Microsoft Entra Connect Sync : Présentation des utilisateurs, des groupes et des contacts
Il existe plusieurs raisons pour lesquelles vous pouvez avoir plusieurs forêts Active Directory et il existe plusieurs topologies de déploiement différentes. Parmi les modèles courants, citons les déploiements de ressources de comptes et les forêts avec liste d’adresses globale synchronisées après fusion et acquisition. Mais même s’il existe des modèles pures, les modèles hybrides sont également courants. La configuration par défaut du service Microsoft Entra Connect Sync ne suppose pas l’existence d’un modèle particulier, mais des comportements différents peuvent être observés en fonction de la façon dont la correspondance utilisateur a été sélectionnée dans le guide d’installation.
Dans cette rubrique, nous allons voir comment se comporte la configuration par défaut dans certaines topologies. Nous allons examiner la configuration et voir comment utiliser l’éditeur de règles de synchronisation pour vérifier la configuration.
Il existe quelques règles générales que la configuration considère comme étant respectées :
- Quel que soit l’ordre dans lequel nous importons des données depuis les annuaires Active Directory sources, le résultat final doit toujours être le même.
- Un compte actif fournira toujours des informations de connexion, y compris userPrincipalName et sourceAnchor.
- Un compte désactivé fournira userPrincipalName et sourceAnchor, sauf s’il s’agit d’une boîte aux lettres liée si aucun compte actif n’est trouvé.
- Un compte avec une boîte aux lettres liée ne sera jamais utilisé pour userPrincipalName et sourceAnchor. On part du principe qu’un compte actif sera trouvé ultérieurement.
- Un objet de contact peut être approvisionné pour Microsoft Entra ID en tant que contact ou utilisateur. Vous ne saurez s’il s’agit de l’un ou de l’autre qu’une fois que toutes les forêts Active Directory sources auront été traitées.
Groupes
Notes
N’oubliez pas que lorsque vous ajoutez un utilisateur d’une autre forêt au groupe, une ancre est créée dans Active Directory où les groupes existent dans une unité d’organisation spécifique. Cette ancre est un principal de sécurité étranger et est stockée dans l’unité d’organisation « ForeignSecurityPrincipals ». Si vous ne synchronisez pas cette unité d’organisation, les utilisateurs sont supprimés de l’appartenance au groupe.
Points importants à prendre en compte pendant la synchronisation de groupes depuis Active Directory vers Microsoft Entra ID :
Microsoft Entra Connect exclut les groupes de sécurité intégrés de la synchronisation d’annuaires.
Microsoft Entra Connect ne prend pas en charge la synchronisation des Appartenances au groupe principal sur Microsoft Entra ID.
Microsoft Entra Connect ne prend pas en charge la synchronisation des Appartenances de groupe de distribution dynamique avec Microsoft Entra ID.
Pour synchroniser un groupe Active Directory avec Microsoft Entra ID en tant que groupe à extension messagerie :
Si l’attribut proxyAddress du groupe est vide, son attribut mail doit comporter une valeur
Si l’attribut proxyAddress du groupe n’est pas vide, il doit au moins comporter une valeur d’adresse de proxy SMTP. En voici quelques exemples :
Un groupe Active Directory dont l’attribut proxyAddress a la valeur {"X500:/0=contoso.com/ou=users/cn=testgroup"} n’est pas à extension messagerie dans Microsoft Entra ID. Il n’a pas d’adresse SMTP.
Un groupe Active Directory dont l’attribut proxyAddress a les valeurs {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} est à extension messagerie dans Microsoft Entra ID.
Un groupe Active Directory dont l’attribut proxyAddress a les valeurs {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} est aussi à extension messagerie dans Microsoft Entra ID.
