Tutoriel : Migrer vers Microsoft Entra Cloud Sync pour une forêt Active Directory synchronisée

Ce tutoriel vous guide tout au long de la migration vers Microsoft Entra Cloud Sync pour une forêt Active Directory de test synchronisée à l’aide de Microsoft Entra Connect Sync.

Cet article fournit des informations sur une migration de base. Passez en revue la documentation Migrate vers Microsoft Entra Cloud Sync avant de tenter de migrer votre environnement de production.

Dans ce tutoriel, vous allez apprendre à :

• Arrêtez le planificateur.
• Créez des règles de trafic entrant et sortant personnalisées.
• Installez l’agent d’approvisionnement.
• Vérifiez l’installation de l’agent.
• Configurez Microsoft Entra Cloud Sync.
• Redémarrez le planificateur.

À propos de l’installation

Avant de suivre ce tutoriel, tenez compte des éléments suivants :

• Assurez-vous que vous êtes familiarisé avec les principes de base de Microsoft Entra Cloud Sync.

• Vérifiez que vous exécutez Microsoft Entra Connect Sync version 1.4.32.0 ou ultérieure et que vous avez configuré les règles de synchronisation comme documentées.

• Assurez-vous que pour un projet pilote, vous supprimez une unité organisationnelle de test (UO) ou un groupe de l’étendue de Microsoft Entra Connect Sync. Le déplacement d’objets en dehors de l’étendue provoque la suppression de ces objets dans Microsoft Entra ID.

  • Les objets utilisateur dans l’ID Microsoft Entra sont supprimés de manière réversible, ce qui vous permet de les restaurer.
  • Les objets de groupe dans Microsoft Entra ID sont supprimés en dur. Vous ne pouvez donc pas les restaurer.

  Microsoft Entra Connect Sync introduit un nouveau type de lien, ce qui empêche la suppression dans un scénario de pilotage.

• Vérifiez que les objets de l'étendue pilote ont ms-ds-consistencyGUID rempli de façon à ce que Microsoft Entra Cloud Sync fasse une correspondance directe avec les objets.

  Microsoft Entra Connect Sync ne remplit pas par défaut ms-ds-consistencyGUID pour les objets de groupe.

• Suivez les étapes décrites dans ce didacticiel précisément. Cette configuration est destinée aux scénarios avancés.

Prérequis

Voici les conditions préalables requises pour suivre ce didacticiel.

• Un environnement de test avec Microsoft Entra Connect Sync version 1.4.32.0 ou ultérieure
• Une unité d’organisation ou un groupe qui est dans le périmètre de synchronisation et qui peut être utilisé durant la phase pilote. Nous vous recommandons de commencer avec un ensemble réduit d’objets.
• Un serveur exécutant Windows Server 2016 ou versions ultérieures qui hébergera l’agent d’approvisionnement.
• L’ancre source pour Microsoft Entra Connect Sync doit être objectGuid ou ms-ds-consistencyGUID

Mettre à jour Microsoft Entra Connect

Au minimum, Vous devez disposer de Microsoft Entra Connect 1.4.32.0. Pour mettre à jour Microsoft Entra Connect Sync, suivez les étapes de Microsoft Entra Connect : Mettre à niveau vers la dernière version.

Sauvegarder votre configuration Microsoft Entra Connect

Avant d’apporter des modifications, sauvegardez votre configuration Microsoft Entra Connect. De cette façon, vous pouvez revenir à votre configuration précédente. Pour plus d’informations, consultez Importer et exporter des paramètres de configuration Microsoft Entra Connect.

Arrêter le planificateur

Microsoft Entra Connect Sync synchronise les modifications ayant lieu dans votre annuaire local en utilisant un planificateur. Pour modifier et ajouter des règles personnalisées, vous souhaitez désactiver le planificateur afin que les synchronisations ne s’exécutent pas pendant que vous travaillez et apportez les modifications. Pour arrêter le planificateur, utilisez les étapes suivantes :

1. Sur le serveur exécutant Microsoft Entra Connect Sync, ouvrez PowerShell avec des privilèges d’administration.
2. Exécutez Stop-ADSyncSyncCycle. Sélectionnez Entrée.
3. Exécutez Set-ADSyncScheduler -SyncCycleEnabled $false.

Remarque

Si vous exécutez votre propre planificateur personnalisé pour Microsoft Entra Connect Sync, désactivez le planificateur de synchronisation personnalisé.

