Configurer la synchronisation étendue de Microsoft Entra ID vers Microsoft Entra Domain Services en tirant parti du Centre d’administration Microsoft Entra

Afin de fournir des services d’authentification, Microsoft Entra Domain Services synchronise des utilisateurs et des groupes à partir de Microsoft Entra ID. Dans un environnement hybride, les utilisateurs et les groupes d’un environnement local Active Directory Domain Services (AD DS) peuvent d’abord être synchronisés avec Microsoft Entra ID en utilisant Microsoft Entra Connect, puis synchronisés avec un domaine géré par Domain Services.

Par défaut, tous les utilisateurs et groupes d’un répertoire Microsoft Entra sont synchronisés avec un domaine géré. Si seuls certains utilisateurs doivent utiliser Domain Services, vous pouvez choisir de synchroniser des groupes d’utilisateurs uniquement. Vous pouvez filtrer la synchronisation pour les groupes locaux, cloud uniquement ou les deux.

Cet article vous montre comment configurer la synchronisation étendue, puis modifier ou désactiver l'ensemble des utilisateurs étendus à l'aide du centre d'administration Microsoft Entra. Vous pouvez également suivre cette procédure avec PowerShell.

Avant de commencer

Pour faire ce qui est décrit dans cet article, vous avez besoin des ressources et des privilèges suivants :

• Un abonnement Azure actif.
  • Si vous n’avez pas d’abonnement Azure, créez un compte.
• Un client Microsoft Entra associé à votre abonnement, soit synchronisé avec un annuaire sur site, soit avec un annuaire cloud uniquement.
  • Si nécessaire, créez un client Microsoft Entra ou associez un abonnement Azure à votre compte.
• Un domaine géré Microsoft Entra Domain Services activé et configuré dans votre locataire Microsoft Entra.
  • Si nécessaire, suivez le didacticiel pour créer et configurer un domaine géré Microsoft Entra Domain Services.
• Vous avez besoin des rôles Administrateur d’applications et Administrateur de groupes Microsoft Entra dans votre tenant pour modifier la portée de synchronisation de Domain Services.

Vue d’ensemble de la synchronisation délimitée

Par défaut, tous les utilisateurs et groupes d’un répertoire Microsoft Entra sont synchronisés avec un domaine géré. Vous pouvez étendre la synchronisation aux seuls comptes d’utilisateurs créés dans Microsoft Entra ID ou synchroniser tous les utilisateurs.

Si seulement quelques groupes d’utilisateurs ont besoin d’accéder au domaine managé, vous pouvez sélectionner Filtrer par droit de groupe pour synchroniser uniquement ces groupes. Cette synchronisation délimitée est basée sur les groupes uniquement. Quand vous configurez la synchronisation délimitée basée sur les groupes, seuls les comptes d’utilisateurs qui appartiennent aux groupes que vous spécifiez sont synchronisés avec le domaine managé. Les groupes imbriqués ne sont pas synchronisés ; seuls les groupes que vous spécifiez le sont.

Vous pouvez modifier l’étendue de synchronisation avant ou après la création du domaine managé. L’étendue de la synchronisation est définie par un principal de service avec l’identificateur d’application 2565bd9d-da50-47d4-8b85-4c97f669dc36. Pour éviter toute perte d’étendue, ne supprimez pas ou ne modifiez pas le principal du service. Si ce dernier supprimé par accident, l’étendue de synchronisation ne peut pas être récupérée.

Gardez à l’esprit les avertissements suivants si vous modifiez l’étendue de synchronisation :

• Une synchronisation complète se produit.
• Les objets qui ne sont plus requis dans le domaine managé sont supprimés. De nouveaux objets sont créés dans le domaine managé.

Pour découvrir plus d’informations sur le processus de synchronisation, consultez Comprendre la synchronisation dans Microsoft Entra Domain Services.

Activation de la synchronisation à étendue limitée

Pour activer la synchronisation étendue dans le centre d'administration Microsoft Entra, procédez comme suit :

1. Dans le Centre d’administration Microsoft Entra, recherchez et sélectionnez Microsoft Entra Domain Services. Choisissez votre domaine managé, par exemple aaddscontoso.com.

2. Sélectionnez Synchronisation dans le menu de gauche.

3. Pour Étendue de synchronisation, sélectionnez Tout ou Cloud uniquement.

4. Pour filtrer la synchronisation des groupes sélectionnés, cliquez sur Afficher les groupes sélectionnés, choisissez de synchroniser les groupes cloud uniquement, les groupes locaux ou les deux. Par exemple, la capture d’écran suivante montre comment synchroniser uniquement trois groupes créés dans Microsoft Entra ID. Seuls les utilisateurs appartenant à ces groupes verront leurs comptes synchronisés avec Domain Services.

   

5. Pour ajouter des groupes, cliquez sur Ajouter des groupes, puis recherchez et choisissez les groupes à ajouter.

6. Une fois que toutes les modifications ont été apportées, sélectionnez Enregistrer l’étendue de la synchronisation.

La changement de l’étendue de la synchronisation conduit le domaine managé à resynchroniser toutes les données. Les objets qui ne sont plus nécessaires dans le domaine managé sont supprimés ; la resynchronisation est susceptible de prendre du temps.

Modifier la synchronisation délimitée

Pour modifier la liste des groupes dont les utilisateurs doivent être synchronisés avec le domaine managé, effectuez les étapes suivantes :

1. Dans le Centre d’administration Microsoft Entra, recherchez et sélectionnez Microsoft Entra Domain Services. Choisissez votre domaine managé, par exemple aaddscontoso.com.
2. Sélectionnez Synchronisation dans le menu de gauche.
3. Pour ajouter un groupe, choisissez + Ajouter des groupes dans la partie supérieure, puis choisissez les groupes à ajouter.
4. Pour supprimer un groupe de l’étendue de la synchronisation, sélectionnez-le dans la liste des groupes actuellement synchronisés et choisissez Supprimer les groupes.
5. Une fois que toutes les modifications ont été apportées, sélectionnez Enregistrer l’étendue de la synchronisation.

La changement de l’étendue de la synchronisation conduit le domaine managé à resynchroniser toutes les données. Les objets qui ne sont plus nécessaires dans le domaine managé sont supprimés ; la resynchronisation est susceptible de prendre du temps.

Désactiver la synchronisation délimitée

Pour désactiver la synchronisation délimitée basée sur les groupes pour un domaine managé, effectuez les étapes suivantes :

1. Dans le Centre d’administration Microsoft Entra, recherchez et sélectionnez Microsoft Entra Domain Services. Choisissez votre domaine managé, par exemple aaddscontoso.com.
2. Sélectionnez Synchronisation dans le menu de gauche.
3. Désélectionnez la case à cocher Afficher les groupes sélectionnés, puis cliquez sur Enregistrer l’étendue de synchronisation.

La changement de l’étendue de la synchronisation conduit le domaine managé à resynchroniser toutes les données. Les objets qui ne sont plus nécessaires dans le domaine managé sont supprimés ; la resynchronisation est susceptible de prendre du temps.

Étapes suivantes

Pour découvrir plus d’informations sur le processus de synchronisation, consultez Comprendre la synchronisation dans Microsoft Entra Domain Services.