Tutoriel : Provisionner des groupes dans les services de domaine Active Directory à l’aide de Microsoft Entra Cloud Sync

Ce tutoriel vous guide tout au long de la configuration de Cloud Sync pour synchroniser des groupes vers des services de domaine Active Directory (AD DS) locaux.

Provisionner l’ID Microsoft Entra dans les services de domaine Active Directory - Conditions préalables

Les conditions préalables suivantes sont requises pour implémenter des groupes d’approvisionnement dans Active Directory Domain Services (AD DS).

Conditions de licence :

L'utilisation de cette fonctionnalité nécessite des licences Microsoft Entra ID P1. Pour trouver la licence appropriée pour vos besoins, consultez Comparer les fonctionnalités en disponibilité générale de Microsoft Entra ID.

Exigences générales

• Compte Microsoft Entra avec au moins un rôle Administrateur d’identité hybride .
• Schéma AD DS local avec l’attribut msDS-ExternalDirectoryObjectId , disponible dans Windows Server 2016 et versions ultérieures.
• Agent de provisioning avec la version 1.1.3730.0 ou ultérieure.

$credential = Get-Credential  

Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

• L’agent d’approvisionnement doit être installé sur un serveur qui exécute Windows Server 2022, Windows Server 2019 ou Windows Server 2016.
• L’agent d’approvisionnement doit être capable de communiquer avec un ou plusieurs contrôleurs de domaine sur les ports TCP/389 (LDAP) et TCP/3268 (Global Catalog).
  • Obligatoire pour la recherche de catalogue global pour filtrer les références d’appartenance non valides
• Microsoft Entra Connect Sync avec la version de build 2.22.8.0
  • Obligatoire pour prendre en charge la synchronisation de l’abonnement des utilisateurs locaux à l’aide de Microsoft Entra Connect
  • Requis pour synchroniser AD DS:user:objectGUID à AAD DS:user:onPremisesObjectIdentifier

Limites de mise à l’échelle des groupes d’approvisionnement vers Active Directory

Les performances de la fonctionnalité d'approvisionnement de groupe vers Active Directory sont affectées par la taille du locataire et le nombre de groupes et de membres concernés par l'approvisionnement dans Active Directory. Cette section donne des conseils sur la manière de déterminer si GPAD prend en charge vos exigences de mise à l'échelle et sur comment choisir le mode de portée de groupe approprié pour des cycles de synchronisation initial et delta plus rapides.

Qu’est-ce qui n’est pas pris en charge ?

• Les groupes dont la taille est supérieure à 50 000 membres ne sont pas pris en charge.
• L’utilisation de l’étendue « Tous les groupes de sécurité » sans appliquer le filtrage par attribut de l’étendue n’est pas prise en charge.

Limites de mise à l’échelle

Que faire si vous dépassez les limites

Le dépassement des limites recommandées ralentit la synchronisation initiale et delta, ce qui peut entraîner des erreurs de synchronisation. Dans ce cas, procédez comme suit :

Trop de groupes ou de membres de groupe en mode d’étendue « Groupes de sécurité sélectionnés » :

Réduisez le nombre de groupes dans l’étendue (visez des groupes à valeur ajoutée plus élevée) ou fractionnez le provisionnement en plusieurs tâches distinctes, chacun ayant une portée distincte.

Trop de groupes ou de membres de groupe en mode d’étendue « Tous les groupes de sécurité » :

Utilisez le mode d’étendue des groupes de sécurité sélectionnés comme recommandé.

Certains groupes dépassent 50 000 membres :

Fractionnez l’appartenance à plusieurs groupes ou adoptez des groupes intermédiaires (par exemple, par région ou unité commerciale) pour conserver chaque groupe sous la limite.

Sélection de groupe étendue via l'API

Si vous devez sélectionner plus de 999 groupes, vous devez utiliser l'API Grant an appRoleAssignment pour un service principal.