Créer une règle personnalisée de trafic entrant pour l'utilisateur

Dans l’éditeur de règles de synchronisation Microsoft Entra Connect, vous devez créer une règle de synchronisation entrante qui filtre les utilisateurs dans l’unité d’organisation que vous avez identifiée précédemment. La règle de synchronisation entrante est une règle de jointure avec un attribut cible de cloudNoFlow. Cette règle indique à Microsoft Entra Connect de ne pas synchroniser les attributs de ces utilisateurs. Pour plus d’informations, consultez Migrer vers Microsoft Entra Cloud Sync avant de tenter de migrer votre environnement de production.

1. Ouvrez l’Éditeur de règles de synchronisation à partir du menu de l’application sur le bureau.

   

2. Sous Direction, sélectionnez Entrée dans la liste déroulante. Sélectionnez Ensuite Ajouter une nouvelle règle.

   

3. Dans la page Description , entrez les valeurs suivantes, puis sélectionnez Suivant :

   • Nom : donnez un nom explicite à la règle.
   • Description : Ajoutez une description explicite.
     • Système connecté : choisissez le connecteur Microsoft Entra pour lequel vous écrivez la règle de synchronisation personnalisée.
     • Type d’objet système connecté : sélectionnez l’utilisateur.
     • Type d’objet métaverse : sélectionnez une personne.
     • Type de lien : sélectionnez Jointure.
     • Priorité : fournissez une valeur unique dans le système.
     • Balise : laissez ce champ vide.

   Capture d'écran montrant la page de description de la règle de synchronisation entrante avec les valeurs saisies.

4. À la page filtre d’étendue, entrez l'unité d'organisation ou le groupe de sécurité sur lequel vous souhaitez baser le pilote. Pour filtrer sur l’unité d’organisation, ajoutez la partie UO du nom unique. Cette règle s’applique à tous les utilisateurs qui se trouvent dans cette unité d’organisation. Par conséquent, si le nom distinctif (DN) se termine par OU=CPUsers,DC=contoso,DC=com, vous ajoutez ce filtre. Sélectionnez ensuite Suivant.

   Règle	Attribut	Opérateur	Valeur
   Étendue d’unité d’organisation	DN	ENDSWITH	Nom unique de l’unité d’organisation.
   Étendue de groupe		ISMEMBEROF	Nom unique du groupe de sécurité.

   

5. Dans la page des règles de jointure, sélectionnez Suivant.

6. Dans la page Transformations , ajoutez une transformation constante : valeur source true pour l’attribut cloudNoFlow. Sélectionnez Ajouter.

   

Suivez les mêmes étapes pour tous les types d’objets (utilisateur, groupe et contact). Répétez les étapes en fonction du connecteur Active Directory configuré ou de la forêt Active Directory.

Créer une règle de trafic sortant personnalisée pour l'utilisateur

Vous avez besoin d’une règle de synchronisation sortante avec un type de lien JoinNoFlow et le filtre d'étendue avec l'attribut cloudNoFlow défini à True. Cette règle indique à Microsoft Entra Connect de ne pas synchroniser les attributs de ces utilisateurs. Pour plus d’informations, consultez Migrer vers Microsoft Entra Cloud Sync avant de tenter de migrer votre environnement de production.

1. Sous Direction, sélectionnez Sortant dans la liste déroulante. Sélectionnez Ensuite Ajouter une règle.

   

2. Dans la page Description , entrez les valeurs suivantes, puis sélectionnez Suivant :

   • Nom : donnez un nom explicite à la règle.
   • Description : Ajoutez une description explicite.
     • Système connecté : choisissez le connecteur Microsoft Entra pour lequel vous écrivez la règle de synchronisation personnalisée.
     • Type d’objet système connecté : sélectionnez l’utilisateur.
     • Type d’objet métaverse : sélectionnez une personne.
     • Type de lien : sélectionnez JoinNoFlow.
     • Priorité : fournissez une valeur unique dans le système.
     • Balise : laissez ce champ vide.

   

3. Dans la page de filtre d’étendue , pour l’attribut, sélectionnez cloudNoFlow. Pour Valeur, sélectionnez True. Sélectionnez ensuite Suivant.

   

4. Dans la page Règles de jointure , sélectionnez Suivant.

5. Dans la page Transformations, sélectionnez Ajouter.

Suivez les mêmes étapes pour tous les types d’objets (utilisateur, groupe et contact).

