Préparer la synchronisation d'annuaires pour Microsoft 365

  • Article

Cet article est valable pour Microsoft 365 Entreprise et Office 365 Entreprise.

Si vous avez choisi le modèle d’identité hybride et configuré la protection des comptes d’administrateur à l’étape 2 et des comptes d’utilisateur à l’étape 3 de cette solution, votre tâche suivante consiste à déployer la synchronisation d’annuaires. Les avantages de la synchronisation d’annuaires pour votre organization sont les suivants :

  • Réduction des programmes administratifs dans votre organization
  • Activation facultative du scénario d’authentification unique
  • Automatisation des modifications de compte dans Microsoft 365

Pour plus d’informations sur les avantages de l’utilisation de la synchronisation d’annuaires, consultez Identité hybride avec id de Microsoft Entra.

Toutefois, la synchronisation d’annuaires nécessite une planification et une préparation pour vous assurer que votre services de domaine Active Directory (AD DS) se synchronise avec le Microsoft Entra locataire de votre abonnement Microsoft 365 avec un minimum d’erreurs.

Suivez ces étapes pour obtenir les meilleurs résultats.

Remarque

Les caractères non ASCII ne se synchronisent pas pour les attributs du compte d’utilisateur AD DS.

Préparation des services AD DS

Pour garantir une transition transparente vers Microsoft 365 à l’aide de la synchronisation, vous devez préparer votre forêt AD DS avant de commencer votre déploiement de synchronisation d’annuaires Microsoft 365.

La préparation de votre annuaire doit se concentrer sur les tâches suivantes :

  • Supprimez les attributs proxyAddress et userPrincipalName en double.

  • Mettez à jour les attributs userPrincipalName vides et non valides avec des attributs userPrincipalName valides.

  • Supprimez les caractères non valides et douteux dans les attributs givenName, surname ( sn ), sAMAccountName, displayName, mailAddresses, mailNickname et userPrincipalName. Pour plus d’informations sur la préparation des attributs, consultez Liste des attributs synchronisés par l’outil de synchronisation Azure Active Directory.

    Remarque

    Il s’agit des mêmes attributs que Microsoft Entra Connect synchronise.

Considérations relatives au déploiement multi-forêts

Pour plusieurs forêts et options d’authentification unique, utilisez une installation personnalisée de Microsoft Entra Connect.

Si votre organization a plusieurs forêts pour l’authentification (forêts d’ouverture de session), nous vous recommandons vivement ce qui suit :

  • Envisagez de consolider vos forêts. En général, une surcharge supplémentaire est nécessaire pour gérer plusieurs forêts. À moins que votre organization ait des contraintes de sécurité qui imposent la nécessité de forêts distinctes, envisagez de simplifier votre environnement local.
  • Utilisez uniquement dans votre forêt d’ouverture de session principale. Envisagez de déployer Microsoft 365 uniquement dans votre forêt d’ouverture de session principale pour votre déploiement initial de Microsoft 365.

Si vous ne pouvez pas consolider votre déploiement AD DS à forêts multiples ou si vous utilisez d’autres services d’annuaire pour gérer les identités, vous pouvez peut-être les synchroniser avec l’aide de Microsoft ou d’un partenaire.

Pour plus d’informations, consultez Topologies pour Microsoft Entra Connect.

Fonctionnalités qui dépendent de la synchronisation d’annuaires

La synchronisation d’annuaires est requise pour les fonctionnalités suivantes :

