Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La plupart des rubriques sur l’utilisation de Microsoft Entra Connect supposent que vous commencez par un nouveau locataire Microsoft Entra et qu’il n’y a pas d’utilisateurs ou d’autres objets. Toutefois, si vous avez commencé avec un tenant Microsoft Entra, si vous y avez ajouté des utilisateurs et d’autres objets, et si vous souhaitez désormais utiliser Connect, cette rubrique est faite pour vous.
Concepts de base
Un objet dans Microsoft Entra ID est géré dans le cloud ou localement. Pour un seul objet, vous ne pouvez pas gérer certains attributs locaux et d’autres attributs dans l’ID Microsoft Entra. Chaque objet a un indicateur indiquant où l’objet est géré.
Vous pouvez gérer certains utilisateurs locaux et d’autres utilisateurs dans le cloud. Un scénario courant pour cette configuration est une organisation avec une combinaison de travailleurs comptables et de vendeurs. Les travailleurs comptables disposent d’un compte AD local, mais les vendeurs n’en disposent pas; cependant, les deux ont un compte dans Microsoft Entra ID. Vous gérez certains utilisateurs localement et certains dans Microsoft Entra ID.
Vous devez prendre en compte certaines préoccupations supplémentaires lorsque vous avez commencé à gérer les utilisateurs dans l’ID Microsoft Entra qui sont également présents localement, puis que vous souhaitez utiliser Microsoft Entra Connect.
Synchroniser avec les utilisateurs existants dans l’ID Microsoft Entra
Lorsque vous commencez à synchroniser avec Microsoft Entra Connect, l’API du service Microsoft Entra vérifie chaque nouvel objet entrant et tente de trouver un objet existant à mettre en correspondance. Il existe trois attributs utilisés pour ce processus : userPrincipalName, proxyAddresses et sourceAnchor/immuableID. Une correspondance sur userPrincipalName ou proxyAddresses est appelée « correspondance approximative ». Une correspondance sur sourceAnchor est appelée « correspondance exacte ». Pour l’attribut proxyAddresses, seule la valeur avec SMTP :, qui est l’adresse e-mail principale, est utilisée pour l’évaluation.
La correspondance est évaluée seulement pour les nouveaux objets provenant d’Active Directory local. Si vous modifiez un objet existant afin qu’il corresponde à l’un de ces attributs, une erreur s’affiche à la place.
Si l’ID Microsoft Entra trouve un objet où les valeurs d’attribut sont identiques au nouvel objet entrant de Microsoft Entra Connect, il prend le contrôle de l’objet dans Microsoft Entra ID et l’objet précédemment géré par le cloud est converti en objet géré localement. Tous les attributs de Microsoft Entra ID avec une valeur dans AD local sont remplacés par la valeur locale correspondante.
Avertissement
Étant donné que tous les attributs de l’ID Microsoft Entra vont être remplacés par la valeur locale, vérifiez que vous disposez de bonnes données locales. Par exemple, si vous avez uniquement une adresse e-mail gérée dans Microsoft 365 et que vous ne l’avez pas conservée dans ad DS local, vous perdez les valeurs dans Microsoft Entra ID / Microsoft 365 qui ne sont pas présentes dans AD DS.
Importante
Si vous utilisez la synchronisation de hachage de mot de passe, qui est toujours activée avec l’installation Express, le hachage de mot de passe dans Microsoft Entra ID est remplacé par le hachage de mot de passe à partir d’AD local. Si vos utilisateurs ont l'habitude de gérer différents mots de passe, vous devez leur indiquer qu'ils doivent utiliser le mot de passe AD sur site.
La section précédente et l’avertissement doivent être pris en compte dans votre planification. Si vous avez apporté de nombreuses modifications dans l’ID Microsoft Entra qui n’ont pas été reflétées dans ad DS local, puis pour éviter la perte de données, vous devez planifier la façon de remplir AD DS avec les valeurs mises à jour de Microsoft Entra ID, avant de synchroniser vos objets avec Microsoft Entra Connect.
