Résoudre les règles par défaut modifiées dans Microsoft Entra Connect
Microsoft Entra Connect utilise des règles par défaut pour la synchronisation. Malheureusement, ces règles ne s’appliquent pas à toutes les organisations. Selon vos besoins, vous devrez peut-être les modifier. Cet article décrit deux exemples parmi les personnalisations les plus courantes et explique la méthode correcte pour les effectuer.
Notes
La modification des règles par défaut existantes pour atteindre une personnalisation nécessaire n’est pas prise en charge. Si vous procédez ainsi, ces règles ne peuvent pas être mises à jour vers la dernière version dans les futures versions. Vous n’obtiendrez pas les correctifs de bogues dont vous avez besoin, ni les nouvelles fonctionnalités. Ce document explique comment obtenir le même résultat sans modifier les règles par défaut.
Comment identifier les règles par défaut modifiées
Depuis la version 1.3.7.0 de Microsoft Entra Connect, il est facile d’identifier les règles par défaut modifiées. Accédez à Applications sur le bureau, puis sélectionnez Éditeur de règles de synchronisation.
Dans l’éditeur, toutes les règles par défaut modifiées sont affichées avec une icône d’avertissement devant leur nom.
Une règle désactivée avec le même nom à côté apparaît également (il s’agit de la règle par défaut standard).
Personnalisations courantes
Les personnalisations courantes pour les règles par défaut sont les suivantes :
- Modifier un flux d’attribut
- Modifier un filtre d’étendue
- Modifier une condition de jointure
Avant de modifier une règle :
Désactivez le planificateur de synchronisation. Par défaut, le planificateur s’exécute toutes les 30 minutes. Veillez à ce qu’il ne démarre pas pendant que vous effectuez les modifications et que vous résolvez les problèmes de vos nouvelles règles. Pour désactiver temporairement le planificateur, démarrez PowerShell et exécutez
Set-ADSyncScheduler -SyncCycleEnabled $false.
La modification du filtre d’étendue peut entraîner la suppression des objets dans le répertoire cible. Soyez prudent avant d’apporter des modifications dans l’étendue des objets. Nous vous recommandons d’apporter des modifications à un serveur intermédiaire avant d’apporter des modifications sur le serveur actif.
Exécuter un aperçu sur un seul objet, comme indiqué dans la section Valider une règle de synchronisation, après avoir ajouté une nouvelle règle.
Exécuter une synchronisation complète après avoir ajouté une nouvelle règle ou avoir modifié une règle de synchronisation personnalisée. Cette synchronisation applique de nouvelles règles à tous les objets.
Modifier un flux d’attribut
Il existe trois scénarios différents pour modifier le flux d’attributs :
- Ajout d’un nouvel attribut.
- Remplacement de la valeur d’un attribut existant.
- Choisir de ne pas synchroniser un attribut existant.
Vous pouvez effectuer ces actions sans modifier les règles par défaut standards.
Ajouter un nouvel attribut
Si vous trouvez qu’un attribut n’est pas transmis à partir de votre répertoire source vers le répertoire cible, utilisez la synchronisation Microsoft Entra Connect : Extensions d’annuaire pour résoudre cela.
Si les extensions ne fonctionnent pas pour vous, essayez d’ajouter deux nouvelles règles de synchronisation, décrites dans les sections suivantes.
Ajouter une règle de synchronisation entrante
Une règle de synchronisation entrante signifie que la source de l’attribut est un espace de connecteur et la cible est le métaverse. Par exemple, pour avoir un nouveau flux d’attribut à partir d’Active Directory local vers Microsoft Entra ID, créez une nouvelle règle de synchronisation entrante. Lancez l’éditeur de règles de synchronisation, sélectionnez la direction Entrante, puis sélectionnez Ajouter une nouvelle règle.
Suivez votre propre convention d’affectation de noms pour nommer la règle. Ici, nous utilisons Personnalisé Entrante à partir d’AD - utilisateur. Cela signifie que la règle est une règle personnalisée, et une règle entrante à partir de l’espace de connecteur Active Directory vers le métaverse.
Fournissez votre propre description de la règle, afin que sa maintenance ultérieure soit aisé. Par exemple, la description peut être basée sur l’objectif de la règle et la raison pour laquelle elle est nécessaire.
