Synchronisation d’Azure AD Connect : Configurer le filtrage

L’utilisation du filtrage vous permet de contrôler les objets de votre annuaire local qui doivent apparaître dans Azure Active Directory (Azure AD). La configuration par défaut concerne l’ensemble des objets présents dans tous les domaines des forêts configurées. En général, il s’agit de la configuration recommandée. Les utilisateurs qui utilisent les charges de travail Microsoft 365, telles qu’Exchange Online et Skype Entreprise, peuvent tirer parti d’une liste d’adresses globale complète pour envoyer des courriers électroniques et appeler tout le monde. La configuration par défaut leur offre la même expérience qu’une implémentation locale d’Exchange ou de Lync.

Toutefois, dans certains cas, vous devez apporter certaines modifications à la configuration par défaut. Voici quelques exemples :

  • Vous exécutez un pilote pour Azure ou Microsoft 365 et souhaitez uniquement disposer d’un sous-ensemble d’utilisateurs dans Azure AD. Dans le petit pilote, il n’est pas impératif de disposer d’une liste d’adresses globale complète pour illustrer la fonctionnalité.
  • Vous disposez d’un grand nombre de comptes de service et d’autres comptes non personnels dont vous ne voulez pas dans Azure AD.
  • Pour des raisons de conformité, vous ne supprimez aucun compte d’utilisateur local. Vous vous contentez de les désactiver. Toutefois, vous souhaitez qu’Azure AD ne comporte que des comptes actifs.

Cet article explique comment configurer les différents modes de filtrage.

Important

Microsoft ne prend pas en charge la modification ou l’utilisation de la synchronisation Azure AD Connect en dehors des actions qui sont documentées de façon formelle. Ces actions peuvent entraîner un état de synchronisation Azure AD Connect incohérent ou non pris en charge. Par conséquent, Microsoft ne peut pas fournir de support technique pour ces déploiements.

Principes de base et remarques importantes

Dans Azure AD Connect Sync, vous pouvez activer le filtrage à tout moment. Si vous avez commencé par une configuration de synchronisation d’annuaires par défaut et configuré le filtrage, les objets éliminés par le filtrage ne sont plus synchronisés avec Azure AD. En raison de ce changement, tous les objets présents dans Azure AD précédemment synchronisés puis filtrés sont supprimés d’Azure AD.

Avant d’apporter des modifications au filtrage, veillez à désactiver la tâche planifiée afin de ne pas exporter accidentellement des modifications dont vous n’avez pas encore vérifié l’exactitude.

Étant donné que le filtrage peut supprimer de nombreux objets simultanément, vous devez vous assurer que les nouveaux filtres sont corrects avant de commencer à exporter des modifications vers Azure AD. Une fois que vous avez terminé la procédure de configuration, nous vous recommandons vivement d’exécuter les étapes de vérification avant d’exporter et d’effectuer des modifications dans Azure AD.

Pour vous protéger contre la suppression par inadvertance de nombreux objets, la fonctionnalité « Prévention des suppressions accidentelles » est activée par défaut. Si vous supprimez de nombreux objets suite à un filtrage (500 par défaut), vous devez exécuter les étapes décrites dans cet article pour que les suppressions soient appliquées à Azure AD.

Si vous utilisez une version antérieure à novembre 2015 (1.0.9125), que vous modifiez une configuration de filtre et que vous utilisez une synchronisation de hachage du mot de passe, vous devez déclencher une synchronisation complète de tous les mots de passe une fois la configuration terminée. Pour plus d’informations sur le déclenchement d’une synchronisation complète des mots de passe, consultez la section Déclencher une synchronisation complète de tous les mots de passe. Si vous utilisez la version 1.0.9125 ou une version ultérieure, l’opération standard de synchronisation complète détermine également si les mots de passe doivent être ou non synchronisés et si cette étape supplémentaire n’est plus nécessaire.

Si des objets utilisateur ont été accidentellement supprimés d’Azure AD à la suite d’une erreur de filtrage, vous pouvez recréer ces objets utilisateur dans Azure AD en supprimant vos configurations de filtrage. Vous pouvez ensuite resynchroniser vos annuaires. Cette opération restaure les utilisateurs présents dans la corbeille d’Azure AD. Toutefois, vous ne pouvez pas annuler la suppression d’autres types d’objets. Par exemple, si vous supprimez accidentellement un groupe de sécurité et que ce dernier a été utilisé comme liste de contrôle d’accès (ACL, access-control list) d’une ressource, le groupe et ses ACL ne sont pas récupérables.

