Comment utiliser la fonctionnalité BypassDirSyncOverridesEnabled d’un locataire Microsoft Entra.
Cet article décrit la fonctionnalité BypassDirSyncOverridesEnabled et comment restaurer la synchronisation des attributs Mobile et otherMobile à partir de Microsoft Entra ID vers un service Active Directory local.
En général, les utilisateurs synchronisés ne peuvent pas être modifiés à partir de portails d’administration Azure ou Microsoft 365, ni par le biais de PowerShell à l’aide de Microsoft Entra ID ou de modulesMicrosoft Graph PowerShell. Les attributs d’utilisateur Microsoft Entra appelés MobilePhone et AlternateMobilePhones font exception à cette règle. Ces attributs sont synchronisés respectivement à partir des attributs Mobile et otherMobile d’un service Active Directory local, mais les utilisateurs finaux peuvent mettre à jour leur propre numéro de téléphone dans l’attribut MobilePhone dans Microsoft Entra ID via leur page de profil. Les administrateurs peuvent également mettre à jour les valeurs MobilePhone et AlternateMobilePhones de l’utilisateur synchronisé dans Microsoft Entra ID à l’aide du module Microsoft Graph PowerShell.
Donner aux utilisateurs et administrateurs la possibilité de mettre à jour les numéros de téléphone directement dans Microsoft Entra ID permet aux entreprises de réduire le coût administratif lié à la gestion des numéros de téléphone des utilisateurs dans le service Active Directory local, car ces numéros peuvent changer plus fréquemment.
En revanche, une fois que le numéro MobilePhone ou AlternateMobilePhones d’un utilisateur synchronisé est mis à jour via le portail d’administration ou PowerShell, l’API de synchronisation cesse d’honorer les mises à jour de ces attributs quand elles proviennent d’un service Active Directory local. Cette fonctionnalité est communément appelée « DirSyncOverrides ». Les administrateurs remarquent ce comportement lorsque des mises à jour apportées aux attributs Mobile ou otherMobile dans Active Directory ne mettent pas à jour les valeurs MobilePhone ou AlternateMobilePhones de l’utilisateur correspondant dans Microsoft Entra ID en conséquence, même si l’objet est correctement synchronisé via le moteur de Microsoft Entra Connect.
Identification d’utilisateurs avec des valeurs Mobile et OtherMobile différentes
Vous pouvez exporter une liste d’utilisateurs avec différentes valeurs Mobile et otherMobile entre Active Directory et Microsoft Entra ID en utilisant la commande « Compare-ADSyncToolsDirSyncOverrides » à partir du module PowerShell ADSyncTools. Cela vous permet de déterminer les utilisateurs et les valeurs respectives qui diffèrent entre le service Active Directory local et Microsoft Entra ID. C’est important à savoir, car l’activation de la fonctionnalité BypassDirSyncOverridesEnabled aura pour effet de remplacer toutes les valeurs différentes dans Microsoft Entra ID par la valeur provenant du service Active Directory local.
Utilisation de Compare-ADSyncToolsDirSyncOverrides
Une condition préalable est que vous devez exécuter Microsoft Entra Connect version 2 ou ultérieure et installer le dernier module ADSyncTools à partir de PowerShell Gallery avec la commande suivante :
Install-Module ADSyncTools
Pour comparer toutes les valeurs Mobile et OtherMobile de l’utilisateur synchronisé, exécutez la commande suivante :
Compare-ADSyncToolsDirSyncOverrides -Credential $(Get-Credential)
Notes
L’API cible que cette fonctionnalité utilise ne gère pas les interactions utilisateur d’authentification. Une authentification multifacteur MFA ou des stratégies conditionnelles bloqueront l’authentification. Lorsque vous êtes invité à entrer des informations d’identification, utilisez un compte Administrateur général sans authentification multifacteur ni stratégie d’accès conditionnel. En dernier recours, créez un compte d’utilisateur Administrateur général temporaire exempt d’authentification multifacteur ou d’accès conditionnel, qui peut être supprimé après exécution des opérations souhaitées à l’aide de la fonctionnalité BypassDirSyncOverridees.
Cette fonction exporte un fichier CSV avec une liste d’utilisateurs où les valeurs Mobile ou OtherMobile dans le service Active Directory local diffèrent des valeurs MobilePhone ou AlternateMobilePhone correspondantes dans Microsoft Entra ID.
À ce stade, vous pouvez utiliser ces données pour réinitialiser les valeurs des propriétés Mobile et otherMobile de l’Active Directory local aux valeurs présentes dans Microsoft Entra ID. De cette façon, vous pouvez capturer les numéros de téléphone les plus à jour de Microsoft Entra ID et conserver ces données dans le service Active Directory local, avant d’activer la fonctionnalité BypassDirSyncOverridesEnabled. Pour ce faire, importez les données du fichier CSV obtenu, puis utilisez la commande « Set-ADSyncToolsDirSyncOverrides » à partir du module ADSyncTools pour conserver la valeur dans le service Active Directory local.
