Problèmes connus : alertes du principal de service dans Microsoft Entra Domain Services

Les principaux de service sont des applications que la plateforme Azure utilise pour gérer, mettre à jour et garder un domaine managé Microsoft Entra Domain Services. Si un principal de service est supprimé, les fonctionnalités dans le domaine managé Azure AD DS sont affectées.

Cet article vous aide à résoudre les alertes liées à la configuration des principaux de service.

Alerte AADDS102 : Principal de service introuvable

Message d’alerte

Un principal du service requis pour que Microsoft Entra Domain Services fonctionne correctement a été supprimé de votre locataire Microsoft Entra. Cette configuration affecte la capacité de Microsoft à surveiller, gérer, mettre à jour et synchroniser votre domaine managé.

Si un principal de service requis est supprimé, la plateforme Azure ne peut pas effectuer de tâches de gestion automatisées. Le domaine managé risque de ne pas appliquer correctement les mises à jour ou de ne pas effectuer de sauvegardes.

Vérifier les principaux de service manquants

Pour vérifier quel est le principal de service manquant à recréer, procédez ainsi :

  1. Dans le centre d’administration Microsoft Entra, recherchez et sélectionnez Applications d'entreprise. Choisissez Toutes les application dans le menu déroulant Type d’application, puis sélectionnez Appliquer.

  2. Recherchez chacun des ID d’applications suivants. Pour Azure Global, recherchez la valeur AppId 2565bd9d-da50-47d4-8b85-4c97f669dc36. Pour d’autres clouds Azure, recherchez la valeur AppId 6ba9a5d4-8456-4118-b521-9c5ca10cdf84. Si aucune application existante n’est trouvée, suivez les étapes de Résolution pour créer le principal de service ou réinscrivez l’espace de noms.

    ID de l'application Résolution
    2565bd9d-da50-47d4-8b85-4c97f669dc36 Recréer un principal de service manquant
    443155a6-77f3-45e3-882b-22b3a8d431fb Réinscrire l’espace de noms Microsoft.AAD
    abba844e-bc0e-44b0-947a-dc74e5d09022 Réinscrire l’espace de noms Microsoft.AAD
    d87dcbc6-a371-462e-88e3-28ad15ec4e64 Réinscrire l’espace de noms Microsoft.AAD

Recréer un principal de service manquant

Si l’ID d’application 2565bd9d-da50-47d4-8b85-4c97f669dc36 est manquant dans votre répertoire Microsoft Entra dans Azure Global, utilisez Microsoft Graph PowerShell pour effectuer les étapes suivantes. Pour les autres clouds Azure, utilisez la valeur AppId 6ba9a5d4-8456-4118-b521-9c5ca10cdf84. Pour plus d’informations, consultez Installer le SDK Microsoft Graph PowerShell.

  1. Si nécessaire, installez le module Microsoft Graph PowerShell, puis importez-le comme suit :

    Install-Module Microsoft.Graph -Scope CurrentUser
    
  2. Recréez maintenant le principal de service à l’aide de la cmdlet [New-MgServicePrincipal][/powershell/module/microsoft.graph.applications/new-mgserviceprincipal] :

    New-MgServicePrincipal -AppId "2565bd9d-da50-47d4-8b85-4c97f669dc36"
    

L’intégrité du domaine managé se met automatiquement à jour dans les deux heures, et l’alerte est supprimée.

Réinscrivez l’espace de noms Microsoft Entra

Si l’ID d’application 443155a6-77f3-45e3-882b-22b3a8d431fb, abba844e-bc0e-44b0-947a-dc74e5d09022 ou d87dcbc6-a371-462e-88e3-28ad15ec4e64 est manquant dans votre répertoire Microsoft Entra, effectuez les étapes suivantes pour réinscrire le fournisseur de ressources Microsoft.AAD :

  1. Dans le centre d’administration Microsoft Entra, recherchez et sélectionnez Abonnements.
  2. Choisissez l’abonnement associé à votre domaine managé.
  3. Dans la navigation de gauche, choisissez Fournisseurs de ressources.
  4. Recherchez Microsoft.AAD, puis sélectionnez Se réinscrire.

L’intégrité du domaine managé se met automatiquement à jour dans les deux heures, et l’alerte est supprimée.

Alerte AADDS105 : La synchronisation du mot de passe est obsolète

Message d’alerte

Le principal du service dont l’ID d’application est « d87dcbc6-a371-462e-88e3-28ad15ec4e64 » a été supprimé, puis recréé. Cette nouvelle création laisse des autorisations incohérentes sur les ressources Microsoft Entra Domain Services nécessaires pour traiter votre domaine managé. La synchronisation des mots de passe dans votre domaine managé pourrait en être affectée.

Domain Services synchronise automatiquement les comptes d’utilisateur et les informations d’identification à partir de Microsoft Entra ID. En cas de problème avec l’application Microsoft Entra utilisée pour ce processus, la synchronisation des informations d’identification entre Domain Services et Microsoft Entra ID échoue.

Résolution

Pour recréer l’application Microsoft Entra utilisée pour la synchronisation des informations d’identification, utilisez Microsoft Graph PowerShell pour effectuer les étapes suivantes. Pour plus d’informations, consultez Installer le SDK Microsoft Graph PowerShell.

  1. Si nécessaire, installez le module Microsoft Graph PowerShell, puis importez-le comme suit :

    Install-Module Microsoft.Graph -Scope CurrentUser
    
  2. Maintenant, supprimez l’ancienne application et l’ancien objet à l’aide des applets de commande PowerShell suivantes :

    $app = Get-MgApplication | Where-Object { $_.IdentifierUris -eq 'https://sync.aaddc.activedirectory.windowsazure.com' }
    Remove-MgApplication -ApplicationId $app.Id
    $sp = Get-MgServicePrincipal -Filter "DisplayName eq 'Azure AD Domain Services Sync'"
    Remove-MgServicePrincipal -ServicePrincipalId $sp.Id
    

Une fois que vous avez supprimé les deux applications, la plateforme Azure les recrée automatiquement et tente de reprendre la synchronisation de mot de passe. L’intégrité du domaine managé se met automatiquement à jour dans les deux heures, et l’alerte est supprimée.

Étapes suivantes

Si vous rencontrez toujours des problèmes, formulez une demande de support Azure pour bénéficier d’une aide supplémentaire.