Azure AD Connect supprime uniquement les objets qu’il a précédemment considérés comme étant compris dans l’étendue. Si certains objets d’Azure AD ont été créés par un autre moteur de synchronisation et ne figurent pas dans l’étendue, l’ajout d’un filtrage ne les supprime pas. Par exemple, si vous démarrez avec un serveur de synchronisation d’annuaires DirSync qui a créé une copie complète de la totalité de votre annuaire dans Azure AD, puis que vous installez un nouveau serveur de synchronisation Azure AD Connect en parallèle avec le filtrage activé dès le départ, Azure AD Connect ne supprime pas les objets supplémentaires créés par DirSync.

Les configurations de filtrage sont conservées lorsque vous effectuez une installation ou une mise à niveau vers une version plus récente d’Azure AD Connect. Avant d’exécuter le premier cycle de synchronisation, il est toujours recommandé de vérifier que la configuration n’a pas été modifiée par inadvertance après une mise à niveau vers une version plus récente.

Si vous disposez de plusieurs forêts, vous devez appliquer les configurations de filtrage décrites dans cet article à chaque forêt (à condition que vous souhaitiez attribuer la même configuration à la totalité des forêts).

Désactiver la tâche planifiée

Pour désactiver le planificateur intégré qui déclenche un cycle de synchronisation toutes les 30 minutes, procédez comme suit :

  1. Accédez à une invite de commandes PowerShell.
  2. Exécutez Set-ADSyncScheduler -SyncCycleEnabled $False pour désactiver le planificateur.
  3. Apportez les modifications qui sont décrites dans cet article.
  4. Exécutez Set-ADSyncScheduler -SyncCycleEnabled $True pour réactiver le planificateur.

Si vous utilisez une version d’Azure AD Connect antérieure à 1.1.105.0
Pour désactiver la tâche planifiée qui déclenche un cycle de synchronisation toutes les trois heures, procédez comme suit :

  1. Lancez Planificateur de tâches à partir du menu Démarrer.
  2. Directement sous Bibliothèque du Planificateur de tâches, trouvez la tâche Azure AD Sync Scheduler, cliquez dessus avec le bouton droit, puis sélectionnez Désactiver.
    Task Scheduler
  3. Vous pouvez désormais apporter des modifications à la configuration et exécuter le moteur de synchronisation manuellement à partir de la console Synchronization Service Manager.

Une fois toutes vos modifications de filtrage terminées, n’oubliez pas de revenir et de réactiver la tâche en cliquant sur Activer.

Options de filtrage

Les types de configurations de filtrage que vous pouvez appliquer à l’outil de synchronisation d’annuaires sont les suivants :

  • Basé sur un groupe : Un filtrage basé sur un seul groupe peut être configuré seulement lors de l’installation initiale à l’aide de l’Assistant Installation.
  • Basé sur un domaine : Cette option vous permet de sélectionner les domaines à synchroniser avec Azure AD. Vous pouvez également ajouter et supprimer des domaines au niveau de la configuration du moteur de synchronisation lorsque vous apportez des modifications à votre infrastructure locale après avoir installé la synchronisation Azure AD Connect.
  • Basé sur une unité d’organisation : Cette option vous permet de sélectionner les unités d’organisation à synchroniser avec Azure AD. Cette option s’applique à tous les types d’objets présents dans les unités d’organisation sélectionnées.
  • Basé sur un attribut : Cette option vous permet de filtrer les objets en fonction de valeurs d’attribut sur les objets. Vous pouvez également avoir des filtres différents pour différents types d’objets.

Vous pouvez utiliser plusieurs options de filtrage en même temps. Par exemple, vous pouvez utiliser le filtrage basé sur une unité d’organisation afin de n’inclure des objets que dans une seule unité d’organisation et, dans le même temps, utiliser un filtrage basé sur un attribut pour filtrer davantage les objets. Lorsque vous utilisez plusieurs méthodes de filtrage, les filtres utilisent un « AND » logique entre les filtres.

Filtrage basé sur un domaine

Cette section explique comment configurer votre filtre de domaine. Si vous avez ajouté ou supprimé des domaines dans votre forêt après avoir installé Azure AD Connect, vous devez également mettre à jour la configuration du filtrage.

Pour modifier le filtrage basé sur le domaine, exécutez l’assistant d’installation : filtrage de domaine et d’unité d’organisation. L’Assistant Installation automatise toutes les tâches qui sont décrites dans cet article.