Voici un exemple des appels d’API :

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json

{
  "principalId": "",
  "resourceId": "",
  "appRoleId": ""
}

where:

• principalId : ID d’objet de groupe.
• resourceId : ID du principal de service du travail.
• appRoleId : Identificateur du rôle d’application exposé par le principal du service de ressources.

Le tableau suivant répertorie les ID de rôle d’application pour les clouds :

Plus d’informations

Voici d’autres points à prendre en compte lorsque vous approvisionnez des groupes dans AD DS.

• Les groupes provisionnés dans AD DS à l’aide de Cloud Sync ne peuvent contenir que des utilisateurs synchronisés locaux ou d’autres groupes de sécurité créés dans le cloud.
• Ces utilisateurs doivent avoir l’attribut onPremisesObjectIdentifier défini sur leur compte.
• OnPremisesObjectIdentifier doit correspondre à un objetGUID correspondant dans l’environnement AD DS cible.
• Un attribut objectGUID d’utilisateur local peut être synchronisé avec un attribut utilisateur cloud onPremisesObjectIdentifier à l’aide d’un client de synchronisation.
• Seuls les locataires Microsoft Entra ID globaux peuvent approvisionner à partir de Microsoft Entra ID vers AD DS. Les tenants tels que B2C ne sont pas pris en charge.
• Le travail d’approvisionnement de groupe est planifié pour s’exécuter toutes les 20 minutes.

Scénarios SOA de groupe et d’utilisateur

Hypothèses

Ce tutoriel suppose :

• Vous disposez d’un environnement local AD DS

• Vous disposez d’une configuration de synchronisation cloud pour synchroniser les utilisateurs avec Microsoft Entra ID.

• Vous avez deux utilisateurs synchronisés : Britta Simon et Lola Jacobson. Ces utilisateurs existent en local et dans Microsoft Entra ID.

• Une unité d’organisation (UO) est créée dans AD DS pour chacun des services suivants :

  Nom affiché	Nom unique
  Groupes	OU=Marketing,DC=contoso,DC=com
  Ventes	OU=Ventes,DC=contoso,DC=com
  Commercialisation	OU=Groupes,DC=contoso,DC=com

Ajouter des utilisateurs à des groupes de sécurité convertis dans le cloud natif ou source d’autorité (SOA)

Pour ajouter des utilisateurs synchronisés, procédez comme suit :

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’identité hybride au moins.
2. Accédez à Entra ID>Groupes>Tous les groupes.
3. En haut, dans la zone de recherche, entrez Sales.
4. Sélectionnez le nouveau groupe Sales .
5. Sur la gauche, sélectionnez Membres.
6. En haut, sélectionnez Ajouter des membres.
7. En haut, dans la zone de recherche, entrez Britta Simon.
8. Placez une vérification en regard de Britta Simon , puis sélectionnez Sélectionner.
9. Cela devrait réussir à ajouter l’utilisateur au groupe.
10. À l’extrême gauche, sélectionnez Tous les groupes. Répétez ce processus à l’aide du groupe Sales et ajoutez Lola Jacobson à ce groupe.

Préparer les groupes convertis SOA pour le provisionnement vers leur unité d'organisation d'origine.

Effectuez ces étapes pour préparer les groupes que vous prévoyez de convertir afin qu'ils soient gérés dans le cloud pour la gestion du provisionnement depuis Microsoft Entra ID vers leur chemin de l’unité d’organisation (OU) d'origine dans Active Directory Domain Services (AD DS) sur site :

1. Remplacez l’étendue du groupe AD DS par Universal.
2. Créez une application spéciale.
3. Créez la propriété d’extension de répertoire pour les groupes.

Modifier l’étendue du groupe pour les groupes AD DS en groupes universels

1. Ouvrez le Centre d'administration Active Directory.
2. Cliquez avec le bouton droit sur un groupe, cliquez sur Propriétés.
3. Dans la section Groupe , sélectionnez Universal comme étendue de groupe.
4. Cliquez sur Enregistrer.

