Tutoriel - Approvisionner des groupes dans Active Directory via Microsoft Entra Cloud Sync

Ce tutoriel vous guide tout au long de la configuration de la synchronisation cloud pour synchroniser des groupes dans Active Directory local.

Approvisionner Microsoft Entra ID dans Active Directory - Conditions préalables

Les conditions préalables suivantes sont requises pour implémenter des groupes d’approvisionnement dans Active Directory.

Conditions de licence :

L'utilisation de cette fonctionnalité nécessite des licences Microsoft Entra ID P1. Pour trouver la licence appropriée pour vos besoins, consultez Comparer les fonctionnalités en disponibilité générale de Microsoft Entra ID.

Exigences générales

• Compte Microsoft Entra avec au moins un rôle Administrateur d’identité hybride .
• Un environnement Active Directory Domain Services local avec le système d’exploitation Windows Server 2016 ou version ultérieure.
  • Obligatoire pour l’attribut de schéma AD – msDS-ExternalDirectoryObjectId
• Agent d’approvisionnement avec build version 1.1.1370.0 ou ultérieure.

Remarque

Les autorisations pour le compte de service sont attribuées uniquement lors de la nouvelle installation. Si vous effectuez une mise à niveau à partir de la version précédente, les autorisations doivent être affectées manuellement à l’aide de l’applet de commande PowerShell :

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Si les autorisations sont définies manuellement, vous devez vous assurer que les propriétés Lire, Écrire, Créer et Supprimer sont appliquées à tous les objets de groupes et d’utilisateurs descendants.

Ces autorisations ne sont pas appliquées par défaut aux objets AdminSDHolder de l’agent d’approvisionnement Microsoft Entra gMSA PowerShell

• L’agent d’approvisionnement doit être capable de communiquer avec un ou plusieurs contrôleurs de domaine sur les ports TCP/389 (LDAP) et TCP/3268 (Global Catalog).
  • Obligatoire pour la recherche dans le catalogue global afin de filtrer les références d’adhésion non valides
• Microsoft Entra Connect Sync avec la version 2.2.8.0 ou ultérieure
  • Obligatoire pour prendre en charge la synchronisation de l’abonnement des utilisateurs locaux à l’aide de Microsoft Entra Connect
  • Obligatoire pour synchroniser AD:user:objectGUID avec AAD:user:onPremisesObjectIdentifier

Groupes et limites d’échelle pris en charge

Les opérations suivantes sont prises en charge :

• Seuls les groupes de sécurité créés dans le cloud sont pris en charge
• Ces groupes peuvent avoir des groupes d’appartenance attribuée ou dynamique.
• Ces groupes peuvent contenir uniquement des utilisateurs synchronisés locaux et/ou des groupes de sécurité créés dans le cloud supplémentaires.
• Les comptes d’utilisateur locaux synchronisés et membres de ce groupe de sécurité créé dans le cloud peuvent provenir du même domaine ou inter-domaines, mais ils doivent tous provenir de la même forêt.
• Ces groupes sont réécrits avec l’étendue des groupes AD de universel. Votre environnement local doit prendre en charge l’étendue du groupe universel.
• Les groupes dont la taille est supérieure à 50 000 membres ne sont pas pris en charge.
• Les clients qui ont plus de 150 000 objets ne sont pas pris en charge. Cela signifie que si un client a une combinaison d’utilisateurs et de groupes qui dépassent 150 000 objets, le client n’est pas pris en charge.
• Chaque groupe imbriqué enfant direct compte en tant que membre du groupe de référencement
• La réconciliation des groupes entre Microsoft Entra ID et Active Directory n'est pas prise en charge si le groupe est mis à jour manuellement dans Active Directory.

Informations supplémentaires

Voici des informations supplémentaires sur l’approvisionnement de groupes dans Active Directory.

• Les groupes approvisionnés sur AD à l’aide de la synchronisation cloud peuvent contenir uniquement des utilisateurs synchronisés locaux et/ou des groupes de sécurité créés par le cloud supplémentaires.
• Tous ces utilisateurs doivent avoir l’attribut onPremisesObjectIdentifier défini sur leur compte.
• L’attribut onPremisesObjectIdentifier doit correspondre à un objectGUID correspondant dans l’environnement AD cible.
• L'attribut objectGUID d'un utilisateur sur site peut être synchronisé avec l'attribut onPremisesObjectIdentifier d'un utilisateur cloud à l'aide de Microsoft Entra Cloud Sync (1.1.1370.0) ou de Microsoft Entra Connect Sync (2.2.8.0)
• Si vous utilisez Microsoft Entra Connect Sync (2.2.8.0) pour synchroniser les utilisateurs, au lieu de Microsoft Entra Cloud Sync et que vous souhaitez utiliser l’approvisionnement vers AD, il doit s’agir de la version 2.2.8.0 ou ultérieure.
• Seuls les tenants Microsoft Entra ID standard sont pris en charge pour l’approvisionnement de Microsoft Entra ID dans Active Directory. Les tenants tels que B2C ne sont pas pris en charge.
• Le travail d’approvisionnement de groupe est planifié pour s’exécuter toutes les 20 minutes.