Effectuez vos sélections pour les champs Système connecté, Type d’objet système connecté, et Type d’objet métaverse.
Spécifiez la valeur de priorité comprise entre 0 et 99 (plus le nombre est faible, plus la priorité est élevée). Pour les champs Balise, Activer la synchronisation de mot de passe, et Désactivé, utilisez les sélections par défaut.
Laissez le champ Filtre d’étendue vide. Cela signifie que la règle s’applique à tous les objets joints entre le système Active Directory connecté et le métaverse.
Laissez le champ Règles de jointure vide. Cela signifie que cette règle utilise la condition de jointure définie dans la règle par défaut standard. Il s’agit d’une autre raison pour ne pas désactiver ou supprimer la règle par défaut standard. S’il n’existe aucune condition de jointure, l’attribut ne circulera pas.
Ajoutez les transformations appropriées pour votre attribut. Vous pouvez affecter une constante, pour qu’une valeur constante circule vers votre attribut cible. Vous pouvez utiliser un mappage direct entre l’attribut source ou cible. Ou bien, vous pouvez utiliser une expression pour l’attribut. Voici différentes fonctions d’expression que vous pouvez utiliser.
Ajouter une règle de synchronisation sortante
Pour lier l’attribut au répertoire cible, vous devez créer une règle sortante. Cela signifie que la source est le métaverse et la cible est le système connecté. Pour créer une règle sortante, démarrez l’éditeur de règles de synchronisation, réglez Direction sur Sortant, puis sélectionnez Ajouter une nouvelle règle.
Comme avec la règle de trafic entrant, vous pouvez utiliser votre propre convention d’affectation de noms pour la nommer. Sélectionnez le système connecté en tant que locataire Microsoft Entra, puis sélectionnez l’objet de système connecté auquel vous souhaitez définir la valeur d’attribut. Définissez la priorité entre 0 et 99.
Laissez le filtre d’étendue et les règles de jointure vides. Renseignez la transformation comme étant constante, directe ou une expression.
Vous savez maintenant comment rendre un nouvel attribut pour un flux d’objet utilisateur à partir d’Active Directory vers Microsoft Entra ID. Vous pouvez utiliser ces étapes pour mapper tout attribut provenant de n’importe quel objet à la source et à la cible. Pour plus d’informations, consultez Création de règles de synchronisation personnalisées et Préparer pour configurer des utilisateurs.
Remplacer la valeur d’un attribut existant
Vous souhaiterez peut-être substituer la valeur d’un attribut qui a déjà été mappée. Par exemple, si vous souhaitez toujours définir une valeur null à un attribut dans Microsoft Entra ID, créez simplement une règle entrante uniquement. Faites que la valeur d’expression, AuthoritativeNull, atteigne l’attribut cible.
Notes
Utilisez AuthoritativeNull au lieu de Null dans ce cas. Car la valeur non null remplace la valeur null, même si elle a une priorité inférieure (une valeur numérique plus élevée dans la règle). AuthoritativeNull, de l’autre côté, n’est pas remplacé par une valeur non null par d’autres règles.
Ne pas synchroniser un attribut existant
Si vous souhaitez exclure un attribut de la synchronisation, utilisez la fonctionnalité de filtrage d’attributs fournie dans Microsoft Entra Connect. Lancez Microsoft Entra Connect depuis l’icône du bureau, puis sélectionnez Personnaliser les options de synchronisation.
Assurez-vous que le filtrage d’attributs et d’applications Microsoft Entra est sélectionné, puis sélectionnez Suivant.
Effacer les attributs que vous souhaitez exclure de la synchronisation.
Modifier un filtre d’étendue
Azure AD Sync s’occupe de la plupart des objets. Vous pouvez réduire l’étendue des objets et réduire le nombre d’objets à exporter, sans modifier les règles de synchronisation par défaut standards.
Utilisez une des méthodes suivantes pour réduire l’étendue des objets que vous synchronisez :
- Attribut cloudFiltered
- Filtrage de l’unité d’organisation
Si vous réduisez l’étendue des utilisateurs synchronisés, la synchronisation du hachage de mot de passe s’arrête également pour les utilisateurs filtrés. Si les objets sont déjà synchronisés, après avoir réduit la portée, les objets filtrés sont supprimés du répertoire cible. Pour cette raison, assurez-vous de définir l’étendue très soigneusement.
