Microsoft Entra Connect : Archive de l’historique de publication des versions

L’équipe Microsoft Entra met régulièrement à jour Microsoft Entra Connect avec de nouvelles fonctionnalités. Tous les ajouts ne sont pas applicables à toutes les configurations.

Remarque

Cet article contient des informations de référence relatives aux versions pour toutes les versions archivées de Microsoft Entra ID - 1.5.42.0 et les versions antérieures. Pour les versions actuelles, consultez l’historique de publication des versions de Microsoft Entra Connect

1.5.42.0

État de la version

10/07/2020 : publiée pour téléchargement

Modifications fonctionnelles

Inclut une préversion publique de la fonctionnalité permettant d’exporter la configuration d’un serveur Microsoft Entra Connect existant dans un fichier .JSON. Ce fichier peut être utilisé au moment de l’installation d’un nouveau serveur Microsoft Entra Connect pour créer une copie du serveur d’origine.

Une description détaillée de cette nouvelle fonctionnalité est disponible dans cet article

Problèmes résolus

  • Correction d’un bogue où de faux avertissement pendant la mise à niveau concernant la taille de la base de données locale sur les builds localisés.
  • Correction d’un bogue où il y aurait une fausse erreur dans les événements de l’application pour l’échange de nom de compte/nom de domaine.
  • Correction d’une erreur qui entraînait l’échec de l’installation de Microsoft Entra Connect sur un contrôleur de domaine, avec l’erreur « membre introuvable ».

1.5.30.0

État de la version

07/05/2020 : publiée pour téléchargement

Problèmes résolus

Ce correctif corrige un problème où des domaines non sélectionnés étaient incorrectement sélectionnés à partir de l’interface utilisateur de l’Assistant si seuls des conteneurs petits-enfants étaient sélectionnés.

Remarque

Cette version inclut la nouvelle API de point de terminaison Microsoft Entra Connect Sync V2. Ce nouveau point de terminaison v2 est actuellement en préversion publique. Cette version ou une version ultérieure est requise pour utiliser la nouvelle API de point de terminaison v2. Toutefois, l’installation seule de cette version n’active pas le point de terminaison v2. Vous continuerez d’utiliser le point de terminaison v1, sauf si vous activez le point de terminaison v2. Vous devez suivre les étapes décrites dans API de point de terminaison Microsoft Entra Connect Sync V2 (préversion publique) pour l’activer et consentir à participer à la préversion publique.

1.5.29.0

État de la version

23/04/2020 : publiée pour téléchargement

Problèmes résolus

Ce correctif corrige un problème introduit dans la version 1.5.20.0, dans lequel un administrateur de locataire avec MFA ne pouvait pas activer DSSO.

1.5.22.0

État de la version

20/04/2020 : publiée pour téléchargement

Problèmes résolus

Ce correctif logiciel résout un problème dans la build 1.5.20.0 si vous avez cloné la règle In from AD - Group Join et que vous n’avez pas cloné la règle In from AD - Group Common.

1.5.20.0

État de la version

04/09/2020 : publiée pour téléchargement

Problèmes résolus

  • Cette build de correctif logiciel résout un problème lié au build 1.5.18.0 si la fonctionnalité de filtrage de groupe est activée et utilise mS-DS-ConsistencyGuid comme point d’ancrage source.
  • Correction d’un problème dans le module PowerShell ADSyncConfig, où l’appel de la commande DSACLS utilisée dans toutes les cmdlets Set-ADSync* provoquait l’une des erreurs suivantes :
    • GrantAclsNoInheritance : The parameter is incorrect. The command failed to complete successfully.
    • GrantAcls : No GUID Found for computer …

Important

Si vous avez cloné la règle de synchronisation In from AD - Group Join, que vous n’avez pas cloné la règle de synchronisation In from AD - Group Common et que vous envisagez une mise à niveau, effectuez les étapes suivantes dans le cadre de la mise à niveau :

  1. Pendant la mise à niveau, désactivez l’option Démarrez le processus de synchronisation une fois la configuration terminée.
  2. Modifiez la règle de synchronisation de jointure clonée et ajoutez les deux transformations suivantes :
    • Définissez le flux direct objectGUID sur sourceAnchorBinary.
    • Définissez le flux d’expression ConvertToBase64([objectGUID]) sur sourceAnchor.
  3. Activez le planificateur à l’aide de Set-ADSyncScheduler -SyncCycleEnabled $true.

1.5.18.0

État de la version

02/04/2020 : publiée pour téléchargement

Modifications fonctionnelles ADSyncAutoUpgrade

  • Ajout de la prise en charge de la fonctionnalité mS-DS-ConsistencyGuid pour les objets groupe. Vous permet de déplacer des groupes entre les forêts ou de reconnecter des groupes dans AD à Microsoft Entra ID quand l’objectID du groupe AD a changé. Pour plus d’informations, consultez Déplacement de groupes entre des forêts.
  • L’attribut mS-DS-ConsistencyGuid est défini automatiquement sur tous les groupes synchronisés et vous n’avez rien à faire pour activer cette fonctionnalité.
  • Suppression de la cmdlet Get-ADSyncRunProfile, car elle n’est plus utilisée.
  • Modification de l’avertissement qui s’affiche lorsque vous tentez d’utiliser un compte d’administrateur d’entreprise ou d’administrateur de domaine pour le compte de connecteur AD DS pour fournir davantage de contexte.
  • Ajout d’une nouvelle cmdlet pour supprimer des objets de l’espace de connecteur. L’ancien outil CSDelete.exe est supprimé et il est remplacé par la nouvelle cmdlet Remove-ADSyncCSObject. L’applet de commande Remove-ADSyncCSObject prend un objet CsObject en entrée. Cet objet peut être récupéré à l’aide de l’applet de commande Get-ADSyncCSObject.

Notes

L’ancien outil CSDelete.exe a été supprimé et remplacé par la nouvelle applet de commande Remove-ADSyncCSObject.

Problèmes résolus

  • Correction d’un bogue dans le sélecteur de forêt/UO de réécriture de groupes au moment de la réexécution de l’Assistant Microsoft Entra Connect après la désactivation de la fonctionnalité.
  • Introduction d’une nouvelle page d’erreur qui s’affiche si les valeurs de Registre DCOM requises sont manquantes avec un nouveau lien d’aide. Les informations sont également écrites dans des fichiers journaux.
  • Résolution d’un problème lié à la création du compte de synchronisation Microsoft Entra, où l’activation des extensions d’annuaire ou de PHS peut échouer, car le compte ne s’est pas propagé sur tous les réplicas de service avant la tentative d’utilisation.
  • Correction d’un bogue dans l’utilitaire de compression des erreurs de synchronisation qui ne gérait pas correctement les caractères de substitution.
  • Correction d’un bogue dans la mise à niveau automatique qui a laissé le serveur dans l’état suspendu du planificateur.

1.4.38.0

État de la version

9/12/2019 : Publication pour le téléchargement. Non disponible par le biais de la mise à niveau automatique.

Améliorations et nouvelles fonctionnalités

  • Nous avons mis à jour la synchronisation de hachage du mot de passe pour Microsoft Entra Domain Services afin de prendre en compte correctement le remplissage dans les codes de hachage Kerberos. Permet d’améliorer les performances durant la synchronisation de mot de passe entre Microsoft Entra ID et Microsoft Entra Domain Services.
  • Nous avons ajouté la prise en charge de sessions fiables entre l’agent d’authentification et Service Bus.
  • Nous avons ajouté un cache DNS pour les connexions WebSocket entre l’agent d’authentification et les services cloud.
  • Nous avons ajouté la possibilité de cibler un agent spécifique à partir du cloud pour tester la connectivité de l’agent.

Problèmes résolus

  • La version 1.4.18.0 comportait un bogue dans lequel la cmdlet PowerShell concernant DSSO utilisait les informations d'identification Windows de connexion au lieu des informations d'identification d'administrateur fournies lors de l'exécution de PowerShell. Il n’a donc pas été possible d’activer DSSO dans plusieurs forêts via l’interface utilisateur de Microsoft Entra Connect.
  • Un correctif a été apporté pour activer DSSO simultanément dans toutes les forêts via l’interface utilisateur de Microsoft Entra Connect

1.4.32.0

État de la version

08/11/2019 : publiée pour téléchargement. Non disponible par le biais de la mise à niveau automatique.

Important

En raison d’un changement de schéma interne dans cette version de Microsoft Entra Connect, si vous gérez les paramètres de configuration d’une relation d’approbation AD FS à l’aide de Microsoft Graph PowerShell, vous devez mettre à jour votre module Microsoft Graph PowerShell vers la version 1.1.183.57 ou une version ultérieure.

Problèmes résolus

Cette version résout un problème lié aux appareils existants faisant l’objet d’une jointure hybride Microsoft Entra. Cette version contient une nouvelle règle de synchronisation d’appareil qui corrige ce problème. Ce changement de règle peut entraîner la suppression d’appareils obsolètes de Microsoft Entra ID. Ces objets d’appareil ne sont pas utilisés par Microsoft Entra ID durant l’autorisation d’accès conditionnel. Pour certains clients, le nombre d’appareils qui seront supprimés par le biais de cette modification de règle peut dépasser le seuil de suppression. Si vous voyez que la suppression d’objets d’appareil dans Microsoft Entra dépasse le seuil de suppression des exportations, il est conseillé d’autoriser la poursuite de ces suppressions. Guide pratique pour autoriser le déroulement des suppressions quand elles dépassent le seuil de suppression

1.4.25.0

État de la version

28/09/2019 : Mise en production pour la mise à niveau automatique afin de sélectionner des locataires. Non disponible pour téléchargement.

Cette version corrige un bogue qui avait pour effet que certains serveurs étaient mis à niveau automatiquement vers la version 1.4.18.0 et rencontraient des problèmes en lien avec la réinitialisation de mot de passe en libre-service (SSPR) et la réécriture du mot de passe.

Problèmes résolus

Dans certaines circonstances, les serveurs mis à niveau automatiquement vers la version 1.4.18.0 ne réactivaient pas la réinitialisation de mot de passe en libre-service et la réécriture du mot de passe une fois la mise à niveau terminée. Cette mise en production de la mise à niveau automatique corrige ce problème et réactive la réinitialisation de mot de passe en libre-service et la réécriture du mot de passe.

Correction d’un bogue dans l’utilitaire de compression des erreurs de synchronisation qui ne gérait pas correctement les caractères de substitution.

1.4.18.0

Avertissement

Nous investiguons un incident au cours duquel certains clients rencontrent un problème avec les appareils existants faisant l’objet d’une jointure hybride Microsoft Entra après la mise à niveau vers cette version de Microsoft Entra Connect. Nous conseillons aux clients qui ont déployé la jonction hybride Microsoft Entra de différer la mise à niveau vers cette version jusqu’à ce que la cause racine du problème soit entièrement comprise et atténuée. Des informations supplémentaires seront fournies dès que possible.

Important

Avec cette version de Microsoft Entra Connect, certains clients peuvent voir une partie ou la totalité de leurs appareils Windows disparaître de Microsoft Entra ID. Ces identités d’appareil ne sont pas utilisées par Microsoft Entra ID durant l’autorisation d’accès conditionnel. Pour plus d’informations, consultez Comprendre la disparition des appareils Microsoft Entra Connect 1.4.xx.x

État de la version

25/9/2019 : Publiée pour la mise à niveau automatique uniquement.

Améliorations et nouvelles fonctionnalités

  • De nouveaux outils de résolution des problèmes permettent de corriger les scénarios « utilisateur non synchronisé », « groupe non synchronisé » ou « membre de groupe non synchronisé ».
  • Ajout d’une prise en charge des clouds nationaux dans le script de résolution des problèmes Microsoft Entra Connect.
  • Les clients doivent être informés que les points de terminaison WMI dépréciés pour MIIS_Service sont désormais supprimés. Toutes les opérations WMI doivent à présent être effectuées par le biais des applets de commande PS.
  • Amélioration de la sécurité en réinitialisant la délégation contrainte sur l’objet AZUREADSSOACC.
  • Lors de l’ajout ou de la modification d’une règle de synchronisation, si des attributs sont utilisés dans la règle et qu’ils se trouvent dans le schéma du connecteur, mais ne sont pas ajoutés au connecteur, ces attributs sont automatiquement ajoutés au connecteur. Il en va de même pour le type d’objet affecté par la règle. Si quelque chose est ajouté au connecteur, le connecteur sera marqué pour une importation complète au cours du prochain cycle de synchronisation.
  • L’utilisation d’un administrateur d’entreprise ou de domaine en tant que compte de connecteur n’est plus prise en charge dans les nouveaux déploiements de Microsoft Entra Connect. Les déploiements actuels de Microsoft Entra Connect à l’aide d’un administrateur d’entreprise ou de domaine en tant que compte de connecteur ne seront pas affectés par cette version.
  • Dans le gestionnaire de synchronisation, une synchronisation complète est exécutée lors de la création, de la modification ou de la suppression d’une règle. Une fenêtre contextuelle s’affiche pour les modifications de règle, indiquant à l’utilisateur qu’une importation complète ou une synchronisation complète va être exécutée.
  • Ajout d’étapes d’atténuation pour les erreurs de mot de passe à la page « Connecteurs > Propriétés > Connectivité ».
  • Ajout, dans la page des propriétés du connecteur, d’un avertissement de dépréciation du gestionnaire du service de synchronisation. Cet avertissement indique à l’utilisateur que des changements doivent être apportés via l’Assistant Microsoft Entra Connect.
  • Ajout d’une nouvelle erreur pour les problèmes liés à la stratégie de mot de passe d’un utilisateur.
  • Prévention d’une erreur de configuration du filtrage des groupes par les filtres de domaine et d’unité d’organisation. Le filtrage de groupe affiche une erreur lorsque le domaine ou l’unité d’organisation du groupe entré est déjà filtré. Le filtrage de groupes empêche l’utilisateur de poursuivre tant que le problème n’est pas résolu.
  • Les utilisateurs ne peuvent plus créer de connecteur pour Active Directory Domain Services ou Windows Azure Active Directory dans l’interface utilisateur Synchronization Service Manager.
  • Résolution du problème d’accessibilité des contrôles d’interface utilisateur personnalisés dans Synchronization Service Manager.
  • Activation de six tâches de gestion de fédération pour toutes les méthodes de connexion dans Microsoft Entra Connect. (Auparavant, seule la tâche « Mettre à jour le certificat TLS/SSL AD FS » était disponible pour l'ensemble des connexions.)
  • Ajout d’un avertissement au moment du changement de méthode de connexion, quand elle passe de la fédération à la synchronisation de hachage du mot de passe (PHS) ou à l’authentification directe (PTA), pour indiquer que tous les domaines et utilisateurs Microsoft Entra vont être convertis en authentification managée.
  • Suppression des certificats de signature de jetons dans la tâche « Réinitialiser Microsoft Entra ID et l’approbation AD FS », et ajout d’une sous-tâche distincte pour mettre à jour ces certificats.
  • Ajout d'une nouvelle tâche de gestion de fédération appelée « Gérer les certificats » qui comporte des sous-tâches permettant de mettre à jour les certificats de signature de jeton ou les certificats TLS de la batterie de serveurs AD FS.
  • Ajout d’une nouvelle sous-tâche de gestion de la fédération appelée « Spécifier le serveur principal », qui permet aux administrateurs de préciser un nouveau serveur principal pour la batterie de serveurs AD FS.
  • Ajout d’une nouvelle tâche de gestion de la fédération appelée « Gérer les serveurs », qui comporte des sous-tâches permettant de déployer un serveur AD FS, un serveur proxy d’application web et de spécifier le serveur principal.
  • Ajout d’une nouvelle tâche de gestion de la fédération appelée « Afficher la configuration de la fédération », qui affiche les paramètres AD FS actuels. (En raison de cet ajout, les paramètres AD FS ont été supprimés de la page « Vérification de votre solution ».)

Problèmes résolus

  • Résolution du problème d’erreur de synchronisation dans le scénario suivant lequel un objet utilisateur qui prend le contrôle de son objet contact correspondant dispose d’une autoréférence (par exemple, l’utilisateur est son propre manager).
  • Les fenêtres contextuelles d’aide s’affichent désormais sur le focus clavier.
  • Pour la mise à niveau automatique, si une application en conflit s’exécute pendant 6 heures, il y a possibilité de la supprimer et de poursuivre la mise à niveau.
  • Limitation du nombre d’attributs qu’un client peut sélectionner à 100 par objet lors de la sélection des extensions d’annuaire. Avec cette limite, l’erreur ne peut pas se produire pendant l’exportation, car Azure présente un maximum de 100 attributs d’extension par objet.
  • Correction d’un bogue permettant de renforcer le script de connectivité AD.
  • Correction d’un bogue pour rendre plus robuste l’installation de Microsoft Entra Connect sur une machine utilisant un service WCF de canaux nommés.
  • Amélioration des diagnostics et de la résolution des problèmes liés aux stratégies de groupe qui n’autorisent pas le démarrage du service ADSync lors de l’installation initiale.
  • Correction d’un bogue responsable de l’écriture incorrecte du nom d’affichage d’un ordinateur Windows.
  • Correction d’un bogue responsable de l’écriture incorrecte du type de système d’exploitation d’un ordinateur Windows.
  • Correction d’un bogue responsable de la synchronisation de manière inattendue d’ordinateurs non-Windows 10. Notez que l’effet de cette modification se traduit désormais par la suppression des ordinateurs non-Windows 10 qui, auparavant, étaient synchronisés. Cela n’affecte aucune fonctionnalité, car la synchronisation des ordinateurs Windows est uniquement utilisée pour la jonction de domaine Microsoft Entra Hybride, qui fonctionne uniquement pour les appareils Windows 10.
  • Ajout de plusieurs nouvelles applets de commande (internes) au module PowerShell ADSync.