Filtrage basé sur une unité d’organisation

Pour modifier le filtrage basé sur l’unité d'organisation, exécutez l’assistant d’installation : filtrage de domaine et d’unité d’organisation. L’Assistant Installation automatise toutes les tâches qui sont décrites dans cet article.

Filtrage par attribut

Avant d’exécuter ces étapes, vérifiez que vous utilisez la version de novembre 2015 (1.0.9125) ou une version ultérieure.

Important

Microsoft recommande de ne pas modifier les règles par défaut créés par Azure AD Connect. Si vous voulez modifier la règle, clonez-la, puis désactivez la règle d’origine. Apportez les modifications souhaitées à la règle clonée. Notez qu’en procédant ainsi (désactiver la règle d’origine), vous ne bénéficiez pas des résolutions de bogues ou des fonctionnalités activées via cette règle.

Le filtrage basé sur un attribut est le moyen le plus simple de filtrer des objets. Vous pouvez exploiter les possibilités de l’approvisionnement déclaratif pour contrôler la quasi-totalité des aspects qui déterminent le moment où un objet est synchronisé avec Azure AD.

Vous pouvez appliquer un filtrage entrant d’Active Directory vers le métaverse, et un filtrage sortant du métaverse vers Azure AD. Nous vous recommandons d’appliquer le filtrage entrant, car il est le plus simple à gérer. N’utilisez le filtrage sortant que s’il est nécessaire de joindre des objets issus de forêts différentes pour que l’évaluation puisse avoir lieu.

Filtrage entrant

Le filtrage entrant utilise la configuration par défaut dans laquelle l’attribut métaverse cloudFiltered des objets transmis à Azure AD ne doit pas être défini sur une valeur à synchroniser. Si cet attribut présente la valeur True, l’objet n’est pas synchronisé. De par sa conception, cet attribut ne doit pas être défini sur la valeur False. Pour vous assurer que les autres règles peuvent apporter une valeur, cet attribut est supposé n’accepter que les valeurs True ou NULL (absent).

Notez qu’Azure AD Connect est conçu pour nettoyer les objets qu’il était chargé d’approvisionner dans Azure AD. Si le système n’a pas approvisionné l’objet dans Azure AD par le passé, mais obtient l’objet Azure AD lors d’une étape d’importation, il suppose à juste titre que cet objet a été créé dans Azure AD par un autre système. Azure AD Connect ne nettoie pas ces types d’objets Azure AD, même quand l’attribut du métaverse cloudFiltered a la valeur True.

Dans le cadre du filtrage entrant, vous utilisez les possibilités de l’étendue pour déterminer les objets à synchroniser ou non. C’est à ce stade que vous réalisez des ajustements en fonction des besoins particuliers de votre organisation. Le module d’étendue dispose d’un groupe et d’une clause pour déterminer les cas dans lesquels une règle de synchronisation figure dans l’étendue. Un groupe contient une ou plusieurs clauses. Il existe un « AND » logique entre plusieurs clauses, et un « OR » logique entre plusieurs groupes.

Intéressons-nous à un exemple :
A screenshot showing an example of adding scoping filters.
Voici la lecture qu’il faut en faire (service = Informatique) OU (service = Ventes et c = US) .

Dans les exemples et étapes ci-après, vous vous servez de l’objet utilisateur en guise d’exemple, mais vous pouvez l’utiliser pour tous les types d’objets.

Dans les exemples suivants, la valeur de précédence commence à 50. Il peut s’agir de n’importe quel nombre non utilisé, mais la valeur doit être inférieure à 100.

Filtrage négatif : « ne pas synchroniser »

Dans l’exemple qui suit, vous excluez (ne synchronisez pas) tous les utilisateurs dont l’élément extensionAttribute15 présente la valeur NoSync.

