Fonctionnalités du service de synchronisation de Microsoft Entra Connect

La fonctionnalité de synchronisation de Microsoft Entra Connect comprend deux composants :

  • Le composant local nommé Synchronisation Microsoft Entra Connect, également appelé moteur de synchronisation.
  • Le service résidant dans Microsoft Entra ID également appelé service de synchronisation de Microsoft Entra Connect

Cette rubrique explique comment les fonctionnalités suivantes du service de synchronisation Microsoft Entra Connect opèrent et comment les configurer à l’aide de PowerShell.

Pour voir la configuration dans votre répertoire Microsoft Entra à l'aide de Graph PowerShell, utilisez les commandes suivantes :

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"

Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List

Le résultat se présente comme suit :

BlockCloudObjectTakeoverThroughHardMatchEnabled  : False
BlockSoftMatchEnabled                            : False
BypassDirSyncOverridesEnabled                    : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled                : False
ConcurrentOrgIdProvisioningEnabled               : False
DeviceWritebackEnabled                           : False
DirectoryExtensionsEnabled                       : True
FopeConflictResolutionEnabled                    : False
GroupWriteBackEnabled                            : False
PasswordSyncEnabled                              : True
PasswordWritebackEnabled                         : False
QuarantineUponProxyAddressesConflictEnabled      : False
QuarantineUponUpnConflictEnabled                 : False
SoftMatchOnUpnEnabled                            : True
SynchronizeUpnForManagedUsersEnabled             : False
UnifiedGroupWritebackEnabled                     : True
UserForcePasswordChangeOnLogonEnabled            : False
UserWritebackEnabled                             : True
AdditionalProperties                             : {}

Une fois que vous avez activé une fonctionnalité, elle ne peut plus être désactivée.

Remarque

Depuis le 24 août 2016, la fonctionnalité Résilience d’attribut en double est activée par défaut pour les nouveaux répertoires Microsoft Entra. Cette fonctionnalité sera également déployée et activée sur les répertoires créés avant cette date. Vous recevrez une notification par courrier électronique lorsque l’activation de cette fonctionnalité pour votre répertoire sera imminente .

Les paramètres suivants sont configurés par Microsoft Entra Connect :

DirSyncFeature Commentaire
SoftMatchOnUpn Permet aux objets d’être joints sur userPrincipalName en plus de l’adresse SMTP principale.
SynchronizeUpnForManagedUsers Permet au moteur de synchronisation de mettre à jour l’attribut userPrincipalName pour les utilisateurs gérés/licenciés(non fédérés).
DeviceWriteback Microsoft Entra Connect : activation de la réécriture d’appareil
DirectoryExtensions Microsoft Entra Connect Sync : extensions d'annuaire
DuplicateProxyAddressResiliency
DuplicateUPNResiliency
Permet à un attribut d’être mis en quarantaine lorsqu’il est un doublon d’un autre objet, plutôt que mettre en échec l’objet entier lors de l’exportation.
Synchronisation de hachage de mot de passe Implémenter la synchronisation de hachage de mot de passe avec la synchronisation Microsoft Entra Connect
Authentification directe Connexion de l’utilisateur avec l’authentification directe Microsoft Entra
UnifiedGroupWriteback Écriture différée de groupe
UserWriteback Non pris en charge actuellement.

Résilience d’attribut en double

Au lieu de rencontrer des problèmes lors de l’approvisionnement des UPN/proxyAddresses en double, l’attribut en double est « mis en quarantaine » et une valeur temporaire lui est attribuée. Lorsque le conflit est résolu, l’UPN temporaire est automatiquement converti dans la valeur correcte. Pour plus d’informations, voir Synchronisation des identités et résilience d’attribut en double.

Correspondance souple UserPrincipalName

Lorsque cette fonctionnalité est activée, la correspondance souple est activée pour l’UPN ainsi que pour l’ adresse SMTP principale, qui est toujours activée. La correspondance souple est utilisée pour faire correspondre les utilisateurs existants du cloud dans Microsoft Entra ID avec les utilisateurs locaux.

Si vous devez faire correspondre des comptes AD sur site avec des comptes existants créés dans le cloud et que vous n'utilisez pas Exchange Online, cette fonctionnalité est utile. Dans ce scénario, vous n’avez généralement pas de raison pour définir l’attribut SMTP dans le cloud.

Cette fonctionnalité est activée par défaut pour les répertoires Microsoft Entra nouvellement créés. Vous pouvez voir si cette fonctionnalité est activée en exécutant :

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"

$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled

Si cette fonctionnalité n'est pas activée pour votre répertoire Microsoft Entra, vous pouvez l'activer en exécutant :

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
   -OnPremisesDirectorySynchronizationId $DirectorySync.Id

BlockSoftMatch

Lorsque cette fonctionnalité est activée, elle bloque la fonctionnalité Soft Match. Les clients sont encouragés à activer cette fonctionnalité et à la garder activée jusqu’à ce que la correspondance souple soit de nouveau nécessaire pour leur location. Cet indicateur doit être réactivé une fois que la correspondance souple est terminée et n’est plus nécessaire.

Exemple : pour bloquer la correspondance souple dans votre locataire, exécutez cette cmdlet :

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
   -OnPremisesDirectorySynchronizationId $DirectorySync.Id

Synchroniser les mises à jour userPrincipalName

Historiquement, les mises à jour de l’attribut UserPrincipalName à l’aide du service de synchronisation du site ont été bloquées, sauf si les deux conditions suivantes étaient remplies :

  • L’utilisateur est géré (non fédéré).
  • Aucune licence n’a été affectée à l’utilisateur.

Remarque

À compter de mars 2019, la synchronisation des modifications d’UPN pour les comptes d’utilisateur fédérés est autorisée.

L’activation de cette fonctionnalité permet au moteur de synchronisation de mettre à jour l’attribut userPrincipalName quand il est modifié en local et que vous utilisez la synchronisation de hachage de mot de passe pu l’authentification directe.

Cette fonctionnalité est activée par défaut pour les répertoires Microsoft Entra nouvellement créés. Vous pouvez voir si cette fonctionnalité est activée en exécutant :

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"

$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled

Si cette fonctionnalité n'est pas activée pour votre répertoire Microsoft Entra, vous pouvez l'activer en exécutant :

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
   -OnPremisesDirectorySynchronizationId $DirectorySync.Id

Après avoir activé cette fonctionnalité, les valeurs existantes userPrincipalName demeurent telles quelles. Lors de la prochaine modification de l’attribut userPrincipalName en local, la synchronisation delta normale sur les utilisateurs met à jour l’UPN.

Voir aussi