Important
L’augmentation de l’étendue des objets configuré par Microsoft Entra Connect n’est pas recommandée. Cela rend difficile pour l’équipe de support Microsoft de comprendre les personnalisations. Si vous devez augmenter l’étendue des objets, modifiez la règle existante, clonez-la et désactivez la règle d’origine.
Attribut cloudFiltered
Vous ne pouvez pas définir cet attribut dans Active Directory. Définissez la valeur de cet attribut en ajoutant une nouvelle règle de trafic entrant. Vous pouvez ensuite utiliser Transformation et Expression pour définir cet attribut dans le métaverse. L’exemple suivant montre que vous ne souhaitez pas synchroniser tous les utilisateurs dont le nom du service commence par HRD (non-respect de la casse) :
cloudFiltered <= IIF(Left(LCase([department]), 3) = "hrd", True, NULL)
Tout d’abord, nous avons converti le département à partir de la source (Active Directory) en minuscules. Ensuite, à l’aide de la fonction Left, nous avons pris uniquement les trois premiers caractères et les avons comparé avec hrd. Si cela correspond, la valeur est définie sur True, sinon NULL. Dans la définition de la valeur sur null, une autre règle avec une priorité inférieure (valeur numérique plus élevée) peut y écrire avec une condition différente. Lancez un aperçu sur un seul objet pour valider la règle de synchronisation, comme indiqué dans la section Valider une règle de synchronisation.
Filtrage de l’unité d’organisation
Vous pouvez créer une ou plusieurs unités d’organisation (UO) et déplacer les objets que vous ne souhaitez pas synchroniser vers ces unités. Ensuite, configurez le filtrage d’unité d’organisation dans Microsoft Entra Connect. Lancez Microsoft Entra Connect à partir de l’icône du bureau, puis sélectionnez les options suivantes. Vous pouvez également configurer le filtrage d’unité d’organisation au moment de l’installation de Microsoft Entra Connect.
Suivez l’assistant et désactivez les unités d’organisation que vous ne souhaitez pas synchroniser.
Modifier une condition de jointure
Utilisez les conditions de jointure par défaut configurées par Microsoft Entra Connect. La modification des conditions de jointure par défaut rend difficile pour le support technique de Microsoft de comprendre les personnalisations et d’effectuer le support technique du produit.
Valider une règle de synchronisation
Vous pouvez valider la règle de synchronisation qui vient d’être ajoutée à l’aide de la fonctionnalité d’aperçu, sans exécuter le cycle de synchronisation complète. Dans Microsoft Entra Connect, sélectionnez Service de synchronisation.
Sélectionnez Recherche de métaverse. Sélectionnez l’objet d’étendue comme personne, sélectionnez Ajouter une clauseet indiquez vos critères de recherche. Ensuite, sélectionnez Recherche, double-cliquez sur l’objet dans les résultats de recherche. Assurez-vous que vos données dans Microsoft Entra Connect sont à jour pour cet objet, en exécutant l’importation et la synchronisation sur la forêt avant d’exécuter cette étape.
Sur les propriétés de l’objet métaverse, sélectionnez Connecteurs, sélectionnez l’objet dans le connecteur correspondant (forêt), puis Propriétés... .
Sélectionnez Aperçu...
Dans la fenêtre d’aperçu, sélectionnez Générer un aperçu et Importer un flux d’attribut dans le volet gauche.
Ici, notez que la règle nouvellement ajoutée est exécutée sur l’objet et qu’elle a défini l’attribut cloudFiltered sur True.
Pour comparer la règle modifiée avec la règle par défaut, exportez les deux règles séparément, en tant que fichiers texte. Ces règles sont exportées dans un fichier de script PowerShell. Vous pouvez les comparer à l’aide de n’importe quel outil de comparaison de fichier (par exemple, windiff) pour voir les modifications.
Notez que dans la règle modifiée, l’attribut msExchMailboxGuid devient de type Expression au lieu de Direct. En outre, la valeur est modifiée possède les options NULL et ExecuteOnce. Vous pouvez ignorer les différences Identifié et Priorité.
Pour corriger vos règles et remettre les paramètres par défaut, supprimez la règle modifiée et activez la règle par défaut. Assurez-vous de ne pas perdre la personnalisation que vous tentez d’atteindre. Lorsque vous êtes prêt, exécutez la synchronisation complète.