Dans certains cas de figure nous avons besoin de mettre en pause les synchronisations entre Active Directory et son Azure AD (par exemple: une montée de version du client AD Connect, une modification des droits d'accès du compte de synchro, modification des règles de synchronisation...).
Dans l'ensemble rien de bien compliqué mais dans les faits... L'utilisation de la mauvaise cmdlet Powershell peut vous mettre dans l'embarras si ce n'est plus.
En effet pour stopper les cycles de synchronisation entre l'Active Directory et Azure AD plusieurs commandes sont possibles.
La commande A NE PAS UTILISER
Set-MsolDirSyncEnabled -EnableDirSync $false
Cette commande ne doit pas être utilisée, en cas d'utilisation vous devrez attendre 72 heures avant de pouvoir rétablir le service!!!!
La commande utilisable
Set-ADSyncScheduler -SyncCycleEnabled $false
Une fois votre opération réalisée, vous pourrez réactiver les synchronisations en utilisant la commande ci-dessous.
Set-ADSyncScheduler -SyncCycleEnabled $true
Bonne modification sur vos configurations.
L'utilisateur apparait comme un compte cloud
Après un Hard link, il est normal que le compte reste affiché comme un compte cloud dans O365, même si le compte O365 est bien rattaché au compte Active Directory, ce dernier ne change pas d'état.
Afin de corriger cela il vous suffit de faire une modification sur l'un des attributs du compte pour qu'il soit de nouveau synchronisé avec AD Connect et enfin réapparaître comme un objet synchronisé avec Active Directory.
Dans certain cas de figure (mariage, divorce...) les utilisateurs de l'AD change de nom, ceux qui a pour impact un renommage du compte Active Directory, jusque la pas de problème mais (parce qu'il en faut un) lorsque vous utilisez "AD Connect" pour synchroniser vos utilisateurs locaux (votre Active Directory) avec Office 365 (Azure Active Directory), certains paramètres ne sont pas synchronisés.
Parmi ces paramètres le UserPrincipalName, plus communément appelé UPN ne peut être modifié depuis l'AD et répliqué vers O365.
Pour modifier l'UPN côté O365 vous devrez utiliser la commande Powershell suivante:
Set-MsolUserPrincipalName -UserPrincipalName AncienUPN@mondomaine.com -NewUserPrincipalName NouvelUPN@mondomaine.com
Contexte
La synchronisation entre l’Active Directory et Office 365 est un sujet extrêmement sensible dans un environnement de production. Une mauvaise configuration peut entrainer la suppression de nombreux objets dans le cloud (comptes, groupes…).
Le domaine enfant de mon domaine Active Directory a été décoché dans la configuration de mon connecteur dans la console Synchronization Service Manager.
Figure 1 – Propriétés du connecteur
Lorsque l’on coche à nouveau le domaine enfant et que l’on relance une synchronisation, le domaine enfant n’est pas resynchronisé.
Solution
Lors de la suppression du domaine enfant, les étapes de synchronisation associées sont supprimées.
On remarque en allant dans Configure Run Profiles… sur le connecteur qu’il n’y a qu’une seule étape qui correspond au domaine parent.
Figure 2 – Profil du connecteur pour le Full Import avec une seule étape (domaine parent)
Il est donc nécessaire de recréer les étapes pour le domaine enfant. Pour cela il est recommandé de lancer l’outil de configuration d’Azure AD Connect.
Une fois l’outil de configuration terminée, les étapes pour le domaine enfant sont de nouveaux en place.
Figure 3 – Profil du connecteur pour le Full Import avec deux étapes (domaine parent et domaine enfant)
Il est ensuite nécessaire de relancer dans l’ordre :
- Full Import – Connecteur Active Directory
- Full Synchronisation – Connecteur Active Directory
- Export – Connecteur Active Directory
- Delta Import – Connecteur Office 365 (domaine.onmicrosoft.com)
- Delta Synchronisation – Connecteur Office 365 (domaine.onmicrosoft.com)
- Export – Connecteur Office 365 (domaine.onmicrosoft.com)