Print
Print Friendly, PDF & Email
Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives
 

Préparation de la synchronisation d’annuaires

  1. Préparation de la synchronisation d’annuaires
  2. Satisfaire aux exigences du contrôleur de domaine
  3. Nettoyer AD DS
  4. Configurer l’audit
  5. Vérifier le suffixe UPN des objets utilisateur locaux
  6. Exécuter l’outil Microsoft 365 IdFix

Avant de déployer la synchronisation d’annuaire pour synchroniser votre AD DS local sur Azure AD, vous devez d’abord préparer votre environnement en effectuant les tâches suivantes :

  • Si vous utilisez SSO dans votre environnement, vous devez le déployer avant la synchronisation d’annuaire.
  • Vous devrez préparer votre environnement AD DS local, ce qui inclut la résolution des problèmes avec les attributs d’objet.
  • Vous identifierez et configurerez les suffixes UPN appropriés dans votre environnement AD DS local.
  • Vous utiliserez Microsoft 365 IdFix pour résoudre tous les problèmes avec des objets utilisateur ou de groupe qui peuvent empêcher la synchronisation normale.

 

Envisagez d’activer la synchronisation d’annuaires un engagement à long terme. Une fois que vous avez activé la synchronisation d’annuaire, vous ne pouvez modifier des objets synchronisés qu’à l’aide de vos outils de gestion AD DS locaux.

Lors de la préparation du déploiement de la synchronisation d’annuaire, votre plan de projet doit inclure la préparation AD DS ainsi que les exigences et fonctionnalités de l’annonce Azure.

Pour préparer AD DS, vous devez effectuer les tâches décrites dans les sections suivantes.
Identifier la source de l’autorité

Pour la synchronisation d’annuaire, la source d’autorité se réfère à l’emplacement où les objets de service Active Directory, tels que les utilisateurs et les groupes, sont maîtrisés (une source d’origine qui définit les copies d’un objet) dans un déploiement inter-locaux. Vous pouvez modifier la source d’autorité d’un objet à l’aide de l’un de ces scénarios : activer, désactiver ou réactiver la synchronisation d’annuaire à partir de Microsoft 365 ou avec Windows PowerShell. Source de transferts d’autorité de Microsoft 365 au service d’annuaire local de votre client après avoir effectué la première synchronisation.

Satisfaire aux exigences du contrôleur de domaine

La forêt AD DS locale doit répondre à des exigences spécifiques pour le maître de schéma, les serveurs de catalogue global et les contrôleurs de domaine. Il est important de lire attentivement les dernières exigences et de

Nettoyer AD DS

Pour assurer une transition transparente vers Microsoft 365 à l’aide de la synchronisation d’annuaires, vous devez préparer votre forêt AD DS avant de commencer votre déploiement de synchronisation d’annuaire Microsoft 365. Les efforts d’assainissement de votre répertoire doivent se concentrer sur les tâches suivantes :

  • Supprimez les attributs proxyadresses et userPrincipalName.
  • Mettre à jour les attributs userPrincipalName vierges et non valides avec les attributs userPrincipalName valides.
  • Supprimez les caractères non valides et douteux dans les attributs givenName, namename (sn), saMAccountName, displayName, mail, proxyAdresses, mailNickname et userPrincipalName.

Configurer l’audit

Les organisations peuvent éventuellement utiliser l’audit AD DS pour capturer et évaluer les événements associés à la synchronisation d’annuaires, tels que la création d’utilisateur, la réinitialisation de mot de passe, l’ajout d’utilisateurs à des groupes, et ainsi de suite. En implémentant la synchronisation d’annuaires, l’audit capture les journaux des services d’annuaire des contrôleurs de domaine AD DS. Notez que la journalisation de la sécurité peut être désactivée par défaut, de sorte que vous devrez l’activer pour que les événements apparaissent dans les journaux.

Vérifier le suffixe UPN des objets utilisateur locaux

Avant de déployer la synchronisation d’annuaire, il est important de vérifier que les objets utilisateur locaux dans AD DS ont une valeur non nulle pour le suffixe UPN et que la valeur est correcte pour le domaine AD DS et Microsoft 365. Le suffixe UPN est la partie d’un UPN à droite du caractère @. Si un domaine public routable vérifié est utilisé dans Microsoft 365, ce domaine doit être le suffixe UPN, de sorte que les noms principaux des utilisateurs sont du formulaire @. Si le suffixe UPN local ne contient pas de domaine DNS routable public (tel que contoso.local), le domaine de routage par défaut (par exemple, contoso.onmicrosoft.com) est utilisé pour le suffixe UPN dans Microsoft 365.

Si le suffixe UPN doit être modifié, il est important de vérifier s’il y a des applications qui pourraient dépendre d’un UPN spécifique. Si vous planifiez sso, vous devez savoir que votre AD DS UPN pour enregistrer le domaine pour SSO (pour les ID fédérés ou non fédérés).

