Gérer les paramètres de synchronisation des profils utilisateur dans SharePoint Server

S’APPLIQUE À :2013 2016 2019 Édition d’abonnement SharePoint dans Microsoft 365

La synchronisation de profils dans SharePoint Server permet à un administrateur d’une instance du service Profil utilisateur de synchroniser les informations de profil utilisateur et de groupe stockées dans le magasin de profils SharePoint Server avec les informations de profil stockées dans les services d’annuaire au sein de l’entreprise. Après avoir configuré la synchronisation de profil utilisateur, vous devez effectuer certaines tâches pour gérer ces paramètres. Celles-ci comprennent, par exemple, le retrait des utilisateurs dont les comptes sont désactivés ou supprimés, le déplacement d'un serveur ou l'affectation d'un nouveau nom à celui-ci, ainsi que le démarrage ou l'arrêt du service de synchronisation de profil utilisateur. Pour plus d'informations, voir Planifier la synchronisation des profils pour SharePoint Server 2013.

Pour exécuter les applets de commande PowerShell dans cet article, vérifiez que vous disposez des appartenances suivantes :

• du rôle serveur fixe securityadmin sur l'instance SQL Server.

• du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;

• du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.

Importante

Chaque section est notée quant à la version de SharePoint Server à laquelle elle s’applique.

Renommer les utilisateurs ou modifier les domaines d’utilisateurs

Remarque

Cette section s’applique à SharePoint Server 2013, 2016 et 2019.

SharePoint Server vous permet de gérer plusieurs scénarios de migration d’utilisateurs différents. Les exemples suivants illustrent des scénarios gérés pour les services de domaine Active Directory (AD DS, Active Directory Domain Services) :

• Modifications de nom de compte ( sAMAccountName) dans les services de domaine Active Directory où se trouve l'utilisateur.

• Modifications de l'identificateur de sécurité (SID).

• Modifications de nom unique (DN) impliquant des changements dans le conteneur d'unité d'organisation (OU) au sein des services de domaine Active Directory où se trouve le compte d'utilisateur. Par exemple, si le nom unique d'un utilisateur est déplacé dans les services de domaine Active Directory depuis « User= EUROPE\Marc Durand, Manager=CN=Jean Richard, OU=Users, DC=EMEA1, DC=corp, DC=contoso, DC=com » vers « User= EUROPE\Marc Durand, Manager=CN=Jean Richard, OU=Managers, DC=EMEA1, DC=corp, DC=contoso,DC=com », la commande MigrateUser met à jour le magasin de profils utilisateur pour cet utilisateur. Le profil utilisateur pour Marc Durand est mis à jour lors de la synchronisation des profils utilisateur à partir des services de domaine Active Directory EMEA1.corp.contoso.com vers le magasin de profils utilisateur SharePoint Server.

Pour renommer des utilisateurs ou modifier des domaines utilisateur

1. Vérifiez que le compte d'utilisateur qui exécute cette procédure dispose des informations d'identification suivantes :

• Le compte d'utilisateur qui exécute cette procédure est membre du groupe Administrateurs de batterie sur l'ordinateur exécutant le le site Web Administration centrale de SharePoint.

• Le compte d'utilisateur qui exécute cette procédure est membre du groupe Administrateurs sur l'ordinateur sur lequel vous avez installé le service de synchronisation de profil utilisateur.

2. Si une synchronisation est en cours d'exécution, ouvrez l'Administration centrale puis cliquez sur Gérer les applications de service dans la section Gestion des applications. Sélectionnez l'application de service de profil utilisateur appropriée dans la liste des applications de service. Dans la page Gérer les applications de service, cliquez sur Arrêter la synchronisation de profil.

3. Désactivez le travail du minuteur Synchronisation incrémentielle du profil utilisateur.

4. Vérifiez que la migration de l’utilisateur à l’aide de stsadm -o migrateuser a réussi.

Remarque

Move-SPUser peut également être utilisé pour migrer des utilisateurs.

5. Vérifiez que le profil de l’utilisateur migré est accessible en accédant au site Mon site pour cet utilisateur, par exemple, http://mysite/person.aspx?accountname=<nouveau nom> de compte.