1.3.21.0

Important

Il existe un problème connu lié à la mise à niveau de Microsoft Entra Connect d’une version antérieure vers la version 1.3.21.0, où le portail Microsoft 365 ne reflète pas la version mise à jour, même si Microsoft Entra Connect a été correctement mis à niveau.

Pour résoudre ce problème, vous devez importer le module AdSync, puis exécuter la cmdlet PowerShell Set-ADSyncDirSyncConfiguration sur le serveur Microsoft Entra Connect. Vous pouvez procéder comme suit :

  1. Ouvrez PowerShell en mode Administrateur.
  2. Exécutez Import-Module "ADSync".
  3. Exécutez Set-ADSyncDirSyncConfiguration -AnchorAttribute "".

État de la version

14/05/2019 : publiée pour téléchargement

Problèmes résolus

  • Correction d’une vulnérabilité liée à une élévation de privilège dans Microsoft Entra Connect build 1.3.20.0. Sous certaines conditions, cette vulnérabilité peut permettre à un attaquant d’exécuter deux applets de commande PowerShell dans le contexte d’un compte privilégié et d’effectuer des actions privilégiées. Cette mise à jour de sécurité résout le problème en désactivant ces cmdlets. Pour plus d’informations, reportez-vous à la mise à jour de sécurité.

1.3.20.0

État de la version

24/04/2019 : publiée pour téléchargement

Améliorations et nouvelles fonctionnalités

  • Ajout de la prise en charge de l’actualisation de domaine
  • Disponibilité générale des dossiers publics de messagerie Exchange
  • Amélioration de la gestion des erreurs de l’Assistant pour les échecs de service
  • Lien d’avertissement ajouté à l’interface utilisateur Synchronization Service Manager dans la page Propriétés du connecteur.
  • Disponibilité générale de la fonctionnalité d’écriture différée des groupes unifiés
  • Message d’erreur SSPR amélioré lorsqu’un contrôle LDAP est absent du contrôleur de domaine
  • Ajout de diagnostics pour les erreurs de Registre DCOM pendant l’installation
  • Amélioration du suivi des erreurs RPC PHS
  • Autorisation des informations d’identification EA d’un domaine enfant
  • Autorisation de la saisie du nom de base de données lors de l’installation (nom par défaut ADSync)
  • Mise à niveau vers la bibliothèque ADAL 3.19.8 pour sélectionner un correctif WS-Trust pour Ping et ajout de la prise en charge des nouvelles instances Azure
  • Modification des règles de synchronisation de groupe pour diriger samAccountName, DomainNetbios et DomainFQDN vers le cloud (nécessaires pour les revendications)
  • Modification de la gestion de règle de synchronisation par défaut. Cliquez ici pour en savoir plus.
  • Ajout d’un nouvel agent s’exécutant en tant que service Windows. Cet agent, nommé « Agent d’administration », permet d’effectuer des diagnostics à distance plus approfondis du serveur Microsoft Entra Connect pour aider les ingénieurs Microsoft à résoudre les problèmes au moment où vous ouvrez un dossier de support lié à un incident. Cet agent n’est pas installé ni activé par défaut. Pour plus d’informations sur l’installation et l’activation de l’agent, consultez Présentation de l’agent d’administration Microsoft Entra Connect.
  • Mise à jour du Contrat de Licence Utilisateur Final (CLUF).
  • Ajout de la prise en charge de la mise à niveau automatique des déploiements qui utilisent AD FS comme type de connexion. Cela a également supprimé l’obligation de mettre à jour l’approbation par la partie de confiance Microsoft Entra ID AD FS dans le cadre du processus de mise à niveau.
  • Ajout d’une tâche de gestion de l’approbation Microsoft Entra ID qui fournit deux options : analyse/mise à jour de l’approbation et réinitialisation de l’approbation.
  • Changement du comportement relatif à l’approbation de partie de confiance pour Microsoft Entra ID au sein d’AD FS afin d’utiliser toujours le commutateur -SupportMultipleDomain (ce qui inclut les mises à jour de domaine Microsoft Entra et d’approbation).
  • Modification du comportement d’installation d’une nouvelle batterie AD FS afin que celle-ci demande un certificat .pfx en supprimant la possibilité d’utiliser un certificat préalablement installé.
  • Mise à jour du flux de travail de l’installation d’une nouvelle batterie AD FS afin qu’elle autorise uniquement le déploiement d’un serveur AD FS et d’un serveur WAP. Tous les serveurs supplémentaires sont déployés après l’installation initiale.

Problèmes résolus

  • Correction de la logique de reconnexion SQL pour le service ADSync
  • Correctif pour permettre une nouvelle installation à l’aide d’une base de données vide AOA SQL
  • Correction du script d’autorisations PS pour affiner les autorisations GWB
  • Correction des erreurs VSS avec base de données locale
  • Correction du message d’erreur trompeur lorsque le type d’objet n’est pas dans la portée
  • Résolution d’un problème dû au fait que l’installation de Microsoft Graph PowerShell sur un serveur pouvait entraîner un conflit d’assembly avec Microsoft Entra Connect.
  • Correction du bogue de synchronisation de hachage de mot de passe sur le serveur intermédiaire lorsque les informations d’identification du connecteur sont mises à jour dans l’interface utilisateur Synchronization Service Manager.
  • Correction de certaines fuites de mémoire
  • Divers correctifs de mise à niveau automatique
  • Divers correctifs pour le traitement des importations non confirmées et des exportations
  • Correction d’un bogue lié à la gestion d’une barre oblique inverse dans le filtrage par domaine ou unité d’organisation
  • Correction d’un problème où l’arrêt du service ADSync prend plus de 2 minutes et où ce service provoque un problème au moment de la mise à niveau.

1.2.70.0

État de la version

18/12/2018 publiée pour téléchargement

Problèmes résolus

Cette build met à jour les connecteurs non standard (par exemple le connecteur LDAP générique et le connecteur SQL générique) fournis avec Microsoft Entra Connect. Pour plus d’informations sur les connecteurs applicables, voir la version 1.1.911.0 dans l’historique des versions de connecteurs.

1.2.69.0

État de la version

11/12/2018 : publiée pour téléchargement

Problèmes résolus

Ce correctif logiciel permet à l’utilisateur de sélectionner un domaine cible, au sein de la forêt spécifiée, pour le conteneur RegisteredDevices lors de l’activation de la réécriture d’appareil. Dans les versions précédentes contenant les nouvelles fonctionnalités Options de l’appareil (1.1.819.0 – 1.2.68.0), l’emplacement du conteneur RegisteredDevices était limité à la racine de la forêt et n’autorisait pas les domaines enfants. Cette limitation ne se manifestait que sur les nouveaux déploiements : les mises à niveau sur place n’étaient pas affectées.

Si un build contenant les fonctionnalités Options de l’appareil mises à jour a été déployé vers un nouveau serveur et si la réécriture d’appareil est activée, vous devez spécifier manuellement l’emplacement du conteneur si vous ne souhaitez pas qu’il réside à la racine de la forêt. Pour ce faire, vous devez désactiver la réécriture d’appareil et la réactiver, ce qui vous permettra de spécifier l’emplacement du conteneur dans la page « Forêt de réécriture ».

1.2.68.0

État de la version

30/11/2018 : publiée pour téléchargement

Problèmes résolus

Ce correctif logiciel résout un conflit impliquant une éventuelle erreur d’authentification due à la présence indépendante du module Microsoft Graph PowerShell Gallery sur le serveur de synchronisation.

1.2.67.0

État de la version

19/11/2018 : publiée pour téléchargement

Problèmes résolus

Ce correctif logiciel corrige une régression de la build précédente, où la réécriture du mot de passe échoue en cas d’utilisation d’un contrôleur de domaine AD DS sur Windows Server 2008/R2.

1.2.65.0

État de la version

25/10/2018 : publiée pour téléchargement

Améliorations et nouvelles fonctionnalités

  • La fonctionnalité de réécriture d’attribut a été modifiée pour garantir le bon fonctionnement de la messagerie vocale hébergée. Dans certains scénarios, Microsoft Entra ID remplaçait l’attribut msExchUcVoicemailSettings durant la réécriture par une valeur nulle. Microsoft Entra ID n’efface plus la valeur locale de cet attribut si la valeur cloud n’est pas définie.
  • Ajout de diagnostics dans l’Assistant Microsoft Entra Connect pour investiguer et identifier les problèmes de connectivité avec Microsoft Entra ID. Ces mêmes diagnostics peuvent également être exécutés directement via PowerShell à l’aide de l’applet de commande Test- AdSyncAzureServiceConnectivity.
  • Ajout de diagnostics dans l’Assistant Microsoft Entra Connect pour investiguer et identifier les problèmes de connectivité avec AD. Ces mêmes diagnostics peuvent également être exécutés directement via PowerShell à l’aide de la fonction Start-ConnectivityValidation dans le module PowerShell ADConnectivityTools. Pour plus d’informations, consultez Qu’est-ce que le module PowerShell ADConnectivityTool ?
  • Ajout d’un précontrôle de la version de schéma AD pour la jonction hybride Microsoft Entra et la réécriture d’appareil
  • La recherche d’attribut de la page Extension d’annuaire a été modifiée de manière à ne plus être sensible à la casse.
  • La prise en charge complète de TLS 1.2 a été ajoutée. Cette version prend en charge la désactivation de tous les autres protocoles et l’activation de TLS 1.2 uniquement sur la machine où Microsoft Entra Connect est installé. Pour plus d’informations, consultez Application de TLS 1.2 pour Microsoft Entra Connect

Problèmes résolus

  • Correction d’un bogue qui entraînait l’échec de la mise à niveau de Microsoft Entra Connect, si SQL Always On était utilisé.
  • Correction d’un bogue permettant d’analyser correctement les noms d’unité d’organisation qui contiennent une barre oblique.
  • Correction d’un problème qui entraînait la désactivation de l’authentification directe pour une nouvelle installation en mode intermédiaire.
  • Correction d’un bogue qui empêchait le chargement du module PowerShell lors de l’exécution des outils de dépannage.
  • Correction d’un bogue qui empêchait les clients d’utiliser une valeur numérique comme premier caractère d’un nom d’hôte.
  • Correction d’un bogue en raison duquel Microsoft Entra Connect permettait de sélectionner des partitions et un conteneur non valides
  • Correction du message d’erreur « Mot de passe non valide » lorsque l’option Desktop SSO est activée.
  • Divers correctifs de bogues pour la gestion de l’approbation AD FS
  • Lors de la configuration de la réécriture d’appareil – Correction de la vérification de schéma pour rechercher la classe d’objet msDs-DeviceContainer (introduite dans WS2012 R2)

1.1.882.0

7/9/2018 : publié pour le téléchargement, ne sera pas publié pour la mise à niveau automatique

Problèmes résolus

La mise à niveau de Microsoft Entra Connect échoue si SQL Always On Availability est configuré pour la base de données ADSync. Ce correctif logiciel résout le problème et permet la mise à niveau.

1.1.880.0

État de la version

21/08/2018 : publiée pour le téléchargement et la mise à niveau automatique.

Améliorations et nouvelles fonctionnalités

  • L’intégration de Ping Federate dans Microsoft Entra Connect est désormais en disponibilité générale. En savoir plus sur la fédération de Microsoft Entra ID avec Ping Federate
  • Microsoft Entra Connect crée désormais la sauvegarde de l’approbation Microsoft Entra ID dans AD FS chaque fois qu’une mise à jour est effectuée, et la stocke dans un fichier distinct pour faciliter la restauration, le cas échéant. En savoir plus sur les nouvelles fonctionnalités et la gestion des approbations Microsoft Entra ID dans Microsoft Entra Connect.
  • De nouveaux outils de dépannage permettent de résoudre le problème de changement de l’adresse e-mail principale, et celui du masquage de compte à partir de la liste d’adresses globale
  • Microsoft Entra Connect a été mis à jour pour inclure la dernière version de SQL Server 2012 Native Client
  • Lorsque vous passez de la connexion utilisateur à la synchronisation de hachage du mot de passe ou à l’authentification directe dans la tâche « Modifier la connexion utilisateur », la case à cocher Authentification unique fluide est activée par défaut.
  • Prise en charge ajoutée pour Windows Server Essentials 2019
  • Microsoft Entra Connect Health Agent a été mis à jour vers la dernière version 3.1.7.0
  • Pendant une mise à niveau, si le programme d’installation détecte des modifications apportées aux règles de synchronisation par défaut, l’administrateur reçoit un avertissement avant de remplacer les règles modifiées. L’utilisateur peut ainsi prendre des mesures correctives et poursuivre la mise à niveau plus tard. Ancien comportement : Si une règle prédéfinie était modifiée, une mise à niveau manuelle remplaçait alors ces règles sans en avertir l’utilisateur, et le planificateur de synchronisation était désactivé sans que l’utilisateur en soit informé. Nouveau comportement : L’utilisateur reçoit un avertissement avant le remplacement des règles de synchronisation prédéfinies modifiées. L’utilisateur a le choix d’arrêter le processus de mise à niveau et de le reprendre ultérieurement après avoir pris des mesures correctives.
  • Gère mieux les problème de conformité aux normes FIPS en fournissant un message d’erreur pour la génération du hachage MD5 dans un environnement conforme aux normes FIPS, et un lien vers la documentation qui propose une solution de contournement pour ce problème.
  • Mise à jour de l’interface utilisateur afin d’améliorer les tâches de fédération dans l’Assistant, qui se trouvent maintenant sous un sous-groupe distinct pour la fédération.
  • Toutes les tâches supplémentaires de fédération sont à présent regroupées sous un seul sous-menu pour les utiliser plus facilement.
  • Un nouveau module Posh ADSyncConfig (AdSyncConfig.psm1) amélioré, avec de nouvelles fonctions d’autorisations Active Directory récupérées de l’ancien fichier ADSyncPrep.psm1 (qui sera peut être déprécié bientôt)

Problèmes résolus

  • Correction d’un bogue en raison duquel le serveur Microsoft Entra Connect affichait une utilisation élevée du processeur après la mise à niveau vers .NET 4.7.2
  • Correction d’un bogue qui pouvait générer par intermittence un message d’erreur pour un problème d’interblocage SQL résolu automatiquement
  • Correction de plusieurs problèmes d’accessibilité pour l’éditeur de règles de synchronisation et Sync Service Manager
  • Correction d’un bogue en raison duquel Microsoft Entra Connect ne peut pas obtenir d’informations relatives aux paramètres du Registre
  • Correction d’un bogue provoquant des problèmes lorsque l’utilisateur avance ou recule dans l’Assistant
  • Correction d’un bogue pour éviter une erreur se produisant en raison d’une remise multi-thread incorrecte dans l’Assistant
  • Quand la page de filtrage de la synchronisation de groupe rencontre une erreur LDAP au moment de la résolution des groupes de sécurité, Microsoft Entra Connect retourne désormais l’exception de manière fidèle. La cause principale de l’exception de référence est toujours inconnue et sera traitée par un autre bogue.
  • Correction d’un bogue dans lequel les autorisations pour les clés STK et NGC (attribut ms-DS-KeyCredentialLink sur les objets User/Device pour WHfB) n’ont pas été définies correctement.
  • Correction d’un bogue où ’Set-ADSyncRestrictedPermissions’ n’a pas été appelé correctement
  • Ajout de la prise en charge de l’octroi d’autorisations pour la réécriture de groupes dans l’Assistant Installation de Microsoft Entra Connect
  • Lorsque vous changiez de méthode de connexion et que vous passiez de la synchronisation du hachage de mot de passe à AD FS, la synchronisation du hachage de mot de passe n’était pas désactivée.
  • Ajout d’une vérification pour les adresses IPv6 dans la configuration AD FS
  • Mise à jour du message de notification pour informer de l’existence d’une configuration existante.
  • La réécriture d’appareil ne parvient pas à détecter de conteneur dans une forêt non approuvée. Une mise à jour a été effectuée pour fournir un message d’erreur plus adapté et un lien vers la documentation appropriée
  • La désélection d’une unité d’organisation, puis la synchronisation/réécriture correspondant à cette unité d’organisation donne une erreur de synchronisation générique. Une modification a été apportée pour créer un message d’erreur plus compréhensible.

1.1.819.0

État de la version

14/05/2018 : publiée pour la mise à niveau automatique et le téléchargement.

Améliorations et nouvelles fonctionnalités

Améliorations et nouvelles fonctionnalités

  • Cette version comprend la préversion publique de l’intégration de PingFederate dans Microsoft Entra Connect. Avec cette version, les clients peuvent configurer facilement et de manière fiable leur environnement Microsoft Entra pour tirer parti de PingFederate en tant que fournisseur de fédération. Pour en savoir plus sur l’utilisation de cette nouvelle fonctionnalité, voir notre documentation en ligne.
  • Mise à jour de l’utilitaire de résolution des problèmes de l’Assistant Microsoft Entra Connect. Désormais, il analyse un plus grand nombre de scénarios d’erreur, par exemple les boîtes aux lettres liées et les groupes dynamiques AD. Pour en savoir plus sur l’utilitaire de dépannage, voir ici.
  • La configuration de la réécriture d’appareil est désormais gérée uniquement dans l’Assistant Microsoft Entra Connect.
  • Un nouveau module PowerShell nommé ADSyncTools.psm1 a été ajouté. Il permet notamment de résoudre des problèmes de connectivité SQL. Pour en savoir plus sur le module ADSyncTools, voir ici.
  • Une nouvelle tâche supplémentaire, « Configurer les options de l’appareil », a été ajoutée. Vous pouvez l’utiliser pour configurer les deux opérations suivantes :
    • Jonction hybride Microsoft Entra : si votre environnement a une empreinte AD (Active Directory) locale, et si vous souhaitez également bénéficier des fonctionnalités fournies par Microsoft Entra ID, vous pouvez implémenter les appareils à jointure hybride Microsoft Entra. Il s’agit d’appareils qui sont à la fois joints à votre Active Directory local et à Microsoft Entra ID.

