Écriture différée de groupes avec Microsoft Entra Cloud Sync
Avec la publication de l’agent d’approvisionnement 1.1.1370.0, la synchronisation cloud a désormais la capacité à réaliser une écriture différée de groupes. Cette fonctionnalité signifie que la synchronisation cloud peut approvisionner des groupes directement dans votre environnement Active Directory local. Vous pouvez maintenant aussi utiliser des fonctionnalités de gouvernance d’identités pour gouverner l’accès aux applications AD, par exemple en incluant un groupe dans un package d’accès de gestion des droits d’utilisation.
Important
La préversion publique de l'écriture différée de groupe V2 dans Microsoft Entra Connect Sync ne sera plus disponible après le 30 juin 2024. Cette fonctionnalité ne sera plus disponible à cette date et vous ne serez plus pris en charge dans Connect Sync pour approvisionner des groupes de sécurité cloud sur Active Directory. La fonctionnalité continuera à fonctionner au-delà de la date de suppression ; toutefois, elle ne recevra plus de support après cette date et peut cesser de fonctionner à tout moment sans préavis.
Nous proposons une fonctionnalité similaire dans Microsoft Entra Cloud Sync appelée Approvisionnement de groupe vers Active Directory que vous pouvez utiliser au lieu d'Écriture différée de groupe v2 pour approvisionner des groupes de sécurité cloud sur Active Directory. Nous travaillons à améliorer cette fonctionnalité dans Cloud Sync, ainsi que d'autres nouvelles fonctionnalités que nous développons dans Cloud Sync.
Les clients qui utilisent cette fonctionnalité d'évaluation dans Connect Sync doivent basculer leur configuration de Connect Sync vers Cloud Sync. Vous pouvez choisir de procéder à la migration de toute votre synchronisation hybride vers Cloud Sync (si elle prend en charge vos besoins). Vous pouvez également exécuter Cloud Sync côte à côte et déplacer uniquement l'approvisionnement de groupes de sécurité du cloud vers Active Directory vers Cloud Sync.
Pour les clients qui approvisionnent des groupes Microsoft 365 dans Active Directory, vous pouvez continuer à utiliser l'Écriture différée de groupe v1 pour cette capacité.
Vous pouvez évaluer la possibilité de passer exclusivement à Cloud Sync en utilisant l'assistant de synchronisation des utilisateurs.
Approvisionner Microsoft Entra ID dans Active Directory – Conditions préalables
Les conditions préalables suivantes sont requises pour implémenter des groupes d’approvisionnement dans Active Directory.
Conditions de licence
L’utilisation de cette fonctionnalité nécessite des licences Microsoft Entra ID P1. Pour trouver la licence adaptée à vos besoins, consultez Comparer les fonctionnalités en disponibilité générale de Microsoft Entra ID.
Exigences générales
- Un compte Microsoft Entra avec au moins un rôle Administrateur d’identité hybride.
- Un environnement Active Directory Domain Services local avec le système d’exploitation Windows Server 2016 ou version ultérieure.
- Obligatoire pour l’attribut de schéma AD – msDS-ExternalDirectoryObjectId
- Un agent d’approvisionnement avec la version de build 1.1.1370.0 ou ultérieure.
Remarque
Les autorisations pour le compte de service sont attribuées uniquement lors d’une nouvelle installation. Si vous effectuez une mise à niveau à partir de la version précédente, les autorisations doivent être affectées manuellement à l’aide de la cmdlet PowerShell :
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Si les autorisations sont définies manuellement, vous devez vous assurer de disposer des propriétés Lire, Écrire, Créer et Supprimer toutes les propriétés pour tous les objets de groupes et d’utilisateurs descendants.
Ces autorisations ne sont pas appliquées aux objets AdminSDHolder par les cmdlets gMSA PowerShell de l’agent d'approvisionnement Microsoft Entra par défaut.
- L’agent d’approvisionnement doit être capable de communiquer avec un ou plusieurs contrôleurs de domaine sur les ports TCP/389 (LDAP) et TCP/3268 (Global Catalog).
- Obligatoire pour la recherche dans le catalogue global afin de filtrer les références d’adhésion non valides
- Microsoft Entra Connect avec la version de build 2.2.8.0 ou ultérieure
- Obligatoire pour prendre en charge la synchronisation de l’abonnement des utilisateurs locaux à l’aide de Microsoft Entra Connect
- Obligatoire pour synchroniser AD:user:objectGUID avec AAD:user:onPremisesObjectIdentifier
Groupes et limites d’échelle pris en charge
Les opérations suivantes sont prises en charge :
- Seuls les groupes de sécurité créés sur le cloud sont pris en charge.
- Ces groupes peuvent avoir des groupes d’appartenance attribuée ou dynamique.
