Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Avec la publication de l’agent d’approvisionnement 1.1.1370.0, la synchronisation cloud a désormais la capacité à réaliser une réécriture de groupes. Cette fonctionnalité signifie que la synchronisation cloud peut approvisionner des groupes directement dans votre environnement Active Directory local. Vous pouvez maintenant aussi utiliser des fonctionnalités de gouvernance d’identités pour gouverner l’accès aux applications AD, par exemple en incluant un groupe dans un package d’accès de gestion des droits d’utilisation.
Important
La préversion de la réécriture de groupe v2 dans Microsoft Entra Connect Sync est déconseillée et n’est plus prise en charge.
Vous pouvez utiliser Microsoft Entra Cloud Sync pour approvisionner des groupes de sécurité cloud sur les services de domaine Active Directory (AD DS) locaux.
Si vous utilisez l’écriture différée de groupe v2 dans Microsoft Entra Connect Sync, vous devez déplacer votre client de synchronisation vers Microsoft Entra Cloud Sync. Pour vérifier si vous êtes éligible à la migration vers Microsoft Entra Cloud Sync, utilisez l’Assistant Synchronisation utilisateur.
Si vous ne pouvez pas utiliser Microsoft Cloud Sync comme recommandé par l’Assistant, vous pouvez exécuter Microsoft Entra Cloud Sync côte à côte avec Microsoft Entra Connect Sync. Dans ce cas, vous pouvez exécuter Microsoft Entra Cloud Sync uniquement pour approvisionner des groupes de sécurité cloud sur ad DS local.
Si vous approvisionnez des groupes Microsoft 365 dans AD DS, vous pouvez continuer à utiliser l’écriture différée de groupe v1.
Provisionner l’ID Microsoft Entra dans les services de domaine Active Directory - Conditions préalables
Les conditions préalables suivantes sont requises pour implémenter des groupes d’approvisionnement dans Active Directory Domain Services (AD DS).
Conditions de licence :
L'utilisation de cette fonctionnalité nécessite des licences Microsoft Entra ID P1. Pour trouver la licence adaptée à vos besoins, consultez Comparer les fonctionnalités en disponibilité générale de Microsoft Entra ID.
Exigences générales
- Un compte Microsoft Entra avec au moins un rôle Administrateur d’identité hybride.
- Schéma AD DS local avec l’attribut msDS-ExternalDirectoryObjectId , disponible dans Windows Server 2016 et versions ultérieures.
- Agent d’approvisionnement avec la version 1.1.3730.0 ou ultérieure.
Remarque
Les autorisations pour le compte de service sont attribuées uniquement lors de l’installation propre. Si vous effectuez une mise à niveau à partir de la version précédente, les autorisations doivent être affectées manuellement à l’aide de PowerShell :
$credential = Get-Credential
Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Si les autorisations sont définies manuellement, vous devez affecter des propriétés De lecture, d’écriture, de création et de suppression pour tous les groupes descendants et objets Utilisateur.
Ces autorisations ne sont pas appliquées aux objets AdminSDHolder par défaut. Pour plus d’informations, consultez les applets de commande PowerShell de l’agent d’approvisionnement Microsoft Entra.
- L’agent d’approvisionnement doit être installé sur un serveur qui exécute Windows Server 2022, Windows Server 2019 ou Windows Server 2016.
- L’agent d’approvisionnement doit être capable de communiquer avec un ou plusieurs contrôleurs de domaine sur les ports TCP/389 (LDAP) et TCP/3268 (Global Catalog).
- Obligatoire pour la recherche de catalogue global pour filtrer les références d’appartenance non valides
- Microsoft Entra Connect Sync avec build version 2.22.8.0
- Obligatoire pour prendre en charge la synchronisation de l’abonnement des utilisateurs locaux à l’aide de Microsoft Entra Connect
- Requis pour se synchroniser
AD DS:user:objectGUIDavecAAD DS:user:onPremisesObjectIdentifier
Limites de mise à l’échelle des groupes d’approvisionnement vers Active Directory
Les performances de la fonctionnalité d'approvisionnement de groupes dans Active Directory sont influencées par la taille du client et le nombre de groupes et de membres pris en compte pour l'approvisionnement dans Active Directory. Cette section fournit des conseils sur la façon de déterminer si GPAD prend en charge vos besoins de mise à l’échelle et comment choisir le mode d’étendue de groupe approprié pour obtenir des cycles de synchronisation initial et delta plus rapides.
Qu’est-ce qui n’est pas pris en charge ?
- Les groupes dont la taille est supérieure à 50 000 membres ne sont pas pris en charge.
- L’utilisation de la portée « Tous les groupes de sécurité » sans appliquer le filtrage de portée des attributs n’est pas prise en charge.
Limites de mise à l’échelle
| Mode d’étendue | Nombre de groupes dans le périmètre | Nombre de liens d’appartenance (membres directs uniquement) | Remarques |
|---|---|---|---|
| Mode « Groupes de sécurité sélectionnés » | Jusqu’à 10 000 groupes. Le volet CloudSync dans le portail Microsoft Entra permet uniquement de sélectionner jusqu’à 999 groupes, ainsi que d’afficher jusqu’à 999 groupes. Si vous devez ajouter plus de 1 000 groupes dans l’étendue, consultez : Sélection de groupe développée via l’API. | Jusqu’à 250 000 membres pour tous les groupes dans le périmètre. | Utilisez ce mode d’étendue si votre client dépasse l'une de ces limites 1. Le locataire a plus de 200 000 utilisateurs 2. Le locataire a plus de 40 000 groupes 3. Le locataire a plus d'un million d'appartenances à des groupes. |
| Mode « Tous les groupes de sécurité » avec au moins un filtre pour circonscrire les attributs. | Jusqu’à 20 000 groupes. | Jusqu'à un total de 500 000 membres dans le périmètre de tous les groupes. | Utilisez ce mode de portée si votre tenant satisfait à toutes les limites ci-dessous : 1. Le locataire a moins de 200 000 utilisateurs 2. Le locataire a moins de 40 000 groupes 3. Le locataire a moins d'un million d'adhésions à des groupes. |
Que faire si vous dépassez les limites
Le dépassement des limites recommandées ralentit la synchronisation initiale et delta, ce qui peut entraîner des erreurs de synchronisation. Dans ce cas, procédez comme suit :
Trop de groupes ou de membres de groupe en mode d’étendue « Groupes de sécurité sélectionnés » :
Réduisez le nombre de groupes dans l'étendue (ciblez des groupes plus importants en termes de valeur) ou divisez le provisionnement en plusieurs tâches distinctes avec des étendues distinctes.