  1. Connectez-vous au serveur qui exécute Azure AD Connect Sync en utilisant un compte membre du groupe de sécurité ADSyncAdmins .
  2. Lancez Éditeur de règles de synchronisation à partir du menu Démarrer.
  3. Assurez-vous que l’option Entrante est sélectionnée, puis cliquez sur Ajouter une nouvelle règle.
  4. Attribuez à la règle un nom descriptif, par exemple «Entrée depuis AD – Utilisateur DoNotSyncFilter». Sélectionnez la forêt appropriée, puis sélectionnez Utilisateur en tant que Type d’objet système connecté, et Personne en tant que Type d’objet de métaverse. Dans Type de lien, sélectionnez Jointure. Dans la zone Précédence, tapez une valeur actuellement non utilisée par une autre règle de synchronisation (par exemple, 50), puis cliquez sur Suivant.
    Inbound 1 description
  5. Dans la zone Filtre d’étendue, cliquez sur Ajouter un groupe, puis sur Ajouter une clause. Dans la zone Attribut, sélectionnez ExtensionAttribute15. Vérifiez que la zone Opérateur est définie sur EQUAL, puis tapez la valeur NoSync dans la zone Valeur. Cliquez sur Suivant.
    Inbound 2 scope
  6. Laissez les règles de Jointure, puis cliquez sur Suivant.
  7. Cliquez sur Ajouter une transformation, définissez la zone Type de flux sur Constante, puis sélectionnez l’attribut cloudFiltered dans la zone Attribut cible. Dans la zone de texte Source, tapez True. Cliquez sur Ajouter pour enregistrer la règle.
    Inbound 3 transformation
  8. Pour terminer la configuration, vous devez exécuter une synchronisation complète. Poursuivez votre lecture de la section Appliquer et vérifier les modifications.

Filtrage positif : « synchroniser uniquement ces éléments »

L’expression d’un filtrage positif peut se révéler plus complexe, car vous devez également prendre en compte des objets qui ne sont pas évidents à synchroniser, notamment les salles de conférence. Vous allez également remplacer le filtre par défaut dans la règle prête à l’emploi In from AD - User Join. Lorsque vous créez votre filtre personnalisé, veillez à ne pas inclure les objets système critiques, les objets de conflit de réplication, les boîtes aux lettres spéciales et les comptes de service pour Azure AD Connect.

L’option de filtrage positif nécessite deux règles de synchronisation : une (ou plusieurs) règles présentant l’étendue correcte des objets à synchroniser, ainsi qu’une deuxième règle de synchronisation fourre-tout excluant tous les objets qui n’ont pas encore été identifiés en tant qu’objets à synchroniser.

Dans l’exemple suivant, vous synchronisez uniquement les objets utilisateur dont l’attribut « service » a pour valeur Ventes:

  1. Connectez-vous au serveur qui exécute Azure AD Connect Sync en utilisant un compte membre du groupe de sécurité ADSyncAdmins .
  2. Lancez Éditeur de règles de synchronisation à partir du menu Démarrer.
  3. Assurez-vous que l’option Entrante est sélectionnée, puis cliquez sur Ajouter une nouvelle règle.
  4. Attribuez à la règle un nom descriptif, par exemple «Entrée depuis AD - Sync Ventes utilisateur». Sélectionnez la forêt appropriée, puis sélectionnez Utilisateur en tant que Type d’objet système connecté, et Personne en tant que Type d’objet de métaverse. Dans Type de lien, sélectionnez Jointure. Dans la zone Précédence, tapez une valeur actuellement non utilisée par une autre règle de synchronisation (par exemple, 51), puis cliquez sur Suivant.
    Inbound 4 description
  5. Dans la zone Filtre d’étendue, cliquez sur Ajouter un groupe, puis sur Ajouter une clause. Dans la zone Attribut, sélectionnez department. Vérifiez que l’opérateur est défini sur EQUAL, puis tapez la valeur Sales dans la zone Valeur. Cliquez sur Suivant.
    Inbound 5 scope
  6. Laissez les règles de Jointure, puis cliquez sur Suivant.
  7. Cliquez sur Ajouter une transformation, sélectionnez la valeur Constante dans la zone Type de flux, puis sélectionnez l’attribut cloudFiltered dans la zone Attribut cible. Dans la zone Source, tapez False. Cliquez sur Ajouter pour enregistrer la règle.
    Inbound 6 transformation
    Il s’agit d’un cas particulier dans lequel vous définissez explicitement cloudFiltered sur la valeur False.
  8. Nous devons maintenant créer la règle de synchronisation fourre-tout. Donnez à la règle un nom descriptif, par exemple «Entrée depuis Active Directory - Filtre fourre-tout utilisateur». Sélectionnez la forêt appropriée, puis sélectionnez Utilisateur en tant que Type d’objet système connecté, et Personne en tant que Type d’objet de métaverse. Dans Type de lien, sélectionnez Jointure. Dans la zone Précédence, tapez une valeur actuellement non utilisée par une autre règle de synchronisation (par exemple, 99). Vous avez sélectionné une valeur de précédence supérieure (précédence moindre) à la règle de synchronisation précédente. Toutefois, vous avez également laissé de la place de façon à pouvoir ajouter des règles de synchronisation de filtrage par la suite si vous souhaitez procéder à la synchronisation de services supplémentaires. Cliquez sur Suivant.
    Inbound 7 description
  9. Laissez l’option Filtre d’étendue vide, puis cliquez sur Suivant. Un filtre vide indique que la règle doit être appliquée à tous les objets.
  10. Laissez les règles de Jointure, puis cliquez sur Suivant.
  11. Cliquez sur Ajouter une transformation, sélectionnez la valeur Constante dans la zone Type de flux, puis sélectionnez l’attribut cloudFiltered dans la zone Attribut cible. Dans la zone Source, tapez True. Cliquez sur Ajouter pour enregistrer la règle.
    Inbound 3 transformation
  12. Pour terminer la configuration, vous devez exécuter une synchronisation complète. Poursuivez votre lecture de la section Appliquer et vérifier les modifications.

