Microsoft Entra Connect : quand vous avez un locataire existant
La plupart des rubriques sur l’utilisation de Microsoft Entra Connect supposent que vous démarrez avec un nouveau locataire Microsoft Entra qui n’a ni utilisateurs ni d’autres objets. Toutefois, si vous avez commencé avec un tenant Microsoft Entra, si vous y avez ajouté des utilisateurs et d’autres objets, et si vous souhaitez désormais utiliser Connect, cette rubrique est faite pour vous.
Concepts de base
Un objet dans Microsoft Entra ID est géré dans le cloud ou localement. Pour un même objet, vous ne pouvez pas gérer certains attributs localement, et d’autres dans Microsoft Entra ID. Chaque objet dispose d’un indicateur qui indique où l’objet est géré.
Vous pouvez gérer certains utilisateurs localement, et d’autres dans le cloud. Un scénario courant pour cette configuration est une organisation qui regroupe des comptables et des commerciaux. Les personnes qui travaillent au service de la comptabilité ont un compte AD local, mais pas les commerciaux. Toutefois, ces deux types d’utilisateurs ont un compte dans Microsoft Entra ID. Vous devez alors gérer certains utilisateurs localement et d’autres dans Microsoft Entra ID.
Quand vous commencez à gérer des utilisateurs dans Microsoft Entra ID, que ceux-ci sont également présents localement et que vous voulez utiliser Microsoft Entra Connect plus tard, vous devez prendre en compte certains aspects supplémentaires.
Synchroniser avec les utilisateurs existants dans Microsoft Entra ID
Quand vous démarrez la synchronisation avec Microsoft Entra Connect, l’API du service Microsoft Entra vérifie chaque nouvel objet entrant et tente de trouver un objet existant à mettre en correspondance. Il existe trois attributs utilisés pour ce processus : userPrincipalName, proxyAddresses et sourceAnchor/immutableID. Une correspondance pour userPrincipalName ou proxyAddresses est appelée « correspondance souple ». Une correspondance pour sourceAnchor est appelée « correspondance exacte ». Pour l’attribut proxyAddresses, seule la valeur avec SMTP :, c’est-à-dire l’adresse e-mail principale, est utilisée pour l’évaluation.
La correspondance est évaluée uniquement pour les nouveaux objets provenant de Connect. Si vous changez un objet existant pour qu’il corresponde à l’un de ces attributs, vous voyez s’afficher une erreur à la place.
Si Microsoft Entra ID trouve un objet dont les valeurs d’attribut sont identiques à celles du nouvel objet entrant depuis Microsoft Entra Connect, il prend le contrôle de l’objet dans Microsoft Entra ID, et l’objet géré dans le cloud est converti en objet géré localement. Tous les attributs dans Microsoft Entra ID qui ont une valeur dans l’AD local sont remplacés avec la valeur locale correspondante.
Avertissement
Comme tous les attributs dans Microsoft Entra ID sont remplacés par la valeur locale, vérifiez que vous avez de bonnes données locales. Par exemple, si vous avez uniquement une adresse e-mail managée dans Microsoft 365 et que vous ne l’avez pas mise à jour dans AD DS localement, vous perdez toutes les valeurs dans Microsoft Entra ID/Microsoft 365 qui ne figurent pas dans AD DS.
Important
Si vous utilisez la synchronisation de mot de passe, qui est toujours utilisée par les paramètres rapides, le mot de passe dans Microsoft Entra ID est remplacé par le mot de passe de l’annuaire AD local. Si vos utilisateurs sont habitués à gérer des mots de passe distincts, vous devez les informer qu’ils devront utiliser le mot de passe local, une fois que vous aurez installé Connect.
La section précédente et l’avertissement qu’elle contient doivent être pris en compte lors de la planification. Si vous avez apporté de nombreux changements dans Microsoft Entra ID qui ne se sont pas reflétés dans l’environnement AD DS local, vous devez planifier le remplissage d’AD DS avec les valeurs mises à jour à partir de Microsoft Entra ID avant de synchroniser vos objets avec Microsoft Entra Connect, pour éviter toute perte de données.
Si vous avez une correspondance souple pour vos objets, l’attribut sourceAnchor est ajouté à l’objet dans Microsoft Entra ID pour qu’une correspondance exacte soit utilisée par la suite.
Important
Microsoft déconseille fortement de synchroniser des comptes locaux avec des comptes d’administration préexistants dans Microsoft Entra ID.