    • Réécriture d’appareil : La réécriture d’appareil est utilisée pour activer l’accès conditionnel basé sur l’appareil à des appareils protégés par AD FS (2012 R2 ou version ultérieure)

      Notes

      • L’option permettant d’activer l’écriture différée des appareils sera grisée dans Personnalisation des options de synchronisation.
      • Le module PowerShell pour ADPrep est déconseillé avec cette version.

Problèmes résolus

  • Cette version met à jour l’installation de SQL Server Express vers SQL Server 2012 SP4, qui, entre autres, fournit des correctifs pour plusieurs vulnérabilités de sécurité. Cliquez ici pour plus d’informations sur SQL Server 2012 SP4.
  • Traitement des règles de synchronisation : les règles de synchronisation de jointure sortante sans condition de jointure doivent être supprimées si la règle de synchronisation parente n’est plus applicable
  • Plusieurs correctifs d’accessibilité ont été appliqués à l’interface de Synchronization Service Manager et à l’éditeur de règles de synchronisation
  • Assistant Microsoft Entra Connect : erreur au moment de la création du compte de connecteur AD quand Microsoft Entra Connect fait partie d’un groupe de travail
  • Assistant Microsoft Entra Connect : dans la page de connexion à Microsoft Entra, la case à cocher de vérification s’affiche chaque fois qu’il existe une discordance entre les domaines AD et les domaines vérifiés Microsoft Entra ID
  • Correctif PowerShell de mise à niveau automatique pour définir correctement l’état de mise à niveau automatique dans certains cas après une tentative de mise à niveau automatique.
  • Assistant Microsoft Entra Connect : mise à jour de la télémétrie pour capturer les informations manquantes
  • Assistant Microsoft Entra Connect : les changements suivants ont été apportés quand vous utilisez la tâche Modifier la connexion utilisateur pour passer de l’authentification AD FS à l’authentification directe :
    • L’agent d’authentification directe est installé sur le serveur Microsoft Entra Connect, et la fonctionnalité d’authentification directe est activée avant que nous ne convertissions les domaines fédérés en domaines managés.
    • Les utilisateurs ne sont plus convertis de l’état « fédéré » à l’état « géré ». Seuls les domaines sont convertis.
  • Assistant Microsoft Entra Connect : le regex multidomaine AD FS n’est pas correct quand l’UPN de l’utilisateur contient le caractère spécial '. Regex mis à jour pour permettre la prise en charge des caractères spéciaux
  • Assistant Microsoft Entra Connect : suppression du message parasite « Configurer l’attribut d’ancre source » en l’absence de changement
  • Assistant Microsoft Entra Connect : prise en charge d’AD FS pour le scénario de fédération double
  • Assistant Microsoft Entra Connect : les revendications AD FS ne sont pas mises à jour pour un domaine ajouté au moment de la conversion d’un domaine managé en domaine fédéré
  • Assistant Microsoft Entra Connect : durant la détection des packages installés, nous trouvons des produits obsolètes liés à Dirsync/Azure AD Sync/Azure AD Connect. Nous allons désormais tenter de désinstaller les produits périmés.
  • Assistant Microsoft Entra Connect : correction du mappage des messages d’erreur en cas d’échec de l’installation de l’agent d’authentification directe
  • Assistant Microsoft Entra Connect : suppression du conteneur « Configuration » dans la page Filtrage par domaine/unité d’organisation
  • Installation du moteur de synchronisation : suppression de la logique héritée inutile qui échouait parfois lors de l’exécution du msi d’installation du moteur de synchronisation.
  • Assistant Microsoft Entra Connect : correction du texte de l’aide contextuelle dans la page Fonctionnalités facultatives pour la synchronisation de hachage du mot de passe
  • Runtime du moteur de synchronisation : correction du scénario dans lequel un objet CS a une tentative de règles de suppression et de synchronisation pour réapprovisionner l’objet.
  • Runtime du moteur de synchronisation : ajout d’un lien d’aide pour le guide de dépannage de la connectivité en ligne vers le journal des événements pour une erreur d’importation
  • Runtime du moteur de synchronisation : réduction de l’utilisation de la mémoire du planificateur de synchronisation lors de l’énumération des connecteurs
  • Assistant Microsoft Entra Connect : correction d’un problème de résolution d’un compte de service de synchronisation personnalisé qui ne dispose d’aucun privilège de lecture AD
  • Assistant Microsoft Entra Connect : amélioration de la journalisation des sélections de filtrage par domaine/UO (unité d’organisation)
  • Assistant Microsoft Entra Connect : ajout des revendications AD FS par défaut à l’approbation de fédération créée pour le scénario d’authentification MFA
  • Assistant Microsoft Entra Connect : échec de l’utilisation d’un nouveau certificat au moment de l’ajout d’un serveur proxy d’application web à un déploiement AD FS
  • Assistant Microsoft Entra Connect : exception DSSO quand les informations d’identification onPremCredentials ne sont pas initialisées pour un domaine
  • Flux préférentiel de l’attribut AD distinguishedName à partir d’Active User Object.
  • Correction du bug cosmétique selon lequel la précédence de la première règle de synchronisation OOB était fixée à 99 au lieu de 100.

1.1.751.0

État de la version 12/04/2018 : publiée pour téléchargement uniquement

Remarque

Cette version est un correctif logiciel pour Microsoft Entra Connect

Synchronisation Microsoft Entra Connect

Problèmes résolus

Correction du problème selon lequel la découverte automatique d’instances Azure pour les locataires en Chine échouait occasionnellement.

Gestion AD FS

Problèmes résolus

Il existait un problème dans la logique de nouvelle tentative de configuration qui entraînait la déclaration « un élément avec la même clé a déjà été ajouté » par ArgumentException. Pour cette raison, toutes les opérations de nouvelle tentative échouaient.

1.1.750.0

État de la version 22/03/2018 : publiée pour la mise à niveau automatique et le téléchargement.

Remarque

Une fois la mise à niveau vers cette nouvelle version effectuée, elle déclenche automatiquement une synchronisation complète et une importation intégrale pour le connecteur Microsoft Entra ainsi qu’une synchronisation complète pour le connecteur AD. Dans la mesure où l’opération peut prendre un certain temps, en fonction de la taille de votre environnement Microsoft Entra Connect, veillez à prendre les précautions nécessaires pour qu’elle ne soit pas un facteur de blocage, ou différez la mise à niveau jusqu’au moment opportun.

Remarque

« La fonctionnalité de mise à niveau automatique a été erronément désactivée pour certains clients ayant déployé des builds postérieures à la build 1.1.524.0. Pour vérifier si votre instance de Microsoft Entra Connect est toujours éligible à la mise à niveau automatique, exécutez la cmdlet PowerShell suivante : « Set-ADSyncAutoUpgrade -AutoupGradeState Enabled »

Microsoft Entra Connect

Problèmes résolus

  • Auparavant, la cmdlet Set-ADSyncAutoUpgrade bloquait la mise à niveau automatique lorsqu’elle était dans l’état Suspendu. Cette fonctionnalité a été modifiée pour éviter de bloquer la mise à niveau automatique des versions futures.
  • Modification de l’option de la page Connexion utilisateur de « Synchronisation du mot de passe » à « Synchronisation du hachage du mot de passe ». Microsoft Entra Connect synchronise les codes de hachage de mot de passe, et non les mots de passe, pour être en phase avec ce qui se passe réellement. Pour plus d’informations, consultez Implémenter la synchronisation de hachage du mot de passe avec Microsoft Entra Connect Sync

1.1.749.0

État : publiée à l’intention d’un panel de clients

Remarque

Une fois la mise à niveau vers cette nouvelle version effectuée, elle déclenche automatiquement une synchronisation complète et une importation intégrale pour le connecteur Microsoft Entra ainsi qu’une synchronisation complète pour le connecteur AD. Dans la mesure où l’opération peut prendre un certain temps, en fonction de la taille de votre environnement Microsoft Entra Connect, veillez à prendre les précautions nécessaires pour qu’elle ne soit pas un facteur de blocage, ou différez la mise à niveau jusqu’au moment opportun.

Microsoft Entra Connect

Problèmes résolus

  • Résolution du problème de fenêtre de synchronisation sur les tâches en arrière-plan pour la page Filtrage de partitions lors du passage à la page suivante

  • Correction d’un bogue qui entraînait une violation d’accès lors de l’action personnalisée ConfigDB.

  • Correction d’un bogue de récupération suite à un délai de connexion SQL

  • Correction d’un bogue qui entraînait l’échec d’une vérification des prérequis pour les certificats avec caractères génériques SAN.

  • Correction d’un bogue qui entraînait le plantage de miiserver.exe durant une exportation du connecteur Microsoft Entra.

  • Correction d’un bogue relatif aux tentatives d’ouverture de session avec un mot de passe incorrect sur le contrôleur de domaine durant l’exécution de l’Assistant Microsoft Entra Connect pour changer la configuration.

Améliorations et nouvelles fonctionnalités

  • Ajout de paramètres de confidentialité conformément aux exigences du Règlement général sur la protection des données (RGPD). Pour plus d’informations, consultez cet article.

Notes

Cet article explique comment supprimer les données personnelles de l’appareil ou du service et il peut être utilisé dans le cadre de vos obligations en vertu du Règlement général sur la protection des données. Pour obtenir des informations générales concernant le Règlement général sur la protection des données (RGPD), consultez la section relative au RGPD du Centre de gestion de la confidentialité de Microsoft et la section relative au RGPD du Portail d’approbation de services.

  • Télémétrie applicative : l’administrateur peut activer/désactiver cette catégorie de données à sa convenance.

  • Données d’intégrité Microsoft Entra - Les administrateurs doivent accéder au portail d’intégrité pour contrôler les paramètres d’intégrité. Une fois que la stratégie du service a été modifiée, les agents la lisent et la mettent en œuvre.

  • Ajout d’actions de configuration d’écriture différée sur les appareils et d’une barre de progression pour l’initialisation de la page.

  • Amélioration des diagnostics généraux avec un rapport HTML et une collecte de données complète dans un rapport au format ZIP/HTML.

  • Amélioration de la fiabilité des mises à niveau automatiques et ajout d’une télémétrie supplémentaire pour garantir la possibilité de détermination de l’intégrité du serveur.

  • Restriction des autorisations disponibles pour les comptes privilégiés sur le compte du Connecteur AD.

    • Dans le cas des nouvelles installations, l’Assistant restreindra les autorisations dont disposent les comptes privilégiés sur le compte Microsoft Graph PowerShell après la création de ce dernier.

Les modifications prendront en charge les éléments suivants :

  1. Installations rapides
  2. Installations personnalisées avec création automatique de compte
  3. Apport de changements au programme d’installation afin qu’il ne nécessite pas de privilège d’administrateur système (AS) pour une nouvelle installation de Microsoft Entra Connect
  • Ajout d’un nouvel utilitaire destiné à résoudre les problèmes de synchronisation pour un objet spécifique. Il est disponible sous l’option « Résoudre les problèmes de synchronisation d’objets » de la tâche supplémentaire relative à la résolution des problèmes dans l’Assistant Microsoft Entra Connect. Actuellement, cet utilitaire procède aux vérifications suivantes :

    • Incompatibilité UserPrincipalName entre l’objet utilisateur synchronisé et le compte d’utilisateur dans le tenant (locataire) Microsoft Entra.
    • vérification si l’objet a été exclu de la synchronisation en raison d’un filtrage de domaine ;
    • vérification si l’objet a été exclu de la synchronisation en raison d’un filtrage d’unité d’organisation.
  • Ajout d’un nouvel utilitaire destiné à synchroniser le hachage de mot de passe actuel stocké dans le service Active Directory local pour un compte d’utilisateur spécifique.

Cet utilitaire ne nécessite aucune modification de mot de passe. Il est disponible sous l’option « Résoudre les problèmes de synchronisation de hachage du mot de passe » de la tâche supplémentaire relative à la résolution des problèmes dans l’Assistant Microsoft Entra Connect.

1.1.654.0

État : 12 décembre 2017

Remarque

Cette version est un correctif logiciel de sécurité pour Microsoft Entra Connect

Microsoft Entra Connect

Une amélioration a été ajoutée à Microsoft Entra Connect version 1.1.654.0 (et versions ultérieures) pour garantir l’application automatique des changements d’autorisations recommandés décrits dans la section Verrouiller l’accès au compte AD DS quand Microsoft Entra Connect crée le Compte AD DS.

  • Au moment de la configuration de Microsoft Entra Connect, l’administrateur de l’installation peut fournir un compte AD DS existant, ou laisser Microsoft Entra Connect créer automatiquement le compte. Les changements d’autorisations sont automatiquement appliqués au compte AD DS créé par Microsoft Entra Connect durant l’installation. Ils ne sont pas appliqués au compte AD DS existant fourni par l’administrateur lors de l’installation.
  • Pour les clients qui ont effectué une mise à niveau d’une ancienne version de Microsoft Entra Connect vers la version 1.1.654.0 (ou une version ultérieure), les changements d’autorisations ne sont pas appliqués rétroactivement aux comptes AD DS existants créés avant la mise à niveau. Ils seront appliqués uniquement aux nouveaux comptes AD DS créés après la mise à niveau. Cela se produit quand vous ajoutez de nouvelles forêts AD à synchroniser avec Microsoft Entra ID.

Remarque

Cette version supprime uniquement la vulnérabilité des nouvelles installations de Microsoft Entra Connect, où le compte de service est créé par le processus d’installation. Pour les installations existantes, ou dans les cas où vous fournissez vous-même le compte, vous devez vous assurer que cette vulnérabilité n’existe pas.

Verrouiller l’accès au compte AD DS

Verrouillez l’accès au compte AD DS en implémentant les changements d’autorisations suivants dans l’annuaire AD local :

  • Désactivez l’héritage sur l’objet spécifié
  • Supprimez toutes les entrées de contrôle d'accès sur l’objet spécifique, à l’exception de celles propres à SELF. Il faut conserver les autorisations par défaut intactes quand il s’agit de SELF.
  • Attribuez ces autorisations spécifiques :
Type Nom Accès S'applique à
Allow SYSTEM Contrôle total Cet objet
Allow Administrateurs de l’entreprise Contrôle total Cet objet
Allow Admins du domaine Contrôle total Cet objet
Allow Administrateurs Contrôle total Cet objet
Allow Contrôleurs de domaine d’entreprise Lister le contenu Cet objet
Allow Contrôleurs de domaine d’entreprise Lire toutes les propriétés Cet objet
Allow Contrôleurs de domaine d’entreprise Autorisations de lecture Cet objet
Allow Utilisateurs authentifiés Lister le contenu Cet objet
Allow Utilisateurs authentifiés Lire toutes les propriétés Cet objet
Allow Utilisateurs authentifiés Autorisations de lecture Cet objet

Script PowerShell pour renforcer un compte de service existant

Pour utiliser le script PowerShell, et appliquer ces paramètres à un compte AD DS préexistant (fourni par votre organisation ou créé par une installation précédente de Microsoft Entra Connect, téléchargez le script à partir du lien fourni ci-dessus.

Usage :
Set-ADSyncRestrictedPermissions -ObjectDN <$ObjectDN> -Credential <$Credential>

Where

$ObjectDN = compte Active Directory dont les autorisations doivent être renforcées.

$Credential = informations d’identification de l’administrateur qui dispose des privilèges nécessaires pour restreindre les autorisations sur le compte $ObjectDN. Ces privilèges sont généralement détenus par l’administrateur d’entreprise ou de domaine. Utilisez le nom de domaine complet du compte d’administrateur afin d’éviter les échecs de recherche de compte. Exemple : contoso.com\admin.

Notes

$credential.UserName doit être au format nom_de_domaine_complet\nom_utilisateur. Exemple : contoso.com\admin.

Exemple :
Set-ADSyncRestrictedPermissions -ObjectDN "CN=TestAccount1,CN=Users,DC=bvtadwbackdc,DC=com" -Credential $credential 

Cette vulnérabilité a-t-elle été exploitée pour obtenir un accès non autorisé ?

Pour déterminer si cette vulnérabilité a été exploitée afin de compromettre votre configuration de Microsoft Entra Connect, vous devez vérifier la date de la dernière réinitialisation de mot de passe du compte de service. Si l’horodatage est inattendu, vous devez étudier de manière plus approfondie les circonstances de cet événement de réinitialisation de mot de passe par le biais du journal des événements.

Pour plus d’informations, consultez Avis de sécurité Microsoft 4056318.

1.1.649.0

État : 27 octobre 2017

Remarque

Cette build n’est pas disponible pour les clients via la fonctionnalité de mise à niveau automatique de Microsoft Entra Connect.

