Microsoft Entra Connect Sync : Bonnes pratiques pour modifier la configuration par défaut

L’objectif de cette rubrique est de décrire les modifications prises en charge ou non pour Microsoft Entra Connect Sync.

La configuration créée par Microsoft Entra Connect fonctionne « telle quelle » pour la plupart des environnements qui synchronisent Active Directory local avec Microsoft Entra ID. Toutefois, dans certains cas, il est nécessaire d’appliquer certaines modifications à une configuration pour répondre à une spécification ou un besoin particulier.

Modifications apportées au compte de service

Microsoft Entra Connect Sync s’exécute sous un compte de service créé par l’Assistant Installation. Ce compte de service conserve les clés de chiffrement dans la base de données utilisée par la synchronisation. Il est créé avec un mot de passe de 127 caractères de long, défini pour ne pas expirer.

Avertissement

Si vous modifiez ou réinitialisez le mot de passe du service ADSync, le service de synchronisation ne sera pas en mesure de démarrer correctement jusqu’à ce que vous abandonniez la clé de chiffrement et réinitialisiez le mot de passe du service ADSync. Pour ce faire, consultez Modifier le mot de passe du compte de service ADSync.

Modifications apportées au planificateur

À partir de la version 1.1 (février 2016), vous pouvez configurer le planificateur sur un cycle de synchronisation autre que le cycle par défaut de 30 minutes.

Modifications apportées aux règles de synchronisation

L'Assistant d’installation fournit une configuration qui est censée fonctionner pour les scénarios les plus courants. Au cas où vous devez apporter des modifications à la configuration, vous devez suivre ces règles pour toujours avoir une configuration prise en charge.

Avertissement

Si vous apportez des modifications aux règles de synchronisation par défaut, ces modifications seront remplacées lors de la mise à jour suivante de Microsoft Entra Connect, ce qui va entraîner des résultats de synchronisation non attendus et probablement indésirables.

• Vous pouvez modifier le flux d’attributs si le flux des attributs directs par défaut ne convient pas à votre organisation.
• Si vous voulez ne pas transférer un attribut et supprimer des valeurs d’un attribut existant dans Microsoft Entra ID, vous devez créer une règle pour ce scénario.
• Désactiver une règle de synchronisation indésirable plutôt que la supprimer. Une règle supprimée est recréée pendant la mise à niveau.
• Pour effectuer des modifications sur une règle out-of-box, vous devez faire une copie de la règle d’origine, puis la désactiver. L’éditeur de règles de synchronisation affiche une invite et vous propose de l’aide.
• Exportez vos règles de synchronisation personnalisées à l’aide de l’éditeur de règles de synchronisation. L’éditeur vous donne un script PowerShell que vous pouvez utiliser pour facilement les recréer dans le cadre d’une récupération d’urgence.

Avertissement

Les règles de synchronisation out-of-box ont une empreinte numérique. Si vous apportez une modification à ces règles, l’empreinte numérique ne correspondra plus. Vous pourriez rencontrer des problèmes à l'avenir lorsque vous tenterez d'appliquer une nouvelle version de Microsoft Entra Connect. Procédez à des modifications uniquement de la façon décrite dans cet article.

Désactiver une règle de synchronisation indésirable

Ne supprimez pas une règle de synchronisation out-of-box. Elle est recréée au cours de la mise à niveau suivante.

Dans certains cas, l'Assistant d'installation a produit une configuration qui ne fonctionne pas pour votre topologie. Par exemple, si vous disposez d'une topologie de forêt compte-ressource, mais que vous avez étendu le schéma dans la forêt de comptes avec le schéma Exchange, alors les règles pour Exchange sont créées pour la forêt de comptes, ainsi que pour la forêt de ressources. Dans ce cas, vous devez désactiver la règle de synchronisation pour Exchange.

Dans l'image ci-dessus, l'Assistant d'installation a trouvé un ancien schéma Exchange 2003 dans la forêt de comptes. Cette extension de schéma a été ajoutée avant l’introduction de la forêt de ressources dans l’environnement de Fabrikam. Pour garantir qu’aucun attribut de l’ancienne implémentation Exchange n’est synchronisé, la règle de synchronisation devrait être désactivée comme indiqué.

effectuer des modifications sur une règle out-of-box

La seule fois où vous devez effectuer des modifications sur une règle out-of-box est lorsque vous devez modifier la règle de jointure. Si vous devez modifier un flux d’attributs, vous devez créer une règle de synchronisation avec une priorité plus élevée que les règles out-of-box. La seule règle que vous aurez vraiment à cloner est la règle Reçu depuis AD - jointure utilisateur. Vous pouvez remplacer toutes les autres règles avec une règle de priorité plus élevée.

Si vous devez effectuer des modifications d’une règle out-of-box, vous devriez en faire une copie, puis désactiver la règle d’origine. Modifiez ensuite la règle clonée. L’éditeur de règles de synchronisation vous accompagne dans ces étapes. Lorsque vous ouvrez une règle out-of-box, cette boîte de dialogue s'affiche :

Sélectionnez Oui pour créer une copie de la règle. La règle clonée est ensuite ouverte.

Sur cette règle clonée, effectuez les modifications nécessaires de la portée, de la jointure et des transformations.

Étapes suivantes

Rubriques de présentation

• Microsoft Entra Connect Sync : comprendre et personnaliser la synchronisation
• Intégration de vos identités locales avec Microsoft Entra ID