Configuration de l’écriture différée de groupe dans la gestion des droits d’utilisation

Cet article vous montre comment configurer l’écriture différée de groupe dans la gestion des droits d’utilisation. La réécriture de groupe est une fonctionnalité qui vous permet de réécrire des groupes cloud sur votre instance Active Directory sur site en utilisant Microsoft Entra Cloud Sync.

Configurer la réécriture de groupe dans la gestion des droits d’utilisation

Pour configurer la réécriture de groupe pour les groupes Microsoft 365 dans des packages d’accès, vous devez respecter les prérequis suivants :

• Configurez l’écriture différée de groupe dans le Centre d’administration Microsoft Entra.
• Unité d’organisation (UO) qui sert à configurer l’écriture différée de groupe dans une configuration Microsoft Entra Cloud Sync.
• Effectuer les étapes d’activation de la réécriture de groupe pour Microsoft Entra Cloud Sync.

Avec la réécriture de groupe, vous pouvez maintenant synchroniser des groupes de sécurité qui font partie des packages d’accès à Active Directory local. Pour synchroniser les groupes, suivez les étapes :

1. Créez un groupe de sécurité Microsoft Entra.

2. Définissez le groupe pour qu’il soit réécrit dans Active Directory local. Si vous souhaitez obtenir des instructions, consultez Écriture différée de groupe dans le Centre d’administration Microsoft Entra.

3. Ajoutez le groupe à un package d’accès comme rôle de ressource. Consultez Créer un package d’accès pour obtenir de l’aide.

4. Lancez Utilisateurs et ordinateurs Active Directory, puis attendez que le nouveau groupe AD obtenu soit créé dans le domaine AD. Lorsqu’il est présent, enregistrez le nom unique, le domaine, le nom de compte et le SID du nouveau groupe AD.

5. Configurez l’application pour utiliser le nouveau groupe, soit en mettant à jour l’application, soit en ajoutant le groupe en tant que membre d’un groupe existant, comme décrit dans Régir des applications basées sur Active Directory local (Kerberos) en tirant parti de Gouvernance des ID Microsoft Entra.

6. Attribuez l’utilisateur au package d’accès. Consultez Voir, ajouter et supprimer des affectations pour un package d’accès afin d’obtenir des instructions pour attribuer directement un utilisateur.

7. Après avoir attribué un utilisateur au package d’accès, vérifiez que l’utilisateur est désormais membre du groupe local quand le cycle Microsoft Entra Cloud Sync est terminé :

   1. Examinez la propriété de membre du groupe dans l’UO locale OU
   2. Examinez l’attribut memberOf de l’objet utilisateur.

   Remarque

   Par défaut, le cycle Microsoft Entra Cloud Sync est programmé toutes les 30 minutes. Vous devrez peut-être attendre que le prochain cycle se produise pour voir les résultats en local ou exécuter le cycle de synchronisation manuellement pour voir les résultats plus tôt.

8. Dans votre analyse de domaine AD, autorisez uniquement le compte gMSA qui exécute l’agent d’approvisionnement à avoir l’autorisation de modifier l’appartenance au nouveau groupe AD.

Étapes suivantes

• Créer et gérer un catalogue de ressources dans la gestion des droits d'utilisation
• Déléguer la gouvernance des accès aux gestionnaires de package dans le cadre de la gestion des droits d’utilisation