Microsoft Entra Connect

Problème résolu

  • Résolution d’un problème de compatibilité de versions entre Microsoft Entra Connect et Microsoft Entra Connect Health Agent (pour la synchronisation). Ce problème affecte les clients qui effectuent une mise à niveau sur place de Microsoft Entra Connect vers la version 1.1.647.0, mais qui ont la version 3.0.127.0 de Health Agent. Après la mise à niveau, l’agent Health ne peut plus envoyer les données de santé sur le service de synchronisation Microsoft Entra Connect au service Microsoft Entra Health. Avec ce correctif, l’agent Health version 3.0.129.0 est installé lors de la mise à niveau sur place de Microsoft Entra Connect. L’agent Health version 3.0.129.0 n’a pas de problème de compatibilité avec Microsoft Entra Connect version 1.1.649.0.

1.1.647.0

État : 19 octobre 2017

Important

Il existe un problème de compatibilité connu entre Microsoft Entra Connect version 1.1.647.0 et Microsoft Entra Connect Health Agent (pour la synchronisation) version 3.0.127.0. Ce problème empêche Health Agent d’envoyer les données d’intégrité relatives au service de synchronisation Microsoft Entra Connect (notamment les données concernant les erreurs de synchronisation d’objets et l’historique des exécutions) au service Microsoft Entra Health. Avant de mettre à niveau manuellement votre déploiement de Microsoft Entra Connect vers la version 1.1.647.0, vérifiez la version actuelle de Microsoft Entra Connect Health Agent installée sur votre serveur Microsoft Entra Connect. Pour ce faire, accédez à Panneau de configuration → Ajout/Suppression de programmes, puis recherchez l’application Microsoft Entra Connect Health Agent pour la synchronisation. Si sa version est 3.0.127.0, il est recommandé d’attendre que la prochaine version de Microsoft Entra Connect soit disponible avant d’effectuer la mise à niveau. Si la version d’Health Agent n’est pas 3.0.127.0, vous pouvez procéder à la mise à niveau sur place manuellement. Ce problème n’affecte pas la mise à niveau de type « swing » (mise à niveau avec intermédiaire), ni les clients qui effectuent une nouvelle installation de Microsoft Entra Connect.

Microsoft Entra Connect

Problèmes résolus

  • Résolution d’un problème lié à la tâche Modifier la connexion utilisateur dans l’Assistant Microsoft Entra Connect :

    • Le problème se produit quand il existe un déploiement Microsoft Entra Connect pour lequel la synchronisation de mot de passe est activée, et que vous essayez de définir la méthode de connexion utilisateur Authentification directe. Avant que la modification ne soit appliquée, l’Assistant affiche à tort le message suivant Désactiver la synchronisation de mot de passe. Toutefois, la synchronisation de mot de passe reste activée une fois la modification appliquée. Avec ce correctif, l’Assistant n’affiche plus ce message.

    • Par défaut, l’Assistant ne désactive pas la synchronisation de mot de passe lorsque vous mettez à jour la méthode de connexion utilisateur à l’aide de la tâche Modifier la connexion utilisateur. Cela permet d’éviter une interruption pour les clients qui souhaitent conserver la synchronisation de mot de passe, même s’ils choisissent d’activer l’authentification directe ou la fédération comme méthode principale d’authentification utilisateur.

    • Si vous souhaitez désactiver la synchronisation de mot de passe après avoir modifié la méthode d’authentification utilisateur, exécutez la tâche Personnaliser la configuration de la synchronisation dans l’Assistant. Lorsque vous accédez à la page Fonctionnalités facultatives, désactivez l’option Synchronisation de mot de passe.

    • Notez que le même problème se produit également si vous tentez d’activer ou de désactiver l’authentification unique transparente. Plus précisément, vous disposez d’un déploiement Microsoft Entra Connect existant pour lequel la synchronisation de mot de passe est activée, et la méthode de connexion utilisateur déjà configurée est Authentification directe. À l’aide de la tâche Modifier la connexion utilisateur, vous tentez de cocher ou de décocher l’option Activer l’authentification unique transparente alors que la méthode d’authentification utilisateur est configurée sur « Authentification directe ». Avant que la modification ne soit appliquée, l’Assistant affiche à tort le message suivant Désactiver la synchronisation de mot de passe. Toutefois, la synchronisation de mot de passe reste activée une fois la modification appliquée. Avec ce correctif, l’Assistant n’affiche plus ce message.

  • Résolution d’un problème lié à la tâche Modifier la connexion utilisateur dans l’Assistant Microsoft Entra Connect :

    • Le problème se produit quand il existe un déploiement Microsoft Entra Connect pour lequel la synchronisation de mot de passe est désactivée, et que vous essayez de définir la méthode de connexion utilisateur Authentification directe. Lorsque la modification est appliquée, l’Assistant active à la fois l’authentification directe et la synchronisation de mot de passe. Avec ce correctif, l’Assistant n’active plus la synchronisation de mot de passe.

    • Auparavant, la synchronisation de mot de passe était un prérequis pour l’activation de l’authentification directe. Lorsque vous définissiez la méthode de connexion utilisateur sur Authentification directe, l’Assistant activait à la fois l’authentification directe et la synchronisation de mot de passe. Depuis peu, la synchronisation de mot de passe ne fait plus partie des prérequis. Dans le cadre de Microsoft Entra Connect version 1.1.557.0, un changement a été apporté à Microsoft Entra Connect pour ne pas activer la synchronisation de mot de passe quand vous définissez la méthode de connexion utilisateur Authentification directe. Toutefois, le changement a été appliqué uniquement à l’installation de Microsoft Entra Connect. Avec ce correctif, cette même modification s’applique désormais à la tâche Modifier la connexion utilisateur.

    • Notez que le même problème se produit également si vous tentez d’activer ou de désactiver l’authentification unique transparente. Plus précisément, vous disposez d’un déploiement Microsoft Entra Connect existant pour lequel la synchronisation de mot de passe est désactivée, et la méthode de connexion utilisateur déjà configurée est Authentification directe. À l’aide de la tâche Modifier la connexion utilisateur, vous tentez de cocher ou de décocher l’option Activer l’authentification unique transparente alors que la méthode d’authentification utilisateur est configurée sur « Authentification directe ». Lorsque la modification est appliquée, l’Assistant active la synchronisation de mot de passe. Avec ce correctif, l’Assistant n’active plus la synchronisation de mot de passe.

  • Résolution d’un problème qui provoquait l’échec de la mise à niveau de Microsoft Entra Connect avec l’erreur « Impossible de mettre à niveau le service de synchronisation ». En outre, le service de synchronisation ne peut plus démarrer et affiche l’erreur d’événementLe service n’a pas pu démarrer, car la version de la base de données est plus récente que celle des binaires installés. Le problème se produit quand l’administrateur qui effectue la mise à niveau ne dispose pas de privilèges d’administrateur système sur le serveur SQL Server utilisé par Microsoft Entra Connect. Grâce à ce correctif, l’administrateur doit uniquement disposer du privilège db_owner sur la base de données ADSync durant la mise à niveau de Microsoft Entra Connect.

  • Résolution d’un problème de mise à niveau de Microsoft Entra Connect qui affectait les clients ayant activé l’authentification unique transparente. Une fois Microsoft Entra Connect mis à niveau, l’authentification unique transparente s’affiche à tort comme étant désactivée dans l’Assistant Microsoft Entra Connect, même si la fonctionnalité reste activée et entièrement opérationnelle. Avec ce correctif, cette fonctionnalité apparaît désormais comme étant activée dans l’Assistant.

  • Résolution d’un problème qui entraînait l’Assistant Microsoft Entra Connect à afficher systématiquement l’invite « Configurer l’ancre source » dans la page Prêt à configurer, même si aucun changement lié à l’ancre source n’avait été apporté.

  • Quand le client effectue une mise à niveau sur place manuelle de Microsoft Entra Connect, il doit fournir les informations d’identification d’administrateur général du tenant (locataire) Microsoft Entra correspondant. Auparavant, la mise à niveau pouvait avoir lieu même si les informations d’identification de l’administrateur général appartenaient à un autre tenant Microsoft Entra. Même si la mise à niveau semblait se terminer correctement, certaines configurations n’étaient pas conservées après la mise à niveau. Avec ce changement, l’Assistant empêche la mise à niveau de se poursuivre si les informations d’identification fournies ne correspondent pas à celles du tenant Microsoft Entra.

  • Suppression d’une logique redondante qui redémarrait inutilement le service Microsoft Entra Connect Health au début d’une mise à niveau manuelle.

Améliorations et nouvelles fonctionnalités

  • Ajout d’une logique pour simplifier les étapes nécessaires à la configuration de Microsoft Entra Connect avec Microsoft Germany Cloud. Auparavant, vous deviez mettre à jour des clés de Registre spécifiques sur le serveur Microsoft Entra Connect pour qu’il fonctionne correctement avec Microsoft Germany Cloud, comme indiqué dans cet article. Désormais, Microsoft Entra Connect peut détecter automatiquement si votre tenant se trouve dans Microsoft Germany Cloud en fonction des informations d’identification d’administrateur d’identités hybrides fournies durant la configuration.

Synchronisation Microsoft Entra Connect

Remarque

Remarque : Le service de synchronisation comprend une interface WMI qui vous permet de développer votre propre planificateur personnalisé. Cette interface est désormais déconseillée et sera supprimée des futures versions de Microsoft Entra Connect après le 30 juin 2018. Les clients qui souhaitent personnaliser le calendrier de synchronisation doivent utiliser le planificateur intégré.

Problèmes résolus

  • Quand l’Assistant Microsoft Entra Connect crée le compte de connecteur AD nécessaire à la synchronisation des changements apportés à l’Active Directory local, il n’affecte pas correctement au compte l’autorisation nécessaire pour lire les objets PublicFolder. Ce problème concernait l’installation Express et l’installation personnalisée. Ce problème a été résolu.

  • Résolution d’un problème concernant la page de résolution des problèmes de l’Assistant Microsoft Entra Connect, qui ne s’affichait pas correctement pour les administrateurs exécutant Windows Server 2016.

Améliorations et nouvelles fonctionnalités

  • Désormais, quand vous résolvez les problèmes de synchronisation de mot de passe à l’aide de la page Résolution des problèmes de l’Assistant Microsoft Entra Connect, cette page retourne l’état spécifique au domaine.

  • Auparavant, si vous tentiez d’activer la synchronisation de hachage du mot de passe, Microsoft Entra Connect ne vérifiait pas si le compte de connecteur AD disposait des autorisations nécessaires pour synchroniser les hachages de mot de passe à partir de l’Active Directory local. Désormais, l’Assistant Microsoft Entra Connect vérifie si le compte de connecteur AD ne dispose pas d’autorisations suffisantes, et vous avertit.

Gestion AD FS

Problème résolu

  • Résolution d’un problème lié à l’utilisation de la fonctionnalité ms-DS-ConsistencyGuid en tant qu’ancre source. Ce problème affectait les clients ayant sélectionné Fédération avec AD FS comme méthode d’authentification utilisateur. Quand vous exécutez la tâche Configurer l’ancre source dans l’Assistant, Microsoft Entra Connect se met à utiliser *ms-DS-ConsistencyGuid en tant qu’attribut source pour immutableId. Dans le cadre de ce changement, Microsoft Entra Connect tente de mettre à jour les règles de revendication pour ImmutableId dans AD FS. Toutefois, cette étape échouait, car Microsoft Entra Connect ne disposait pas des informations d’identification d’administrateur nécessaires à la configuration d’AD FS. Avec ce correctif, Microsoft Entra Connect vous invite désormais à entrer les informations d’identification d’administrateur pour AD FS quand vous exécutez la tâche Configurer l’ancre source.

1.1.614.0

État : 5 septembre 2017

Microsoft Entra Connect

Problèmes connus

  • Il existe un problème connu qui entraîne l’échec de la mise à niveau de Microsoft Entra Connect avec l’erreur « Impossible de mettre à niveau le service de synchronisation ». En outre, le service de synchronisation ne peut plus démarrer et affiche l’erreur d’événementLe service n’a pas pu démarrer, car la version de la base de données est plus récente que celle des binaires installés. Le problème se produit quand l’administrateur qui effectue la mise à niveau ne dispose pas de privilèges d’administrateur système sur le serveur SQL Server utilisé par Microsoft Entra Connect. Les autorisations Dbo ne sont pas suffisantes.

  • Il existe un problème connu avec la mise à niveau de Microsoft Entra Connect. Il affecte les clients qui ont activé l’authentification unique transparente. Une fois Microsoft Entra Connect mis à niveau, la fonctionnalité apparaît comme étant désactivée dans l’Assistant, même si elle reste activée. Un correctif pour ce problème sera fourni dans une version ultérieure. Vous pouvez résoudre ce problème d’affichage manuellement en activant l’authentification unique transparente dans l’Assistant.

Problèmes résolus

  • Résolution d’un problème qui empêchait Microsoft Entra Connect de mettre à jour les règles de revendication dans les services AD FS locaux durant l’activation de la fonctionnalité ms-DS-ConsistencyGuid en tant qu’ancre source. Le problème se produit si vous essayez d’activer la fonctionnalité pour un déploiement Microsoft Entra Connect existant pour lequel AD FS est configuré en tant que méthode de connexion. Le problème se produit parce que l’Assistant ne demande pas les informations d’identification AD FS avant d’essayer de mettre à jour les règles de revendications dans AD FS.
  • Résolution d’un problème qui entraîne l’échec de l’installation de Microsoft Entra Connect si NTLM est désactivé dans la forêt AD locale. Le problème est dû au fait que l’Assistant Microsoft Entra Connect ne fournit pas d’informations d’identification complètes au moment de la création des contextes de sécurité nécessaires à l’authentification Kerberos. Cela entraîne l’échec de l’authentification Kerberos, et l’utilisation de NTLM par l’Assistant Microsoft Entra Connect.

Synchronisation Microsoft Entra Connect

Problèmes résolus

  • Correction d’un problème qui empêche la création d’une règle de synchronisation si l’attribut Tag n’est pas renseigné.
  • Résolution d’un problème qui amène Microsoft Entra Connect à se connecter à l’Active Directory local pour la synchronisation de mot de passe à l’aide de NTLM, même si Kerberos est disponible. Ce problème se produit si la topologie AD locale contient un ou plusieurs contrôleurs de domaine qui ont été restaurés à partir d’une sauvegarde.
  • Correction d’un problème qui provoque l’exécution inutile d’étapes de synchronisation complète après la mise à niveau. En général, l’exécution d’étapes de synchronisation complète est nécessaire après la mise à niveau en cas de modifications des règles de synchronisation par défaut. Ce problème est dû à une erreur dans la logique de détection des modifications, qui détecte incorrectement une modification quand elle rencontre une expression de règle de synchronisation avec des caractères de saut de ligne. Les caractères de saut de ligne sont insérés dans une expression de règle de synchronisation pour améliorer la lisibilité.
  • Résolution d’un problème qui peut entraîner un dysfonctionnement du serveur Microsoft Entra Connect après la mise à niveau automatique. Ce problème affecte les serveurs Microsoft Entra Connect version 1.1.443.0 (ou version antérieure). Pour plus d’informations sur le problème, consultez l’article Microsoft Entra Connect ne fonctionne pas correctement après une mise à niveau automatique.
  • Correction d’un problème qui peut entraîner une nouvelle tentative de mise à niveau automatique toutes les cinq minutes quand des erreurs sont rencontrées. Avec le correctif, la mise à niveau automatique effectue une nouvelle tentative avec interruption exponentielle quand des erreurs sont rencontrées.
  • Correction d’un problème où l’événement de synchronisation du mot de passe 611 est affiché de manière incorrecte dans les journaux des événements d’application Windows avec la mention Informationnel au lieu de Erreur. L’événement 611 est généré chaque fois que la synchronisation du mot de passe rencontre un problème.
  • Résolution d’un problème dans l’Assistant Microsoft Entra Connect, qui entraîne l’activation de la fonctionnalité de réécriture de groupes sans sélectionner l’UO nécessaire à la réécriture de groupes.

Améliorations et nouvelles fonctionnalités

  • Ajout d’une tâche de résolution des problèmes à l’Assistant Microsoft Entra Connect sous Tâches supplémentaires. Les clients peuvent utiliser cette tâche pour résoudre les problèmes liés à la synchronisation du mot de passe et pour recueillir des diagnostics généraux. À l’avenir, la tâche de résolution des problèmes sera étendue pour inclure d’autres problèmes liés à la synchronisation d’annuaires.
  • Microsoft Entra Connect prend désormais en charge un nouveau mode d’installation appelé Utiliser une base de données existante. Ce mode d’installation permet aux clients d’installer Microsoft Entra Connect en spécifiant une base de données ADSync existante. Pour plus d’informations sur cette fonctionnalité, consultez l’article Utiliser une base de données existante.
  • Afin d’améliorer la sécurité, Microsoft Entra Connect utilise désormais par défaut TLS 1.2 pour se connecter à Microsoft Entra ID dans le cadre de la synchronisation d’annuaires. Auparavant, la valeur par défaut était TLS 1.0.
  • Quand l’Agent de synchronisation de mot de passe Microsoft Entra Connect démarre, il tente de se connecter au point de terminaison connu Microsoft Entra pour effectuer la synchronisation de mot de passe. Une fois la connexion établie, il est redirigé vers un point de terminaison propre à la région. Auparavant, l’agent de synchronisation des mots de passe mettait en cache le point de terminaison propre à la région jusqu’à ce qu’il soit redémarré. Désormais, l’agent efface le cache et effectue une nouvelle tentative avec le point de terminaison connu s’il rencontre un problème de connexion avec le point de terminaison propre à la région. Ce changement garantit que la synchronisation du mot de passe peut basculer vers un autre point de terminaison propre à la région quand le point de terminaison propre à la région mis en cache n’est plus disponible.
  • Pour synchroniser les modifications à partir d’une forêt AD locale, un compte de domaine AD DS est nécessaire. Vous pouvez (i) créer vous-même le compte AD DS et fournir ses informations d’identification à Microsoft Entra Connect, ou (ii) fournir les informations d’identification d’un administrateur d’entreprise et laisser Microsoft Entra Connect créer le compte AD DS à votre place. Auparavant, (i) était l’option par défaut dans l’Assistant Microsoft Entra Connect. Désormais, il s’agit de l’option (ii).