6. Exécutez la synchronisation de profil utilisateur. Pour plus d’informations, voirDémarrer la synchronisation de profil manuellement dans SharePoint Server.

7. Vérifiez de nouveau l'accès au profil de l'utilisateur transféré en accédant au Site Mon site de cet utilisateur.

8. Activez le travail du minuteur Synchronisation incrémentielle du profil utilisateur.

Exclure les utilisateurs dont les comptes sont désactivés

Remarque

Cette section s’applique à SharePoint Server 2013.

Vous pouvez exclure les utilisateurs dont les comptes sont désactivés dans les services de domaine Active Directory en utilisant des filtres d'exclusion dans SharePoint Server 2013. Pour connaître la marche à suivre pour exclure les utilisateurs dont les comptes sont désactivés, voir Synchroniser les profils utilisateur et de groupe dans SharePoint Server 2013.

Supprimer les utilisateurs et les groupes obsolètes

Remarque

Cette section s’applique à SharePoint Server 2013, 2016 et 2019.

Il existe deux raisons pour lesquelles des utilisateurs ou des groupes obsolètes peuvent exister dans le magasin de profils utilisateur SharePoint Server :

• Utilisateurs obsolètes: le travail du minuteur de nettoyage du Site Mon site n'est pas actif. Le travail du minuteur de synchronisation des profils utilisateur marque pour suppression les utilisateurs qui ont été supprimés de la source d'annuaire. Quand le travail du minuteur de nettoyage du Site Mon site s'exécute, il recherche tous les utilisateurs marqués pour suppression et supprime leurs profils. Les Sites Mon site respectifs sont ensuite affectés au responsable de l'utilisateur supprimé et un message électronique avertit le responsable de cette suppression.

• Utilisateurs et groupes obsolètes: le magasin de profils utilisateur comporte des utilisateurs et des groupes qui n'ont pas été importés par la synchronisation de profil. Cela peut se produire, par exemple, si vous avez effectué une mise à niveau à partir d’une version antérieure de SharePoint Server et choisi de synchroniser uniquement un sous-ensemble de domaines avec SharePoint Server.

Pour rechercher et supprimer des utilisateurs et des groupes obsolètes à l’aide de PowerShell

1. Vérifiez que vous êtes membre :

• Autorisation d'exécution sur les procédures stockées ImportExport_GetNonimportedObjects et ImportExport_PurgeNonimportedObjects dans la base de données de profils.

2. Démarrez SharePoint Management Shell.

3. À l’invite de commandes PowerShell, procédez comme suit :

4. Pour obtenir l'objet d'application de service de profil utilisateur, tapez la commande suivante :

$upa = Get-spserviceapplication <identity>

Où <identity> est le GUID de l’application de service de synchronisation de profil utilisateur.

2. Pour afficher les utilisateurs et les groupes à supprimer, tapez la commande suivante :

Set-SPProfileServiceApplication $upa -GetNonImportedObjects $true

3. Pour supprimer les utilisateurs et les groupes obsolètes, tapez la commande suivante :

   Attention

   Vous ne pouvez pas annuler cette action.

Set-SPProfileServiceApplication $upa -PurgeNonImportedObjects $true

Pour plus d’informations, voir Get-SPServiceApplication et Set-SPProfileServiceApplication.

Gérer les modifications de schéma de profil

Remarque

Cette section s’applique à SharePoint Server 2013.

Les modifications de schéma de profil concernent des tâches telles que l'ajout d'une nouvelle propriété de profil utilisateur, la modification d'un mappage de propriété de profil utilisateur ou la modification d'un filtre de connexion de synchronisation de profil. Lorsque le schéma de profil change, vous devez effectuer une synchronisation non récurrente complète avant de planifier une synchronisation de profil récurrente. Pour connaître les étapes nécessaires pour effectuer une synchronisation de profil complète non récurrente, voirDémarrer la synchronisation de profils manuellement dans SharePoint Server.

Renommer un serveur qui exécute le service de synchronisation de profil utilisateur

Remarque

Cette section s’applique à SharePoint Server 2013.

Utilisez la procédure suivante pour renommer un serveur de synchronisation de profil.