Trop de groupes ou de membres de groupe en mode d’étendue « Tous les groupes de sécurité » :
Utilisez le mode d’étendue des groupes de sécurité sélectionnés comme recommandé.
Certains groupes dépassent 50 000 membres :
Fractionnez l’appartenance à plusieurs groupes ou adoptez des groupes intermédiaires (par exemple, par région ou unité commerciale) pour conserver chaque groupe sous la limite.
Sélection du groupe élargie via l'API
Si vous devez sélectionner plus de 999 groupes, vous devez utiliser l’octroi d’un appRoleAssignment pour un appel d’API de principal de service .
Voici un exemple des appels d’API :
POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json
{
"principalId": "",
"resourceId": "",
"appRoleId": ""
}
where:
- principalId : ID d’objet de groupe.
- resourceId : ID du principal de service du travail.
- appRoleId : Identificateur du rôle d’application exposé par le principal du service de ressources.
Le tableau suivant répertorie les ID de rôle d’application pour les clouds :
| Cloud | appRoleId |
|---|---|
| Publique | 1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f |
| AzureUSGovernment | d8fa317e-0713-4930-91d8-1dbeb150978f |
| AzureUSNatCloud | 50a55e47-aae2-425c-8dcb-ed711147a39f |
| AzureUSSecCloud | 52e862b9-0b95-43fe-9340-54f51248314f |
Plus d’informations
Voici d’autres points à prendre en compte lorsque vous approvisionnez des groupes dans AD DS.
- Les groupes provisionnés dans AD DS à l’aide de Cloud Sync ne peuvent contenir que des utilisateurs synchronisés locaux ou d’autres groupes de sécurité créés dans le cloud.
- Ces utilisateurs doivent avoir l’attribut onPremisesObjectIdentifier défini sur leur compte.
- OnPremisesObjectIdentifier doit correspondre à un objetGUID correspondant dans l’environnement AD DS cible.
- Un attribut objectGUID d’utilisateur local peut être synchronisé avec un attribut utilisateur cloud onPremisesObjectIdentifier à l’aide d’un client de synchronisation.
- Seuls les locataires Microsoft Entra ID globaux peuvent approvisionner à partir de Microsoft Entra ID vers AD DS. Les entités telles que B2C ne sont pas prises en charge.
- Le travail d’approvisionnement de groupe est planifié pour s’exécuter toutes les 20 minutes.
Scénarios pris en charge pour la réécriture de groupes avec la synchronisation Microsoft Entra Cloud
Les sections suivantes décrivent les scénarios pris en charge pour la réécriture de groupes avec Microsoft Entra Cloud Sync.
- Migrer la réécriture de groupe de synchronisation Microsoft Entra Connect V2 vers la synchronisation cloud Microsoft Entra
- Gouverner les applications basées sur Active Directory sur site (Kerberos) à l'aide de Microsoft Entra ID Governance
Migrer l’écriture différée de groupe de synchronisation Microsoft Entra Connect V2 vers Synchronisation cloud Microsoft Entra
Scénario : Migrer la réécriture de groupes avec Microsoft Entra Connect Sync (anciennement Azure AD Connect) vers Microsoft Entra Cloud Sync. Ce scénario s'adresse uniquement aux clients qui utilisent actuellement la réécriture de groupe Microsoft Entra Connect v2. Le processus décrit dans ce document concerne uniquement les groupes de sécurité créés dans le cloud et réécrits avec une portée universelle. Les groupes à extension messagerie et les DL réécrits avec la réécriture de groupes Microsoft Entra Connect V1 ou V2 ne sont pas pris en charge.
Pour plus d’informations, consultez Migrer l’écriture différée du groupe Microsoft Entra Connect Sync V2 vers Microsoft Entra Cloud Sync.
Gouverner les applications basées sur Active Directory sur site (Kerberos) à l'aide de Microsoft Entra ID Governance
Scénario : gérer des applications locales avec des groupes Active Directory configurés et gérés dans le cloud. La synchronisation cloud Microsoft Entra vous permet de régir entièrement les attributions d’applications dans AD tout en tirant parti des fonctionnalités de la Gouvernance des ID Microsoft Entra pour contrôler et corriger les demandes liées à l’accès.
Pour plus d’informations, consultez Gouverner les applications Active Directory locales (Kerberos) à l’aide de Microsoft Entra ID Governance.
Étapes suivantes
- Provisionner des groupes sur Active Directory à l’aide de Microsoft Entra Cloud Sync
- Gouverner les applications basées sur Active Directory sur site (Kerberos) à l'aide de Microsoft Entra ID Governance
- Migrer la réécriture de groupe de synchronisation Microsoft Entra Connect V2 vers la synchronisation cloud Microsoft Entra
- Filtre de périmètre et mappage des attributs - Microsoft Entra ID vers Active Directory