  • Microsoft Entra l’authentification unique transparente
  • Coexistence Skype
  • Déploiement hybride Exchange, notamment :
    • Liste d’adresses globale entièrement partagée entre votre environnement Exchange local et Microsoft 365.
    • Synchronisation des informations GAL provenant de différents systèmes de messagerie.
    • La possibilité d’ajouter et de supprimer des utilisateurs dans les offres de service Microsoft 365. Cette possibilité nécessite ce qui suit :
    • La synchronisation bidirectionnelle doit être configurée pendant la configuration de la synchronisation d’annuaires. Par défaut, les outils de synchronisation d’annuaires écrivent des informations d’annuaire uniquement dans le cloud. Lorsque vous configurez la synchronisation bidirectionnelle, vous activez la fonctionnalité d’écriture différée afin qu’un nombre limité d’attributs d’objet soient copiés à partir du cloud, puis réécrits dans votre ad DS local. L’écriture différée est également appelée mode hybride Exchange.
    • Un déploiement exchange hybride local
    • La possibilité de déplacer des boîtes aux lettres utilisateur vers Microsoft 365 tout en conservant d’autres boîtes aux lettres utilisateur locales.
    • Les expéditeurs approuvés et les expéditeurs bloqués locaux sont répliqués vers Microsoft 365.
    • Fonctionnalité de délégation de base et d’envoi de courrier « de la part de ».
    • Vous disposez d’une solution d’authentification multifacteur ou de carte intelligente locale intégrée.
  • Synchronisation des photos, miniatures, salles de conférence et groupes de sécurité

1. Tâches de nettoyage d’annuaire

Avant de synchroniser votre ad DS avec votre locataire Microsoft Entra, vous devez propre votre ad DS.

Importante

Si vous n’effectuez pas de nettoyage AD DS avant la synchronisation, cela peut avoir un impact négatif significatif sur le processus de déploiement. Le cycle de synchronisation d’annuaires, l’identification des erreurs et la resynchronisation peuvent prendre des jours, voire des semaines.

Dans votre ad DS, effectuez les tâches de propre suivantes pour chaque compte d’utilisateur auquel une licence Microsoft 365 est affectée :

  1. Vérifiez une adresse e-mail valide et unique dans l’attribut proxyAddresses .

  2. Supprimez toutes les valeurs dupliquées dans l’attribut proxyAddresses .

  3. Si possible, vérifiez une valeur valide et unique pour l’attribut userPrincipalName dans l’objet utilisateur de l’utilisateur. Pour une expérience de synchronisation optimale, assurez-vous que l’UPN AD DS correspond à l’UPN Microsoft Entra. Si un utilisateur n’a pas de valeur pour l’attribut userPrincipalName , l’objet utilisateur doit contenir une valeur valide et unique pour l’attribut sAMAccountName . Supprimez toutes les valeurs dupliquées dans l’attribut userPrincipalName .

  4. Pour une utilisation optimale de la liste d’adresses globale (GAL), vérifiez que les informations contenues dans les attributs suivants du compte d’utilisateur AD DS sont correctes :

    • givenName
    • surname
    • displayName
    • Fonction
    • Service
    • Bureau
    • Téléphone (bureau)
    • Téléphone mobile
    • Numéro de télécopie
    • Rue
    • Ville
    • Département ou région
    • Code postal
    • Pays ou région

2. Préparation des attributs et des objets de répertoire

La synchronisation d’annuaires entre vos services AD DS et Microsoft 365 nécessite que vos attributs AD DS soient correctement préparés. Par exemple, vous devez vous assurer que des caractères spécifiques ne sont pas utilisés dans certains attributs qui sont synchronisés avec l’environnement Microsoft 365. Les caractères inattendus ne provoquent pas l’échec de la synchronisation d’annuaires, mais peuvent renvoyer un avertissement. Les caractères non valides entraînent l’échec de la synchronisation d’annuaires.

La synchronisation d’annuaires échoue également si certains de vos utilisateurs AD DS ont un ou plusieurs attributs en double. Chaque utilisateur doit avoir des attributs uniques.

Les attributs que vous devez préparer sont répertoriés ici :

  • displayName

    • Si l’attribut existe dans l’objet utilisateur, il est synchronisé avec Microsoft 365.
    • Si cet attribut existe dans l’objet utilisateur, il doit y avoir une valeur. Autrement dit, l’attribut ne doit pas être vide.
    • Nombre maximal de caractères : 256

  • givenName

    • Si l’attribut existe dans l’objet utilisateur, il est synchronisé avec Microsoft 365, mais Microsoft 365 ne l’exige pas ou ne l’utilise pas.
    • Nombre maximal de caractères : 64

  • mail

    • La valeur de l’attribut doit être unique dans le répertoire.

