Comme expliqué dans l'article précédent "O365 : Soft Match (SMTP) et Hard Match (ImmutableID)" le Hard Match intervient lorsque le Soft Match n'a pas fonctionné.
Les étapes à suivre sont les suivantes:
- Récupérer le GUID du compte dans l'Active Direcotry
- Convertir ce dernier en ImmutableID
- Appliqué cet ImmutableID au compte Azure Active Directory
- Relancer une synchronisation via Ad connect
Voici donc les commandes pour cela.
# Get GUID for User
$User = Get-ADUser jdupont | select ObjectGUID,UserPrincipalName
$Upn = $User.UserPrincipalName
$Guid = $User.ObjectGUID.Guid
# Convert GUID to ImmutableID
$ImmutableId = [System.Convert]::ToBase64String(([GUID]($User.ObjectGUID)).tobytearray())
# Connect MsolService
Connect-Msolservice
# Set ImmutableID to msoluser
Set-MsolUser -UserPrincipalName $Upn -ImmutableId $ImmutableId
Et voila, vous n'avez plus qu'a relancer une Synchor AD Connect via la commande suivante.
Start-ADSyncSyncCycle -PolicyType Delta
Lorsque l'on utilise Active Direcotry et Azure Active Directory, il se peut que l'on soit confronter à des conflits car l'utilisateur existe déjà dans les deux environnements (selon divers scénarios).
Quand il s'agit bien du même utilisateur (et non pas un homonyme) il est important de créer un "matching" entre les deux comptes pour que l'AD Connect puisse les voir comme un seul et même compte et les synchroniser.
Pour ce faire il existe deux méthodes:
- Le Soft Match appelé aussi SMTP Matching
- Et le Hard Match (basé sur l'ImmutableID)
Le Soft Match
Le soft match appelé aussi "smpt matching" consiste à s'appuyer sur l'adresse SMTP de l'utilisateur pour faire l'association entre les deux comptes.
Ce dernier est censé fonctionner dans la plupart des cas, mais pour cela il y a quelques conditions à respecter.
- L'utilisateur doit posseder une adresse email sur Microsoft Exchange Online.
- s'il s'agit d'un contact ou d'un groupe à extension de messagerie le soft match sera basé sur l'attribt "proxyaddresses"
- Vous ne devrez pas modifier l'adresse SMTP principale de l'utilisateur durant l'opération.
- Les adresses SMTP sont considérées comme unique assurez vous que seul cet utilisateur possède cette adresse.
Le Hard Match
Le hard match entre en action lorsque le soft match n'a pas réussi, ce dernier consiste à récupérer le GUID du compte Active Directory pour le transformer en ImmutableID et enfin l'appliquer au compte Azure Active Directory.
Cette opération permettera de faire la liaison entre les deux comptes pour n'en faire qu'un synchronisé.
Dans certains cas de figure nous avons besoin de mettre en pause les synchronisations entre Active Directory et son Azure AD (par exemple: une montée de version du client AD Connect, une modification des droits d'accès du compte de synchro, modification des règles de synchronisation...).
Dans l'ensemble rien de bien compliqué mais dans les faits... L'utilisation de la mauvaise cmdlet Powershell peut vous mettre dans l'embarras si ce n'est plus.
En effet pour stopper les cycles de synchronisation entre l'Active Directory et Azure AD plusieurs commandes sont possibles.
La commande A NE PAS UTILISER
Set-MsolDirSyncEnabled -EnableDirSync $false
Cette commande ne doit pas être utilisée, en cas d'utilisation vous devrez attendre 72 heures avant de pouvoir rétablir le service!!!!
La commande utilisable
Set-ADSyncScheduler -SyncCycleEnabled $false
Une fois votre opération réalisée, vous pourrez réactiver les synchronisations en utilisant la commande ci-dessous.
Set-ADSyncScheduler -SyncCycleEnabled $true
Bonne modification sur vos configurations.
L'utilisateur apparait comme un compte cloud
Après un Hard link, il est normal que le compte reste affiché comme un compte cloud dans O365, même si le compte O365 est bien rattaché au compte Active Directory, ce dernier ne change pas d'état.
Afin de corriger cela il vous suffit de faire une modification sur l'un des attributs du compte pour qu'il soit de nouveau synchronisé avec AD Connect et enfin réapparaître comme un objet synchronisé avec Active Directory.
Dans certain cas de figure (mariage, divorce...) les utilisateurs de l'AD change de nom, ceux qui a pour impact un renommage du compte Active Directory, jusque la pas de problème mais (parce qu'il en faut un) lorsque vous utilisez "AD Connect" pour synchroniser vos utilisateurs locaux (votre Active Directory) avec Office 365 (Azure Active Directory), certains paramètres ne sont pas synchronisés.
Parmi ces paramètres le UserPrincipalName, plus communément appelé UPN ne peut être modifié depuis l'AD et répliqué vers O365.
Pour modifier l'UPN côté O365 vous devrez utiliser la commande Powershell suivante:
Set-MsolUserPrincipalName -UserPrincipalName AncienUPN@mondomaine.com -NewUserPrincipalName NouvelUPN@mondomaine.com
Contexte
La synchronisation entre l’Active Directory et Office 365 est un sujet extrêmement sensible dans un environnement de production. Une mauvaise configuration peut entrainer la suppression de nombreux objets dans le cloud (comptes, groupes…).
Le domaine enfant de mon domaine Active Directory a été décoché dans la configuration de mon connecteur dans la console Synchronization Service Manager.
Figure 1 – Propriétés du connecteur
Lorsque l’on coche à nouveau le domaine enfant et que l’on relance une synchronisation, le domaine enfant n’est pas resynchronisé.
Solution
Lors de la suppression du domaine enfant, les étapes de synchronisation associées sont supprimées.
On remarque en allant dans Configure Run Profiles… sur le connecteur qu’il n’y a qu’une seule étape qui correspond au domaine parent.
Figure 2 – Profil du connecteur pour le Full Import avec une seule étape (domaine parent)
Il est donc nécessaire de recréer les étapes pour le domaine enfant. Pour cela il est recommandé de lancer l’outil de configuration d’Azure AD Connect.
Une fois l’outil de configuration terminée, les étapes pour le domaine enfant sont de nouveaux en place.
Figure 3 – Profil du connecteur pour le Full Import avec deux étapes (domaine parent et domaine enfant)
Il est ensuite nécessaire de relancer dans l’ordre :
- Full Import – Connecteur Active Directory
- Full Synchronisation – Connecteur Active Directory
- Export – Connecteur Active Directory
- Delta Import – Connecteur Office 365 (domaine.onmicrosoft.com)
- Delta Synchronisation – Connecteur Office 365 (domaine.onmicrosoft.com)
- Export – Connecteur Office 365 (domaine.onmicrosoft.com)