Créer l’extension

Cloud Sync prend uniquement en charge les extensions créées sur une application spéciale appelée CloudSyncCustomExtensionsApp. Si l’application n’existe pas dans votre instance, vous devez la créer. Cette étape est effectuée une fois par locataire.

Pour plus d’informations sur la création de l’extension, consultez extensions de répertoire de synchronisation cloud et mappage d’attributs personnalisés.

$clientId = $app.AppId
$propName = "extension_{0}_GroupDN" -f ($clientId -replace "-","")
$grp = Get-MgGroup -Filter "displayName eq 'My Security Group'" -ConsistencyLevel eventual
Get-MgGroup -GroupId $grp.Id -Property "id,displayName,$propName" |
  Select-Object id, displayName, @{n=$propName; e={$_."$propName"}}

GET /v1.0/groups/{id}?$select=displayName,extension_<appIdNoHyphens>_GroupDN

Configurer le provisionnement

Pour configurer l’approvisionnement, procédez comme suit :

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’identité hybride au moins.

2. Naviguez vers Entra ID>Entra Connect>Cloud sync.

   

3. Sélectionnez Nouvelle configuration.

4. Sélectionnez Microsoft Entra ID to AD Sync.

   

5. Dans l’écran de configuration, sélectionnez votre domaine et indiquez s’il faut activer la synchronisation de hachage de mot de passe. Sélectionnez Créer.

   

6. L’écran Page de démarrage s’ouvre. À partir de là, vous pouvez continuer à configurer la synchronisation cloud.

7. Sur la gauche, sélectionnez Filtres d’étendue.

8. Pour le périmètre des groupes, sélectionnez groupes de sécurité sélectionnés.

   

9. Il existe deux approches possibles pour définir l’unité d’organisation :

   • Vous pouvez utiliser des expressions personnalisées pour vérifier que le groupe est recréé avec la même unité d’organisation. Utilisez l’expression suivante pour la valeur ParentDistinguishedName :

     IIF(
         IsPresent([extension_<AppIdWithoutHyphens>_GroupDistinguishedName]),
         Replace(
             Mid(
                 Mid(
                     Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ),
                     Instr(Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ), ",", , ),
                     9999
                 ),
                 2,
                 9999
             ),
             "\2C", , , ",", ,
         ),
     "<Existing ParentDistinguishedName>",
     )
     

     Cette expression :

     • Utilise une OU (Unité d'Organisation) par défaut si l’extension est vide.
     • Sinon, supprime la partie CN et conserve le chemin parentDN, en gérant à nouveau les virgules échappées.

     Cette modification entraîne une synchronisation complète et n’affecte pas les groupes existants. Testez la définition de l’attribut GroupDN pour un groupe existant à l’aide de Microsoft Graph et vérifiez qu’il revient à l’unité d’organisation d’origine.

   • Si vous ne souhaitez pas conserver le chemin de l'OU d'origine et les informations CN provenant des installations sur site, sous Conteneur cible, sélectionnez Modifier le mappage d’attribut.

     1. Modifier le type de mappage en expression.

     2. Dans la zone d’expression, entrez :

        Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

     3. Modifiez la valeur OU=Groups,DC=contoso,DC=com comme étant .

        

     4. Sélectionnez Appliquer. Le conteneur cible change en fonction de l’attribut displayName du groupe.

10. Vous pouvez utiliser des expressions personnalisées pour vous assurer que le groupe est recréé avec le même CN. Utilisez l’expression suivante pour la valeur CN :

    IIF(
        IsPresent([extension_<AppIdWithoutHyphens>_GroupDistinguishedName]),
        Replace(
            Replace(
                Replace(
                    Word(Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ), 1, ","),
                    "CN=", , , "", ,
                ),
                "cn=", , , "", ,
            ),
            "\2C", , , ",", ,
        ),
    Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)),
    )
    

    Cette expression :

    • Si l’extension est vide, génère un CN de secours à partir de DisplayName + ObjectId.
    • Autrement, extrait le CN en traitant les virgules échappées en les remplaçant temporairement par des valeurs hexadécimales.