Pour renommer un serveur qui exécute le service de synchronisation de profils utilisateur à l’aide de PowerShell

1. Démarrez SharePoint Management Shell.

2. À partir de l’invite de commandes PowerShell, entrez la commande suivante :

Rename-SPServer <Identity> -Name <newName>

Où :

• Identity représente l'ancien nom du serveur ;

• newName représente le nouveau nom du serveur.

Pour plus d’informations sur le changement de nom d’un serveur à l’aide de Microsoft PowerShell, consultez Rename-SPServer.

Déplacer le service de synchronisation de profil utilisateur vers un nouveau serveur

Remarque

Cette section s’applique à SharePoint Server 2013.

Utilisez la procédure suivante pour déplacer le service de synchronisation de profil utilisateur vers un nouveau serveur.

Pour déplacer le service de synchronisation de profils utilisateur vers un nouveau serveur à l’aide de l’Administration centrale

1. Vérifiez que le compte d'utilisateur qui exécute cette procédure dispose des informations d'identification suivantes :

• Le compte d'utilisateur qui exécute cette procédure est membre du groupe Administrateurs de batterie sur l'ordinateur exécutant le le site Web Administration centrale de SharePoint.

• Le compte d'utilisateur qui exécute cette procédure est membre du groupe Administrateurs sur l'ordinateur sur lequel vous avez installé le service de synchronisation de profil utilisateur. Cela est nécessaire pour démarrer le service de synchronisation des profils utilisateur. Une fois le service de synchronisation des profils utilisateur démarré, vous pouvez supprimer le compte de la batterie de serveurs du groupe Administrateurs.

2. Sur le serveur qui exécute actuellement le service de synchronisation de profil utilisateur, depuis le le site Web Administration centrale de SharePoint, dans la section Paramètres système, cliquez sur Gérer les services sur le serveur.

3. En regard de Service de synchronisation de profil utilisateur, cliquez sur Arrêter pour arrêter le service de synchronisation de profil utilisateur.

4. Sur le nouveau serveur de synchronisation de profil utilisateur, depuis le le site Web Administration centrale de SharePoint, dans la section Paramètres système, cliquez sur Gérer les services sur le serveur.

5. En regard de Service de synchronisation de profil utilisateur, cliquez sur Démarrer pour démarrer le service de synchronisation de profil utilisateur.

6. Sur le nouveau serveur de synchronisation de profil utilisateur, depuis le le site Web Administration centrale de SharePoint, dans la section Gestion des applications, cliquez sur Gérer les applications de service.

7. Dans la page Applications de service, cliquez sur le lien du nom de l'application de service de profil utilisateur appropriée.

8. Dans la page Application de service de profil utilisateur, dans la section Synchronisation, cliquez sur Lancer une synchronisation des profils.

9. Dans la page Lancer une synchronisation des profils, sélectionnez Lancer une synchronisation complète, puis cliquez sur OK.

Restreindre la communication de la synchronisation de profil utilisateur à un contrôleur de domaine spécifique

Utilisez la procédure suivante pour restreindre la communication de la synchronisation de profil à un contrôleur de domaine spécifique

Pour restreindre la communication de synchronisation de profil utilisateur à un contrôleur de domaine spécifique à l’aide de Windows PowerShell

1. Démarrez SharePoint Management Shell.

2. Pour obtenir l'objet d'application de service de profil utilisateur, tapez la commande suivante :

$upa=Get-SPServiceApplication <GUID>

Où <GUID> est le GUID de l’application service de synchronisation de profils utilisateur.

3. Pour restreindre la communication de la synchronisation de profil à un contrôleur de domaine spécifique, tapez la commande suivante :

Set-SPProfileServiceApplication $upa -UseOnlyPreferredDomainControllers $true

Remarque

La propagation de la valeur de propriété modifiée vers le le site Web Administration centrale de SharePoint peut prendre cinq minutes. La réinitialisation d'IIS sur le serveur d'Administration centrale entraîne le chargement immédiat de la nouvelle valeur. Pour plus d'informations sur la réinitialisation d'IIS, voir l'article relatif à l'activité de réinitialisation IIS.

Pour plus d’informations, voir Get-SPServiceApplication et Set-SPProfileServiceApplication.

