Convertir un utilisateur synchronisé Microsoft 365 en utilisateur cloud uniquement
Published on 19 Jul 2024Clap
Processus de synchronisation
Dans Microsoft 365, la gestion des identités des utilisateurs dans les environnements sur site et cloud est cruciale pour un accès et une administration transparents. L'un des concepts clés de cette gestion hybride des identités est l'ImmutableID.
L'ImmutableID est un identifiant unique et immuable qui relie un utilisateur Active Directory sur site à son homologue Microsoft Entra ID (anciennement Azure AD). Cette immuabilité garantit une correspondance cohérente des identités, même si d'autres attributs de l'utilisateur changent.
Microssoft Entra Connect Sync (ex Azure AD Connect) synchronise les annuaires sur site avec Microsoft Entra ID, en utilisant l'ImmutableID pour faire correspondre avec précision les utilisateurs entre les environnements. Cela permet d'éviter les doublons et de maintenir des identités cohérentes dans les annuaires sur site et dans le nuage, garantissant ainsi une expérience de gestion des identités hybrides transparente.
Le diagramme illustre le processus de synchronisation des identités des utilisateurs entre un Active Directory (AD) sur site et Microsoft Entra ID/Microsoft 365 à l'aide de Microsoft Entra Connect Sync.
- Dans Active Directory:
- mS-DS-ConsistencyGuid : Cet attribut est généralement le même que l'attribut
objectGUID
de l'objet utilisateur. Toutefois, dans certains cas, notamment après une migration entre forêts, lemS-DS-ConsistencyGuid
peut contenirobjectGUID
de la forêt d'origine. Cela permet de garantir la cohérence et la conformité, même après une migration.
- mS-DS-ConsistencyGuid : Cet attribut est généralement le même que l'attribut
- Dans Microsoft Entra Connect Sync Metaverse (SQL Express or SQL Database):
- sourceAnchor = base64(mS-DS-ConsistencyGuid) : Lors de la synchronisation, Microsoft Entra Connect Sync convertit le
mS-DS-ConsistencyGuid
en une chaîne encodée en base64. Cette chaîne est connue sous le nom desourceAnchor
.
- sourceAnchor = base64(mS-DS-ConsistencyGuid) : Lors de la synchronisation, Microsoft Entra Connect Sync convertit le
- Dans Microsoft Entra ID / Microsoft 365:
- ImmutableID = sourceAnchor :
sourceAnchor
est ensuite utilisé commeImmutableID
dans Microsoft Entra ID/Microsoft 365. CetImmutableID
est un identifiant permanent et immuable qui garantit que l'identité de l'utilisateur reste cohérente dans les environnements sur site et dans le nuage.
- ImmutableID = sourceAnchor :
Convertir un utilisateur synchronisé en utilisateur cloud uniquement dans Microsoft 365
Comme indiqué précédemment l'immutableID est ce qui permet de faire le lien entre un objet AD et un objet cloud. Comme son nom l'indique, ce lien est normalement immuable (=ne peut pas être changé). Cependant, il peut exister des cas où on souhaite convertir un utilisateur synchronisé en utilisateur cloud uniquement. Il est donc nécessaire de casser ce lien, ce qui veut dire supprimer cet immutableID dans le cloud.
- Déplacez l'objet AD en dehors de la synchronisation : Commencez par déplacer l'objet utilisateur vers une unité d'organisation (OU) non synchronisée.
- Attendre la prochaine synchronisation : Laissez le temps à la prochaine synchronisation programmée de se produire. Si vous préférez, vous pouvez déclencher manuellement la synchronisation à l'aide de la commande
Start-ADSyncSyncCycle
. - Vérifier la suppression : Aller dans Microsoft Entra ID > Users > Deleted Users et vérifier que l'utilisateur est supprimé. Si vous préférez, vous pouvez utiliser Microsoft 365 admin > Deleted users
- Restaurer l'utilisateur dans Microsoft Entra ID : Aller sur l'utilisateur supprimé dans Microsoft Entra ID (ou Microsoft 365 Admin Center), cliquer sur l'utilisateur et sélectionner Restaurer.
- Convertir l'utilisateur : utiliser PowerShell et Microsoft Graph pour définir
OnPremisesImmutableID = $null
. Assurez-vous d'avoir installé au moins les modules Microsoft Graph suivants :Microsoft.Graph.Authentication
etMicrosoft.Graph.Users
Connect-MgGraph -Scopes 'User.ReadWrite.All'
# Fill with the user's UserPrincipalName
$upn = [email protected]
Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/Users/$upn" -Body @{OnPremisesImmutableId = $null } -ErrorAction Stop
- Votre utilisateur est maintenant cloud uniquement et n'a plus de lien avec le compte AD.
Attention : Si vous déplacez l'utilisateur AD vers une OU synchronisée, Entra Connect Sync recréera le lien et redéfinira l'ImmutableID.
Clap
Comments