En cas de besoin, vous pouvez créer d’autres règles du premier type avec lesquelles inclure davantage d’objets dans la synchronisation.

Filtrage sortant

Dans certains cas, l’exécution du filtrage n’est requise qu’après la jonction des objets dans le métaverse. Par exemple, pour déterminer si un objet doit être synchronisé, il peut être nécessaire d’examiner l’attribut mail à partir de la forêt de ressources et l’attribut userPrincipalName à partir de la forêt de comptes. Le cas échéant, vous créez le filtrage sur la règle de trafic sortant.

Dans cet exemple, vous modifiez le filtrage afin que seuls les utilisateurs dont les attributs mail et userPrincipalName se terminent par @contoso.com soient synchronisés :

  1. Connectez-vous au serveur qui exécute Azure AD Connect Sync en utilisant un compte membre du groupe de sécurité ADSyncAdmins .
  2. Lancez Éditeur de règles de synchronisation à partir du menu Démarrer.
  3. Sous Type de règles, cliquez sur Sortant.
  4. Selon la version de Connect que vous utilisez, trouvez la règle nommée Out to Azure AD – User Join ou Out to Azure AD - User Join SOAInAD, puis cliquez sur Modifier.
  5. Dans la fenêtre contextuelle, sélectionnez Oui pour créer une copie de la règle.
  6. Sur la page Description, redéfinissez la zone Précédence sur une valeur inutilisée, telle que 50.
  7. Dans la barre de navigation gauche, cliquez sur Filtre d’étendue, puis cliquez sur Ajouter une clause. Dans la zone Attribut, sélectionnez mail. Dans la zone Opérateur, sélectionnez ENDSWITH. Dans Valeur, tapez @contoso.com, puis cliquez sur Ajouter une clause. Dans la zone Attribut, sélectionnez userPrincipalName. Dans la zone Opérateur, sélectionnez ENDSWITH. Dans Valeur, tapez @contoso.com.
  8. Cliquez sur Enregistrer.
  9. Pour terminer la configuration, vous devez exécuter une synchronisation complète. Poursuivez votre lecture de la section Appliquer et vérifier les modifications.

Appliquer et vérifier les modifications

Une fois que vous avez modifié votre configuration, vous devez l’appliquer aux objets déjà présents dans le système. Il est également possible que des objets ne figurant pas actuellement dans le moteur de synchronisation doivent être traités (et que le moteur de synchronisation doive consulter de nouveau le système source pour en vérifier le contenu).

Si vous avez modifié la configuration à l’aide d’un filtrage par domaine ou par unité d’organisation, vous devez procéder à une importation intégrale suivie d’une synchronisation delta.

Si vous avez modifié la configuration en utilisant un filtrage par attribut, vous devez exécuter une synchronisation complète.

Procédez comme suit :

  1. Lancez Service de synchronisation à partir du menu Démarrer.
  2. Sélectionnez Connecteurs. Dans la liste Connecteurs, sélectionnez le connecteur dont vous avez modifié la configuration précédemment. Dans Actions, sélectionnez Exécuter.
    Connector run
  3. Dans Profils d’exécution, sélectionnez l’opération mentionnée à la section précédente. Si vous devez exécuter deux actions, n’exécutez la seconde qu’une fois la première terminée. (La colonne État correspondant au connecteur sélectionné présente la valeur Inactif.)

Après la synchronisation, toutes les modifications sont indexées pour l’exportation. Avant d’apporter les modifications dans Azure AD, il est préférable de vérifier qu’elles sont toutes correctes.

