Gestion des groupes avec synchronisation d’annuaires
Tout comme la synchronisation d’annuaires des utilisateurs d’AD DS à Azure AD local, les groupes (ainsi que leur appartenance) dans AD DS se synchronisent également à partir d’AD DS sur place à Azure AD. De même, à la fonctionnalité de rédaction utilisateur, la fonctionnalité de rédaction de groupe écrit également Microsoft 365 Groups d’Azure AD à AD DS local. Le processus utilisé par Azure AD Connect est très similaire pour les objets utilisateur et de groupe, et comporte plusieurs des mêmes limitations et mises en garde.
Remarque : La rédaction de Microsoft 365 Modern Groups vers AD DS local nécessite que votre serveur Exchange local soit sur la mise à jour cumulative Exchange 2013 8 (publiée en mars 2015) ou ultérieure, ou Exchange 2016 pour reconnaître ce nouveau type de groupe. La rédaction de groupe exige que la forêt AD DS exécute Windows Server 2012 R2 ou ultérieurement.
Bien que vous activez la fonctionnalité de rédaction de groupe lors de l’installation d’Azure AD Connect en sélectionnant la fonctionnalité de rédaction de groupe après l’installation avec des paramètres personnalisés, vous devez également créer l’ou et les autorisations appropriées requises pour la rédaction de groupe dans AD DS. Pour cela, Azure AD Connect dispose d’une applet de commande intégrée, Initialize-ADSyncGroupWriteBack, qui prépare automatiquement AD DS.
Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1'
Initialize-ADSyncGroupWriteBack -AdConnectorAccount $accountName -GroupWriteBackContainerDN $groupOU
Remarque : Azure AD Connect utilise le compte $accountName pour gérer des objets dans AD DS ; Il s’agit généralement d’un compte sous la forme d’un numéro Azure AD. $groupOU est l’unité d’organisation où ces groupes de cloud seront stockés dans ad ds local.
Une fois que vous exécutez ces commandes, le compte de service Azure AD Connect vers AD DS local aura la permission d’écrire des objets à cette unité d’organisation. Vous pouvez afficher les autorisations dans Utilisateurs et ordinateurs Active Directory pour cette unité d’organisation si vous activez le mode Avancé dans le programme. Il doit y avoir une entrée d’autorisation pour ce compte qui n’est pas héritée de l’UNITÉ parente.
Une fois la synchronisation terminée, les groupes Microsoft 365 s’afficheront dans le conteneur local que vous avez sélectionné pendant la configuration. Ces groupes seront représentés en tant que groupes de distribution dans ad ds locaux.
Remarque : actuellement, la rédaction de groupe dans Azure AD Connect prend en charge uniquement la rédaction des groupes de distribution.
Semblables aux comptes d’utilisateur synchronisés à partir d’Azure AD à AD DS local, les groupes synchronisés ne s’affichent pas dans le GAL local. En tant que tel, vous devez d’abord exécuter l’applet de commande Update-Recipient comme illustré dans l’exemple suivant :
Update-Recipient Group_af905347-5322-4183-a1aa-9522a85bfeb9ad
Remarque : vous pouvez également utiliser la Liste d’adresses de mise à jour ou la Mise à jour-GlobalAddressList pour provoquer l’apparition du groupe synchronisé. Toutefois, ces applets de commande nécessiteront plus de cycles sur les serveurs exécutant Exchange Server par rapport à l’applet de commande Update-Recipient.
Une fois que vous avez exécuté cette commande, le groupe s’affichera dans le GAL local.
Les groupes synchronisés d’Azure AD à AD DS locaux incluent également leurs adhésions. Si vous avez activé la rédaction utilisateur dans Azure AD Connect, les appartenances de groupe pour les comptes d’utilisateurs créés dans Azure AD sont également incluses. Toutefois, si vous n’avez pas activé la rédaction utilisateur dans Azure AD Connect, seules les appartenances de groupe pour les comptes d’utilisateurs créés sur place sont incluses.
Remarque : La version d’écriture hybride Exchange Server est l’écriture classique d’Azure AD. S’il est déployé, il est séparé de l’écriture de groupe. En tant que tel, il est le seul des writebacks qui ne nécessite pas une licence Azure AD Premium; sinon, une licence Azure AD Premium P1 ou P2 est requise si vous activez la rédaction de groupe sans la fonctionnalité de rédaction hybride Exchange Server.