Correspondance exacte et correspondance souple
Par défaut, la valeur SourceAnchor « abcdefghijklmnopqrstuv== » est calculée par Microsoft Entra Connect à l’aide de l’attribut MsDs-ConsistencyGUID (ou ObjectGUID selon la configuration) provenant de l’Active Directory local. Cette valeur d’attribut est l’ImmutableId correspondant dans Microsoft Entra ID. Quand Microsoft Entra Connect (moteur de synchronisation) ajoute ou met à jour des objets, Microsoft Entra ID met en correspondance l’objet entrant en utilisant la valeur sourceAnchor liée à l’attribut ImmutableId de l’objet existant dans Microsoft Entra ID. S’il existe une correspondance, Microsoft Entra Connect prend le contrôle de l’objet, et le met à jour avec les propriétés de l’objet Active Directory local entrant dans ce que l’on appelle une « correspondance exacte ». Quand Microsoft Entra ID ne trouve aucun objet avec un ImmutableId qui correspond à la valeur SouceAnchor, il tente d’utiliser le userPrincipalName ou le ProxyAddress principal de l’objet entrant pour trouver une correspondance dans ce que l’on appelle une « *correspondance souple ». La correspondance souple tente de faire correspondre les objets déjà présents et gérés dans Microsoft Entra ID aux nouveaux objets entrants ajoutés ou mis à jour, et qui représentent la même entité localement. Si Microsoft Entra ID ne parvient pas à trouver de correspondance exacte ou de correspondance souple pour l’objet entrant, il configure un nouvel objet dans l’annuaire Microsoft Entra ID. Nous avons ajouté une option de configuration qui permet de désactiver la fonctionnalité de correspondance exacte dans Microsoft Entra ID. Nous conseillons aux clients de désactiver la correspondance exacte, sauf s’ils en ont besoin pour prendre le contrôle des comptes cloud uniquement.
Pour désactiver la correspondance exacte, utilisez la cmdlet PowerShell Microsoft Graph Update-MgDirectoryOnPremiseSynchronization :
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
De même, nous avons ajouté une option de configuration qui permet de désactiver l’option de correspondance souple dans Microsoft Entra ID. Nous conseillons aux clients de désactiver la correspondance souple, sauf s’ils en ont besoin pour prendre en charge des comptes cloud uniquement.
Pour désactiver la correspondance souple, utilisez la cmdlet PowerShell Microsoft Graph Update-MgDirectoryOnPremiseSynchronization :
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Remarque
BlockCloudObjectTakeoverThroughHardMatchEnabled et BlockSoftMatchEnabled permettent de bloquer la correspondance pour tous les objets, s’ils sont activés pour le tenant. Les clients sont encouragés à désactiver ces fonctionnalités uniquement pendant la période où une procédure de mise en correspondance est nécessaire pour leur location. Vous devez réaffecter la valeur True à cet indicateur, une fois qu’une mise en correspondance a été effectuée, et qu’elle n’est plus nécessaire.
Objets autres que des utilisateurs
Pour les groupes et les contacts à extension messagerie, vous pouvez effectuer une correspondance souple en fonction de proxyAddresses. La correspondance exacte n’est pas applicable, car vous pouvez uniquement mettre à jour sourceAnchor/immutableID (à l’aide de PowerShell) pour Users uniquement. Pour les groupes qui ne sont pas à extension messagerie, il n’existe aucune prise en charge de la correspondance souple ou de la correspondance exacte.
Considérations relatives au rôle d’administrateur
Pour assurer une protection contre les utilisateurs locaux non approuvés, Microsoft Entra ID ne fait pas correspondre les utilisateurs locaux aux utilisateurs cloud ayant un rôle d’administrateur. Il s’agit d’un comportement par défaut. Pour contourner cette situation, vous pouvez suivre les étapes ci-dessous :
- Supprimez les rôles d’annuaire de l’objet utilisateur cloud uniquement.
- Supprimez de manière définitive l’objet mis en quarantaine dans le cloud.
- Déclenchez une synchronisation.
- Vous pouvez éventuellement rajouter les rôles d’annuaire à l’objet utilisateur dans le cloud, une fois la mise en correspondance effectuée.
Créer un annuaire Active Directory local à partir des données dans Microsoft Entra ID
Certains clients démarrent par une solution cloud uniquement avec Microsoft Entra ID, et ne disposent pas d’un AD local. Par la suite, ils veulent consommer des ressources locales et créer un annuaire AD local basé sur les données Microsoft Entra. Microsoft Entra Connect ne peut pas vous aider dans ce scénario. Il ne crée pas d’utilisateurs localement, et ne permet pas de définir le même mot de passe local que dans Microsoft Entra ID.
Si la seule raison pour laquelle vous voulez ajouter un annuaire AD local est la prise en charge d’applications métier, utilisez plutôt les services de domaine Microsoft Entra à la place.
Étapes suivantes
Explorez plus en détail l’Intégration de vos identités locales avec Microsoft Entra ID.