Microsoft Entra Connect : Configurer les autorisations du compte de connecteur AD DS
Le module PowerShell dénommé ADSyncConfig.psm1 a été introduit avec la version 1.1.880.0 (sortie en août 2018). Il fournit une collection de cmdlets pour vous aider à configurer les autorisations Active Directory adéquates pour votre déploiement Microsoft Entra Connect.
Vue d’ensemble
Les applets de commande PowerShell suivantes vous permettent de définir les autorisations du compte de connecteur AD DS, pour chaque fonctionnalité que vous sélectionnez pour l’activer dans Microsoft Entra Connect. Pour éviter tout problème, vous devez définir les autorisations Active Directory préalablement à toute installation Microsoft Entra Connect à l’aide d’un compte de domaine personnalisé, pour pouvoir ensuite vous connecter à votre forêt. Ce module ADSyncConfig est également utile pour configurer les autorisations après le déploiement Microsoft Entra Connect.
Dans le cadre de l’installation Microsoft Entra Connect Express, un compte généré automatiquement (MSOL_nnnnnnnnnn) est créé dans Active Directory avec toutes les autorisations nécessaires. Vous n’avez donc pas besoin du module ADSyncConfig, sauf si vous avez bloqué l’héritage des autorisations sur les unités d’organisation ou sur des objets Active Directory spécifiques que vous souhaitez synchroniser dans Microsoft Entra ID.
Résumé des autorisations
Le tableau suivant récapitule les autorisations nécessaires sur les objets AD :
| Fonctionnalité | Autorisations |
|---|---|
| Fonctionnalité de ms-DS-ConsistencyGuid | Autorisations de lecture et d’écriture sur l’attribut ms-DS-ConsistencyGuid documenté dans Principes de conception Azure AD Connect - Utilisation de ms-DS-ConsistencyGuid en tant qu’attribut sourceAnchor. |
| Synchronisation de hachage de mot de passe | |
| Déploiement Exchange hybride | Autorisations de lecture et d’écriture sur les attributs documentés dans Écriture différée d’Exchange hybride pour les utilisateurs, les groupes et les contacts. |
| Dossier public de messagerie Exchange | Autorisations de lecture sur les attributs documentées dans Dossier public de messagerie Exchange pour les dossiers publics. |
| Réécriture du mot de passe | Autorisations de lecture et d’écriture sur les attributs documentés dans Bien démarrer avec la gestion des mots de passe pour les utilisateurs. |
| Écriture différée des appareils | Autorisations de lecture et d’écriture sur les objets et conteneurs d’appareil documentés dans la réécriture d’appareil. |
| Écriture différée de groupe | Lire, créer, mettre à jour et supprimer des objets de groupe pour les groupes Office 365 synchronisés. |
Utilisation du module PowerShell ADSyncConfig
Le module ADSyncConfig nécessite les outils d’administration de serveur distant pour AD DS, car il dépend des outils et du module PowerShell AD DS. Pour installer les outils d’administration de serveur distant pour AD DS, ouvrez une fenêtre Windows PowerShell avec l’option « Exécuter en tant qu’administrateur » et exécutez la commande suivante :
Install-WindowsFeature RSAT-AD-Tools
Remarque
Vous pouvez également copier le fichier C:\Program Files\Microsoft Entra Connect\AdSyncConfig\ADSyncConfig.psm1 sur un contrôleur de domaine où sont déjà installés les outils d’administration de serveur distant pour AD DS et utiliser ensuite ce module PowerShell à partir de ce contrôleur. N’oubliez pas que plusieurs cmdlets ne peuvent être exécutées que sur l’ordinateur qui héberge Microsoft Entra Connect.
Pour commencer à utiliser le module ADSyncConfig, vous devez d’abord le charger dans une fenêtre Windows PowerShell :
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
Pour afficher toutes les applets de commande incluses dans ce module, entrez la commande suivante :
Get-Command -Module AdSyncConfig
Chaque applet de commande utilise les mêmes paramètres d’entrée du compte de connecteur AD DS, ainsi qu’un commutateur AdminSDHolder. Pour spécifier votre compte de connecteur AD DS, entrez le nom du compte et le domaine correspondants, ou entrez simplement le nom unique du compte.
Par exemple :
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
Ou :
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
Veillez à remplacer <ADAccountName>, <ADDomainName> et <ADAccountDN> par les valeurs de votre environnement.
Si vous souhaitez changer les autorisations sur le conteneur AdminSDHolder, utilisez le commutateur -IncludeAdminSdHolders. Cela est toutefois déconseillé.