Installer l’agent de provisionnement Microsoft Entra

Si vous utilisez le didacticiel De base sur Active Directory et l’environnement Azure , utilisez CP1. Pour installer l’agent, procédez comme suit.

1. Dans le portail Azure, sélectionnez Microsoft Entra ID.

2. Dans le volet gauche, sélectionnez Microsoft Entra Connect, puis Cloud Sync.

   

3. Dans le volet gauche, sélectionnez Agents.

4. Sélectionnez Télécharger l’agent local, puis sélectionnez Accepter les termes & téléchargement.

   

5. Après avoir téléchargé le package de l’agent d’approvisionnement Microsoft Entra Connect, exécutez le fichier d’installation AADConnectProvisioningAgentSetup.exe à partir de votre dossier de téléchargements.

   Remarque

   Lorsque vous effectuez une installation pour le Cloud du gouvernement des États-Unis, utilisez AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment. Pour plus d’informations, consultez Installer un agent dans le cloud du gouvernement des États-Unis.

6. Dans l’écran qui s’ouvre, cochez la case Je suis d’accord avec les termes et conditions du contrat de licence , puis sélectionnez Installer.

   

7. Une fois l’installation terminée, l’Assistant Configuration s’ouvre. Sélectionnez Suivant pour démarrer la configuration.

   

8. Dans l’écran Sélectionner l’extension , sélectionnez Provisionnement piloté par les ressources humaines (Workday et SuccessFactors) / Azure AD Connect Cloud Sync, puis sélectionnez Suivant.

   

   Remarque

   Si vous installez l’agent d’approvisionnement à utiliser avec l’approvisionnement d’applications locale Microsoft Entra, sélectionnez Approvisionnement d’applications locale (ID Microsoft Entra à l’application) .

9. Connectez-vous avec un compte avec au moins le rôle d’administrateur d’identité hybride . Si vous avez la sécurité renforcée d’Internet Explorer activée, la connexion est bloquée. Si c’est le cas, fermez l’installation, désactivez la sécurité renforcée d’Internet Explorer et redémarrez l’installation du package de l’agent d’approvisionnement Microsoft Entra Connect.

   

10. Dans l’écran Configurer le compte de service, sélectionnez un compte de service administré de groupe (gMSA). Ce compte est utilisé pour exécuter le service d’agent. Si un compte de service géré est déjà configuré dans votre domaine par un autre agent et que vous installez un deuxième agent, sélectionnez Créer un compte gMSA. Le système détecte le compte existant et ajoute les autorisations requises pour le nouvel agent afin d’utiliser le compte gMSA. Lorsque vous y êtes invité, choisissez l’une des deux options suivantes :

    • Créez gMSA : Laissez l’agent créer le compte de service managé provAgentgMSA$ pour vous. Le compte de service géré de groupe (par exemple) CONTOSO\provAgentgMSA$est créé dans le même domaine Active Directory que celui auquel le serveur hôte est joint. Pour utiliser cette option, entrez les informations d’identification de l’administrateur de domaine Active Directory (recommandé).
    • Utilisez gMSA personnalisé : indiquez le nom du compte de service géré que vous avez créé manuellement pour cette tâche.

11. Pour continuer, sélectionnez suivant.

    

12. Dans l’écran Connecter Active Directory, si votre nom de domaine apparaît sous Domaines configurés, passez à l’étape suivante. Sinon, entrez votre nom de domaine Active Directory, puis sélectionnez Ajouter un répertoire.

13. Ensuite, connectez-vous avec votre compte d’administrateur de domaine Active Directory. Le mot de passe du compte d’administrateur de domaine ne doit pas avoir expiré. Si le mot de passe a expiré ou change pendant l’installation de l’agent, reconfigurez l’agent avec les nouvelles informations d’identification. Cette opération ajoute votre répertoire local. Sélectionnez OK, puis sélectionnez Suivant pour continuer.

    

14. La capture d’écran suivante montre un exemple de domaine configuré pour contoso.com. Sélectionnez Suivant pour continuer.

    

15. Dans l’écran Configuration terminée, cliquez sur Confirmer. Cette opération inscrit et redémarre l’agent.

16. Une fois l’opération terminée, vous voyez une notification indiquant que la configuration de votre agent a été correctement vérifiée. Sélectionnez Quitter.

