Préparer un domaine non routable pour la synchronisation d’annuaires

  • Article

Lorsque vous synchronisez votre répertoire local avec Microsoft 365, vous devez disposer d’un domaine vérifié dans Microsoft Entra ID. Seuls les noms d’utilisateur principaux (UPN) associés au domaine Active Directory local Domain Services (AD DS) sont synchronisés. Toutefois, tout UPN qui contient un domaine non routable, tel que . local » (exemple : billa@contoso.local), est synchronisé avec un domaine .onmicrosoft.com (exemple : billa@contoso.onmicrosoft.com).

Si vous utilisez actuellement un domaine « .local » pour vos comptes d’utilisateur dans AD DS, nous vous recommandons de les modifier pour utiliser un domaine vérifié. Par exemple, billa@contoso.com, afin de synchroniser correctement avec votre domaine Microsoft 365.

Que se passe-t-il si je n’ai qu’un domaine local « .local » ?

Vous utilisez Microsoft Entra Connect pour synchroniser votre ad DS avec le locataire Microsoft Entra de votre locataire Microsoft 365. Pour plus d’informations, consultez Intégration de vos identités locales avec Microsoft Entra ID.

Microsoft Entra Connect synchronise l’UPN et le mot de passe de vos utilisateurs afin que les utilisateurs puissent se connecter avec les mêmes informations d’identification qu’ils utilisent localement. Toutefois, Microsoft Entra Connect synchronise uniquement les utilisateurs avec les domaines vérifiés par Microsoft 365. Microsoft Entra ID vérifie le domaine, car il gère les identités Microsoft 365. En d’autres termes, le domaine doit être un domaine Internet valide (par exemple, .com, .org, .NET, .us). Si votre ad DS interne utilise uniquement un domaine non routable (par exemple, « . local »), il ne peut pas correspondre au domaine vérifié dont vous disposez pour votre client Microsoft 365. Vous pouvez résoudre ce problème en modifiant votre domaine principal dans votre ad DS local ou en ajoutant un ou plusieurs suffixes UPN.

Modifier votre domaine principal

Remplacez votre domaine principal par un domaine que vous avez vérifié dans Microsoft 365, par exemple, contoso.com. Chaque utilisateur disposant du domaine contoso.local est ensuite mis à jour vers contoso.com. Toutefois, il s’agit d’un processus impliqué, et une solution plus simple est décrite dans la section suivante.

Ajouter des suffixes UPN et mettre à jour vos utilisateurs avec eux

Vous pouvez résoudre le problème « .local » en inscrivant un nouveau suffixe UPN dans AD DS pour qu’il corresponde au domaine (ou aux domaines) que vous avez vérifiés dans Microsoft 365. Après avoir inscrit le nouveau suffixe, vous mettez à jour l’UPN utilisateur pour remplacer le . local » par le nouveau nom de domaine, par exemple, afin qu’un compte d’utilisateur ressemble billa@contoso.comà .

Après avoir mis à jour les UPN pour utiliser le domaine vérifié, vous êtes prêt à synchroniser vos services AD DS locaux avec Microsoft 365.

Étape 1 : Ajouter le nouveau suffixe UPN

  1. Sur le contrôleur de domaine AD DS, dans le Gestionnaire de serveur choisissez Outils>Domaines et approbations Active Directory.

    Ou, si vous n’avez pas Windows Server 2012

    Appuyez sur la touche Windows + R pour ouvrir la boîte de dialogue Exécuter , puis tapez Domaine.msc, puis choisissez OK.

    Choisissez Domaines et approbations Active Directory.

  2. Dans la fenêtre Domaines et approbations Active Directory , cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis choisissez Propriétés.

    Cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis choisissez Propriétés.

  3. Sous l’onglet Suffixes UPN, dans la zone Suffixes UPN de remplacement, tapez votre ou vos nouveaux suffixes UPN, puis choisissez Ajouter Appliquer>.

    Ajoutez un nouveau suffixe UPN.

    Choisissez OK lorsque vous avez terminé d’ajouter des suffixes.

Étape 2 : Modifier le suffixe UPN pour les utilisateurs existants

  1. Sur le contrôleur de domaine AD DS, dans le Gestionnaire de serveur choisissez Outils>Utilisateurs et ordinateurs Active Directory.

    Ou, si vous n’avez pas Windows Server 2012

    Appuyez sur la touche Windows + R pour ouvrir la boîte de dialogue Exécuter, tapez Dsa.msc, puis sélectionnez OK.

  2. Sélectionnez un utilisateur, cliquez avec le bouton droit, puis choisissez Propriétés.

  3. Sous l’onglet Compte , dans la liste déroulante Suffixe UPN, choisissez le nouveau suffixe UPN, puis ok.

    Ajouter un nouveau suffixe UPN pour un utilisateur.

  4. Effectuez ces étapes pour chaque utilisateur.

Utiliser PowerShell pour modifier le suffixe UPN pour tous vos utilisateurs

Si vous avez de nombreux comptes d’utilisateur à mettre à jour, il est plus facile d’utiliser PowerShell. L’exemple suivant utilise les applets de commande Get-ADUser et Set-ADUser pour modifier tous les suffixes contoso.local en contoso.com dans AD DS.

Par exemple, vous pouvez exécuter les commandes PowerShell suivantes pour mettre à jour tous les suffixes contoso.local vers contoso.com :

$LocalUsers = Get-ADUser -Filter "UserPrincipalName -like '*contoso.local'" -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("@contoso.local","@contoso.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}

Pour en savoir plus sur l’utilisation d’Windows PowerShell dans AD DS, consultez Module Windows PowerShell Active Directory.