You are here: Home Microsoft 365 La synchronisation Active Diretory avec Azure Cloud Gestion de la synchronisation des objets Microsoft 365 Gestion des utilisateurs avec synchronisation d’annuaire
« Choisissez un travail que vous aimez et vous n’aurez pas à travailler un seul jour de votre vie. »
Gestion des utilisateurs avec synchronisation d’annuaire
Lorsque vous déployez azure AD Connect et activez la synchronisation planifiée, plusieurs tâches de gestion requises sont nécessaires pour vous assurer que les objets se synchronisent efficacement. Ceci est particulièrement important si vous souhaitez activer la synchronisation dans les deux sens.
Les utilisateurs peuvent désormais modifier leurs mots de passe via la page de connexion ou les paramètres utilisateur dans Microsoft 365 et les faire écrire à AD DS sur place. C’est ce qu’on appelle la rédaction de mot de passe. Pour activer la fonctionnalité de rédaction de mot de passe pour Azure AD Connect, vous devez activer l’option de récupération de mot de passe lors de l’installation d’Azure AD Connect, avec des paramètres personnalisés, puis exécuter les commandes Windows PowerShell suivantes sur le serveur Azure AD Connect.
Get-ADSyncConnector | nom fl,AADPasswordResetConfiguration
Get-ADSyncAADPasswordResetConfiguration -Connecteur « adatum.onmicrosoft.com - AAD »
Set-ADSyncAADPasswordResetConfiguration -Connecteur « adatum.onmicrosoft.com - AAD » -Activer $true
$cmd = « dsacls.exe '$passwordOU' /I:S /G ''"$accountName' »:CA;'"Reset Password' »;user' »
$cmd d’invocation-expression | Out-Null
$cmd = « dsacls.exe '$passwordOU' /I:S /G ''"$accountName' »:CA;'"Change Password' »;user' »
$cmd d’invocation-expression | Out-Null
$cmd = « dsacls.exe '$passwordOU' /I:S /G ''"$accountName' »:WP;lockoutTime;user' »
$cmd d’invocation-expression | Out-Null
$cmd = « dsacls.exe '$passwordOU' /I:S /G ''"$accountName' »:WP;pwdLastSet;user' »
$cmd d’invocation-expression | Out-Null
Dans les commandes PowerShell précédentes :
Ces commandes configurent les éléments suivants :
La rédaction de mot de passe nécessite les conditions suivantes :
Les périphériques qui sont inscrits avec Microsoft 365 MDM ou Intune permettront de se connecter aux ressources contrôlées AD FS en fonction de l’utilisateur et de l’appareil sur lequel ils se trouvent. C’est ce qu’on appelle la rédaction de périphérique. La rédaction de périphérique est utilisée pour activer l’accès conditionnel basé sur des périphériques aux applications protégées par AD FS ou aux approbations de partie de confiance. Cela fournit une sécurité et une assurance supplémentaires que l’accès aux applications n’est accordé qu’aux périphériques approuvés.
Pour activer la fonctionnalité de rédaction de périphérique pour Azure AD Connect, vous devez activer l’option de dépréciation de périphérique lors de l’installation d’Azure AD Connect, avec des paramètres personnalisés, puis exécuter les trois commandes Windows PowerShell suivantes sur le serveur Azure AD Connect.
Install-WindowsFeature –Name AD-DOMAIN-Services –IncludeManagementTools
Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1'
Initialisation-ADSyncDeviceWriteback {Facultatif:-DomainName [nom] Numéro facultatif:-AdConnectorAccount
Dans les commandes PowerShell précédentes :
Ces commandes configurent les éléments suivants :
La récupération des appareils nécessite les conditions suivantes :
L’une des principales tâches de maintenance utilisateur consiste à gérer les attributs de boîte aux lettres utilisateur et, en particulier, les adresses SMTP (Simple Mail Transfer Protocol) principales. Pour qu’un compte d’utilisateur local obtienne l’adresse SMTP principale correcte, il doit être activé par boîte aux lettres, soit à l’aide du Centre d’administration Exchange 2016, soit en définissant l’attribut de messagerie manuellement pour activer l’utilisateur par courrier.
