Aujourd’hui, je vous propose de voir un exemple concret de règle de synchronisation personnalisée que l’on peut mettre en place pour adapter le comportement de la synchronisation AAD Connect.
Dans l’exemple ci-dessous, nous allons simplement créer une règle pour empêcher la synchronisation de certains objets en fonction d’un attribut particulier dans l’AD.
Au sein de mon Active Directory on-prem, je dispose d’une OU avec un petit nombre de comptes utilisateurs de tests que je synchronise avec AAD Connect vers Azure Active Directory.
En temps normal, je ne trie pas forcément. Je synchronise tout le monde. Dans ce cas, j’ai le résultat suivant dans Azure Active Directory. Notez la présence de Darth Maul et Darth Vador pour plus tard.
Mais pour l’exemple, imaginons que l’on souhaite créer une règle pour ne pas synchroniser les utilisateurs dont le nom commence par « Darth« . Et je vais appeler cette règle « Do not sync the bad guys« .
Pour mettre en place cette règle, procédez comme suit… 🙂
Démarrez l’outil Synchronization Rules Editor sur votre serveur AAD Connect.
Ajoutez une nouvelle règle en cliquant sur le bouton Add new rule.
Choisissez un nom et une description pour votre nouvelle règle de synchronisation. Veillez à bien choisir les options suivantes :
Dans la partie Scoping Filter, choisissez maintenant la condition qui va permettre d’identifier la cible de cette règle. Dans mon cas, je choisi tous les objets utilisateurs qui auront le mot « Darth » dans le champ givenName de l’Active Directory.
Libre à vous de changer cette condition ou voir même d’ajouter plusieurs conditions différentes. Lorsque vous êtes au sein d’un même groupe c’est du AND tandis que entre chaque groupe c’est du OR. Un petit schéma pour mieux expliquer...
Retour à notre règle…
Dans la partie Join rules – nous n’avons rien à faire de particulier. Vous pouvez cliquer sur Next.
C’est dans la partie Transformations que la magie opère… 😉 – C’est avec ce réglage particulier que nous allons dire à l’AAD Connect de ne pas exporter les objets qui entrent dans cette règle.
C’est l’association de l’option cloudFiltered et du paramètre True qui va permettre de ne pas envoyer ces objets vers Azure Active Directory (ou bien de les supprimer s’ils avaient déjà été synchronisés par le passé).
Une fois sauvegardée, notre règle se trouve tout en haut de la liste car nous avons choisi une Precedence de 50.
Il ne nous reste plus qu’à tester en forçant une nouvelle synchronisation. Pour ma part, j’utilise la commande suivante en PowerShell :
Start-ADSyncSyncCycle -PolicyType Initial
Après quelques instants, nous pouvoir voir que les changements ont été pris en compte et que les 2 objets Darth Vader et Darth Maul ont été supprimés.
On peut le voir depuis le Synchronization Manager. On voit que nous avons 2 actions de type Delete. Chaque ligne correspond à un des deux comptes.
Si l’on regarde également dans Azure Active Directory, on voit également que les 2 objets concernés ne sont plus visibles. 🙂
Si vous voulez annuler cette règle, il vous suffit de la supprimer ou bien de la désactiver.
Enfin, sachez que l’AAD Connect repose sur le moteur de synchronisation de FIM/MIM et qu’il offre énormément de possibilités de réglages ! A vous de les découvrir 🙂
Merci à edemilliere pour son excellent script qui permet de générer rapidement des comptes de tests. Plus d’infos en suivant ce lien.
Microsoft banni brutalement un développeur de LibreOffice Microsoft banni brutalement un développeur de LibreOffice, et…
Dropbox Passwords : 5 alternatives après la fermeture de son service Introduction Dropbox Passwords ferme…
Palo Alto Networks rachète Cyberark pour 25 milliards de dollars Introduction Palo Alto Networks rachète…
Microsoft reconnaît ne plus pouvoir garantir la souveraineté des données européennes Coup de tonnerre dans…
Illustration générée par intelligence artificielle Il y a des endroits où l’on se sent bien…
Microsoft Réinvente Clippy avec une Nouvelle Mascotte Interactive pour Copilot Introduction Microsoft a récemment dévoilé…