Si vous avez mis en correspondance vos objets avec une correspondance souple, la sourceAnchor est ajoutée à l’objet dans l’ID Microsoft Entra afin qu’une correspondance dure puisse être utilisée ultérieurement.
Importante
Microsoft recommande vivement de ne pas synchroniser les comptes locaux avec des comptes administratifs préexistants dans Microsoft Entra ID.
Correspondance exacte et correspondance souple
Par défaut, la valeur SourceAnchor d’un objet, par exemple « abcdefghijklmnopqrstuv== », est la représentation sous forme de chaîne Base64 de l’attribut mS-Ds-ConsistencyGUID (ou ObjectGUID en fonction de la configuration) à partir de l’objet Active Directory local. Cette valeur est définie en tant qu'ImmutableId correspondant dans Microsoft Entra ID.
Lorsque Microsoft Entra Connect ou Cloud Sync ajoute de nouveaux objets, le service Microsoft Entra ID tente de faire correspondre l’objet entrant à l’aide de la valeur sourceAnchor correspondant à l’attribut ImmutableId des objets existants dans Microsoft Entra ID. S’il y a une correspondance, Microsoft Entra Connect utilise la source ou l’autorité (SoA) de cet objet et la met à jour avec les propriétés de l’objet Active Directory local entrant selon un processus appelé « correspondance exacte ». Lorsque Microsoft Entra ID ne trouve aucun objet avec un ImmutableId correspondant à la valeur SourceAnchor, il tente d’utiliser le userPrincipalName ou l’adresse SMTP principale de l’objet entrant pour trouver une correspondance selon un processus appelé « correspondance souple ».
Qu’elle soit souple ou exacte, la correspondance tente de faire correspondre les objets déjà présents et gérés dans Microsoft Entra ID aux nouveaux objets entrants ajoutés ou mis à jour, et qui représentent la même entité localement. Si Microsoft Entra ID ne parvient pas à trouver de correspondance exacte ou de correspondance souple pour l’objet entrant, il approvisionne un nouvel objet dans l’annuaire Microsoft Entra ID.
Si l'ID Microsoft Entra parvient à "faire correspondre partiellement" le nouvel objet entrant sur la base de l'adresse SMTP principale avec un objet existant géré dans l'ID Microsoft Entra, mais que ce nouvel objet a une valeur sourceAnchor différente, cela entraîne une tentative de provisionnement d'un nouvel objet, ce qui se traduit généralement par un conflit où l'ID Microsoft Entra ne peut pas créer le nouvel objet. Ce conflit se produit dans des situations telles que :
Une valeur différente de sourceAnchor a été définie dans l’attribut
mS-Ds-ConsistencyGuid, pour l’utilisateur d’AD local d’origine qui a déjà été synchronisé avec l’ID Entra.Un nouvel utilisateur AD local a été créé avec la même adresse UPN et la même adresse SMTP principale, mais avec une sourceAnchor et un SID différents.
Dans de tels cas, une AttributeValueMustBeUnique erreur d'exportation est générée dans Microsoft Entra Connect ou Cloud Sync. En fonction des propriétés utilisateur entrantes, cette erreur peut faire référence à l'un des conflits d'attributs suivants :
AttributeConflictName = OnPremiseSecurityIdentifier : le nouvel objet entrant a une sourceAnchor différente, mais le même SID (OnPremiseSecurityIdentifier) et l’adresse SMTP principale comme utilisateur existant dans le répertoire Entra ID.
AttributeConflictName = ProxyAddresses : le nouvel objet entrant a une autre sourceAnchor et SID, mais a la même adresse SMTP principale que l’utilisateur existant dans le répertoire Entra ID.
Remarque
Dans certaines situations rares, un OnPremiseSecurityIdentifier conflit se produit en raison d’un problème avec le pool RID AD local (par exemple, un contrôleur de domaine récupéré à partir de la sauvegarde), qui peut générer un nouvel utilisateur avec le même SID. Dans de tels cas, une erreur AttributeValueMustBeUnique est déclenchée lors de la tentative d’approvisionnement de l’utilisateur, non pas en raison des tentatives de « correspondance souple », mais parce que le OnPremiseSecurityIdentifier doit être unique dans l’annuaire Entra ID.