Hypothèses

Ce didacticiel part des principes suivants :

• Vous disposez d’un environnement local Active Directory.
• Vous disposez d’une configuration de synchronisation cloud pour synchroniser les utilisateurs avec Microsoft Entra ID.
• Vous avez deux utilisateurs synchronisés. Britta Simon et Lola Jacobson. Ces utilisateurs existent en local et dans Microsoft Entra ID.
• Trois unités d’organisation ont été créées dans Active Directory : Groupes, Sales et Marketing. Ils ont les distinguishedNames suivants :
• OU=Marketing,DC=contoso,DC=com
• OU=Ventes,DC=contoso,DC=com
• OU=Groupes,DC=contoso,DC=com

Créez deux groupes dans Microsoft Entra ID.

Pour commencer, nous créons deux groupes dans Microsoft Entra ID. Un groupe est Sales et l’autre est Marketing.

Pour créer deux groupes, suivez ces étapes.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’identité hybride au moins.
2. Accédez à Entra ID>Groupes>Tous les groupes.
3. En haut, cliquez sur Nouveau groupe.
4. Vérifiez que le type de groupe est défini sur la sécurité.
5. Pour le nom du groupe , entrez Sales
6. Pour le type d'adhésion, laissez-le assigné.
7. Cliquez sur Créer.
8. Répétez ce processus en utilisant Marketing comme Nom du Groupe.

Ajouter des utilisateurs aux groupes nouvellement créés

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’identité hybride au moins.
2. Accédez à Entra ID>Groupes>Tous les groupes.
3. En haut, dans la zone de recherche, entrez Sales.
4. Cliquez sur le nouveau groupe Sales .
5. Sur la gauche, cliquez sur Membres
6. En haut, cliquez sur Ajouter des membres.
7. En haut, dans la zone de recherche, entrez Britta Simon.
8. Placez une vérification en regard de Britta Simon , puis cliquez sur Sélectionner
9. Cela devrait permettre de l’ajouter au groupe.
10. À l’extrême gauche, cliquez sur Tous les groupes et répétez ce processus à l’aide du groupe Ventes et ajoutez Lola Jacobson à ce groupe.

Configurer le provisionnement

Pour configurer le provisionnement, effectuez les étapes suivantes.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’identité hybride au moins.

2. Naviguez vers Entra ID>Entra Connect>Cloud sync.

   

3. Sélectionnez Nouvelle configuration.

4. Sélectionnez Microsoft Entra ID to AD Sync.

5. Dans l’écran de configuration, sélectionnez votre domaine et indiquez s’il faut activer la synchronisation de hachage de mot de passe. Cliquez sur Créer.

6. L’écran Page de démarrage s’ouvre. Depuis là, vous pouvez continuer à configurer la synchronisation cloud.

7. Sur la gauche, cliquez sur Filtres d’étendue.

8. Sous étendue de groupe, réglez sur Tous les groupes de sécurité

9. Sous Conteneur cible , cliquez sur Modifier le mappage d’attribut.

10. Modifier le type de mappage en expression

11. Dans la zone d’expression, entrez la valeur suivante : Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

12. Changez la valeur par défaut pour être OU=Groups,DC=contoso,DC=com.

13. Cliquez sur Appliquer : cela modifie le conteneur cible en fonction de l’attribut displayName du groupe.

14. Cliquez sur Enregistrer

15. Sur la gauche, cliquez sur Vue d’ensemble

16. En haut, cliquez sur Vérifier et activer

17. Sur la droite, cliquez sur Activer la configuration

Configuration de test

Remarque

Lorsque vous utilisez l’approvisionnement à la demande, les membres ne sont pas automatiquement approvisionnés. Vous devez sélectionner les membres sur lesquels vous voulez effectuer le test, dans la limite de 5 membres.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’identité hybride au moins.

2. Naviguez vers Entra ID>Entra Connect>Cloud sync.

   

3. Sous Configuration, sélectionnez votre configuration.

4. Sur la gauche, sélectionnez Provisionner à la demande.

5. Entrer Ventes dans la zone Groupe Sélectionné

6. Dans la section Utilisateurs sélectionnés , sélectionnez certains utilisateurs à tester.

7. Cliquez sur Configurer.

8. Le groupe devrait apparaître approvisionné.

Vérifier dans Active Directory

Vous pouvez maintenant vérifier que le groupe est approvisionné dans Active Directory.

Effectuez les actions suivantes :

1. Connectez-vous à votre environnement local.
2. Lancer des utilisateurs et des ordinateurs Active Directory
3. Vérifiez que le nouveau groupe est approvisionné.

Étapes suivantes

• Réplication de groupe avec Microsoft Entra Cloud Sync
• Gérer les applications sur site basées sur Active Directory (Kerberos) en utilisant Microsoft Entra ID Governance
• Migrer la fonctionnalité de réplication de groupes Microsoft Entra Connect Sync V2 vers Microsoft Entra Cloud Sync