Ajuster les délais d’attente de la synchronisation de profil utilisateur

Remarque

Cette section s’applique à SharePoint Server 2013.

Un délai d'attente peut se produire dans les situations suivantes :

• Lors de la connexion au serveur du service d'annuaire dans la page Modifier la connexion de synchronisation ou Ajouter une nouvelle connexion de synchronisation dans l'Administration centrale.

• Lors du remplissage de la liste de conteneurs dans la page Modifier la connexion de synchronisation ou Ajouter une nouvelle connexion de synchronisation dans l'Administration centrale. Cela se traduit par une erreur de délai d'attente JavaScript dans la barre d'état.

• Quand vous cliquez sur OK dans la page Modifier la connexion de synchronisation ou Ajouter une nouvelle connexion de synchronisation dans l'Administration centrale. Cela se traduit par le message d'erreur suivant et est lié à un dépassement de délai de la part du service web Forefront Identity Manager lors de la création ou de la mise à jour d'une connexion de synchronisation de profil utilisateur :

« Le canal de requête a expiré en attendant une réponse après 00:01:29.9062626. Augmentez la valeur du délai d’attente passé à l’appel à Request ou augmentez la valeur SendTimeout sur la liaison. Le temps alloué à cette opération a peut-être fait partie d’un délai d’expiration plus long.

Pour ajuster les délais de synchronisation des profils utilisateur à l’aide de Windows PowerShell

1. Si vous souhaitez modifier la valeur du délai d'attente pour la connexion au serveur d'annuaire, procédez comme suit :

2. Collez le code suivant dans un éditeur de texte tel que le Bloc-notes :

$upsAppProxy = Get-SPServiceApplicationProxy <UPSAppProxyGUID>
$upsAppProxy.LDAPConnectionTimeout = <NewTimeout>
$upsAppProxy.Update()

2. Remplacez <UPSAppProxyGUID par> le GUID du proxy d’application de service profil utilisateur et <NewTimeout> par la nouvelle valeur de délai d’attente en secondes. Le délai d'attente par défaut est de 120 secondes.

3. Enregistrez le fichier dans un fichier texte ANSI dont l'extension est .ps1.

4. Si vous souhaitez modifier la valeur du délai d'attente pour le contrôle Remplir les conteneurs, procédez comme suit :

5. Collez le code suivant dans un éditeur de texte tel que le Bloc-notes :

$upsAppProxy = Get-SPServiceApplicationProxy <UPSAppProxyGUID>
$upsAppProxy.ImportConnAsyncTimeout = <NewTimeout>
$upsAppProxy.Update()

2. Si vous souhaitez modifier la valeur du délai d'attente pour les appels en direction du service web Forefront Identity Manager, procédez comme suit :

   Remplacez <UPSAppProxyGUID par> le GUID du proxy d’application de service profil utilisateur et <NewTimeout> par la nouvelle valeur de délai d’attente en secondes. Le délai d'attente par défaut est de 1 000 secondes (approximativement 17 minutes).

3. Collez le code suivant dans un éditeur de texte tel que le Bloc-notes :

$upsApp = Get-SPServiceApplication 
<UPSAppGUID>
$upsApp.FIMWebClientTimeOut = 
<NewTimeout>
$upsApp.Update()

4. Remplacez <UPSAppGUID par> le GUID de l’application de service profil utilisateur et <NewTimeout> par la nouvelle valeur de délai d’attente en millisecondes. Le délai d'attente par défaut est de 300 000 millisecondes (5 minutes).

5. Enregistrez le fichier dans un fichier texte ANSI dont l'extension est .ps1, par exemple, AdjustProfileSyncTimeouts.ps1.

6. Dans le menu Démarrer, cliquez sur Tous les programmes.

7. Cliquez sur Produits Microsoft SharePoint 2013.

8. Cliquez sur SharePoint 2013 Management Shell.

9. Accédez au répertoire où vous avez enregistré le fichier.

10. À l’invite de commandes Microsoft PowerShell, tapez la commande suivante pour exécuter un fichier de script :

./<file name>.ps1

Où <nom> de fichier est le nom du fichier à exécuter.

Pour plus d’informations, voir Get-SPServiceApplicationProxy et Get-SPServiceApplication.