configurer le mode intermédiaire et cliquez sur Suivant
- Entrez les informations d'identification Microsoft Entra
- Décochez la case Activer le mode intermédiaire et cliquez sur Suivant
- Cliquez sur Configurer
- Cliquez sur quitter
Étape 7 – Configurer Microsoft Entra Cloud Sync
Maintenant que vous avez correctement supprimé les groupes de la portée de Microsoft Entra Connect Sync, vous pouvez configurer Microsoft Entra Cloud Sync pour prendre en charge la synchronisation. Consultez Approvisionner des groupes dans Active Directory en utilisant la synchronisation cloud Microsoft Entra.
Étapes suivantes
Commentaires
Bientôt disponible : pendant toute l’année 2024, nous allons éliminer progressivement Problèmes GitHub comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, voir : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour