Print
Print Friendly, PDF & Email
Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives
 

Gestion des utilisateurs avec synchronisation d’annuaire

  1. Écriture de mot de passe
  2. Écriture de périphérique
  3. Gestion des adresses primaires du protocole de transfert de courrier simple
  4. Récupération des suppressions accidentelles
  5. Suppression accidentelle de compte
  6. Activation massive de nouveaux comptes

Lorsque vous déployez azure AD Connect et activez la synchronisation planifiée, plusieurs tâches de gestion requises sont nécessaires pour vous assurer que les objets se synchronisent efficacement. Ceci est particulièrement important si vous souhaitez activer la synchronisation dans les deux sens.

Écriture de mot de passe

Les utilisateurs peuvent désormais modifier leurs mots de passe via la page de connexion ou les paramètres utilisateur dans Microsoft 365 et les faire écrire à AD DS sur place. C’est ce qu’on appelle la rédaction de mot de passe. Pour activer la fonctionnalité de rédaction de mot de passe pour Azure AD Connect, vous devez activer l’option de récupération de mot de passe lors de l’installation d’Azure AD Connect, avec des paramètres personnalisés, puis exécuter les commandes Windows PowerShell suivantes sur le serveur Azure AD Connect.

 

Get-ADSyncConnector | nom fl,AADPasswordResetConfiguration

Get-ADSyncAADPasswordResetConfiguration -Connecteur « adatum.onmicrosoft.com - AAD »

Set-ADSyncAADPasswordResetConfiguration -Connecteur « adatum.onmicrosoft.com - AAD » -Activer $true

$cmd = « dsacls.exe '$passwordOU' /I:S /G ''"$accountName' »:CA;'"Reset Password' »;user' »

$cmd d’invocation-expression | Out-Null

$cmd = « dsacls.exe '$passwordOU' /I:S /G ''"$accountName' »:CA;'"Change Password' »;user' »

$cmd d’invocation-expression | Out-Null

$cmd = « dsacls.exe '$passwordOU' /I:S /G ''"$accountName' »:WP;lockoutTime;user' »

$cmd d’invocation-expression | Out-Null

$cmd = « dsacls.exe '$passwordOU' /I:S /G ''"$accountName' »:WP;pwdLastSet;user' »

$cmd d’invocation-expression | Out-Null

Dans les commandes PowerShell précédentes :

  • AD Connect utilise le compte $accountName pour gérer des objets dans AD DS ; Il s’agit généralement d’un compte sous la forme d’un numéro Azure AD.
  • $passwordOU est l’unité d’état d’unité où ces utilisateurs de cloud seront stockés dans le DS AD local.

Ces commandes configurent les éléments suivants :

  • Les connecteurs Azure AD Connect sont activés pour la réinitialisation du mot de passe.
  • Le compte de service Azure AD Connect à AD DS local aura l’autorisation de réinitialiser les mots de passe aux objets de cette unité d’état d’unité. Vous pouvez afficher les autorisations dans Utilisateurs et ordinateurs Active Directory pour cette unité d’organisation si vous activez le mode Avancé dans le programme. Il doit y avoir une entrée d’autorisation pour ce compte qui n’est pas héritée de l’UNITÉ parente.

La rédaction de mot de passe nécessite les conditions suivantes :

  • La forêt AD DS exécute Windows Server 2012 R2 ou ultérieurement.
  • Une licence Azure AD Premium P1 ou P2 est requise.

Écriture de périphérique

Les périphériques qui sont inscrits avec Microsoft 365 MDM ou Intune permettront de se connecter aux ressources contrôlées AD FS en fonction de l’utilisateur et de l’appareil sur lequel ils se trouvent. C’est ce qu’on appelle la rédaction de périphérique. La rédaction de périphérique est utilisée pour activer l’accès conditionnel basé sur des périphériques aux applications protégées par AD FS ou aux approbations de partie de confiance. Cela fournit une sécurité et une assurance supplémentaires que l’accès aux applications n’est accordé qu’aux périphériques approuvés.

Pour activer la fonctionnalité de rédaction de périphérique pour Azure AD Connect, vous devez activer l’option de dépréciation de périphérique lors de l’installation d’Azure AD Connect, avec des paramètres personnalisés, puis exécuter les trois commandes Windows PowerShell suivantes sur le serveur Azure AD Connect.

Install-WindowsFeature –Name AD-DOMAIN-Services –IncludeManagementTools

Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1'

Initialisation-ADSyncDeviceWriteback {Facultatif:-DomainName [nom] Numéro facultatif:-AdConnectorAccount

Dans les commandes PowerShell précédentes :

  • DomainName est le domaine AD DS où des objets de périphérique sont créés.
  • AdConnectorAccount est le compte AD DS utilisé par Azure AD Connect pour gérer les objets du répertoire. Il s’agit du compte utilisé par la synchronisation Azure AD Connect pour se connecter à AD. Si vous avez installé Azure AD Connect à l’aide de paramètres express, c’est le compte préfixé avec MSOL_.

Ces commandes configurent les éléments suivants :

  • S’ils ne sont pas présents, ils créent et configurent de nouveaux conteneurs et objets sous CN=Configuration d’enregistrement des périphériques,CN=Services,CN=Configuration,[forest-dn], où forest-dn est le nom distingué de votre forêt AD DS.
  • S’ils ne sont pas présents, ils créent et configurent de nouveaux conteneurs et objets sous CN=RegisteredDevices,[domain-dn], où forest-dn est le nom distingué de votre forêt AD DS. Les objets de périphérique sont créés dans ce conteneur.
  • Ils définissent les autorisations nécessaires sur le compte Azure AD Connector pour gérer les périphériques de votre AD DS.

La récupération des appareils nécessite les conditions suivantes :

  • La forêt AD DS exécute Windows Server 2012 R2 ou ultérieurement.
  • AD FS est hébergé à partir de Windows Server 2012 R2 (AD FS v3.0) ou ultérieurement.
  • Une licence Azure AD Premium P1 ou P2 est requise.

Gestion des adresses primaires du protocole de transfert de courrier simple

L’une des principales tâches de maintenance utilisateur consiste à gérer les attributs de boîte aux lettres utilisateur et, en particulier, les adresses SMTP (Simple Mail Transfer Protocol) principales. Pour qu’un compte d’utilisateur local obtienne l’adresse SMTP principale correcte, il doit être activé par boîte aux lettres, soit à l’aide du Centre d’administration Exchange 2016, soit en définissant l’attribut de messagerie manuellement pour activer l’utilisateur par courrier.

Si une adresse SMTP principale n’est pas définie pour un compte d’utilisateur, Microsoft 365 utilisera un @domain.onmicrosoft.com comme adresse SMTP par défaut de l’utilisateur. Si vous ne pouvez pas vous assurer que tous les utilisateurs synchronisés disposent d’une adresse SMTP primaire valide avant la synchronisation, vous pouvez utiliser le filtrage des attributs utilisateur pour vous assurer que tous les comptes sans UPN valide sont exclus de l’étendue de synchronisation.

Récupération des suppressions accidentelles

Azure Active Directory prend en charge les suppressions en douceur. Après avoir supprimé un utilisateur dans Microsoft 365, soit après la synchronisation, soit si vous supprimez manuellement un utilisateur non synchronisé dans Microsoft 365, les données de l’utilisateur sont supprimées et les licences de l’utilisateur peuvent être réaffectées ; toutefois, les comptes restent récupérables dans la corbeille de cloud pendant 30 jours. Étant donné que le compte est récupérable, cette suppression initiale est appelée suppression souple.

Après avoir supprimé un utilisateur, le compte reste dans un état suspendu dans la corbeille de cloud pendant 30 jours. Pendant cette période de 30 jours, le compte d’utilisateur peut être restauré, ainsi que toutes ses propriétés. Après le passage de cette fenêtre de 30 jours, l’utilisateur est automatiquement et définitivement supprimé de la corbeille. Il s’agit d’une suppression dure.
Récupération des suppressions non synchronisées

Une autre tâche de maintenance importante consiste à traiter une suppression locale qui ne se synchronise pas avec Microsoft 365, ce qui signifie que l’objet lié n’est pas supprimé d’Azure AD. Cela peut se produire si la synchronisation d’annuaire n’est pas encore terminée ou si la synchronisation d’annuaire n’a pas réussi à supprimer un objet cloud spécifique, ce qui entraîne un objet Azure AD orphelin.

Pour résoudre ce problème, vous devez effectuer les étapes suivantes :

  • Exécutez manuellement une mise à jour de synchronisation d’annuaire.
  • Forcer la synchronisation d’annuaire.
  • Vérifiez que la synchronisation d’annuaire s’est produite correctement.
  • Vérifiez la synchronisation d’annuaire.

Si les étapes ci-dessus valident que la synchronisation d’annuaire fonctionne correctement mais que la suppression de l’objet AD DS ne s’est toujours pas propagée à Azure AD, l’objet orphelin peut être supprimé manuellement à l’aide de l’une des applets de commande Microsoft Azure Active Directory pour Windows PowerShell suivantes :

Remove-MsolContact

Remove-MsolGroup

Remove-MsolUser

Par exemple, pour supprimer manuellement un utilisateur orphelin créé à l’origine à l’aide de la synchronisation d’annuaire, exécutez l’applet de commande suivante :

Remove-MsolUser –UserPrincipalName username@Microsoft365domain>

Suppression accidentelle de compte

Si vous supprimez accidentellement un compte d’utilisateur local et qu’un cycle de synchronisation d’annuaire s’exécute, l’utilisateur sera supprimé dans Microsoft 365. Toutefois, si la fonctionnalité de corbeille est activée dans AD DS, vous pouvez récupérer le compte à partir de la corbeille, ce qui rétablira le lien entre les deux comptes. Si vous n’avez pas activé la corbeille, vous devrez peut-être créer un autre compte avec un nouveau GUID.

Activation massive de nouveaux comptes

Les comptes d’utilisateurs que vous créez dans Microsoft 365 via la synchronisation d’annuaires ne sont pas automatiquement activés pour Microsoft 365. Il est recommandé d’utiliser le script pour gérer cette exigence. Une approche simple utilise le module Microsoft Azure Active Directory pour les applets de commande Windows PowerShell. Par exemple :

Get-MsolAccountSku (pour signaler les SKU Office365 qui, tels que EXCHANGESTANDARD)

Get-MsolUser -UnlicensedUsersOnly | Set-MsolUser -Emplacement d’UtilisationLocation, tel que « US »

Get-MsolUser -UnlicensedUsersOnly | Set-MsolUserLicense -AddLicenses SKU

L’attribut utilisateur isLicensed indique si un utilisateur a une licence attribuée (True) ou non (False). Cela permet à Windows PowerShell de faire rapport sur les comptes d’utilisateurs Microsoft 365 sous licence. Pour afficher tous les utilisateurs sous licence dans Microsoft 365, exécutez la commande suivante à l’invite Microsoft Azure Active Directory Module pour Windows PowerShell.

Get-MsolUser | Where-Object $_.isLicensed -eq « True »

Pour exporter une liste d’utilisateurs Microsoft 365 sous licence vers un fichier CSV, exécutez la commande suivante :

Get-MsolUser | Where-Object $_.isLicensed -eq « True » | Export-Csv C:\Labfiles\LicensedUsers.csv

 

Print Friendly, PDF & Email
Active Directory Microsoft 365