      Remarque

      S’il existe des valeurs en double, le premier utilisateur avec la valeur est synchronisé. Les utilisateurs suivants n’apparaîtront pas dans Microsoft 365. Vous devez modifier la valeur dans Microsoft 365 ou modifier les deux valeurs dans AD DS afin que les deux utilisateurs apparaissent dans Microsoft 365.

  • mailNickname (alias Exchange)

    • La valeur de l’attribut ne peut pas commencer par un point (.).

    • La valeur de l’attribut doit être unique dans le répertoire.

      Remarque

      Les traits de soulignement (« _ ») dans le nom synchronisé indiquent que la valeur d’origine de cet attribut contient des caractères non valides. Pour plus d’informations sur cet attribut, consultez Attribut d’alias Exchange.

  • proxyAddresses

    • Attribut à valeurs multiples

    • Nombre maximal de caractères par valeur : 256

    • La valeur d’attribut ne doit pas contenir d’espace.

    • La valeur de l’attribut doit être unique dans le répertoire.

    • Caractères non valides : <> ( ) ; , [ ] »

    • Les lettres avec des marques diacritiques, telles que des umlauts, des accents et des tildes, ne sont pas valides.

      Les caractères non valides s’appliquent aux caractères qui suivent le délimiteur de type et « : », de sorte que SMTP :User@contso.com est autorisé, mais QUE SMTP :user :M@contoso.com ne l’est pas.

      Importante

      Toutes les adresses SMTP (Simple Mail Transport Protocol) doivent être conformes aux normes de messagerie électronique. Supprimez les adresses dupliquées ou indésirables si elles existent.

  • Samaccountname

    • Nombre maximal de caractère : 20
    • La valeur de l’attribut doit être unique dans le répertoire.
    • Caractères non valides : [ \ " | , / : <> + = ; ? * ']
    • Si un utilisateur a un attribut sAMAccountName non valide, mais qu’il a un attribut userPrincipalName valide, le compte d’utilisateur est créé dans Microsoft 365.
    • Si sAMAccountName et userPrincipalName ne sont pas valides, l’attribut userPrincipalName AD DS doit être mis à jour.

  • sn (nom de famille)

    • Si l’attribut existe dans l’objet utilisateur, il est synchronisé avec Microsoft 365, mais Microsoft 365 ne l’exige pas ou ne l’utilise pas.

  • targetAddress

    Il est nécessaire que l’attribut targetAddress (par exemple, SMTP :tom@contoso.com) qui est rempli pour l’utilisateur apparaisse dans la liste d’adresses globale Microsoft 365. Dans les scénarios de migration de messagerie tierce, cela nécessite l’extension de schéma Microsoft 365 pour ad DS. L’extension de schéma Microsoft 365 ajoute également d’autres attributs utiles pour gérer les objets Microsoft 365 qui sont remplis à l’aide d’un outil de synchronisation d’annuaires d’AD DS. Par exemple, l’attribut msExchHideFromAddressLists pour gérer les boîtes aux lettres masquées ou les groupes de distribution est ajouté.

    • Nombre maximal de caractères : 256
    • La valeur d’attribut ne doit pas contenir d’espace.
    • La valeur de l’attribut doit être unique dans le répertoire.
    • Caractères non valides : \ <> ( ) ; , [ ] »
    • Toutes les adresses SMTP (Simple Mail Transport Protocol) doivent être conformes aux normes de messagerie électronique.

