Configuration de la synchronisation à étendue limitée entre Azure AD et Azure Active Directory Domain Services à l’aide du Portail Azure

Pour assurer des services d’authentification, Azure Active Directory Domain Services (Azure AD DS) synchronise les utilisateurs et les groupes à partir d’Azure AD. Dans un environnement hybride, les utilisateurs et les groupes d’un environnement Active Directory Domain Services (AD DS) local peuvent d’abord être synchronisés avec Azure AD à l’aide d’Azure AD Connect, puis avec un domaine managé Azure AD DS.

Par défaut, tous les utilisateurs et groupes d’un annuaire Azure AD sont synchronisés avec un domaine managé. Si vous avez des besoins spécifiques, vous pouvez opter pour la synchronisation d’un ensemble défini d’utilisateurs.

Cet article explique comment configurer la synchronisation à étendue limitée, puis modifier ou désactiver l’ensemble des utilisateurs inclus à l’aide du Portail Azure. Vous pouvez également suivre cette procédure avec PowerShell.

Avant de commencer

Pour faire ce qui est décrit dans cet article, vous avez besoin des ressources et des privilèges suivants :

Vue d’ensemble de la synchronisation délimitée

Par défaut, tous les utilisateurs et groupes d’un annuaire Azure AD sont synchronisés avec un domaine managé. Si seuls quelques utilisateurs ont besoin d’accéder au domaine managé, vous pouvez synchroniser uniquement ces comptes d’utilisateurs. Cette synchronisation délimitée est basée sur les groupes. Quand vous configurez la synchronisation délimitée basée sur les groupes, seuls les comptes d’utilisateurs qui appartiennent aux groupes que vous spécifiez sont synchronisés avec le domaine managé. Les groupes imbriqués ne sont pas synchronisés ; seuls les groupes explicitement sélectionnés le sont.

Vous pouvez modifier l’étendue de synchronisation avant ou après la création du domaine managé. L’étendue de la synchronisation est définie par un principal de service avec l’identificateur d’application 2565bd9d-da50-47d4-8b85-4c97f669dc36. Pour éviter toute perte d’étendue, ne supprimez pas ou ne modifiez pas le principal du service. Si ce dernier supprimé par accident, l’étendue de synchronisation ne peut pas être récupérée.

Gardez à l’esprit les avertissements suivants si vous modifiez l’étendue de synchronisation :

  • Une synchronisation complète se produit.
  • Les objets qui ne sont plus requis dans le domaine managé sont supprimés. De nouveaux objets sont créés dans le domaine managé.

Pour en savoir plus sur le processus de synchronisation, consultez Comprendre la synchronisation dans Azure AD Domain Services.

Activation de la synchronisation à étendue limitée

Pour activer la synchronisation à étendue limitée sur le Portail Azure, procédez comme suit :

  1. Sur le portail Azure, recherchez et sélectionnez Azure AD Domain Services. Choisissez votre domaine managé, par exemple aaddscontoso.com.
  2. Sélectionnez Synchronisation dans le menu de gauche.
  3. Pour Type de synchronisation, sélectionnez Étendue limitée.
  4. Choisissez Sélectionner des groupes, puis recherchez et choisissez les groupes à ajouter.
  5. Une fois que toutes les modifications ont été apportées, sélectionnez Enregistrer l’étendue de la synchronisation.

La changement de l’étendue de la synchronisation conduit le domaine managé à resynchroniser toutes les données. Les objets qui ne sont plus nécessaires dans le domaine managé sont supprimés ; la resynchronisation est susceptible de prendre du temps.

Modifier la synchronisation délimitée

Pour modifier la liste des groupes dont les utilisateurs doivent être synchronisés avec le domaine managé, effectuez les étapes suivantes :

  1. Sur le portail Azure, recherchez et sélectionnez Azure AD Domain Services. Choisissez votre domaine managé, par exemple aaddscontoso.com.
  2. Sélectionnez Synchronisation dans le menu de gauche.
  3. Pour ajouter un groupe, choisissez + Sélectionner des groupes dans la partie supérieure, puis choisissez les groupes à ajouter.
  4. Pour supprimer un groupe de l’étendue de la synchronisation, sélectionnez-le dans la liste des groupes actuellement synchronisés et choisissez Supprimer les groupes.
  5. Une fois que toutes les modifications ont été apportées, sélectionnez Enregistrer l’étendue de la synchronisation.

La changement de l’étendue de la synchronisation conduit le domaine managé à resynchroniser toutes les données. Les objets qui ne sont plus nécessaires dans le domaine managé sont supprimés ; la resynchronisation est susceptible de prendre du temps.

Désactiver la synchronisation délimitée

Pour désactiver la synchronisation délimitée basée sur les groupes pour un domaine managé, effectuez les étapes suivantes :

  1. Sur le portail Azure, recherchez et sélectionnez Azure AD Domain Services. Choisissez votre domaine managé, par exemple aaddscontoso.com.
  2. Sélectionnez Synchronisation dans le menu de gauche.
  3. Faites passer le Type de synchronisation de Étendue limitée à Tout, puis sélectionnez Enregistrer l’étendue de la synchronisation.

La changement de l’étendue de la synchronisation conduit le domaine managé à resynchroniser toutes les données. Les objets qui ne sont plus nécessaires dans le domaine managé sont supprimés ; la resynchronisation est susceptible de prendre du temps.

Étapes suivantes

Pour en savoir plus sur le processus de synchronisation, consultez Comprendre la synchronisation dans Azure AD Domain Services.