  1. Démarrez une invite de commandes, puis accédez à %ProgramFiles%\Microsoft Azure AD Sync\bin.
  2. Exécutez csexport "Name of Connector" %temp%\export.xml /f:x.
    Le nom du connecteur figure dans le service de synchronisation. Le nom est similaire à « contoso.com – Azure AD » pour Azure AD.
  3. Exécutez CSExportAnalyzer %temp%\export.xml > %temp%\export.csv.
  4. Vous disposez maintenant d’un fichier dans %temp% nommé export.csv qui peuvent être examiné dans Microsoft Excel. Ce fichier contient toutes les modifications sur le point d’être exportées.
  5. Apportez les modifications nécessaires aux données ou à la configuration, puis réexécutez ces opérations (importer, synchroniser et vérifier) jusqu’à ce que les modifications sur le point d’être exportées soient conformes à vos attentes.

Lorsque vous êtes satisfait, exportez les modifications vers Azure AD.

  1. Sélectionnez Connecteurs. Dans la liste Connecteurs, sélectionnez le connecteur Azure AD. Dans Actions, sélectionnez Exécuter.
  2. Dans Profils d’exécution, sélectionnez Exporter.
  3. Lorsque vos modifications de configuration suppriment de nombreux objets, une erreur d’exportation s’affiche si leur nombre est supérieur au seuil configuré (par défaut, 500). Le cas échéant, vous devez désactiver provisoirement la fonctionnalité « Prévention des suppressions accidentelles ».

À présent, il est temps de réactiver le planificateur.

  1. Lancez Planificateur de tâches à partir du menu Démarrer.
  2. Directement sous Bibliothèque du Planificateur de tâches, trouvez la tâche Azure AD Sync Scheduler, cliquez dessus avec le bouton droit et sélectionnez Activer.

Filtrage de groupe

Vous pouvez configurer le filtrage basé sur un groupe la première fois que vous installez Azure AD Connect à l’aide de l’installation personnalisée. Ce filtrage est conçu pour un déploiement pilote dans lequel vous ne souhaitez synchroniser qu’un petit ensemble d’objets. Lorsque vous désactivez le filtrage basé sur un groupe, vous ne pouvez plus le réactiver. L’utilisation du filtrage basé sur un groupe dans une configuration personnalisée n’est pas prise en charge. La configuration de cette fonctionnalité n’est possible que par le biais de l’Assistant Installation. Lorsque vous avez terminé votre pilote, utilisez l’une des autres options de filtrage indiquées dans cet article. Si vous utilisez le filtrage basé sur l’unité d’organisation avec le filtrage basé sur les groupes, l’unité d’organisation dans laquelle se trouvent les objets de groupe et de membre doit être incluse.

Lors de la synchronisation de plusieurs forêts Active Directory, vous pouvez configurer le filtrage basé sur les groupes en spécifiant un groupe différent pour chaque connecteur Active Directory. Si vous voulez synchroniser un utilisateur dans une forêt Active Directory, alors que cet utilisateur dispose d’un ou de plusieurs objets correspondants dans d’autres forêts Active Directory, vous devez veiller à ce que l’objet utilisateur et tous ses objets correspondants soient compris dans l’étendue du filtrage basé sur les groupes. Exemples :

  • Vous avez un utilisateur dans une forêt qui dispose d’un objet FSP (entité de sécurité externe) correspondant dans une autre forêt. Les deux objets doivent se trouver dans l’étendue de filtrage par groupe. Dans le cas contraire, l’utilisateur n’est pas synchronisé sur Azure AD.

  • Vous avez un utilisateur dans une forêt qui dispose d’un compte de ressource correspondant (par exemple, une boîte aux lettres liée) dans une autre forêt. De plus, vous avez configuré Azure AD Connect pour lier l’utilisateur au compte de ressource. Les deux objets doivent se trouver dans l’étendue de filtrage par groupe. Dans le cas contraire, l’utilisateur n’est pas synchronisé sur Azure AD.

  • Vous avez un utilisateur dans une forêt qui dispose d’un contact par e-mail correspondant dans une autre forêt. De plus, vous avez configuré Azure AD Connect pour lier l’utilisateur au contact par e-mail. Les deux objets doivent se trouver dans l’étendue de filtrage par groupe. Dans le cas contraire, l’utilisateur n’est pas synchronisé sur Azure AD.

Étapes suivantes