Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La fonctionnalité de synchronisation de Microsoft Entra Connect comprend deux composants :
- Le composant local nommé synchronisation Microsoft Entra Connect, également appelé moteur de synchronisation.
- Le service résidant dans Microsoft Entra ID, également appelé service de synchronisation Microsoft Entra Connect
Cette rubrique explique comment les fonctionnalités suivantes du service de synchronisation Microsoft Entra Connect opèrent et comment les configurer à l’aide de Windows PowerShell.
Pour voir la configuration dans votre répertoire Microsoft Entra avec Graph PowerShell, utilisez les commandes suivantes :
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
Le résultat ressemble à ceci :
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
Note
Depuis le 24 août 2016, la fonctionnalité Résilience d’attribut en double est activée par défaut pour les nouveaux répertoires Microsoft Entra. Cette fonctionnalité a été déployée et activée sur les répertoires créés avant cette date. Vous recevrez une notification par courrier électronique lorsque l’activation de cette fonctionnalité pour votre répertoire sera imminente .
Les paramètres suivants sont configurés dans Microsoft Entra Connect :
| DirSyncFeature | Commentaire |
|---|---|
| SoftMatchOnUpn | Permet aux objets d’être joints sur userPrincipalName en plus de l’adresse SMTP principale. |
| SynchronizeUpnForManagedUsers | Permet au moteur de synchronisation de mettre à jour l’attribut userPrincipalName pour les utilisateurs gérés/licenciés(non fédérés). |
| DeviceWriteback | Microsoft Entra Connect : Activation de la réécriture d’appareil |
| DirectoryExtensions | Synchronisation Microsoft Entra Connect : Extensions d’annuaire |
| DuplicateProxyAddressResiliency DuplicateUPNResiliency |
Permet à un attribut d’être mis en quarantaine lorsqu’il est un doublon d’un autre objet, plutôt que mettre en échec l’objet entier lors de l’exportation. |
| Synchronisation de hachage de mot de passe | Implémenter la synchronisation de hachage de mot de passe avec la synchronisation Microsoft Entra Connect |
| Réécriture du mot de passe | Non pris en charge. Cette fonctionnalité de service n’est plus disponible. Pour configurer la réécriture du mot de passe, consultez Activer la réécriture du mot de passe dans Microsoft Entra Connect |
| Authentification directe | Connexion de l’utilisateur avec l’authentification directe Microsoft Entra |
| UnifiedGroupWriteback | Écriture différée de groupe |
| UserWriteback | Actuellement non pris en charge. |
Résilience d’attribut en double
Au lieu de rencontrer des problèmes lors de l’approvisionnement des UPN/proxyAddresses en double, l’attribut en double est « mis en quarantaine » et une valeur temporaire lui est attribuée. Lorsque le conflit est résolu, l’UPN temporaire est automatiquement converti dans la valeur correcte. Pour plus d’informations, consultez Synchronisation des identités et résilience d’attribut en double.
Correspondance souple UserPrincipalName
Lorsque cette fonctionnalité est activée, la correspondance souple est activée pour l’UPN ainsi que pour l’ adresse SMTP principale, qui est toujours activée. La correspondance souple est utilisée pour faire correspondre les utilisateurs existants du cloud dans Microsoft Entra ID avec les utilisateurs locaux.
Cette fonctionnalité est utile lorsque vous mettez en correspondance des comptes AD locaux avec des comptes existants créés dans le cloud, et que vous n’utilisez pas Exchange Online. Dans ce scénario, vous n’avez généralement pas de raison pour définir l’attribut SMTP dans le cloud.
Cette fonctionnalité est activée par défaut pour les répertoires Microsoft Entra nouvellement créés. Vous pouvez voir si cette fonctionnalité est activée en exécutant :
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Si cette fonctionnalité n’est pas activée pour votre répertoire Microsoft Entra, vous pouvez l’activer en exécutant :
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
Quand cette fonctionnalité est activée, elle bloque la fonctionnalité de correspondance souple. Les clients sont encouragés à activer cette fonctionnalité et à la garder activée jusqu’à ce que la correspondance souple soit de nouveau nécessaire pour leur location. Cet indicateur doit être réactivé une fois que la correspondance souple est terminée et n’est plus nécessaire.
Exemple de blocage de la correspondance souple dans votre locataire :
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Note
Lorsque BlockSoftMatch est activé, de nouveaux appareils ayant une jonction hybride sont confrontés à une erreur InvalidSoftMatch lors d'une tentative de Soft Match. Cela se produit lorsque l’objet ordinateur synchronisé entre Active Directory (AD) local et Entra est fusionné avec le nouvel appareil inscrit dans le cloud. Pour résoudre ce problème, les administrateurs doivent temporairement désactiver BlockSoftMatch pour autoriser la jointure hybride à continuer.
Synchroniser les mises à jour userPrincipalName
Historiquement, les mises à jour de l’attribut UserPrincipalName à l’aide du service de synchronisation du site ont été bloquées, sauf si les deux conditions suivantes étaient remplies :
- L’utilisateur est géré (non fédéré).
- L’utilisateur n’a pas de licence attribuée.
Note
À compter de mars 2019, la synchronisation des modifications d’UPN pour les comptes d’utilisateur fédérés est autorisée.
L’activation de cette fonctionnalité permet au moteur de synchronisation de mettre à jour l’attribut userPrincipalName quand il est modifié en local et que vous utilisez la synchronisation de hachage de mot de passe pu l’authentification directe.
Cette fonctionnalité est activée par défaut pour les répertoires Microsoft Entra nouvellement créés. Vous pouvez voir si cette fonctionnalité est activée en exécutant :
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Si cette fonctionnalité n’est pas activée pour votre répertoire Microsoft Entra, vous pouvez l’activer en exécutant :
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Après avoir activé cette fonctionnalité, les valeurs existantes userPrincipalName demeurent telles quelles. Lors de la prochaine modification de l’attribut userPrincipalName en local, la synchronisation delta normale sur les utilisateurs met à jour l’UPN. Une fois cette fonctionnalité activée, il n’est pas possible de la désactiver.