11. Cliquez sur Enregistrer.

12. Sur la gauche, sélectionnez Vue d’ensemble.

13. En haut, sélectionnez Vérifier et activer.

14. Sur la droite, sélectionnez Activer la configuration.

Configuration de test

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’identité hybride au moins.

2. Naviguez vers Entra ID>Entra Connect>Cloud sync.

   

3. Sous Configuration, sélectionnez votre configuration.

4. Sur la gauche, sélectionnez Provisionner à la demande.

5. Entrez Sales dans la zone Groupe Sélectionné .

6. Dans la section Utilisateurs sélectionnés , sélectionnez certains utilisateurs à tester.

   

7. Sélectionnez Approvisionner.

8. Le groupe devrait apparaître approvisionné.

Vérifier dans AD DS

Procédez comme suit pour vous assurer que le groupe est approvisionné sur AD DS :

1. Connectez-vous à votre environnement local.

2. Lancez Utilisateurs et ordinateurs Active Directory.

3. Vérifiez que le nouveau groupe est approvisionné.

   

Comportement de gestion de groupe dans les Services de domaine Active Directory pour les objets convertis SOA

Lorsque vous convertissez la source d’autorité (SOA) en cloud pour un groupe local, ce groupe devient éligible pour l’approvisionnement de groupes vers AD DS.

Par exemple, dans le diagramme suivant, le SOA ou SOATestGroup1 est converti en cloud. Par conséquent, il devient disponible pour l’étendue du travail dans l’approvisionnement de groupes sur AD DS.

• Lorsqu’un travail s’exécute, SOATestGroup1 est correctement approvisionné.

• Dans les journaux d’approvisionnement, vous pouvez rechercher SOATestGroup1 et vérifier que le groupe a été approvisionné.

  

• Les détails indiquent que SOATestGroup1 a été mis en correspondance avec un groupe cible existant.

  

• Vous pouvez également confirmer que les adminDescription et cn du groupe cible sont mis à jour.

  

• Lorsque vous examinez AD DS, vous pouvez constater que le groupe d’origine est mis à jour.

  

  

Cloud ignore l’approvisionnement des objets SOA convertis en ID Microsoft Entra

Si vous essayez de modifier un attribut d’un groupe dans AD DS après avoir converti SOA dans le cloud, Cloud Sync ignore l’objet pendant l’approvisionnement.

Supposons que nous avons un groupe SOAGroup3 et que nous mettons à jour son nom de groupe vers SOA Group3.1.

Dans les journaux d’approvisionnement, vous pouvez voir que SOAGroup3 a été ignoré.

Les détails expliquent que l’objet n’est pas synchronisé, car son SOA est converti dans le cloud.

Traitement des groupes imbriqués et des références d’appartenance

Le tableau suivant explique comment le provisionnement gère les références d’appartenance après la conversion de l'architecture orientée services (SOA) dans différents scénarios d'utilisation.

Provisionnement de groupe en comportement AD DS après la restauration des groupes convertis SOA

Si vous avez converti des groupes SOA dans l’étendue et que vous restaurez le groupe converti SOA pour le rendre détenu par AD DS, l’approvisionnement de groupes dans AD DS cesse de synchroniser les modifications, mais il ne supprime pas le groupe local. Il supprime également le groupe de l’étendue de configuration. Le contrôle local du groupe reprend dans le cycle de synchronisation suivant.

• Vous pouvez vérifier dans les journaux d’audit que la synchronisation ne se produit pas pour cet objet, car elle est gérée localement.

  

  Vous pouvez également vérifier dans AD DS que le groupe est toujours intact et non supprimé.

  

Étapes suivantes

• Écriture différée de groupe avec Microsoft Entra Cloud Sync
• Régir les applications AD DS locales (Kerberos) à l’aide de Microsoft Entra ID Governance
• Migrer la fonctionnalité de réplication de groupes Microsoft Entra Connect Sync V2 vers Microsoft Entra Cloud Sync