Ces scénarios signifient généralement que vous essayez de réapprovisionner le même utilisateur. Pour résoudre le conflit, vous devez mettre à jour l’attribut de mS-Ds-ConsistencyGuid l’utilisateur local pour qu’il corresponde à la même valeur que l’immuableID de l’utilisateur cloud existant. Cette modification permet à Microsoft Entra ID de faire la « correspondance exacte » correcte.
Bloquer la correspondance exacte dans Microsoft Entra ID
Nous avons ajouté une option de configuration pour désactiver la fonctionnalité de correspondance matérielle dans l’ID Microsoft Entra. Nous conseillons aux clients de désactiver la correspondance exacte, sauf s’ils en ont besoin pour prendre le contrôle de comptes cloud uniquement.
Pour désactiver la correspondance exacte, utilisez la cmdlet PowerShell Microsoft Graph Update-MgDirectoryOnPremiseSynchronization :
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Bloquer la correspondance souple dans Microsoft Entra ID
De même, nous avons ajouté une option de configuration pour désactiver l’option de correspondance floue dans Microsoft Entra ID. Nous conseillons aux clients de désactiver le soft matching, sauf s’ils en ont besoin pour prendre en charge les comptes exclusivement cloud.
Pour désactiver le soft matching, utilisez le cmdlet PowerShell Update-MgDirectoryOnPremiseSynchronization de Microsoft Graph :
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Remarque
BlockCloudObjectTakeoverThroughHardMatchEnabled et BlockSoftMatchEnabled sont utilisés pour bloquer la correspondance pour tous les objets s’ils sont activés pour le locataire. Les clients sont encouragés à désactiver ces fonctionnalités uniquement pendant la période où une procédure correspondante est requise pour leur location. Cet indicateur doit être à nouveau défini sur True une fois que toute correspondance a été terminée et n’est plus nécessaire.
Autres objets que les utilisateurs
Pour les groupes et les contacts activés pour le courrier, vous pouvez établir une correspondance souple en fonction de proxyAddresses. La correspondance exacte n’est pas applicable, car vous pouvez mettre à jour sourceAnchor/immutableID (en utilisant PowerShell) seulement sur des utilisateurs. Pour les groupes qui ne sont pas activés pour le courrier, il n’existe pas de prise en charge de la correspondance souple ou de la correspondance exacte.
Considérations relatives aux rôles d’administrateur
Pour protéger les utilisateurs locaux non approuvés, l'ID Microsoft Entra ne fera pas correspondre les utilisateurs locaux à des utilisateurs cloud qui ont un rôle d'administrateur. Ce comportement est par défaut. Pour contourner ce problème, vous pouvez effectuer les étapes suivantes :
Supprimez les rôles d’annuaire de l’objet utilisateur cloud uniquement.
Supprimez en dur le nouvel objet mis en quarantaine créé dans le cloud.
Déclenchez un nouveau cycle de synchronisation.
Si vous le souhaitez, vous pouvez rajouter les rôles d’annuaire à l’objet utilisateur dans le cloud une fois la mise en correspondance effectuée.
Créer un annuaire Active Directory local à partir de données dans l’ID Microsoft Entra
Certains clients commencent par une solution cloud uniquement avec l’ID Microsoft Entra et ils n’ont pas d’AD local. Plus tard, ils souhaitent consommer des ressources locales et souhaitent créer un AD local basé sur les données Microsoft Entra. Microsoft Entra Connect ne peut pas vous aider pour ce scénario. Il ne crée pas d'utilisateurs sur site et n'a pas la capacité de définir le mot de passe sur site pour qu'il soit identique à celui de l'ID Microsoft Entra.
Si la seule raison pour laquelle vous envisagez d'ajouter AD local est de prendre en charge les LOB (applications métier), vous devriez peut-être envisager d'utiliser Microsoft Entra Domain Services à la place.
Étapes suivantes
Apprenez-en davantage sur l’intégration de vos identités locales avec Microsoft Entra ID.