Photo by Alex Machado / Unsplash
Convertir un utilisateur synchronisé Microsoft 365 en utilisateur cloud uniquement

Convertir un utilisateur synchronisé Microsoft 365 en utilisateur cloud uniquement

Published on 19 Jul 2024

Bastien Perez
Bastien Perez

Clap

Processus de synchronisation

Dans Microsoft 365, la gestion des identités des utilisateurs dans les environnements sur site et cloud est cruciale pour un accès et une administration transparents. L'un des concepts clés de cette gestion hybride des identités est l'ImmutableID.
L'ImmutableID est un identifiant unique et immuable qui relie un utilisateur Active Directory sur site à son homologue Microsoft Entra ID (anciennement Azure AD). Cette immuabilité garantit une correspondance cohérente des identités, même si d'autres attributs de l'utilisateur changent.
Microssoft Entra Connect Sync (ex Azure AD Connect) synchronise les annuaires sur site avec Microsoft Entra ID, en utilisant l'ImmutableID pour faire correspondre avec précision les utilisateurs entre les environnements. Cela permet d'éviter les doublons et de maintenir des identités cohérentes dans les annuaires sur site et dans le nuage, garantissant ainsi une expérience de gestion des identités hybrides transparente.

Le diagramme illustre le processus de synchronisation des identités des utilisateurs entre un Active Directory (AD) sur site et Microsoft Entra ID/Microsoft 365 à l'aide de Microsoft Entra Connect Sync.

  1. Dans Active Directory:
    • mS-DS-ConsistencyGuid : Cet attribut est généralement le même que l'attribut objectGUID de l'objet utilisateur. Toutefois, dans certains cas, notamment après une migration entre forêts, le mS-DS-ConsistencyGuid peut contenir objectGUID de la forêt d'origine. Cela permet de garantir la cohérence et la conformité, même après une migration.
  2. Dans Microsoft Entra Connect Sync Metaverse (SQL Express or SQL Database):
    • sourceAnchor = base64(mS-DS-ConsistencyGuid) : Lors de la synchronisation, Microsoft Entra Connect Sync convertit le mS-DS-ConsistencyGuid en une chaîne encodée en base64. Cette chaîne est connue sous le nom de sourceAnchor.
  3. Dans Microsoft Entra ID / Microsoft 365:
    • ImmutableID = sourceAnchor : sourceAnchor est ensuite utilisé comme ImmutableID dans Microsoft Entra ID/Microsoft 365. Cet ImmutableID est un identifiant permanent et immuable qui garantit que l'identité de l'utilisateur reste cohérente dans les environnements sur site et dans le nuage.

Convert synced user to cloud only user in Microsoft 365

This procedure has been validated with Microsoft.Graph 2.20.0 versions. If you need previous or later version, the step 5 may work differently.

Comme indiqué précédemment l'immutableID est ce qui permet de faire le lien entre un objet AD et un objet cloud. Comme son nom l'indique, ce lien est normalement immuable (=ne peut pas être changé). Cependant, il peut exister des cas où on souhaite convertir un utilisateur synchronisé en utilisateur cloud uniquement. Il est donc nécessaire de casser ce lien, ce qui veut dire supprimer cet immutableID dans le cloud.

  1. Déplacez l'objet AD en dehors de la synchronisation : Commencez par déplacer l'objet utilisateur vers une unité d'organisation (OU) non synchronisée.
  2. Attendre la prochaine synchronisation : Laissez le temps à la prochaine synchronisation programmée de se produire. Si vous préférez, vous pouvez déclencher manuellement la synchronisation à l'aide de la commande Start-ADSyncSyncCycle.
  3. Vérifier la suppression : Aller dans Microsoft Entra ID > Users > Deleted Users et vérifier que l'utilisateur est supprimé. Si vous préférez, vous pouvez utiliser Microsoft 365 admin > Deleted users
Vérifier la suppression de l'utilisateur
  1. Restaurer l'utilisateur dans Microsoft Entra ID : Aller sur l'utilisateur supprimé dans Microsoft Entra ID (ou Microsoft 365 Admin Center), cliquer sur l'utilisateur et sélectionner Restaurer.
  1. Convertir l'utilisateur : utiliser PowerShell et Microsoft Graph pour définir OnPremisesImmutableID = $null. Assurez-vous d'avoir installé au moins les modules Microsoft Graph suivants :Microsoft.Graph.Authentication et Microsoft.Graph.Users
Connect-MgGraph -Scopes 'User.ReadWrite.All'

# Fill with the user's UserPrincipalName 
$upn = [email protected]

Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/Users/$upn" -Body @{OnPremisesImmutableId = $null } -ErrorAction Stop
  1. Votre utilisateur est maintenant cloud uniquement et n'a plus de lien avec le compte AD.

Attention : Si vous déplacez l'utilisateur AD vers une OU synchronisée, Entra Connect Sync recréera le lien et redéfinira l'ImmutableID.

A noter que nous devons utiliser Invoke-MgGraphRequest parce que la CMDlet Update-MgUser ne supporte pas la valeur $null. Plus d'informations sur Github :https://github.com/microsoftgraph/msgraph-sdk-powershell/issues/852

Comments

banner-Bastien Perez
Bastien Perez

Freelance Microsoft 365 - Active Directory - Modern Workplace

France