  • userPrincipalName

    • L’attribut userPrincipalName doit être au format de connexion de style Internet, où le nom d’utilisateur est suivi du signe at (@) et d’un nom de domaine : par exemple, user@contoso.com. Toutes les adresses SMTP (Simple Mail Transport Protocol) doivent être conformes aux normes de messagerie électronique.
    • Le nombre maximal de caractères pour l’attribut userPrincipalName est de 113. Un nombre spécifique de caractères est autorisé avant et après le signe at (@), comme suit :
    • Nombre maximal de caractères pour le nom d’utilisateur devant le signe arobase (@) : 64
    • Nombre maximal de caractères pour le nom de domaine suivant le signe arobase (@) : 48
    • Caractères non valides : \ % & * + / = ? { } | <> ( ) ; : , [ ] "
    • Caractères autorisés : A – Z, a - z, 0 – 9, ' . - _ ! # ^ ~
    • Les lettres avec des marques diacritiques, telles que des umlauts, des accents et des tildes, ne sont pas valides.
    • Le caractère @ est requis dans chaque valeur userPrincipalName .
    • Le caractère @ ne peut pas être le premier caractère de chaque valeur userPrincipalName .
    • Le nom d’utilisateur ne peut pas se terminer par un point (.), une esperluette (&), un espace ou un signe at (@).
    • Le nom d’utilisateur ne peut pas contenir d’espaces.
    • Les domaines routables doivent être utilisés ; Par exemple, les domaines locaux ou internes ne peuvent pas être utilisés.
    • Unicode est converti en caractères de trait de soulignement.
    • userPrincipalName ne peut pas contenir de valeurs en double dans le répertoire.

3. Préparer l’attribut userPrincipalName

Active Directory est conçu pour permettre aux utilisateurs finaux de votre organization de se connecter à votre annuaire à l’aide de sAMAccountName ou userPrincipalName. De même, les utilisateurs finaux peuvent se connecter à Microsoft 365 à l’aide du nom d’utilisateur principal (UPN) de leur compte professionnel ou scolaire. La synchronisation d’annuaires tente de créer de nouveaux utilisateurs dans Microsoft Entra ID à l’aide du même UPN que celui de votre ad DS. L’UPN est mis en forme comme une adresse e-mail.

Dans Microsoft 365, l’UPN est l’attribut par défaut utilisé pour générer l’adresse e-mail. Il est facile d’obtenir userPrincipalName (dans AD DS et dans Microsoft Entra ID) et les adresse e-mail principale dans proxyAddresses définis sur des valeurs différentes. Lorsqu’ils sont définis sur des valeurs différentes, il peut y avoir confusion pour les administrateurs et les utilisateurs finaux.

Il est préférable d’aligner ces attributs pour réduire la confusion. Pour répondre aux exigences de l’authentification unique avec Services ADFS (AD FS) 2.0, vous devez vous assurer que les UPN dans Microsoft Entra ID et votre AD DS correspondent et utilisent un espace de noms de domaine valide.

4. Ajouter un suffixe UPN de remplacement à AD DS

Vous devrez peut-être ajouter un autre suffixe UPN pour associer les informations d’identification d’entreprise de l’utilisateur à l’environnement Microsoft 365. Un suffixe UPN est la partie d’un UPN située à droite du caractère @. Les UPN qui sont utilisés pour l’authentification unique peuvent contenir des lettres, des chiffres, des points, des traits d’unions et des traits de soulignement, mais aucun autre type de caractère.

Pour plus d’informations sur l’ajout d’un suffixe UPN de remplacement à Active Directory, consultez Préparer la synchronisation d’annuaires.

5. Faire correspondre l’UPN AD DS avec l’UPN Microsoft 365

Si vous avez déjà configuré la synchronisation d’annuaires, l’UPN de l’utilisateur pour Microsoft 365 peut ne pas correspondre à l’UPN AD DS de l’utilisateur défini dans votre instance AD DS. Cela peut se produire lorsqu’un utilisateur obtient une licence avant la vérification du domaine. Pour résoudre ce problème, utilisez PowerShell pour corriger l’UPN en double afin de mettre à jour l’UPN de l’utilisateur afin de vous assurer que l’UPN Microsoft 365 correspond au nom d’utilisateur et au domaine de l’entreprise. Si vous mettez à jour l’UPN dans ad DS et que vous souhaitez qu’il se synchronise avec l’identité Microsoft Entra, vous devez supprimer la licence de l’utilisateur dans Microsoft 365 avant d’apporter les modifications dans AD DS.

Consultez également Guide pratique pour préparer un domaine non routable (tel que le domaine .local) pour la synchronisation d’annuaires.

Étapes suivantes

Après avoir effectué les étapes 1 à 5 ci-dessus, consultez Configurer la synchronisation d’annuaires.