Contacts
Avoir des contacts représentant un utilisateur dans une autre forêt est courant après une fusion et acquisition où une solution GALSync joue le rôle de pont entre plusieurs forêts Exchange. L’objet de contact est toujours joint de l’espace de connecteur au métaverse à l’aide de l’attribut de messagerie. S’il existe déjà un objet contact ou un objet utilisateur avec la même adresse e-mail, les objets sont joints. Ce comportement est configuré dans la règle In from AD – Contact Join. Il existe également une règle nommée In from AD – Contact Common avec un flux d’attribut vers l’attribut de métaverse sourceObjectType avec la constante Contact. Cette règle a une priorité faible. Ainsi, si un objet utilisateur est joint au même objet Metaverse, la règle In from AD – User Common fournit la valeur User à cet attribut. Avec cette règle, cet attribut a la valeur Contact si aucun utilisateur n’a été joint et la valeur User si au moins un utilisateur a été trouvé.
Pour l’approvisionnement d’un objet dans Microsoft Entra ID, la règle sortante Out to Microsoft Entra ID – Contact Join crée un objet contact si l’attribut de métaverse sourceObjectType a la valeur Contact. Si cet attribut a la valeur User, la règle Out to Microsoft Entra ID – User Join crée plutôt un objet utilisateur. Il est possible qu’un objet soit promu de Contact en User quand davantage d’annuaires Active Directory sources sont importés et synchronisés.
Par exemple, dans une topologie GALSync, nous trouverons des objets contacts pour tous les membres de la deuxième forêt quand nous importerons la première forêt. De nouveaux objets contacts seront ainsi créés dans le connecteur Microsoft Entra. Quand plus tard nous importerons et synchroniserons la deuxième forêt, nous trouverons les utilisateurs réels et nous les joindrons aux objets de métaverse existants. Nous supprimerons ensuite l’objet contact dans Microsoft Entra ID et nous créerons un objet utilisateur à la place.
Si vous disposez d’une topologie dans laquelle les utilisateurs sont représentés en tant que contacts, veillez à sélectionner la mise en correspondance des utilisateurs sur l’attribut de messagerie dans le guide d’installation. Si vous sélectionnez une autre option, vous avez une configuration dépendante de l’ordre. Les objets contacts seront toujours joints sur l’attribut de messagerie, mais les objets utilisateurs seront joints sur l’attribut de messagerie uniquement si cette option a été sélectionnée dans le guide d’installation. Vous pourriez alors vous retrouver avec deux objets différents dans le métaverse avec le même attribut de messagerie si l’objet contact a été importé avant l’objet utilisateur. Lors de l’exportation vers Microsoft Entra ID, une erreur s’affiche. Ce comportement est normal et indique que des données sont incorrectes ou que la topologie n’a pas été identifiée correctement lors de l’installation.
Comptes désactivés
Les comptes désactivés sont aussi synchronisés vers Microsoft Entra ID. Les comptes désactivés représentent couramment des ressources dans Exchange, par exemple des salles de conférence. L’exception concerne les utilisateurs avec une boîte aux lettres liée ; comme mentionné précédemment, ces utilisateurs ne configureront jamais un compte dans Microsoft Entra ID.
L’hypothèse est que si un compte d’utilisateur désactivé est détecté, nous ne trouverons pas ultérieurement d’autre compte actif et l’objet est approvisionné dans Microsoft Entra ID avec les attributs userPrincipalName et sourceAnchor trouvés. Dans le cas où un autre compte actif joindrait le même objet de métaverse, ses attributs userPrincipalName et sourceAnchor seraient utilisés.
Changement de l’attribut sourceAnchor
Quand un objet a été exporté vers Microsoft Entra ID, il n’est plus autorisé à modifier l’attribut sourceAnchor. Quand l’objet a été exporté, l’attribut de métaverse cloudSourceAnchor est défini avec la valeur sourceAnchor acceptée par Microsoft Entra ID. Si sourceAnchor est modifié et ne correspond pas à cloudSourceAnchor, la règle Out to Microsoft Entra ID – User Join génère l’erreur L’attribut sourceAnchor a changé. Dans ce cas, la configuration ou les données doivent être corrigées pour que le même sourceAnchor soit présent dans le métaverse et que l’objet puisse être de nouveau synchronisé.