Si une adresse SMTP principale n’est pas définie pour un compte d’utilisateur, Microsoft 365 utilisera un @domain.onmicrosoft.com comme adresse SMTP par défaut de l’utilisateur. Si vous ne pouvez pas vous assurer que tous les utilisateurs synchronisés disposent d’une adresse SMTP primaire valide avant la synchronisation, vous pouvez utiliser le filtrage des attributs utilisateur pour vous assurer que tous les comptes sans UPN valide sont exclus de l’étendue de synchronisation.
Azure Active Directory prend en charge les suppressions en douceur. Après avoir supprimé un utilisateur dans Microsoft 365, soit après la synchronisation, soit si vous supprimez manuellement un utilisateur non synchronisé dans Microsoft 365, les données de l’utilisateur sont supprimées et les licences de l’utilisateur peuvent être réaffectées ; toutefois, les comptes restent récupérables dans la corbeille de cloud pendant 30 jours. Étant donné que le compte est récupérable, cette suppression initiale est appelée suppression souple.
Après avoir supprimé un utilisateur, le compte reste dans un état suspendu dans la corbeille de cloud pendant 30 jours. Pendant cette période de 30 jours, le compte d’utilisateur peut être restauré, ainsi que toutes ses propriétés. Après le passage de cette fenêtre de 30 jours, l’utilisateur est automatiquement et définitivement supprimé de la corbeille. Il s’agit d’une suppression dure.
Récupération des suppressions non synchronisées
Une autre tâche de maintenance importante consiste à traiter une suppression locale qui ne se synchronise pas avec Microsoft 365, ce qui signifie que l’objet lié n’est pas supprimé d’Azure AD. Cela peut se produire si la synchronisation d’annuaire n’est pas encore terminée ou si la synchronisation d’annuaire n’a pas réussi à supprimer un objet cloud spécifique, ce qui entraîne un objet Azure AD orphelin.
Pour résoudre ce problème, vous devez effectuer les étapes suivantes :
Si les étapes ci-dessus valident que la synchronisation d’annuaire fonctionne correctement mais que la suppression de l’objet AD DS ne s’est toujours pas propagée à Azure AD, l’objet orphelin peut être supprimé manuellement à l’aide de l’une des applets de commande Microsoft Azure Active Directory pour Windows PowerShell suivantes :
Remove-MsolContact
Remove-MsolGroup
Remove-MsolUser
Par exemple, pour supprimer manuellement un utilisateur orphelin créé à l’origine à l’aide de la synchronisation d’annuaire, exécutez l’applet de commande suivante :
Remove-MsolUser –UserPrincipalName username@Microsoft365domain>
Si vous supprimez accidentellement un compte d’utilisateur local et qu’un cycle de synchronisation d’annuaire s’exécute, l’utilisateur sera supprimé dans Microsoft 365. Toutefois, si la fonctionnalité de corbeille est activée dans AD DS, vous pouvez récupérer le compte à partir de la corbeille, ce qui rétablira le lien entre les deux comptes. Si vous n’avez pas activé la corbeille, vous devrez peut-être créer un autre compte avec un nouveau GUID.
Les comptes d’utilisateurs que vous créez dans Microsoft 365 via la synchronisation d’annuaires ne sont pas automatiquement activés pour Microsoft 365. Il est recommandé d’utiliser le script pour gérer cette exigence. Une approche simple utilise le module Microsoft Azure Active Directory pour les applets de commande Windows PowerShell. Par exemple :
Get-MsolAccountSku (pour signaler les SKU Office365 qui, tels que EXCHANGESTANDARD)
Get-MsolUser -UnlicensedUsersOnly | Set-MsolUser -Emplacement d’UtilisationLocation, tel que « US »
Get-MsolUser -UnlicensedUsersOnly | Set-MsolUserLicense -AddLicenses SKU
L’attribut utilisateur isLicensed indique si un utilisateur a une licence attribuée (True) ou non (False). Cela permet à Windows PowerShell de faire rapport sur les comptes d’utilisateurs Microsoft 365 sous licence. Pour afficher tous les utilisateurs sous licence dans Microsoft 365, exécutez la commande suivante à l’invite Microsoft Azure Active Directory Module pour Windows PowerShell.
Get-MsolUser | Where-Object $_.isLicensed -eq « True »
Pour exporter une liste d’utilisateurs Microsoft 365 sous licence vers un fichier CSV, exécutez la commande suivante :
Get-MsolUser | Where-Object $_.isLicensed -eq « True » | Export-Csv C:\Labfiles\LicensedUsers.csv