Microsoft Entra Connect Health

Améliorations et nouvelles fonctionnalités

  • Ajout de la prise en charge de Microsoft Azure Government Cloud et Microsoft Cloud Germany.

Gestion AD FS

Problèmes résolus

  • L’applet de commande Initialize-ADSyncNGCKeysWriteBack dans le module PowerShell de préparation AD appliquait incorrectement les listes ACL au conteneur d’inscription de l’appareil, et n’héritait par conséquent que des autorisations existantes. Une mise à jour a été appliquée afin que le compte de service de synchronisation dispose des autorisations appropriées.

Améliorations et nouvelles fonctionnalités

  • La tâche Vérifier la connexion ADFS de Microsoft Entra Connect a été mise à jour pour vérifier les connexions par rapport à Microsoft Online, et pas seulement la récupération de jeton à partir d’ADFS.
  • Si vous configurez une nouvelle batterie ADFS à l’aide de Microsoft Entra Connect, la page de demande d’informations d’identification ADFS a été déplacée. Elle s’affiche désormais avant que l’utilisateur ne soit invité à spécifier les serveurs ADFS et WAP. Cela permet à Microsoft Entra Connect de vérifier que le compte spécifié dispose des autorisations appropriées.
  • En cas de mise à niveau de Microsoft Entra Connect, nous ne faisons plus échouer l’opération si l’approbation Microsoft Entra ID ADFS ne parvient pas à se mettre à jour. Si cela se produit, l’utilisateur voit s’afficher le message d’avertissement approprié, et doit réinitialiser l’approbation via la tâche supplémentaire Microsoft Entra Connect.

Authentification unique transparente

Problèmes résolus

  • Résolution d’un problème qui amène l’Assistant Microsoft Entra Connect à retourner une erreur si vous tentez d’activer l’authentification unique transparente. Le message d’erreur est « Échec de la configuration de l’agent d’authentification Microsoft Entra Connect ». Ce problème affecte les clients existants qui avaient manuellement mis à niveau la préversion des agents d’authentification pour l’authentification directe d’après les étapes décrites dans cet article.

1.1.561.0

État : 23 juillet 2017

Microsoft Entra Connect

Problème résolu

  • Correction d’un problème qui provoquait la suppression de la règle de synchronisation prête à l’emploi « Out to AD - user ImmutableId » :

    • Le problème se produit quand Microsoft Entra Connect est mis à niveau, ou quand l’option de tâche Mettre à jour la configuration de la synchronisation de l’Assistant Microsoft Entra Connect est utilisée pour mettre à jour la configuration de la synchronisation Microsoft Entra Connect.

    • Cette règle de synchronisation s’applique aux clients qui ont activé la fonctionnalité ms-DS-ConsistencyGuid en tant qu’ancre source. Cette fonctionnalité a été introduite dans la version 1.1.524.0 et les versions ultérieures. Quand la règle de synchronisation est supprimée, Microsoft Entra Connect ne peut plus remplir l’attribut ms-DS-ConsistencyGuid de l’Active Directory local avec la valeur de l’attribut ObjectGuid. Cela n’empêche pas le provisionnement de nouveaux utilisateurs dans Microsoft Entra ID.

    • Le correctif garantit que la règle de synchronisation ne sera plus supprimée pendant la mise à niveau, ou au cours de la modification de la configuration, tant que la fonctionnalité est activée. Pour les clients existants qui ont été affectés par ce problème, le correctif vérifie également que la règle de synchronisation est rajoutée après la mise à niveau vers cette version de Microsoft Entra Connect.

  • Correction d’un problème qui oblige les règles de synchronisation prédéfinies à avoir une valeur de précédence inférieure à 100 :

    • En général, les valeurs de précédence 0 - 99 sont réservées aux règles de synchronisation personnalisées. Au cours de la mise à niveau, les valeurs de précédence des règles de synchronisation prêtes à l’emploi sont mises à jour pour prendre en compte les modifications apportées aux règles de synchronisation. En raison de ce problème, les règles de synchronisation prêtes à l’emploi peuvent se voir attribuer une valeur de précédence inférieure à 100.

    • Le correctif empêche l’apparition du problème au cours d’une mise à niveau. Toutefois, il ne restaure pas les valeurs de précédence pour les clients existants ayant été affectés par le problème. Un correctif distinct sera fourni ultérieurement afin de faciliter la restauration.

  • Résolution d’un problème où l’écran Filtrage par domaine ou unité d’organisation de l’Assistant Microsoft Entra Connect affiche l’option Synchroniser tous les domaines et toutes les unités d’organisation comme étant sélectionnée, même si le filtrage basé sur une UO est activé.

  • Correction d’un problème qui entraînait l’affichage d’une erreur par l’écran Configurer des partitions d’annuaire de Synchronization Service Manager lorsque l’utilisateur cliquait sur le bouton Actualiser. Le message d’erreur est le suivant : « An error was encountered while refreshing domains: Unable to cast object of type ‘System.Collections.ArrayList’ to type ‘Microsoft.DirectoryServices.MetadirectoryServices.UI.PropertySheetBase.MaPropertyPages.PartitionObject » (Une erreur s’est produite lors de l’actualisation des domaines : impossible de convertir l’objet de type 'System.Collections.ArrayList' en type 'Microsoft.DirectoryServices.MetadirectoryServices.UI.PropertySheetBase.MaPropertyPages.PartitionObject). L’erreur se produit quand un nouveau domaine AD (Active Directory) est ajouté à une forêt Active Directory existante, et que vous essayez de mettre à jour Microsoft Entra Connect à l’aide du bouton Actualiser.

Améliorations et nouvelles fonctionnalités

  • Lafonctionnalité de mise à niveau automatique a été développée pour prendre en charge des clients présentant les configurations suivantes :

    • Vous avez activé la fonctionnalité Écriture différée des appareils.
    • Vous avez activé la fonctionnalité Écriture différée des groupes.
    • L’installation n’est pas une configuration rapide ou une mise à niveau DirSync.
    • Vous avez plus de 100 000 objets dans le métaverse.
    • Vous vous connectez à plusieurs forêts. L’installation rapide se connecte à une seule forêt.
    • Le compte de connecteur AD n’est plus le compte Microsoft Graph PowerShell par défaut.
    • Le serveur est défini sur le mode de transit.
    • Vous avez activé la fonctionnalité Écriture différée des utilisateurs.

    Remarque

    L’extension de l’étendue de la fonctionnalité de mise à niveau automatique affecte les clients disposant de Microsoft Entra Connect build 1.1.105.0 et version ultérieure. Si vous ne souhaitez pas que votre serveur Microsoft Entra Connect soit automatiquement mis à niveau, vous devez exécuter la cmdlet suivante sur votre serveur Microsoft Entra Connect : Set-ADSyncAutoUpgrade -AutoUpgradeState disabled. Pour plus d’informations sur l’activation/la désactivation de la mise à niveau automatique, consultez l’article Microsoft Entra Connect : Mise à niveau automatique.

1.1.558.0

État : ne sera pas mise en production. Les modifications apportées à ce build sont incluses dans la version 1.1.561.0.

Microsoft Entra Connect

Problème résolu

  • Correction d’un problème qui provoquait la suppression de la règle de synchronisation prête à l’emploi « Out to AD - user ImmutableId » lors de la mise à jour de la configuration de filtrage basé sur une unité d’organisation. Cette règle de synchronisation est requise pour la fonctionnalité ms-DS-ConsistencyGuid en tant qu’ancre source.

  • Résolution d’un problème où l’écran Filtrage par domaine ou unité d’organisation de l’Assistant Microsoft Entra Connect affiche l’option Synchroniser tous les domaines et toutes les unités d’organisation comme étant sélectionnée, même si le filtrage basé sur une UO est activé.

  • Correction d’un problème qui entraînait l’affichage d’une erreur par l’écran Configurer des partitions d’annuaire de Synchronization Service Manager lorsque l’utilisateur cliquait sur le bouton Actualiser. Le message d’erreur est le suivant : « An error was encountered while refreshing domains: Unable to cast object of type ‘System.Collections.ArrayList’ to type ‘Microsoft.DirectoryServices.MetadirectoryServices.UI.PropertySheetBase.MaPropertyPages.PartitionObject » (Une erreur s’est produite lors de l’actualisation des domaines : impossible de convertir l’objet de type 'System.Collections.ArrayList' en type 'Microsoft.DirectoryServices.MetadirectoryServices.UI.PropertySheetBase.MaPropertyPages.PartitionObject). L’erreur se produit quand un nouveau domaine AD (Active Directory) est ajouté à une forêt Active Directory existante, et que vous essayez de mettre à jour Microsoft Entra Connect à l’aide du bouton Actualiser.

Améliorations et nouvelles fonctionnalités

  • Lafonctionnalité de mise à niveau automatique a été développée pour prendre en charge des clients présentant les configurations suivantes :

    • Vous avez activé la fonctionnalité Écriture différée des appareils.
    • Vous avez activé la fonctionnalité Écriture différée des groupes.
    • L’installation n’est pas une configuration rapide ou une mise à niveau DirSync.
    • Vous avez plus de 100 000 objets dans le métaverse.
    • Vous vous connectez à plusieurs forêts. L’installation rapide se connecte à une seule forêt.
    • Le compte de connecteur AD n’est plus le compte Microsoft Graph PowerShell par défaut.
    • Le serveur est défini sur le mode de transit.
    • Vous avez activé la fonctionnalité Écriture différée des utilisateurs.

    Remarque

    L’extension de l’étendue de la fonctionnalité de mise à niveau automatique affecte les clients disposant de Microsoft Entra Connect build 1.1.105.0 et version ultérieure. Si vous ne souhaitez pas que votre serveur Microsoft Entra Connect soit automatiquement mis à niveau, vous devez exécuter la cmdlet suivante sur votre serveur Microsoft Entra Connect : Set-ADSyncAutoUpgrade -AutoUpgradeState disabled. Pour plus d’informations sur l’activation/la désactivation de la mise à niveau automatique, consultez l’article Microsoft Entra Connect : Mise à niveau automatique.

1.1.557.0

État : Juillet 2017

Remarque

Cette build n’est pas disponible pour les clients via la fonctionnalité de mise à niveau automatique de Microsoft Entra Connect.

Microsoft Entra Connect

Problème résolu

  • Correction d’un problème lié à la cmdlet Initialize-ADSyncDomainJoinedComputerSync, qui modifiait le domaine vérifié configuré sur l’objet de point de connexion de service existant, même si ce domaine était toujours valide. Ce problème se produit quand votre tenant (locataire) Microsoft Entra comporte plusieurs domaines vérifiés qui peuvent être utilisés pour la configuration du point de connexion de service.

Améliorations et nouvelles fonctionnalités

  • La réécriture du mot de passe est désormais disponible en version préliminaire avec le cloud Microsoft Azure Government et Microsoft Cloud Allemagne. Pour plus d’informations sur la prise en charge de Microsoft Entra Connect pour les différentes instances de service, consultez l’article Microsoft Entra Connect : Considérations spéciales pour les instances.

  • La cmdlet Initialize-ADSyncDomainJoinedComputerSync dispose désormais d’un nouveau paramètre facultatif, nommé AzureADDomain. Ce paramètre vous permet d’indiquer quel domaine vérifié doit être utilisé pour configurer le point de connexion de service.

Authentification directe

Améliorations et nouvelles fonctionnalités

  • Le nom de l’agent nécessaire pour l’authentification directe a changé. Il est passé de Connecteur du Proxy d’application Microsoft Entra à Agent d’authentification Microsoft Entra Connect.

  • L’activation de l’authentification directe ne permet plus la synchronisation du hachage de mot de passe par défaut.

1.1.553.0

État : Juin 2017

Important

Des modifications de schéma et de règle de synchronisation ont été introduites dans cette build. Le service de synchronisation Microsoft Entra Connect déclenche les étapes d’importation intégrale et de synchronisation complète après la mise à niveau. Ces modifications sont décrites en détail ci-dessous. Consultez l’article Comment différer la synchronisation complète après la mise à niveau pour reporter temporairement les étapes d’importation et de synchronisation complètes après la mise à niveau.

Synchronisation Microsoft Entra Connect

Problème connu

  • Il existe un problème qui affecte les clients utilisant le filtrage basé sur une unité d’organisation avec Microsoft Entra Connect Sync. Quand vous accédez à la page Filtrage par domaine ou unité d’organisation de l’Assistant Microsoft Entra Connect, le comportement suivant est attendu :
    • Si le filtrage basé sur une unité d’organisation est activé, l’option Synchroniser les domaines et les unités d’organisation sélectionnés est sélectionnée.
    • Dans le cas contraire, l’option Synchroniser tous les domaines et toutes les unités d’organisation est sélectionnée.

Le problème qui se pose est le suivant : l’option Synchroniser tous les domaines et toutes les unités d’organisation est toujours sélectionnée lorsque vous exécutez l’Assistant. Cela se produit même si le filtrage basé sur une unité d’organisation a été configuré précédemment. Avant d’enregistrer les changements apportés à la configuration de Microsoft Entra Connect, vérifiez que l’option Synchroniser les domaines et les unités d’organisation sélectionnés est sélectionnée, puis vérifiez que toutes les UO à synchroniser sont à nouveau activées. Dans le cas contraire, le filtrage basé sur une unité d’organisation sera désactivé.

Problèmes résolus

  • Résolution d’un problème lié à la réécriture du mot de passe, qui permet à un administrateur Microsoft Entra de réinitialiser le mot de passe d’un compte d’utilisateur privilégié de l’Active Directory local. Le problème se produit quand Microsoft Entra Connect se voit octroyer l’autorisation Réinitialiser le mot de passe pour le compte privilégié. Le problème est résolu dans cette version de Microsoft Entra Connect, car l’administrateur Microsoft Entra n’est plus autorisé à réinitialiser le mot de passe d’un compte d’utilisateur privilégié arbitraire d’un Active Directory local, sauf si l’administrateur est le propriétaire de ce compte. Pour en savoir plus, voir Avis de sécurité Microsoft 4033453.

  • Résolution d’un problème lié à la fonctionnalité ms-DS-ConsistencyGuid en tant qu’ancre source, où Microsoft Entra Connect n’effectue pas de réécriture dans l’attribut ms-DS-ConsistencyGuid de l’Active Directory local. Le problème se produit quand plusieurs forêts AD locales sont ajoutées à Microsoft Entra Connect et que l’option Les identités d’utilisateur existent sur plusieurs annuaires est sélectionnée. Lorsqu’une configuration de ce type est utilisée, les règles de synchronisation résultantes ne remplissent pas l’attribut sourceAnchorBinary dans le métaverse. L’attribut sourceAnchorBinary est utilisé en tant qu’attribut source pour l’attribut ms-DS-ConsistencyGuid. Par conséquent, l’écriture différée vers l’attribut ms-DSConsistencyGuid n’a pas lieu. Afin de résoudre le problème, les règles de synchronisation suivantes ont été mises à jour pour faire en sorte que l’attribut sourceAnchorBinary du métaverse soit toujours rempli :

    • In from AD - InetOrgPerson AccountEnabled.xml
    • In from AD - InetOrgPerson Common.xml
    • In from AD - User AccountEnabled.xml
    • In from AD - User Common.xml
    • In from AD - User Join SOAInAAD.xml
  • Auparavant, même si la fonctionnalité ms-DS-ConsistencyGuid en tant qu’ancre source n’était pas activée, la règle de synchronisation « Out to AD - User ImmutableId » était toujours ajoutée à Microsoft Entra Connect. L’effet est sans gravité et n’entraîne pas la réécriture de l’attribut ms-DS-ConsistencyGuid. Pour éviter toute confusion, nous avons ajouté une logique pour vous assurer que la règle de synchronisation n’est ajoutée que lorsque la fonctionnalité est activée.

  • Correction d’un problème qui provoquait l’échec de la synchronisation du hachage de mot de passe avec l’événement d’erreur 611. Ce problème se produit après qu’un ou plusieurs contrôleurs de domaine ont été supprimés de l’instance AD locale. À la fin de chaque cycle de synchronisation de mot de passe, le cookie de synchronisation émis par l’instance AD locale contient les ID d’appel des contrôleurs de domaine supprimés, avec 0 comme valeur USN (numéro de séquence de mise à jour). Le Gestionnaire de synchronisation des mots de passe ne parvient pas à conserver le cookie de synchronisation contenant la valeur USN de 0 et échoue avec l’événement d’erreur 611. Lors du prochain cycle de synchronisation, le Gestionnaire de synchronisation des mots de passe réutilise le dernier cookie de synchronisation persistant qui ne contient aucune valeur USN égale à 0. Cela entraîne la resynchronisation des mêmes modifications apportées aux mots de passe. Grâce à ce correctif, le Gestionnaire de synchronisation des mots de passe conserve correctement le cookie de synchronisation.