Par défaut, toutes les applets de commande de définition des autorisations tentent de définir les autorisations AD DS à la racine de chaque domaine dans la forêt. L’utilisateur ayant ouvert la session PowerShell doit donc avoir des droits d’administrateur de domaine sur chaque domaine dans la forêt. En raison de cette exigence, il est recommandé d’utiliser un compte Administrateur d’entreprise à partir de la racine de la forêt. Si votre déploiement Microsoft Entra Connect utilise plusieurs connecteurs AD DS, la même applet de commande doit être exécutée sur chaque forêt contenant un connecteur AD DS.
Vous pouvez également définir des autorisations sur une unité d’organisation ou un objet AD DS spécifique en ajoutant le paramètre -ADobjectDN suivi du nom unique de l’objet cible sur lequel vous souhaitez définir les autorisations. Si vous utilisez un ADobjectDN cible, l’applet de commande définit les autorisations uniquement sur cet objet, et pas sur la racine du domaine ou le conteneur AdminSDHolder. Ce paramètre peut être utile si vous avez bloqué l’héritage des autorisations sur des unités d’organisation ou objets AD DS spécifiques (voir la section « Rechercher les objets AD DS pour lesquels l’héritage des autorisations est désactivé »)
Il y a deux exceptions à ces paramètres communs : l’applet de commande Set-ADSyncRestrictedPermissions, qui s’utilise pour définir les autorisations sur le compte de connecteur AD DS lui-même, et l’applet de commande Set-ADSyncPasswordHashSyncPermissions, qui définit les autorisations nécessaires pour la synchronisation du hachage de mot de passe uniquement à la racine de domaine et n’inclut donc pas les paramètres -ObjectDN et -IncludeAdminSdHolders.
Identifier votre compte de connecteur AD DS
Si Microsoft Entra Connec est déjà installé et que vous souhaitez savoir quel compte de connecteur AD DS est actuellement utilisé par Microsoft Entra Connec, exécutez l’applet de commande suivante :
Get-ADSyncADConnectorAccount
Rechercher les objets AD DS pour lesquels l’héritage des autorisations est désactivé
Si vous souhaitez savoir si l’héritage des autorisations a été désactivé pour certains objets AD DS, exécutez cette commande :
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>'
Par défaut, cette applet de commande recherche uniquement les unités d’organisation pour lesquelles l’héritage a été désactivé, mais vous pouvez spécifier d’autres classes d’objets AD DS à l’aide du paramètre -ObjectClass ou spécifier toutes les classes d’objets en utilisant le caractère « * », comme ceci :
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass *
Afficher les autorisations AD DS définies sur un objet
Pour afficher la liste des autorisations actuellement définies sur un objet Active Directory, utilisez la cmdlet ci-dessous en indiquant le nom unique (DistinguishedName) de l’objet :
Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>'
Configurer les autorisations du compte de connecteur AD DS
Configurer des autorisations de lecture seule de base
Si vous n’utilisez aucune fonctionnalité Microsoft Entra Connect et souhaitez définir des autorisations de lecture seule de base pour le compte de connecteur AD DS, exécutez :
Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Ou :
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Cette applet de commande définit les autorisations suivantes :
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | Compte de connecteur AD DS | Lire toutes les propriétés | Objets appareil descendants |
| Allow | Compte de connecteur AD DS | Lire toutes les propriétés | Objets InetOrgPerson descendants |
| Allow | Compte de connecteur AD DS | Lire toutes les propriétés | Objets ordinateur descendants |
| Allow | Compte de connecteur AD DS | Lire toutes les propriétés | Objets foreignSecurityPrincipal descendants |
| Allow | Compte de connecteur AD DS | Lire toutes les propriétés | Objets groupe descendants |
| Allow | Compte de connecteur AD DS | Lire toutes les propriétés | Objets utilisateur descendants |
| Allow | Compte de connecteur AD DS | Lire toutes les propriétés | Objets contact descendants |
| Allow | Compte de connecteur AD DS | Réplication des modifications de l’annuaire | Cet objet uniquement (racine du domaine) |
Configurer les autorisations MS-DS-Consistency-Guid
Pour définir les autorisations du compte de connecteur AD DS en utilisant l’attribut ms-Ds-Consistency-Guid comme ancre source (option « Laisser Azure gérer l’ancre source pour moi »), exécutez :
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Ou :
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Cette applet de commande définit les autorisations suivantes :
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | Compte de connecteur AD DS | Lecture/Écriture de la propriété | Objets utilisateur descendants |
Autorisations pour la synchronisation du hachage de mot de passe
Pour définir les autorisations du compte de connecteur AD DS quand la synchronisation du hachage de mot de passe est activée, exécutez :
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>]
Ou :
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>]
Cette applet de commande définit les autorisations suivantes :
