Fonctionnalités du service de synchronisation de Microsoft Entra Connect
La fonctionnalité de synchronisation de Microsoft Entra Connect comprend deux composants :
- Le composant local nommé Synchronisation Microsoft Entra Connect, également appelé moteur de synchronisation.
- Le service résidant dans Microsoft Entra ID également appelé service de synchronisation de Microsoft Entra Connect
Cette rubrique explique comment les fonctionnalités suivantes du service de synchronisation Microsoft Entra Connect opèrent et comment les configurer à l’aide de PowerShell.
Pour voir la configuration dans votre répertoire Microsoft Entra à l'aide de Graph PowerShell, utilisez les commandes suivantes :
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
Le résultat se présente comme suit :
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
Remarque
Depuis le 24 août 2016, la fonctionnalité Résilience d’attribut en double est activée par défaut pour les nouveaux répertoires Microsoft Entra. Cette fonctionnalité sera également déployée et activée sur les répertoires créés avant cette date. Vous recevrez une notification par courrier électronique lorsque l’activation de cette fonctionnalité pour votre répertoire sera imminente .
Les paramètres suivants sont configurés dans Microsoft Entra Connect :
| DirSyncFeature | Commentaire |
|---|---|
| SoftMatchOnUpn | Permet aux objets d’être joints sur userPrincipalName en plus de l’adresse SMTP principale. |
| SynchronizeUpnForManagedUsers | Permet au moteur de synchronisation de mettre à jour l’attribut userPrincipalName pour les utilisateurs managés/sous licence (non fédérés). |
| DeviceWriteback | Microsoft Entra Connect : activation de la réécriture d’appareil |
| DirectoryExtensions | Microsoft Entra Connect Sync : extensions d'annuaire |
| DuplicateProxyAddressResiliency DuplicateUPNResiliency |
Permet à un attribut d’être mis en quarantaine lorsqu’il est un doublon d’un autre objet, plutôt que mettre en échec l’objet entier lors de l’exportation. |
| Synchronisation de hachage de mot de passe | Implémenter la synchronisation de hachage de mot de passe avec la synchronisation Microsoft Entra Connect |
| Réécriture du mot de passe | Non pris en charge. Cette fonctionnalité de service est supprimée. Pour configurer la réécriture du mot de passe, consultez Activer la réécriture du mot de passe dans Microsoft Entra Connect |
| Authentification directe | Connexion de l’utilisateur avec l’authentification directe Microsoft Entra |
| UnifiedGroupWriteback | Écriture différée de groupe |
| UserWriteback | Non pris en charge actuellement. |
Résilience d’attribut en double
Au lieu de rencontrer des problèmes lors de l’approvisionnement d’objets avec des UPN/proxyAddresses en double, l’attribut en double est « mis en quarantaine » et une valeur temporaire lui est attribuée. Lorsque le conflit est résolu, l’UPN temporaire est automatiquement converti dans la valeur correcte. Pour plus d’informations, consultez Synchronisation des identités et résilience des attributs en double.
Correspondance souple UserPrincipalName
Lorsque cette fonctionnalité est activée, la correspondance souple est activée pour l’UPN ainsi que pour l’ adresse SMTP principale, qui est toujours activée. La correspondance souple est utilisée pour faire correspondre les utilisateurs existants du cloud dans Microsoft Entra ID avec les utilisateurs locaux.
Si vous devez faire correspondre des comptes AD sur site avec des comptes existants créés dans le cloud et que vous n'utilisez pas Exchange Online, cette fonctionnalité est utile. Dans ce scénario, vous n’avez généralement pas de raison pour définir l’attribut SMTP dans le cloud.
Cette fonctionnalité est activée par défaut pour les répertoires Microsoft Entra nouvellement créés. Vous pouvez voir si cette fonctionnalité est activée en exécutant :
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Si cette fonctionnalité n'est pas activée pour votre répertoire Microsoft Entra, vous pouvez l'activer en exécutant :
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
Lorsque cette fonctionnalité est activée, elle bloque la fonctionnalité Soft Match. Les clients sont encouragés à activer cette fonctionnalité et à la garder activée jusqu’à ce que la correspondance souple soit de nouveau nécessaire pour leur location. Cet indicateur doit être réactivé une fois que la correspondance souple est terminée et n’est plus nécessaire.
Exemple : Blocage du soft matching dans votre locataire :
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Synchroniser les mises à jour userPrincipalName
Historiquement, les mises à jour de l’attribut UserPrincipalName à l’aide du service de synchronisation en local étaient bloquées, sauf si les deux conditions suivantes étaient remplies :
- L’utilisateur managé (non fédéré).
- L’utilisateur n’a pas de licence attribuée.
Remarque
À compter de mars 2019, la synchronisation des modifications d’UPN pour les comptes d’utilisateur fédérés est autorisée.
L’activation de cette fonctionnalité permet au moteur de synchronisation de mettre à jour l’attribut userPrincipalName quand il est modifié en local et que vous utilisez la synchronisation de hachage de mot de passe pu l’authentification directe.
Cette fonctionnalité est activée par défaut pour les répertoires Microsoft Entra nouvellement créés. Vous pouvez voir si cette fonctionnalité est activée en exécutant :
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Si cette fonctionnalité n'est pas activée pour votre répertoire Microsoft Entra, vous pouvez l'activer en exécutant :
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Après avoir activé cette fonctionnalité, les valeurs existantes userPrincipalName demeurent telles quelles. Lors de la prochaine modification de l’attribut userPrincipalName en local, la synchronisation delta normale sur les utilisateurs met à jour l’UPN. Une fois cette fonctionnalité activée, il n’est pas possible de la désactiver.