  • Auparavant, même si la mise à niveau automatique était désactivée à l’aide de la cmdlet Set-ADSyncAutoUpgrade, le processus de mise à niveau automatique continuait de vérifier régulièrement les mises à niveau et s’appuyait sur le programme d’installation téléchargé pour respecter la désactivation. Grâce à ce correctif, le processus de mise à niveau automatique ne vérifie plus les mises à niveau régulièrement. Le correctif est automatiquement appliqué quand le programme d’installation de la mise à niveau de cette version de Microsoft Entra Connect est exécuté une fois.

Améliorations et nouvelles fonctionnalités

  • Auparavant, la fonctionnalité ms-DS-ConsistencyGuid en tant qu’ancre source n’était disponible que pour les nouveaux déploiements. Désormais, elle est disponible pour les déploiements existants. Plus précisément :

    • Pour accéder à la fonctionnalité, démarrez l’Assistant Microsoft Entra Connect, puis choisissez l’option Mettre à jour l’ancre source.
    • Cette option n’est visible que pour les déploiements existants qui utilisent objectGuid comme attribut sourceAnchor.
    • Quand vous configurez l’option, l’assistant vérifie l’état de l’attribut ms-DS-ConsistencyGuid dans votre annuaire Active Directory local. Si l’attribut n’est configuré sur aucun objet utilisateur dans l’annuaire, l’assistant utilise ms-DS-ConsistencyGuid en tant qu’attribut Ancre source. Si l’attribut est configuré sur un ou plusieurs objets utilisateur dans l’annuaire, l’assistant détermine que l’attribut est utilisé par d’autres applications, qu’il n’est pas approprié en tant qu’attribut sourceAnchor et n’autorise pas le processus de modification de sourceAnchor à se poursuivre. Si vous êtes certain qu’attribut n’est pas utilisé par des applications existantes, contactez le Support technique pour plus d’informations sur la manière de supprimer l’erreur.
  • Pour l’attribut userCertificate sur les objets d’appareil, Microsoft Entra Connect recherche désormais les valeurs de certificats nécessaires pour connecter des appareils joints à un domaine à l’expérience Microsoft Entra ID pour Windows 10, puis filtre le reste avant de se synchroniser à Microsoft Entra ID. Pour activer ce comportement, la règle de synchronisation prête à l’emploi « Out to Microsoft Entra ID - Device Join SOAInAD » a été mise à jour.

  • Microsoft Entra Connect prend désormais en charge la réécriture de l’attribut cloudPublicDelegates d’Exchange Online vers l’attribut publicDelegates de l’Active Directory local. Cela permet à une boîte aux lettres Exchange Online d’obtenir des droits SendOnBehalfTo sur les boîtes aux lettres Exchange locales des utilisateurs. Une nouvelle règle de synchronisation prête à l’emploi « Out to AD - User Exchange hybride PublicDelegates writeback » a été ajoutée pour prendre en charge cette fonctionnalité. Cette règle de synchronisation est ajoutée à Microsoft Entra Connect uniquement quand la fonctionnalité Exchange hybride est activée.

  • Microsoft Entra Connect prend désormais en charge la synchronisation de l’attribut altRecipient à partir de Microsoft Entra ID. Afin de prendre en charge cette modification, les règles de synchronisation prêtes à l’emploi suivantes ont été mises à jour pour inclure le flux d’attributs requis :

    • Entrant depuis AD – Utilisateur Exchange
    • Out to Microsoft Entra ID - User ExchangeOnline
  • L’attribut cloudSOAExchMailbox du métaverse indique si un utilisateur donné possède une boîte aux lettres Exchange Online ou non. Sa définition a été mise à jour pour inclure les autres types RecipientDisplayTypes d’Exchange Online en tant que boîtes aux lettres de salle de conférence et d’équipement. Pour activer ce changement, la définition de l’attribut cloudSOAExchMailbox, qui se trouve sous la règle de synchronisation prête à l’emploi « In from Microsoft Entra ID - User Exchange Hybrid », a été mise à jour à partir de :

    CBool(IIF(IsNullOrEmpty([cloudMSExchRecipientDisplayType]),NULL,BitAnd([cloudMSExchRecipientDisplayType],&amp;HFF) = 0))
    

    ... vers ce qui suit :

    CBool(
      IIF(IsPresent([cloudMSExchRecipientDisplayType]),(
        IIF([cloudMSExchRecipientDisplayType]=0,True,(
          IIF([cloudMSExchRecipientDisplayType]=2,True,(
            IIF([cloudMSExchRecipientDisplayType]=7,True,(
              IIF([cloudMSExchRecipientDisplayType]=8,True,(
                IIF([cloudMSExchRecipientDisplayType]=10,True,(
                  IIF([cloudMSExchRecipientDisplayType]=16,True,(
                    IIF([cloudMSExchRecipientDisplayType]=17,True,(
                      IIF([cloudMSExchRecipientDisplayType]=18,True,(
                        IIF([cloudMSExchRecipientDisplayType]=1073741824,True,(
                          IF([cloudMSExchRecipientDisplayType]=1073741840,True,False)))))))))))))))))))),False))
    
  • Ajout de l’ensemble de fonctions X509Certificate2-compatible pour la création d’expressions de règle de synchronisation pour gérer les valeurs de certificat dans l’attribut userCertificate :

    • CertSubject
    • CertIssuer
    • CertKeyAlgorithm
    • CertSubjectNameDN
    • CertIssuerOid
    • CertNameInfo
    • CertSubjectNameOid
    • CertIssuerDN
    • IsCert
    • CertFriendlyName
    • CertThumbprint
    • CertExtensionOids
    • CertFormat
    • CertNotAfter
    • CertPublicKeyOid
    • CertSerialNumber
    • CertNotBefore
    • CertPublicKeyParametersOid
    • CertVersion
    • CertSignatureAlgorithmOid
    • Sélectionnez
    • CertKeyAlgorithmParams
    • CertHashString
    • Where
    • With
  • Les modifications de schéma suivantes ont été introduites pour permettre aux clients de créer des règles de synchronisation personnalisées afin de suivre les paramètres sAMAccountName, domainNetBios et domainFQDN pour les objets de groupe, ainsi que le paramètre distinguishedName pour les objets utilisateur :

    • Les attributs suivants ont été ajoutés au schéma MV :

      • Groupe : AccountName
      • Groupe : domainNetBios
      • Groupe : domainFQDN
      • Personne : distinguishedName
    • Les attributs suivants ont été ajoutés au schéma du connecteur Microsoft Entra :

      • Groupe : OnPremisesSamAccountName
      • Groupe : NetBiosName
      • Groupe : DnsDomainName
      • Utilisateur : OnPremisesDistinguishedName
  • Le script de la cmdlet ADSyncDomainJoinedComputerSync dispose d’un nouveau paramètre facultatif, nommé AzureEnvironment. Le paramètre est utilisé pour spécifier la région dans laquelle le tenant Microsoft Entra correspondant est hébergé. Les valeurs valides sont les suivantes :

    • AzureCloud (par défaut)
    • AzureChinaCloud
    • AzureGermanyCloud
    • USGovernment
  • Éditeur de règle de synchronisation mis à jour afin d’utiliser la valeur Joindre (et non plus Approvisionner) en tant que valeur par défaut du type de lien lors de la création de règle de synchronisation.

Gestion AD FS.

Problèmes résolus

  • Les URL suivantes correspondent à de nouveaux points de terminaison WS-Federation introduits par Microsoft Entra ID pour améliorer la résilience face aux pannes d’authentification. Elles seront ajoutées à la configuration de l’approbation de partie de confiance AD FS locale :

  • Correction d’un problème qui forçait ADFS à générer une valeur de revendication incorrecte pour IssuerID. Le problème se produit s’il existe plusieurs domaines vérifiés dans le tenant Microsoft Entra, et si le suffixe de domaine de l’attribut userPrincipalName utilisé pour générer la revendication IssuerID comporte au moins 3 niveaux de profondeur (par exemple johndoe@us.contoso.com). Le problème est résolu, grâce à la mise à jour de l’expression régulière utilisée par les règles de revendication.

Améliorations et nouvelles fonctionnalités

  • Auparavant, la fonctionnalité de gestion des certificats ADFS fournie par Microsoft Entra Connect pouvait uniquement être utilisée avec les batteries ADFS gérées via Microsoft Entra Connect. Vous pouvez désormais utiliser la fonctionnalité avec les batteries ADFS qui ne sont pas managées à l’aide de Microsoft Entra Connect.

1.1.524.0

Publication : Mai 2017

Important

Des modifications de schéma et de règle de synchronisation ont été introduites dans cette build. Le service de synchronisation Microsoft Entra Connect déclenche les étapes d’importation intégrale et de synchronisation complète après la mise à niveau. Ces modifications sont décrites en détail ci-dessous.

Problèmes résolus :

Synchronisation Microsoft Entra Connect

  • Résolution d’un problème entraînant une mise à niveau automatique sur le serveur Microsoft Entra Connect même si le client a désactivé la fonctionnalité à l’aide de la cmdlet Set-ADSyncAutoUpgrade. Avec ce correctif, le processus de mise à niveau automatique sur le serveur continue de vérifier régulièrement la disponibilité des mises à niveau, mais le programme d’installation téléchargé respecte la configuration de la mise à niveau automatique.
  • Durant la mise à niveau sur place de DirSync, Microsoft Entra Connect crée un compte de service Microsoft Entra à utiliser par le connecteur Microsoft Entra pour la synchronisation avec Microsoft Entra ID. Une fois le compte créé, Microsoft Entra Connect s’authentifie avec Microsoft Entra ID à l’aide du compte. Parfois, l’authentification échoue en raison de problèmes temporaires, ce qui entraîne l’échec de la mise à niveau sur place de DirSync avec l’erreur « Une erreur s’est produite au moment de l’exécution de la tâche Configurer Azure AD Sync : AADSTS50034 : Pour que vous puissiez vous connecter à cette application, le compte doit être ajouté à l’annuaire xxx.onmicrosoft.com. » Pour améliorer la résilience de la mise à niveau de DirSync, Microsoft Entra Connect retente désormais l’étape d’authentification.
  • Un problème dans la build 443 avait pour effet que la mise à niveau sur place de DirSync réussissait, mais que les profils d’exécution requis pour la synchronisation d’annuaires n’étaient pas créés. Une logique de réparation est incluse dans cette build de Microsoft Entra Connect. Quand le client effectue la mise à niveau vers cette build, Microsoft Entra Connect détecte les profils d’exécution manquants et les crée.
  • Correction d’un problème entraînant l’échec du démarrage du processus de synchronisation de mot de passe avec l’ID d’événement 6900 et l’erreur « Un élément avec la même clé a déjà été ajouté » . Ce problème se produit si vous mettez à jour la configuration du filtrage de l’unité d’organisation afin d’inclure la partition de configuration Active Directory. Pour résoudre ce problème, le processus de synchronisation de mot de passe synchronise désormais les changements de mot de passe uniquement à partir de partitions de domaine Active Directory. Les partitions autres que de domaine, telles que les partitions de configuration sont ignorées.
  • Durant l’installation en mode Express, Microsoft Entra Connect crée un compte AD DS local qui est utilisé par le connecteur AD pour communiquer avec l’Active Directory local. Auparavant, le compte était créé avec l’indicateur PASSWD_NOTREQD défini sur l’attribut de contrôle de compte d’utilisateur (user-Account-Control), et un mot de passe aléatoire était défini sur le compte. Désormais, Microsoft Entra Connect supprime explicitement l’indicateur PASSWD_NOTREQD, une fois le mot de passe défini pour le compte.
  • Correction d’un problème qui entraînait l’échec de la mise à niveau de DirSync avec l’erreur « a deadlock occurred in sql server which trying to acquire an application lock » (un blocage s’est produit dans sql server qui tente d’acquérir un verrou d’application) lorsque l’attribut mailNickname figure dans le schéma AD local, mais n’est pas limité à la classe d’objets utilisateur AD.
  • Résolution d’un problème qui entraînait la désactivation automatique de la fonctionnalité de réécriture d’appareil quand un administrateur mettait à jour la configuration de Microsoft Entra Connect Sync à l’aide de l’Assistant Microsoft Entra Connect. Ce problème résultait du fait que l’Assistant vérifiait les prérequis de la configuration existante de la réécriture d’appareil dans la version locale d’AD ; or cette vérification échouait. La solution consiste à ignorer la vérification si l’écriture différée d’appareil est déjà activée.
  • Pour configurer le filtrage par UO, vous pouvez utiliser l’Assistant Microsoft Entra Connect ou Synchronization Service Manager. Auparavant, si vous utilisiez l’Assistant Microsoft Entra Connect pour configurer le filtrage par UO, les nouvelles UO créées par la suite étaient incluses dans la synchronisation d’annuaires. Si vous ne souhaitiez pas que les nouvelles unités d’organisation soient incluses, vous deviez configurer le filtrage de l’unité d’organisation à l’aide de Synchronization Service Manager. Vous pouvez désormais obtenir le même comportement à l’aide de l’Assistant Microsoft Entra Connect.
  • Résolution d’un problème qui entraînait la création des procédures stockées nécessaires à Microsoft Entra Connect sous le schéma de l’administrateur chargé de l’installation, et non sous le schéma dbo.
  • Résolution d’un problème dû au fait que l’attribut TrackingId retourné par Microsoft Entra ID était omis dans les journaux des événements du serveur Microsoft Entra Connect. Le problème se produit si Microsoft Entra Connect reçoit un message de redirection à partir de Microsoft Entra ID, et que Microsoft Entra Connect ne parvient pas à se connecter au point de terminaison fourni. Le TrackingId est utilisé par les ingénieurs du Support pour établir une corrélation avec les journaux d’activité côté service lors du dépannage.
  • Quand Microsoft Entra Connect reçoit l’erreur LargeObject de Microsoft Entra ID, Microsoft Entra Connect génère un événement ayant l’EventID 6941 ainsi que le message « L’objet provisionné est trop volumineux. Réduisez le nombre de valeurs d’attribut sur cet objet. » En même temps, Microsoft Entra Connect génère également un événement trompeur ayant l’EventID 6900 ainsi que le message « Microsoft.Online.Coexistence.ProvisionRetryException : Impossible de communiquer avec le service Windows Azure Active Directory ». Pour réduire les risques de confusion, Microsoft Entra Connect ne génère plus cet événement quand une erreur LargeObject est reçue.
  • Résolution d’un problème qui avait pour effet que Synchronization Service Manager cessait de répondre en cas de tentative de mise à jour de la configuration d’un connecteur LDAP générique.

Nouvelles fonctionnalités/améliorations :

Synchronisation Microsoft Entra Connect

  • Changements de règle de synchronisation - les changements de règle de synchronisation suivants ont été implémentés :

    • Mise à jour de la règle de synchronisation par défaut définie pour ne pas exporter les attributs userCertificate et userSMIMECertificate si ceux-ci comportent plus de 15 valeurs.
    • Les attributs AD employeeID et msExchBypassModerationLink sont désormais inclus dans l’ensemble de règles de synchronisation par défaut.
    • L’attribut AD photo a été supprimé de l’ensemble de règles de synchronisation par défaut.
    • Ajout de preferredDataLocation au schéma de métaverse et au schéma du connecteur Microsoft Entra. Les clients qui souhaitent mettre à jour l’un des attributs dans Microsoft Entra ID peuvent implémenter des règles de synchronisation personnalisées à cette fin.
    • Ajout de userType au schéma de métaverse et au schéma du connecteur Microsoft Entra. Les clients qui souhaitent mettre à jour l’un des attributs dans Microsoft Entra ID peuvent implémenter des règles de synchronisation personnalisées à cette fin.
  • Microsoft Entra Connect active désormais automatiquement l’utilisation de l’attribut ConsistencyGuid en tant qu’attribut d’ancre source pour les objets Active Directory locaux. De plus, Microsoft Entra Connect remplit l’attribut ConsistencyGuid avec la valeur de l’attribut objectGuid, s’il est vide. Cette fonctionnalité s’applique uniquement au nouveau déploiement. Pour en savoir plus sur cette fonctionnalité, consultez la section de l’article Microsoft Entra Connect : Concepts de conception - Utilisation de ms-DS-ConsistencyGuid en tant qu’attribut sourceAnchor.

  • Une nouvelle applet de commande de dépannage Invoke-ADSyncDiagnostics a été ajoutée pour faciliter le diagnostic des problèmes de synchronisation de hachage de mot de passe. Pour plus d’informations sur l’utilisation de la cmdlet, consultez l’article Résoudre les problèmes de synchronisation de hachage du mot de passe avec Microsoft Entra Connect Sync.

  • Microsoft Entra Connect prend désormais en charge la synchronisation d’objets Dossier public à extension messagerie d’un Active Directory local vers Microsoft Entra ID. Vous pouvez activer la fonctionnalité à l’aide de l’Assistant Microsoft Entra Connect accessible sous Fonctionnalités facultatives. Pour en savoir plus sur cette fonctionnalité, consultez l’article relatif à la prise en charge du blocage du périmètre basé sur l’annuaire par Office 365 pour les dossiers publics activés par courrier en local.

  • Microsoft Entra Connect nécessite la synchronisation d’un compte AD DS à partir de l’Active Directory local. Auparavant, si vous installiez Microsoft Entra Connect en mode Express, vous pouviez fournir les informations d’identification d’un compte Administrateur d’entreprise. Microsoft Entra Connect créait le compte AD DS nécessaire. Toutefois, vous deviez fournir le compte AD DS pour une installation personnalisée et pour l’ajout de forêts à un déploiement existant. Désormais, vous pouvez également fournir les informations d’identification d’un compte Administrateur d’entreprise durant une installation personnalisée, et laisser Microsoft Entra Connect créer le compte AD DS nécessaire.