- Ces groupes peuvent contenir uniquement des utilisateurs synchronisés locaux et/ou des groupes de sécurité créés dans le cloud supplémentaires.
- Les comptes d’utilisateur locaux synchronisés et membres de ce groupe de sécurité créé dans le cloud peuvent provenir du même domaine ou inter-domaine, mais ils doivent tous provenir de la même forêt.
- Ces groupes sont écrits en différé avec l’étendue des groupes AD universelle. Votre environnement local doit prendre en charge l’étendue du groupe universel.
- Les groupes dont la taille est supérieure à 50 000 membres ne sont pas pris en charge.
- Les clients qui ont plus de 150 000 objets ne sont pas pris en charge. Cela signifie que si un client a une combinaison d’utilisateurs et de groupes qui dépassent 150 000 objets, le client n’est pas pris en charge.
- Chaque groupe imbriqué enfant direct compte en tant que membre du groupe de référencement.
- La réconciliation des groupes entre Microsoft Entra ID et Active Directory n'est pas prise en charge si le groupe est mis à jour manuellement dans Active Directory.
Informations supplémentaires
Voici des informations supplémentaires sur l’approvisionnement de groupes dans Active Directory.
- Les groupes approvisionnés sur AD à l’aide de la synchronisation cloud peuvent contenir uniquement des utilisateurs synchronisés locaux et/ou des groupes de sécurité créés par le cloud supplémentaires.
- Tous ces utilisateurs doivent avoir l’attribut onPremisesObjectIdentifier défini sur leur compte.
- L’attribut onPremisesObjectIdentifier doit correspondre à un objectGUID correspondant dans l’environnement AD cible.
- Un attribut objectGUID d’utilisateurs sur site peut être synchronisé vers un attribut onPremisesObjectIdentifier d'utilisateurs cloud à l’aide de Microsoft Entra Cloud Sync (1.1.1370.0) ou de Microsoft Entra Connect Sync (2.2.8.0).
- Si vous utilisez Microsoft Entra Connect Sync (2.2.8.0) pour synchroniser les utilisateurs, au lieu de Microsoft Entra Cloud Sync et que vous souhaitez utiliser l’approvisionnement vers AD, la version doit être 2.2.8.0 ou ultérieure.
- Seuls les clients Microsoft Entra ID standard sont pris en charge pour l’approvisionnement de Microsoft Entra ID dans Active Directory. Les clients tels que B2C ne sont pas pris en charge.
- Le travail d’approvisionnement de groupe est planifié pour s’exécuter toutes les 20 minutes.
Scénarios pris en charge pour l’écriture différée de groupes avec Microsoft Entra Cloud Sync
Les sections suivantes décrivent les scénarios pris en charge pour l’écriture différée de groupes avec Microsoft Entra Cloud Sync.
- Migrer l’écriture différée de groupe Microsoft Entra Connect Sync V2 vers Microsoft Entra Cloud Sync
- Gouverner les applications basées sur Active Directory sur site (Kerberos) à l'aide de Microsoft Entra ID Governance
Migrer l’écriture différée de groupe Microsoft Entra Connect Sync V2 vers Microsoft Entra Cloud Sync
Scénario : Migrer l’écriture différée de groupes avec Microsoft Entra Connect Sync (anciennement Azure AD Connect) vers Microsoft Entra Cloud Sync. Ce scénario s'adresse uniquement aux clients qui utilisent actuellement l’écriture différée de groupe Microsoft Entra Connect v2. Le processus décrit dans ce document concerne uniquement les groupes de sécurité créés dans le cloud et réécrits avec une portée universelle. Les groupes à extension messagerie et les DL écrits en différé à l'aide de l'écriture différée de groupe Microsoft Entra Connect V1 ou V2 ne sont pas pris en charge.
Pour plus d’informations, consultez Migrer l’écriture différée de groupe Microsoft Entra Connect Sync V2 vers Microsoft Entra Cloud Sync.
Gouverner les applications basées sur Active Directory sur site (Kerberos) à l'aide de Microsoft Entra ID Governance
Scénario : gérer des applications locales avec des groupes Active Directory configurés et gérés dans le cloud. Microsoft Entra Cloud Sync vous permet de régir entièrement les attributions d’applications dans AD tout en tirant parti des fonctionnalités de la Gouvernance des ID Microsoft Entra pour contrôler et corriger les demandes liées à l’accès.
Pour plus d’informations, consultez Régir les applications Active Directory locales (Kerberos) à l’aide de la Gouvernance des ID Microsoft Entra.
Étapes suivantes
- Provisionner des groupes sur Active Directory à l’aide de Microsoft Entra Cloud Sync
- Gouverner les applications basées sur Active Directory sur site (Kerberos) à l'aide de Microsoft Entra ID Governance
- Migrer l’écriture différée de groupe Microsoft Entra Connect Sync V2 vers Microsoft Entra Cloud Sync