Avertissement : une fois que vous avez déployé la synchronisation d’annuaire, la modification du suffixe UPN de l’utilisateur n’est pas prise en charge. Si vous devez modifier l’UPN après avoir déployé la synchronisation d’annuaire, vous devez mettre à jour manuellement l’UPN dans Microsoft 365 ; par conséquent, il est important que vous planifiiez correctement le suffixe UPN dès le début.

Pour ajouter un suffixe UPN au DS AD local :

  • Dans les domaines et les approbations Active Directory, connectez-vous à l’un des contrôleurs de domaine Active Directory de l’organisation.
  • Dans l’arborescence de la console, cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis sélectionnez Propriétés.
  • Sélectionnez l’onglet Suffixes UPN, tapez un suffixe UPN alternatif pour la forêt, puis sélectionnez Ajouter.
  • Répétez l’étape 3 pour ajouter d’autres suffixes UPN alternatifs.

Si la synchronisation d’annuaire a déjà été déployée, l’UPN de l’utilisateur pour Microsoft 365 peut ne pas correspondre à l’UPN local de l’utilisateur défini dans AD DS ; Cela peut se produire si l’utilisateur a reçu une licence d’abonnement Microsoft 365 avant que le domaine ne soit vérifié. Pour résoudre ce problème, Windows PowerShell peut être utilisé pour mettre à jour les UPN des utilisateurs dans Microsoft 365 afin de s’assurer que leur Microsoft 365 UPN correspond à leur nom d’utilisateur d’entreprise et domaine dans le DS AD local.

Exécuter l’outil Microsoft 365 IdFix

L’outil IdFix Microsoft 365 permet aux clients d’identifier et d’corriger les erreurs d’objets dans leur Active Directory en vue d’un déploiement vers Azure Active Directory ou Microsoft 365. Ils pourront alors synchroniser avec succès les utilisateurs, les contacts et les groupes à partir de l’Active Directory local dans Azure Active Directory. Cela permet aux clients de réduire le temps de réasseur des erreurs Active Directory signalées par Azure AD Connect.

L’outil IdFix Microsoft 365 permet d’identifier et d’corriger la majorité des erreurs de synchronisation d’objets dans vos forêts AD DS en vue d’un déploiement sur Microsoft 365. Cette correction vous permettra ensuite de synchroniser avec succès les utilisateurs, les contacts et les groupes de votre AD DS local dans l’environnement Microsoft 365.

L’outil Microsoft 365 IdFix interroge tous les domaines AD DS de la forêt actuellement authentifiée et affiche les valeurs d’attributs d’objets qui seraient signalées comme des erreurs par Azure AD Connect. L’outil Microsoft 365 IdFix affiche ces valeurs d’attributs d’objets dans une grille de données, qui prend en charge la possibilité de faire défiler, trier et modifier les objets dans une table résultante pour produire des valeurs conformes. Selon la méthode d’utilisation, l’outil IdFix Microsoft 365 fournit :

  • La confirmation de chaque modification est appliquée. Seuls les objets que vous avez sélectionnés pour mettre à jour seront modifiés.
  • Restauration des transactions. Vous pouvez annuler les mises à jour confirmées aux attributs d’objet appliqués à la forêt.
  • Exclusions bien connues. Tous les objets AD DS ne doivent pas être mis à disposition pour modification. Certains objets, tels que les objets système critiques, peuvent nuire à l’environnement source; par conséquent, ces objets sont exclus de la grille de données Microsoft 365 IdFix.
  • Enregistrer dans le fichier. Les données sont exportées au format CSV ou LDF pour une modification ou une enquête hors connexion.
  • Importation de CSV. Les données sont importées à partir d’un fichier CSV. Étant donné que cette fonction s’appuie sur l’attribut distinguishedName pour déterminer la valeur à mettre à jour, la façon recommandée d’utiliser cette fonctionnalité est d’exporter à partir d’une requête, telle que l’enregistrement vers le fichier. Conservez les autres colonnes telles qu’elles étaient et n’introduisez pas de caractères d’échappement dans les valeurs.
  • Journalisation verbose. Étant donné que l’outil IdFix Microsoft 365 apporte des modifications à votre environnement, la journalisation des verbes est activée par défaut.
  • Prise en charge des locataires microsoft 365 multi-locataires et dédiés. Selon votre environnement, l’outil IdFix Microsoft 365 prend en charge la validation de locataires Microsoft 365 multiples ou dédiés.

L’ordinateur utilisé pour exécuter l’outil IdFix Microsoft 365 doit répondre aux exigences système suivantes :

  • Windows Server 2008 R2, Windows 7 (64 bits) ou ultérieurement
  • Microsoft .NET Framework 4.0 ou ultérieurement
Print Friendly, PDF & Email