  • Microsoft Entra Connect prend désormais en charge SQL AOA. Vous devez activer SQL AOA avant d’installer Microsoft Entra Connect. Pendant l’installation, Microsoft Entra Connect détecte si l’instance SQL spécifiée est activée ou non pour SQL AOA. Si SQL AOA est activé, Microsoft Entra Connect détermine si SQL AOA est configuré pour utiliser une réplication synchrone ou asynchrone. Lorsque vous configurez l’écouteur de groupe de disponibilité, il est recommandé de définir la propriété RegisterAllProvidersIP sur 0. En effet, Microsoft Entra Connect utilise SQL Native Client pour se connecter à SQL, et SQL Native Client ne prend pas en charge l’utilisation de la propriété MultiSubNetFailover.

  • Si vous utilisez Base de données locale (LocalDB) en tant que base de données pour votre serveur Microsoft Entra Connect, et si vous avez atteint sa limite de taille de 10 Go, le service de synchronisation ne démarre plus. Auparavant, vous deviez effectuer l’opération ShrinkDatabase sur la base de données locale pour récupérer un espace de base de données suffisant pour permettre le démarrage du service de synchronisation. Ensuite, vous pouviez utiliser Synchronization Service Manager pour supprimer l’historique d’exécution afin de récupérer davantage d’espace de base de données. Désormais, vous pouvez utiliser l’applet de commande Start-ADSyncPurgeRunHistory pour purger des données de l’historique d’exécution de la base de données locale afin de récupérer de l’espace de base de données. En outre, cette applet de commande prend en charge un mode hors connexion (en spécifiant le paramètre - offline) qui peut être utilisé lorsque le service de synchronisation ne s’exécute pas. Remarque : le mode hors connexion est utilisable uniquement si le service de synchronisation n’est pas en cours d’exécution et si la base de données utilisée est la base de données locale.

  • Pour réduire la quantité d’espace de stockage nécessaire, Microsoft Entra Connect compresse désormais les détails des erreurs de synchronisation avant de les stocker dans les bases de données Base de données locale (LocalDB)/SQL. Durant la mise à niveau d’une ancienne version de Microsoft Entra Connect vers cette version, Microsoft Entra Connect effectue une compression unique des détails d’erreur de synchronisation existants.

  • Précédemment, après mise à jour de la configuration du filtrage de l’unité d’organisation, vous deviez exécuter manuellement une importation complète pour être certain que les objets existants soient correctement inclus ou exclus dans la synchronisation d’annuaires. Désormais, Microsoft Entra Connect déclenche automatiquement une importation intégrale au cours du prochain cycle de synchronisation. De plus, l’importation complète s’applique uniquement aux connecteurs AD affectés par la mise à jour. Remarque : Cette amélioration s’applique uniquement aux mises à jour du filtrage par UO effectuées à l’aide de l’Assistant Microsoft Entra Connect. Elle ne s’applique pas à une mise à jour du filtrage de l’unité d’organisation effectuée à l’aide de Synchronization Service Manager.

  • Auparavant, le filtrage de groupe prenait en charge uniquement les objets Utilisateurs, Groupes et Contacts. Désormais, le filtrage de groupe prend également en charge les objets Ordinateur.

  • Auparavant, vous pouviez supprimer les données de l’espace connecteur (Connector Space) sans désactiver le planificateur Microsoft Entra Connect Sync. Désormais, Synchronization Service Manager bloque la suppression des données de l’espace connecteur s’il détecte que le planificateur est activé. De plus, un avertissement est renvoyé pour informer les utilisateurs concernant une perte potentielle de données en cas de suppression des données de l’espace connecteur.

  • Auparavant, vous deviez désactiver la transcription PowerShell pour que l’Assistant Microsoft Entra Connect s’exécute correctement. Ce problème est partiellement résolu. Vous pouvez activer la transcription PowerShell si vous utilisez l’Assistant Microsoft Entra Connect pour gérer la configuration de la synchronisation. Vous devez désactiver la transcription PowerShell si vous utilisez l’Assistant Microsoft Entra Connect pour gérer la configuration ADFS.

1.1.486.0

Publication : Avril 2017

Problèmes résolus :

  • Résolution du problème relatif à l’échec d’installation de Microsoft Entra Connect sur une version localisée de Windows Server.

1.1.484.0

Publication : Avril 2017

Problèmes connus :

  • Cette version de Microsoft Entra Connect ne s’installera pas correctement dans les conditions suivantes :
    1. Vous effectuez une mise à niveau sur place de DirSync ou une nouvelle installation de Microsoft Entra Connect.
    2. Vous utilisez une version localisée de Windows Server dans laquelle le nom du groupe d’administrateurs intégré sur le serveur n’est pas « Administrateurs ».
    3. Vous utilisez la Base de données locale (LocalDB) de SQL Server 2012 Express par défaut, installée avec Microsoft Entra Connect, au lieu de fournir votre propre base de données SQL complète.

Problèmes résolus :

Synchronisation Microsoft Entra Connect

  • Résolution d’un problème amenant le planificateur de synchronisation à ignorer la totalité de l’étape de synchronisation s’il manque le profil d’exécution d’un ou de plusieurs connecteurs pour cette étape de synchronisation. Par exemple, vous avez ajouté manuellement un connecteur à l’aide de Synchronization Service Manager sans créer de profil d’exécution Importation d’écart associé. Ce correctif garantit que le planificateur de synchronisation continue à exécuter le profil Importation d’écart pour les autres connecteurs.
  • Résolution d’un problème amenant le service de synchronisation à arrêter immédiatement le traitement d’un profil d’exécution en cas de problème avec l’une des étapes de l’exécution. Ce correctif garantit que le service de synchronisation ignore cette étape d’exécution et continue à traiter la suite. Par exemple, vous disposez d’un profil d’exécution Importation d’écart pour votre connecteur AD avec plusieurs étapes d’exécution (une pour chaque domaine AD local). Le service de synchronisation exécutera le profil Importation d’écart avec les autres domaines AD même si l’un d’entre eux présente des problèmes de connectivité réseau.
  • Résolution d’un problème dû au fait que la mise à jour du connecteur Microsoft Entra est ignorée durant la mise à niveau automatique.
  • Résolution d’un problème dû au fait que Microsoft Entra Connect détermine de manière incorrecte si le serveur est un contrôleur de domaine durant l’installation, ce qui entraîne l’échec de la mise à niveau de DirSync.
  • Résolution d’un problème dû au fait que la mise à niveau sur place de DirSync ne crée pas de profil d’exécution pour le connecteur Microsoft Entra.
  • Résolution d’un problème amenant l’interface utilisateur Synchronization Service Manager à ne pas répondre lorsque vous essayez de configurer le connecteur LDAP générique.

Gestion AD FS.

  • Résolution d’un problème entraînant l’échec de l’Assistant Microsoft Entra Connect si le nœud principal AD FS est déplacé vers un autre serveur.

Desktop SSO

  • Résolution d’un problème dans l’Assistant Microsoft Entra Connect, notamment quand l’écran de connexion vous empêche d’activer la fonctionnalité DSSO (Desktop SSO) si vous avez choisi la synchronisation de mot de passe en tant qu’option de connexion durant la nouvelle installation.

Nouvelles fonctionnalités/améliorations :

Synchronisation Microsoft Entra Connect

  • Microsoft Entra Connect Sync prend désormais en charge l’utilisation du compte de service virtuel, du compte de service administré et du compte de service administré de groupe en tant que compte de service. Cela s’applique uniquement à la nouvelle installation de Microsoft Entra Connect. Au moment de l’installation de Microsoft Entra Connect :
    • Par défaut, l’Assistant Microsoft Entra Connect crée un compte de service virtuel et l’utilise en tant que compte de service.
    • Si vous effectuez l’installation sur un contrôleur de domaine, Microsoft Entra Connect revient au comportement précédent : il crée un compte d’utilisateur de domaine et l’utilise en tant que compte de service à la place.
    • Vous pouvez substituer le comportement par défaut en fournissant l’un des éléments suivants :
      • Un compte de service géré de groupe
      • Un compte de service géré
      • Un compte d’utilisateur de domaine
      • Un compte d’utilisateur local
  • Auparavant, si vous effectuiez une mise à niveau vers une nouvelle build de Microsoft Entra Connect contenant une mise à jour des connecteurs ou des changements de règles de synchronisation, Microsoft Entra Connect déclenchait un cycle de synchronisation complet. Désormais, Microsoft Entra Connect déclenche de manière sélective l’étape d’importation intégrale uniquement pour les connecteurs avec mise à jour, et l’étape de synchronisation complète uniquement pour les connecteurs avec changements de règles de synchronisation.
  • Auparavant, le seuil de suppression de l’exportation s’appliquait uniquement aux exportations déclenchées par le planificateur de synchronisation. À présent, la fonctionnalité inclut aussi les exportations déclenchées manuellement par le client à l’aide de Synchronization Service Manager.
  • Sur votre tenant (locataire) Microsoft Entra, il existe une configuration de service qui indique si la fonctionnalité de synchronisation de mot de passe est activée ou non pour votre tenant. Auparavant, les problèmes de configuration incorrecte du service par Microsoft Entra Connect étaient courants quand vous disposiez d’un serveur actif et d’un serveur intermédiaire. À présent, Microsoft Entra Connect tente uniquement de maintenir la cohérence entre la configuration du service et votre serveur Microsoft Entra Connect actif.
  • Désormais, l’Assistant Microsoft Entra Connect détecte et retourne un avertissement si la Corbeille AD n’est pas activée dans l’Active Directory local.
  • Auparavant, l’exportation vers Microsoft Entra ID expirait et échouait si la taille combinée des objets du lot dépassait un certain seuil. À présent, le service de synchronisation tente de renvoyer les objets dans des lots distincts et plus petits en cas de problème.
  • L’application Gestion des clés du service de synchronisation a été supprimée du menu Démarrer de Windows. La gestion de la clé de chiffrement sera toujours prise en charge par l’interface de ligne de commande à l’aide de miiskmu.exe. Pour plus d’informations sur la gestion de la clé de chiffrement, consultez l’article Abandon de la clé de chiffrement Microsoft Entra Connect Sync.
  • Auparavant, si vous changiez le mot de passe du compte de service Microsoft Entra Connect Sync, le service de synchronisation ne pouvait pas démarrer correctement tant que vous n’aviez pas abandonné la clé de chiffrement et réinitialisé le mot de passe du compte de service Microsoft Entra Connect Sync. Ce processus n’est plus nécessaire.

Desktop SSO

  • L’Assistant Microsoft Entra Connect ne nécessite plus l’ouverture du port 9090 sur le réseau avec la configuration de l’authentification directe et de l’authentification DSSO (Desktop SSO). Seul le port 443 est requis.

1.1.443.0

Publication : Mars 2017

Problèmes résolus :

Synchronisation Microsoft Entra Connect

  • Résolution d’un problème qui entraîne l’échec de l’Assistant Microsoft Entra Connect, si le nom d’affichage du connecteur Microsoft Entra ne contient pas le domaine onmicrosoft.com initialement affecté au tenant Microsoft Entra.
  • Résolution d’un problème qui entraîne l’échec de l’Assistant Microsoft Entra Connect durant l’établissement de la connexion à une base de données SQL quand le mot de passe du compte de service de synchronisation contient des caractères spéciaux tels que l’apostrophe, les deux-points et l’espace.
  • Résolution d’un problème qui déclenche l’erreur « L’image a une ancre différente de celle de l’image » sur un serveur Microsoft Entra Connect en mode intermédiaire, une fois que vous avez exclu temporairement un objet Active Directory local de la synchronisation, et que vous l’avez ensuite inclus à nouveau dans la synchronisation.
  • Résolution d’un problème qui déclenche l’erreur « L’objet localisé par DN (nom de domaine) est un fantôme » sur un serveur Microsoft Entra Connect en mode intermédiaire, une fois que vous avez exclu temporairement un objet Active Directory local de la synchronisation, et que vous l’avez ensuite inclus à nouveau dans la synchronisation.

Gestion AD FS.

  • Résolution d’un problème qui empêche l’Assistant Microsoft Entra Connect de mettre à jour la configuration AD FS et de définir les revendications appropriées pour l’approbation de partie de confiance, une fois l’ID de connexion secondaire configuré.
  • Résolution d’un problème qui vient du fait que l’Assistant Microsoft Entra Connect ne parvient pas à gérer correctement les serveurs AD FS dont les comptes de service sont configurés au format userPrincipalName au lieu du format sAMAccountName.

Authentification directe

  • Résolution d’un problème qui entraîne l’échec de l’Assistant Microsoft Entra Connect si l’authentification directe est sélectionnée mais que l’inscription de son connecteur échoue.
  • Résolution d’un problème dû au fait que l’Assistant Microsoft Entra Connect contourne les vérifications de validation de la méthode de connexion sélectionnée quand la fonctionnalité DSSO (Desktop SSO) est activée.

Réinitialisation de mot de passe

  • Résolution d’un problème qui peut empêcher le serveur Microsoft Entra Connect de se reconnecter si la connexion est tuée par un pare-feu ou un proxy.

Nouvelles fonctionnalités/améliorations :

Synchronisation Microsoft Entra Connect

  • L’applet de commande Get-ADSyncScheduler renvoie désormais une nouvelle propriété booléenne nommée SyncCycleInProgress. Si la valeur renvoyée est true, cela signifie qu’il existe un cycle de synchronisation planifié en cours.
  • Le dossier de destination pour le stockage des journaux d’installation et de configuration de Microsoft Entra Connect a été déplacé de %localappdata%\AADConnect vers %programdata%\AADConnect pour améliorer l’accessibilité aux fichiers journaux.

Gestion AD FS.

  • Ajout de la prise en charge de la mise à jour du certificat TLS/SSL de batterie de serveurs AD FS.
  • Prise en charge ajoutée pour la gestion de serveurs AD FS 2016.
  • Vous pouvez maintenant spécifier un gMSA (compte de service géré de groupe) existant lors de l’installation d’AD FS.
  • Vous pouvez désormais configurer SHA-256 en tant qu’algorithme de hachage de signature pour l’approbation de partie de confiance Microsoft Entra ID.

Réinitialisation de mot de passe

  • Introduction d’améliorations pour permettre au produit de fonctionner dans les environnements incluant des règles de pare-feu plus strictes.
  • Amélioration de la fiabilité de la connexion à Azure Service Bus.

1.1.380.0

Publication : Décembre 2016

Problème résolu :

  • Résolution du problème d’absence de la règle de revendication issuerid pour Active Directory Federation Services (AD FS) dans la version.

Remarque

Cette build n’est pas disponible pour les clients via la fonctionnalité de mise à niveau automatique de Microsoft Entra Connect.

1.1.371.0

Publication : Décembre 2016

Problème connu :

  • Cette version de contenait pas la règle de revendication issuerid pour AD FS. La règle de revendication issuerid est obligatoire si vous fédérez plusieurs domaines avec Microsoft Entra ID. Si vous utilisez Microsoft Entra Connect pour gérer votre déploiement AD FS local, la mise à niveau vers cette build supprime la règle de revendication issuerid existante de votre configuration AD FS. Vous pouvez contourner ce problème en ajoutant la règle de revendication issuerid après l’installation ou la mise à niveau. Pour plus d’informations sur l’ajout de la règle de revendication issuerid, consultez l’article Prise en charge de domaines multiples pour la fédération avec Microsoft Entra ID.

Problème résolu :

  • Si le port 9090 n’est pas ouvert pour la connexion sortante, l’installation ou la mise à niveau de Microsoft Entra Connect échoue.

Remarque

Cette build n’est pas disponible pour les clients via la fonctionnalité de mise à niveau automatique de Microsoft Entra Connect.

1.1.370.0

Publication : Décembre 2016

Problèmes connus :

  • Cette version de contenait pas la règle de revendication issuerid pour AD FS. La règle de revendication issuerid est obligatoire si vous fédérez plusieurs domaines avec Microsoft Entra ID. Si vous utilisez Microsoft Entra Connect pour gérer votre déploiement AD FS local, la mise à niveau vers cette build supprime la règle de revendication issuerid existante de votre configuration AD FS. Vous pouvez contourner ce problème en ajoutant la règle de revendication issuerid après l’installation ou la mise à niveau. Pour plus d’informations sur l’ajout de la règle de revendication issuerid, consultez l’article Prise en charge de domaines multiples pour la fédération avec Microsoft Entra ID.
  • Le port 9090 doit être ouvert en sortie pour achever l’installation.

Nouvelles fonctionnalités :

  • Authentification directe (version préliminaire).

Remarque

Cette build n’est pas disponible pour les clients via la fonctionnalité de mise à niveau automatique de Microsoft Entra Connect.

1.1.343.0

Publication : Novembre 2016

Problème connu :

  • Cette version de contenait pas la règle de revendication issuerid pour AD FS. La règle de revendication issuerid est obligatoire si vous fédérez plusieurs domaines avec Microsoft Entra ID. Si vous utilisez Microsoft Entra Connect pour gérer votre déploiement AD FS local, la mise à niveau vers cette build supprime la règle de revendication issuerid existante de votre configuration AD FS. Vous pouvez contourner ce problème en ajoutant la règle de revendication issuerid après l’installation ou la mise à niveau. Pour plus d’informations sur l’ajout de la règle de revendication issuerid, consultez l’article Prise en charge de domaines multiples pour la fédération avec Microsoft Entra ID.

