Print
Print Friendly, PDF & Email
Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives
 

Filtrage des objets dans Azure AD Connect

Dans la synchronisation Azure AD Connect, vous pouvez activer le filtrage à tout moment. Si vous avez déjà déployé les configurations par défaut de la synchronisation d’annuaire, puis activez le filtrage, les objets filtrés ne sont plus synchronisés avec Azure AD. Pour cette raison, tous les objets d’Azure AD qui étaient précédemment synchronisés mais qui ont ensuite été filtrés sont supprimés dans Azure AD. Si des objets ont été supprimés par inadvertance en raison d’une erreur de filtrage, vous pouvez recréer les objets dans Azure AD en supprimant vos configurations de filtrage, puis synchroniser à nouveau vos répertoires.

Avertissement : bien que vous puissiez activer plusieurs personnalisations de filtrage dans Azure AD Connect, Microsoft ne prend pas en charge toutes les modifications ou opérations de la synchronisation Azure AD Connect en dehors des actions officiellement documentées. L’une ou l’autre de ces actions peut entraîner un état incohérent ou non pris en charge de la synchronisation Azure AD Connect et, par conséquent, Microsoft ne peut pas fournir de support technique pour de tels déploiements.

 

Vous vous demandez peut-être : « Pourquoi voudrais-je activer le filtrage si Azure AD Connect synchronise tout ce dont j’ai besoin après l’implémentation ? » Dans la plupart des cas, votre environnement AD DS local contient beaucoup plus d’objets (par exemple, les comptes d’utilisateurs, les contacts et les groupes) que requis dans Azure AD. Par exemple, les comptes de service ou les comptes administratifs qui sont uniquement requis sur place peuvent ne pas avoir pour but de synchroniser pour Microsoft 365. Heureusement, vous pouvez filtrer les objets de sorte que seuls les objets dont vous avez besoin en ligne se synchronisent. Le filtrage rend la synchronisation plus sécurisée, sans comptes oubliés dans les services en ligne, ce qui fournit à son tour une surface d’attaque plus petite. Le filtrage peut également limiter le nombre d’objets, ce qui peut vous aider à minimiser la taille de votre base de données Azure AD Connect et éventuellement empêcher la nécessité d’un déploiement SQL Server complet. N’oubliez pas que si votre environnement compte plus de 50 000 objets, vous pouvez avoir besoin d’une version complète de SQL Server. À bien des égards, l’activation du filtrage dans Azure AD Connect favorisera moins de complexité et augmentera la vitesse de synchronisation des répertoires.

Voici quelques scénarios où le filtrage peut être nécessaire pour personnaliser la configuration par défaut :

  • Vous prévoyez d’utiliser la topologie multi-Azure AD-directory, qui vous oblige à appliquer un filtre pour contrôler quel objet doit être synchronisé avec un répertoire Azure AD particulier.
  • Vous exécutez un pilote pour Azure ou Microsoft 365 et souhaitez uniquement un sous-ensemble d’utilisateurs dans Azure AD. Dans un petit pilote, il n’est pas important d’avoir un GAL complet pour démontrer la fonctionnalité.
  • Vous disposez de nombreux comptes de service et autres comptes non personnels ou comptes administratifs que vous ne souhaitez pas dans Azure AD.
  • Pour des raisons de conformité, votre entreprise ne supprime aucun compte d’utilisateur dans AD DS local; vous ne les désactivez. Mais dans Azure AD, vous souhaitez uniquement que les comptes actifs soient présents.

Remarque : à l’exception du filtrage basé sur les attributs sortants, les configurations d’Azure AD Connect seront conservées lorsque vous installez ou mettez à niveau vers une version plus récente d’Azure AD Connect. Il est toujours préférable de vérifier que la configuration n’a pas été modifiée par inadvertance après une mise à niveau vers une version plus récente avant d’exécuter le premier cycle de synchronisation.

Trois types de configuration de filtrage peuvent être appliqués à Azure AD Connect (répertoriés dans l’ordre du filtrage général vers un filtrage plus détaillé) :

  • Domaine. Ce type de configuration de filtrage vous permet de sélectionner les domaines AD DS qui peuvent se synchroniser avec Azure AD. Vous utiliserez l’outil Gestionnaire de service de synchronisation pour gérer les propriétés du connecteur AD source dans Azure AD Connect. Cet outil est installé automatiquement sur le serveur de synchronisation d’annuaire pendant le déploiement d’Azure AD Connect.
  • unité organisationnelle (OU). Ce type de configuration de filtrage vous permet de sélectionner les ous dans AD DS peuvent synchroniser avec Azure AD. La plupart des organisations disposent déjà d’une structure d’unité d’organisation qui sépare les objets éligibles à la synchronisation et ceux qui ne le sont pas, tels que l’ou des groupes de sécurité Exchange, l’ou des comptes de service/administration ou une unité d’organisation pour des groupes de sécurité spécifiques. Vous pouvez utiliser Azure AD Connect ou l’outil Gestionnaire de service de synchronisation pour gérer les propriétés du connecteur AD source dans Azure AD Connect. L’outil Gestionnaire de service de synchronisation est automatiquement installé sur le serveur de synchronisation d’annuaire pendant le déploiement d’Azure AD Connect.
  • Attribut. Ce type de configuration de filtrage vous permet de contrôler les objets d’AD DS qui doivent se synchroniser avec azure AD en fonction des critères des attributs de l’objet. Même avec le filtrage de domaine et le filtrage ou, il est possible que certains objets d’une unité d’unité ne doivent pas se synchroniser. Il peut également être impossible de modifier la conception de l’UNITÉ aux fins du filtrage des objets qui se synchronisent avec Azure AD. Bien que beaucoup plus complexe que l’outil Gestionnaire de service de synchronisation, vous utiliseriez l’outil Éditeur de règles de synchronisation pour gérer les règles de synchronisation dans Azure AD Connect. Cet outil est automatiquement installé sur le serveur de synchronisation d’annuaire pendant le déploiement d’Azure AD Connect.

Remarque : vous utilisez l’annonce source comme nom de votre connecteur AD DS. Si vous avez plusieurs forêts, vous aurez un connecteur par forêt et la configuration doit se répéter pour chaque forêt.

Vous pouvez utiliser tout, deux ou un seul type de configuration de filtrage. Le ou les champs que vous choisissez dépend de la structure de vos domaines AD DS locaux, des objets à synchroniser avec Azure AD et des critères de filtrage.

Attention : avant d’apporter des modifications au filtrage, vous devez désactiver la tâche planifiée pour la synchronisation sur le serveur de synchronisation d’annuaire pour vous assurer que vous n’exportez pas accidentellement les modifications qui n’ont pas été vérifiées vers Azure AD.

Étant donné que le filtrage dans Azure AD Connect peut supprimer de nombreux objets en très peu de temps, vous devez vérifier les modifications apportées aux filtres avant d’exporter vers Azure AD. Une fois que vous avez terminé les étapes de configuration, il est fortement recommandé de suivre les étapes de vérification avant d’exporter et d’apporter des modifications à Azure AD.

Pour vous protéger de la suppression de plusieurs objets par accident, la fonctionnalité qui empêche les suppressions accidentelles est activée par défaut. Si vous supprimez de nombreux objets en raison du filtrage (500 par défaut), vous devez effectuer les étapes de l’article intitulé Azure AD Connect sync: Configure filtrant pour permettre aux suppressions de passer par Azure AD.

Print Friendly, PDF & Email
Active Directory Microsoft 365