    

17. Si vous obtenez toujours l’écran initial, sélectionnez Fermer.

Vérifier l’installation de l’agent

La vérification de l’agent se produit dans le portail Azure et sur le serveur local qui exécute l’agent.

Vérifier l’agent dans le portail Azure

Pour vérifier que l’ID Microsoft Entra inscrit l’agent, procédez comme suit :

1. Connectez-vous au portail Azure.

2. Sélectionnez Microsoft Entra ID.

3. Sélectionnez Microsoft Entra Connect, puis sélectionnez Synchronisation cloud.

   

4. Dans la page Cloud Sync , vous voyez les agents que vous avez installés. Vérifiez que l’agent apparaît et que l’état est sain.

Vérifier l’agent sur le serveur local

Pour vérifier que l’agent est en cours d’exécution, procédez comme suit :

1. Connectez-vous au serveur avec un compte Administrateur.

2. Accédez à Services. Vous pouvez également utiliser Start/Run/Services.msc pour y accéder.

3. Sous Services, vérifiez que Microsoft Entra Connect Agent Updater et Microsoft Entra Connect Provisioning Agent sont présents et que l’état est en cours d’exécution.

   

Vérifier la version de l’agent d’approvisionnement

Pour vérifier la version de l’agent en cours d’exécution, suivez les étapes suivantes :

1. Accédez à C :\Program Files\Microsoft Azure AD Connect Provisioning Agent.
2. Cliquez avec le bouton droit surAADConnectProvisioningAgent.exe et sélectionnez Propriétés.
3. Sélectionnez l’onglet Détails . Le numéro de version apparaît en regard de la version du produit.

Configurer la synchronisation cloud Microsoft Entra

Pour configurer l’approvisionnement, procédez comme suit :

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’identité hybride au moins.

2. Accédez à Entra ID>Entra Connect>Synchronisation du Cloud.

   

3. Sélectionnez Nouvelle configuration.

   

4. Dans l’écran de configuration, sélectionnez votre domaine et indiquez s’il faut activer la synchronisation de hachage de mot de passe. Sélectionnez Ensuite Créer.

   

5. Dans l’écran Commencer, sélectionnez Ajouter des filtres d’étendue à côté de l’icône Ajouter des filtres d’étendue. Ou, dans le volet de gauche, sous Gérer, sélectionnez Filtres de délimitation.

   

6. Sélectionnez le filtre d’étendue. Pour ce tutoriel, sélectionnez Unités organisationnelles sélectionnées. Ce filtre limite la configuration à appliquer à des unités d’organisation spécifiques.

7. Dans le champ, entrez OU=CPUsers,DC=contoso,DC=com.

8. Sélectionnez Ajouter>Enregistrer.

Démarrer le planificateur

Microsoft Entra Connect Sync synchronise les modifications qui se produisent dans votre répertoire local à l’aide d’un planificateur. Maintenant que vous avez modifié les règles, vous pouvez redémarrer le planificateur.

1. Sur le serveur exécutant Microsoft Entra Connect Sync, ouvrez PowerShell avec des privilèges d’administrateur.
2. Exécutez Set-ADSyncScheduler -SyncCycleEnabled $true.
3. Exécutez Start-ADSyncSyncCycle. Sélectionnez ensuite Entrée.

Remarque

Si vous exécutez votre propre planificateur personnalisé pour Microsoft Entra Connect Sync, réenablez le planificateur de synchronisation personnalisé.

Une fois le planificateur activé, Microsoft Entra Connect cesse d’exporter les modifications apportées aux objets avec cloudNoFlow=true le métaverse, sauf si aucun attribut de référence (tel que manager) n’est mis à jour. S’il existe une mise à jour d’attribut de référence sur l’objet, Microsoft Entra Connect ignore le cloudNoFlow signal et exporte toutes les mises à jour sur l’objet.

Résolution des problèmes

Si le pilote ne fonctionne pas comme prévu, revenez à la configuration de Microsoft Entra Connect Sync.

1. Désactivez la configuration de l’approvisionnement dans le portail.
2. Utilisez l’outil Éditeur de règles de synchronisation pour désactiver toutes les règles de synchronisation personnalisées que vous avez créées pour l’approvisionnement cloud. La désactivation entraîne une synchronisation complète sur tous les connecteurs.

Contenu connexe

• Présentation du provisionnement
• Qu’est-ce que la synchronisation cloud Microsoft Entra ?