Problèmes résolus :

  • Parfois, l’installation de Microsoft Entra Connect échoue, car il est impossible de créer un compte de service local dont le mot de passe répond au niveau de complexité spécifié par la stratégie de mot de passe de l’organisation.
  • Correction d’un problème dans lequel les règles de jointure ne sont pas réévaluées lorsqu’un objet dans l’espace du connecteur devient simultanément hors de portée pour une règle de jointure et dans la portée d’une autre. Cela peut se produire si vous avez deux ou plusieurs règles de jointure dont les conditions de jointure s’excluent mutuellement.
  • Résolution d’un problème dû au fait que les règles de synchronisation entrante (à partir de Microsoft Entra ID), qui ne contiennent pas de règles de jointure, ne sont pas traitées si elles ont des valeurs de priorité inférieures à celles contenant des règles de jointure.

Améliorations :

  • Ajout de la prise en charge de l’installation de Microsoft Entra Connect sur Windows Server 2016 Standard ou version ultérieure.
  • Ajout de la prise en charge de l’utilisation de SQL Server 2016 en tant que base de données distante pour Microsoft Entra Connect.

1.1.281.0

Publication : Août 2016

Problèmes résolus :

  • Les modifications apportées à l’intervalle de synchronisation n’ont pas lieu avant la fin du prochain cycle de synchronisation.
  • L’Assistant Microsoft Entra Connect n’accepte aucun compte Microsoft Entra dont le nom d’utilisateur commence par un trait de soulignement (_).
  • L’Assistant Microsoft Entra Connect ne parvient pas à authentifier le compte Microsoft Entra si le mot de passe du compte contient trop de caractères spéciaux. Un message d’erreur du type « Impossible de valider les informations d’identification. Une erreur inattendue s’est produite. » est renvoyé.
  • La désinstallation du serveur intermédiaire désactive la synchronisation de mot de passe dans le tenant Microsoft Entra, et entraîne l’échec de la synchronisation de mot de passe avec le serveur actif.
  • La synchronisation du mot de passe échoue dans de rares cas lorsqu’aucun hachage de mot de passe n’est stocké sur l’utilisateur.
  • Quand le serveur Microsoft Entra Connect est activé pour le mode intermédiaire, la réécriture du mot de passe n’est pas temporairement désactivée.
  • L’Assistant Microsoft Entra Connect n’affiche pas la configuration réelle de la synchronisation de mot de passe et de la réécriture du mot de passe quand le serveur est en mode intermédiaire. Il les affiche toujours comme étant désactivées.
  • Les changements de configuration apportés à la synchronisation de mot de passe et à la réécriture du mot de passe ne sont pas conservés par l’Assistant Microsoft Entra Connect quand le serveur est en mode intermédiaire.

Améliorations :

  • Mise à jour de la cmdlet Start-ADSyncSyncCycle pour indiquer si elle est en mesure ou non de démarrer correctement un nouveau cycle de synchronisation.
  • Ajout de l’applet de commande Stop-ADSyncSyncCycle pour terminer le cycle de synchronisation et l’opération en cours.
  • Mise à jour de l’applet de commande Stop-ADSyncScheduler pour terminer le cycle de synchronisation et l’opération en cours.
  • Durant la configuration des extensions d’annuaire dans l’Assistant Microsoft Entra Connect, l’attribut Microsoft Entra de type « chaîne Teletex » peut désormais être sélectionné.

1.1.189.0

Publication : Juin 2016

Problèmes résolus et améliorations :

  • Microsoft Entra Connect peut désormais être installé sur un serveur conforme à FIPS.
  • Correction d’un problème à cause duquel un nom NetBIOS ne pouvait pas être résolu pour le nom de domaine complet dans le connecteur Active Directory.

1.1.180.0

Publication : Mai 2016

Nouvelles fonctionnalités :

  • Vous avertit et vous aide à vérifier les domaines si vous ne l’avez pas fait avant d’exécuter Microsoft Entra Connect.
  • Ajout de la prise en charge de Microsoft Cloud Allemagne.
  • Ajout de la prise en charge de la toute dernière infrastructure cloud Microsoft Azure Government avec de nouvelles exigences d’URL.

Problèmes résolus et améliorations :

  • Ajout d’un filtrage à l’éditeur de règles de synchronisation pour faciliter la recherche de règles de synchronisation.
  • Amélioration des performances lors de la suppression d’un espace connecteur.
  • Résolution d’un problème lorsqu’un même objet a été supprimé et ajouté dans la même exécution (appelé supprimer/ajouter).
  • Une règle de synchronisation désactivée ne réactive plus les attributs et objets inclus lors d’une mise à niveau ou d’une actualisation de schéma d’annuaire.

1.1.130.0

Publication : Avril 2016

Nouvelles fonctionnalités :

1.1.119.0

Publication : Mars 2016

Problèmes résolus :

  • Nous nous sommes assurés que l’installation Express ne peut pas être utilisée sur Windows Server 2008 (version antérieure à R2), car la synchronisation du mot de passe n’est pas prise en charge sur ce système d’exploitation.
  • La mise à niveau à partir de DirSync avec une configuration de filtre personnalisée n’a pas fonctionné comme prévu.
  • Lors de la mise à niveau vers une version plus récente et sans aucune modification de la configuration, une importation/synchronisation complète ne doit pas être planifiée.

1.1.110.0

Publication : Février 2016

Problèmes résolus :

  • La mise à niveau à partir de versions antérieures ne fonctionne pas si l’installation ne se trouve pas dans le dossier C:\Program Files par défaut.
  • Si vous installez et désélectionnez Démarrer le processus de synchronisation à la fin de l’Assistant d’installation, la réexécution de ce dernier n’active pas le planificateur.
  • Le planificateur ne fonctionne pas comme prévu sur les serveurs où le format de date et d’heure n’est pas en-US. Il empêche également Get-ADSyncScheduler de retourner les heures correctes.
  • Si vous avez installé une version antérieure de Microsoft Entra Connect avec AD FS en tant qu’option de connexion, et si vous avez effectué la mise à niveau, vous ne pouvez pas réexécuter l’Assistant Installation.

1.1.105.0

Publication : Février 2016

Nouvelles fonctionnalités :

  • Automatic upgrade pour les clients de la configuration rapide.
  • Prise en charge de l’administrateur d’identité hybride à l’aide de l’authentification multifacteur Microsoft Entra et de Privileged Identity Management dans l’Assistant Installation.
    • Vous devez configurer votre proxy pour autoriser également le trafic à destination de https://secure.aadcdn.microsoftonline-p.com si vous utilisez l’authentification multifacteur.
    • Vous devez ajouter https://secure.aadcdn.microsoftonline-p.com à votre liste de sites de confiance pour que l’authentification multifacteur fonctionne correctement.
  • Autorisez la modification de la méthode de connexion de l’utilisateur après l’installation initiale.
  • Activez l’option Filtrage par domaine et unité d’organisation dans l’Assistant d’installation. Cela permet également la connexion à des forêts dans lesquelles tous les domaines ne sont pas disponibles.
  • Scheduler est intégré dans le moteur de synchronisation.

Fonctionnalités promues de version préliminaire à disponibilité générale :

Nouvelles fonctionnalités préliminaires :

  • Le nouvel intervalle de cycle de synchronisation par défaut est de 30 minutes. (trois heures pour toutes les versions antérieures). Ajoute la prise en charge pour modifier le comportement du planificateur .

Problèmes résolus :

  • La page de vérification des domaines DNS n’a pas reconnu tous les domaines.
  • Demande d’informations d’identification de l’administrateur de domaine lors de la configuration AD FS.
  • Les comptes AD locaux ne sont pas reconnus par l’Assistant d’installation lorsqu’ils sont situés dans un domaine avec une autre arborescence DNS que celle du domaine racine.

1.0.9131.0

Publication : Décembre 2015

Problèmes résolus :

  • La synchronisation de mot de passe peut ne pas fonctionner lorsque vous modifiez les mots de passe dans Active Directory Domain Services (AD DS), mais elle fonctionne lorsque vous définissez un mot de passe.
  • Quand vous avez un serveur proxy, l’authentification auprès de Microsoft Entra ID peut échouer durant l’installation, ou en cas d’annulation d’une mise à niveau dans la page de configuration.
  • La mise à jour à partir d’une version antérieure de Microsoft Entra Connect avec une instance complète de SQL Server échoue si vous n’êtes pas administrateur système (AS) SQL Server.
  • La mise à jour à partir d’une version précédente de Microsoft Entra Connect avec un serveur SQL Server distant affiche l’erreur « Impossible d’accéder à la base de données SQL ADSync ».

1.0.9125.0

Publication : Novembre 2015

Nouvelles fonctionnalités :

  • Peut reconfigurer AD FS en approbation Microsoft Entra ID.
  • Actualisation du schéma Active Directory et nouvelle génération de règles de synchronisation.
  • Désactivation d'une règle de synchronisation.
  • Définition d’« AuthoritativeNull » comme nouvelle chaîne littérale dans une règle de synchronisation.

Nouvelles fonctionnalités préliminaires :

Nouveau scénario pris en charge :

Problèmes résolus :

  • Problèmes liés à la synchronisation de mot de passe :
    • Le mot de passe d'un objet inclus dans l'étendue de la synchronisation alors qu'il ne l'était pas ne sera pas synchronisé. Cela est valable pour l’unité d’organisation et le filtrage des attributs.
    • La sélection d'une nouvelle unité d'organisation à inclure dans la synchronisation ne requiert pas une synchronisation de mot de passe complète.
    • Lorsqu'un utilisateur désactivé est activé, son mot de passe n'est pas synchronisée.
    • La file d'attente des nouvelles tentatives de mot de passe est infinie et la limite de 5 000 objets supprimés a été supprimée.
  • Impossible de se connecter à Active Directory avec le niveau fonctionnel de forêt Windows Server 2016.
  • Impossible de modifier le groupe utilisé pour le filtrage de groupes après l’installation initiale.
  • Aucun profil utilisateur n’est plus créé sur le serveur Microsoft Entra Connect pour les utilisateurs qui effectuent un changement de mot de passe avec la réécriture du mot de passe activée.
  • Impossible d’utiliser des entiers longs dans des règles de synchronisation.
  • La case à cocher « Écriture différée des appareils » reste désactivée s’il existe des contrôleurs de domaine inaccessibles.

1.0.8667.0

Publication : Août 2015

Nouvelles fonctionnalités :

  • L’Assistant Installation de Microsoft Entra Connect est désormais localisé dans toutes les langues de Windows Server.
  • Ajout de la prise en charge du déverrouillage de compte en cas d’utilisation de la gestion des mots de passe Microsoft Entra.

Problèmes résolus :

  • L’Assistant Installation de Microsoft Entra Connect plante si un autre utilisateur poursuit l’installation à la place de la personne qui a démarré l’installation.
  • Si une désinstallation précédente de Microsoft Entra Connect ne parvient pas à désinstaller correctement Microsoft Entra Connect Sync, la réinstallation n’est pas possible.
  • Impossible d’installer Microsoft Entra Connect à l’aide de l’installation en mode Express, si l’utilisateur ne se trouve pas dans le domaine racine de la forêt, ou si une version non anglaise d’Active Directory est utilisée.
  • Si le nom de domaine complet du compte d’utilisateur Active Directory ne peut pas être résolu, un message d’erreur trompeur « Échec de la validation du schéma » est affiché.
  • Si le compte utilisé sur le connecteur Active Directory est modifié en dehors de l’Assistant, l’Assistant échoue lors des exécutions suivantes.
  • L’installation de Microsoft Entra Connect sur un contrôleur de domaine échoue parfois.
  • Impossible d’activer et de désactiver le « Mode de préproduction » si des attributs d’extension ont été ajoutés.
  • La réécriture du mot de passe échoue dans certaines configurations en raison d’un mot de passe incorrect sur le connecteur Active Directory.
  • Impossible de mettre à niveau DirSync si un nom unique (DN) est utilisé lors du filtrage des attributs.
  • Utilisation du processeur excessive lors de la réinitialisation du mot de passe.

Fonctionnalités préliminaires supprimées :

  • La fonctionnalité préliminaire Écriture différée d’utilisateur a été temporairement supprimée suite aux commentaires des clients de la version préliminaire. Nous la rajouterons une fois que nous aurons traité ces commentaires.

1.0.8641.0

Publication : Juin 2015

Version initiale de Microsoft Entra Connect.

Changement de nom d’Azure AD Sync, qui est devenu Microsoft Entra Connect.

Nouvelles fonctionnalités :

Nouvelles fonctionnalités préliminaires :

1.0.494.0501

Publication : Mai 2015

Nouvelle condition requise

  • Azure AD Sync requiert maintenant que .NET Framework version 4.5.1 soit installé.

Problèmes résolus :

  • Échec de la réécriture du mot de passe à partir de Microsoft Entra ID en raison d’une erreur de connectivité Azure Service Bus.

1.0.491.0413

Publication : Avril 2015

Problèmes résolus et améliorations :

  • Le connecteur Active Directory ne traite pas correctement les suppressions si la Corbeille est activée et qu’il existe plusieurs domaines dans la forêt.
  • Les performances des opérations d’importation ont été améliorées pour le connecteur Microsoft Entra.
  • Quand un groupe dépasse la limite d’appartenance (par défaut, la limite est définie à 50 000 objets), le groupe est supprimé de Microsoft Entra ID. Désormais, le groupe n’est pas supprimé. Une erreur est générée et les nouveaux changements d’appartenance ne sont pas exportés.
  • Un nouvel objet ne peut pas être configuré si une suppression intermédiaire avec le même nom de domaine est déjà présente dans l’espace du connecteur.
  • Certains objets sont marqués pour synchronisation lors d’une synchronisation différentielle même si aucune modification intermédiaire n’est apportée à l’objet.
  • Forcer une synchronisation de mot de passe supprime également la liste des contrôleurs de domaine favoris.
  • CSExportAnalyzer a des problèmes avec certains états des objets.

Nouvelles fonctionnalités :

  • Une jonction peut maintenant connecter au type d’objet « ANY » dans le métaverse.

1.0.485.0222

Publication : Février 2015

Améliorations :

  • Performances de l’importation améliorées.

Problèmes résolus :

  • La synchronisation de mot de passe prend en compte l’attribut cloudFiltered utilisé par le filtrage des attributs. Les objets filtrés ne sont plus dans la portée pour la synchronisation de mot de passe.
  • Dans de rares situations où la topologie avait un grand nombre de contrôleurs de domaine, la synchronisation de mot de passe ne fonctionnait pas.
  • « Arrêt serveur » au moment de l’importation à partir du connecteur Microsoft Entra, une fois la gestion des appareils activée dans Azure AD/Intune.
  • La jonction d’entités de sécurité externes à partir de plusieurs domaines dans la même forêt provoque une erreur de jonction ambiguë.

1.0.475.1202

Publication : Décembre 2014

Nouvelles fonctionnalités :

  • Il est maintenant possible d’effectuer la synchronisation de mot de passe avec le filtrage basé sur les attributs. Pour plus d’informations, consultez Synchronisation de mot de passe avec filtrage.
  • L’attribut ms-DS-ExternalDirectoryObjectID est réécrit dans Active Directory. Cette fonctionnalité prend en charge les applications Microsoft 365. Elle utilise OAuth2 pour accéder aux boîtes aux lettres en ligne et en local dans un déploiement d’Exchange hybride.

Problèmes de mise à niveau résolus :

  • Une version plus récente de l’Assistant Connexion est disponible sur le serveur.
  • Un chemin d’installation personnalisé était utilisé pour installer Azure AD Sync.
  • Un critère de jonction personnalisée non valide bloque la mise à niveau.

Autres correctifs :

  • Résolution du problème des modèles pour Office Professionnel Plus.
  • Résolution des problèmes d’installation provoqué par des noms d’utilisateurs commençant par un tiret.
  • Résolution du problème de perte de la valeur de sourceAnchor lors d’une deuxième exécution de l’Assistant Installation.
  • Résolution du traçage ETW pour la synchronisation de mot de passe.

1.0.470.1023

Publication : Octobre 2014

Nouvelles fonctionnalités :

  • Synchronisation de mot de passe de plusieurs Active Directory locaux vers Microsoft Entra ID.
  • Interface utilisateur du programme d’installation localisée dans toutes les langues de Windows Server.

Mise à niveau à partir d’Azure Active Directory Sync 1.0 GA

Si vous avez déjà installé Azure AD Sync, vous devez effectuer une étape supplémentaire dans le cas où vous avez modifié les règles de synchronisation prédéfinies. Une fois que vous avez mis à niveau vers la version 1.0.470.1023, les règles de synchronisation que vous avez modifiées sont dupliquées. Pour chaque règle de synchronisation modifiée, procédez comme suit :

  1. Recherchez la règle de synchronisation que vous avez modifiée et notez les modifications.
  2. Supprimez la règle de synchronisation.
  3. Recherchez la nouvelle règle de synchronisation créée par Azure AD Sync et réappliquez les modifications.

Autorisation pour le compte Active Directory

Le compte Active Directory doit disposer d’autorisations supplémentaires pour permettre la lecture des hachages de mot de passe à partir d’Active Directory. Les autorisations à accorder sont nommées « Réplication des changements de répertoire » et « Réplication de toutes les modifications de l’annuaire ». Les deux autorisations sont nécessaires pour permettre la lecture des hachages de mot de passe.

1.0.419.0911

Publication : Septembre 2014

Version initiale d’Azure AD Sync.

Étapes suivantes

Explorez plus en détail l’Intégration de vos identités locales avec Microsoft Entra ID.