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | Compte de connecteur AD DS | Réplication des modifications de l’annuaire | Cet objet uniquement (racine du domaine) |
| Allow | Compte de connecteur AD DS | Réplication de toutes les modifications de l’annuaire | Cet objet uniquement (racine du domaine) |
Autorisations pour la réécriture du mot de passe
Pour définir les autorisations du compte de connecteur AD DS quand la réécriture du mot de passe est activée, exécutez :
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Ou :
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Cette applet de commande définit les autorisations suivantes :
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | Compte de connecteur AD DS | Réinitialiser le mot de passe | Objets utilisateur descendants |
| Allow | Compte de connecteur AD DS | Écriture de la propriété lockoutTime | Objets utilisateur descendants |
| Allow | Compte de connecteur AD DS | Écriture de la propriété pwdLastSet | Objets utilisateur descendants |
Autorisations pour la réécriture de groupe
Pour définir les autorisations du compte de connecteur AD DS quand la réécriture de groupe est activée, exécutez :
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Ou :
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Cette applet de commande définit les autorisations suivantes :
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | Compte de connecteur AD DS | Lecture/Écriture générique | Tous les attributs d’un groupe de types d’objets et des sous-objets |
| Allow | Compte de connecteur AD DS | Création/Suppression de l’objet enfant | Tous les attributs d’un groupe de types d’objets et des sous-objets |
| Allow | Compte de connecteur AD DS | Suppression/Suppression d’objets d’arborescence | Tous les attributs d’un groupe de types d’objets et des sous-objets |
Autorisations pour le déploiement Exchange hybride
Pour définir les autorisations du compte de connecteur AD DS quand le déploiement Exchange hybride est activé, exécutez :
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Ou :
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Cette applet de commande définit les autorisations suivantes :
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | Compte de connecteur AD DS | Lecture/écriture de toutes les propriétés | Objets utilisateur descendants |
| Allow | Compte de connecteur AD DS | Lecture/écriture de toutes les propriétés | Objets InetOrgPerson descendants |
| Allow | Compte de connecteur AD DS | Lecture/écriture de toutes les propriétés | Objets groupe descendants |
| Allow | Compte de connecteur AD DS | Lecture/écriture de toutes les propriétés | Objets contact descendants |
Autorisations pour les dossiers publics de la messagerie Exchange
Pour définir les autorisations du compte de connecteur AD DS quand les dossiers publics de la messagerie Exchange sont activés, exécutez :
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
Ou :
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
Cette applet de commande définit les autorisations suivantes :
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | Compte de connecteur AD DS | Lire toutes les propriétés | Objets PublicFolder descendants |
Restreindre les autorisations du compte de connecteur AD DS
Ce script PowerShell réduit les autorisations du compte de connecteur AD fourni comme paramètre. La réduction des autorisations implique les étapes suivantes :
Désactivez l’héritage sur l’objet spécifié
Supprimer toutes les entrées de contrôle d’accès (ACE) sur l’objet spécifique, à l’exception de celles propres à SELF, car nous souhaitons conserver les autorisations par défaut pour SELF.
Le paramètre -ADConnectorAccountDN est le compte AD dont les autorisations doivent être réduites. Il s’agit généralement du compte de domaine MSOL_nnnnnnnnnnnn qui est configuré dans le connecteur AD DS (voir la section « Identifier votre compte de connecteur AD DS »). Le paramètre -Credential est utilisé afin de spécifier le compte administrateur qui a les privilèges nécessaires pour restreindre les autorisations Active Directory sur l’objet AD cible (ce compte doit être différent de celui de l’ADConnectorAccountDN). Il s’agit généralement du compte d’administrateur d’entreprise ou de domaine.
Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]
Par exemple :
$credential = Get-Credential
Set-ADSyncRestrictedPermissions -ADConnectorAccountDN 'CN=ADConnectorAccount,OU=Users,DC=Contoso,DC=com' -Credential $credential
Cette applet de commande définit les autorisations suivantes :
| Type | Nom | Accès | S'applique à |
|---|---|---|---|
| Allow | SYSTEM | Contrôle total | Cet objet |
| Allow | Administrateurs de l’entreprise | Contrôle total | Cet objet |
| Allow | Admins du domaine | Contrôle total | Cet objet |
| Allow | Administrateurs | Contrôle total | Cet objet |
| Allow | Contrôleurs de domaine d’entreprise | Lister le contenu | Cet objet |
| Allow | Contrôleurs de domaine d’entreprise | Lire toutes les propriétés | Cet objet |
| Allow | Contrôleurs de domaine d’entreprise | Autorisations de lecture | Cet objet |
| Allow | Utilisateurs authentifiés | Lister le contenu | Cet objet |
| Allow | Utilisateurs authentifiés | Lire toutes les propriétés | Cet objet |
| Allow | Utilisateurs authentifiés | Autorisations de lecture | Cet objet |