Par exemple, pour importer des données à partir du fichier CSV et extraire les valeurs dans Microsoft Entra ID pour un UserPrincipalName donné, utilisez la commande suivante :
$upn = '<UserPrincipalName>'
$user = Import-Csv 'ADSyncTools-DirSyncOverrides_yyyyMMMdd-HHmmss.csv' |
where UserPrincipalName -eq $upn |
select UserPrincipalName,*InAAD
Set-ADSyncToolsDirSyncOverridesUser -Identity $upn -MobileInAD $user.MobileInAAD
Activation de la fonctionnalité BypassDirSyncOverridesEnabled
Par défaut, la fonctionnalité BypassDirSyncOverridesEnabled est désactivée. L’activation de la fonctionnalité BypassDirSyncOverridesEnabled permet à votre locataire de contourner les modifications apportées aux valeurs MobilePhone ou AlternateMobilePhones par des utilisateurs ou des administrateurs directement dans Microsoft Entra ID, et d’honorer toujours les valeurs des propriétés Mobile ou OtherMobile du service Active Directory local.
Si vous ne souhaitez pas que les utilisateurs finaux mettent à jour leur propre numéro de téléphone mobile, ou s’il n’est pas requis que les administrateurs mettent à jour les numéros de téléphone mobile ou numéros de téléphone mobile alternatifs à l’aide de PowerShell, vous devriez laisser la fonctionnalité BypassDirSyncOverridesEnabled activée sur le locataire.
Lorsque cette fonctionnalité est activée, même si un utilisateur final ou un administrateur mettent à jour les valeurs MobilePhone ou AlternateMobilePhones dans Microsoft Entra ID, les valeurs synchronisées à partir du service Active Directory local sont conservées lors du cycle de synchronisation suivant. Cela signifie que toutes les mises à jour de ces valeurs ne persistent que lorsque la mise à jour est effectuée dans un service Active Directory local, puis synchronisée sur Microsoft Entra ID.
Activer la fonctionnalité BypassDirSyncOverridesEnabled :
Pour activer la fonctionnalité BypassDirSyncOverridesEnabled, utilisez le module Microsoft Graph PowerShell.
$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$true}
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features
Une fois la fonctionnalité activée, démarrez un cycle de synchronisation complet dans Microsoft Entra Connect à l’aide de la commande suivante :
Start-ADSyncSyncCycle -PolicyType Initial
Remarque
Seuls les objets avec une valeur MobilePhone ou AlternateMobilePhones différente du service Active Directory local seront mis à jour.
Vérifier l’état de la fonctionnalité BypassDirSyncOverridesEnabled :
(Get-MgDirectoryOnPremiseSynchronization).Features.BypassDirSyncOverridesEnabled
Désactivation de la fonctionnalité BypassDirSyncOverridesEnabled
Si vous souhaitez restaurer la capacité à mettre à jour des numéros de téléphone mobile à partir du portail ou de PowerShell, vous pouvez désactiver la fonctionnalité BypassDirSyncOverridesEnabled à l’aide de la commande du module Microsoft Graph PowerShell suivante :
$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$false}
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features
Lorsque cette fonctionnalité est désactivée, chaque fois qu’un utilisateur ou un administrateur met à jour les valeurs MobilePhone ou AlternateMobilePhones directement dans Microsoft Entra ID, une fonctionnalité DirSyncOverrides est créée, empêchant toute mise à jour future de ces attributs provenant d’un service Active Directory local. À partir de là, un utilisateur ou un administrateur ne peuvent gérer ces attributs qu’à partir de Microsoft Entra ID, car toute nouvelle mise à jour des propriétés Mobile ou OtherMobile locales sera rejetée.
Gestion des numéros de téléphone mobile dans Microsoft Entra ID et le service Active Directory local
Pour gérer les numéros de téléphone de l’utilisateur, un administrateur peut utiliser l’ensemble de fonctions suivant du module ADSyncTools pour lire, écrire et effacer les valeurs dans Microsoft Entra ID ou le service Active Directory local.
Obtenir les propriétés Mobile et OtherMobile à partir du service Active Directory local :
Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAD
Obtenir les propriétés MobilePhone et AlternateMobilePhones à partir de Microsoft Entra ID :
Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAzureAD
Définir les propriétés MobilePhone et AlternateMobilePhones dans Microsoft Entra ID :
Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD '999888777' -AlternateMobilePhonesInAAD '0987654','1234567'
Définir les propriétés Mobile et OtherMobile dans un service Active Directory local :
Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD '999888777' -OtherMobileInAD '0987654','1234567'
Effacer les propriétés MobilePhone et AlternateMobilePhones dans Microsoft Entra ID :
Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD -AlternateMobilePhonesInAAD
Effacer les propriétés Mobile et OtherMobile dans un service Active Directory local :
Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD -OtherMobileInAD
Étapes suivantes
En savoir plus sur Microsoft Entra Connect : module PowerShell ADSyncTools
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour