Ce tutoriel vous permettra de fusionner un utilisateur AD sur site avec un utilisateur azure AD déjà existant ou pas.
En entreprise, j’ai eu plusieurs fois des erreurs de synchronisation avec le service AD Connect qui n’arrivait pas à mettre à jour des objets n’ayant pas des attributs uniques (Error Type: AttributeValueMustBeUnique).
Note : La synchronisation de l’Azure AD vérifie chaque nouvel objet et essaie de trouver un objet existant correspondant. Trois attributs sont alors utilisés pour ce processus : userPrincipalName, proxyAddresses et sourceAnchor/immutableID.
L’idée serait donc de définir une valeur immuable a l’utilisateur Azure Ad qui correspondrait à celui sur site. Voici comment résoudre ce problème :
Modification du coté Active Directory sur site (OnPrem)
- Si vous avez installé les outils d’administration de serveur à distance, connectez-vous sur le Powershell du serveur AD distant. Vous pouvez également vous rendre directement au serveur AD pour faire l’opération.
- Si vous avez une version antérieure à Windows 10 Update 2018, il faudra importer le module Active Directory :
import-module ActiveDirectory
- Nous allons maintenant rechercher l’ObjectID (GUID) de l’utilisateur AD qui fait défaut à l’aide de la commande :
$user = Get-ADUser -Filter 'SamAccountName -like "username_de_lutilisateur"'
Vérifions que la valeur correspond à l’utilisateur en question en tapant $user
- Nous allons maintenant convertir l’ObjectID vers un format immuable (base64) :
$immutableid = [System.Convert]::ToBase64String($user.ObjectGUID.tobytearray())
Vérifions que la conversion à bien été prise en compte en tapant $immutableid
Modification du côté Azure Active Directory (Cloud)
- Connectez-vous à votre azure AD en Powershell : POWERSHELL : Se connecter à Microsoft 365
- Rechercher L’ObjectID de l’utilisateur Azure que vous voulez lier à l’aide la commande :
Get-AzureADUser
- Puis lier l’utilisateur AD local avec l’utilisateur azure AD à l’aide de la commande :
Set-AzureADUser -ObjectId objectid -ImmutableId $immutableid
- Lancer une synchronisation depuis le powershell du serveur Azure AD Connect :
Start-ADSyncSyncCycle -PolicyType Delta
Note : Si vous souhaitez fusionner un utilisateur AD sur site a un nouvel utilisateur Azure AD, vous devez vous assurez qu’il n’existe plus aucune trace de l’ancien compte. Supprimez l’ancien compte à l’aide de la commande : Remove-AzureADUser -ObjectId objectid puis finaliser la suppression dans le menu “utilisateurs supprimés” du menu “utilisateurs” dans l’administration Microsoft 365
L’article AD Connect : Fusionner un utilisateur AD avec azure AD est apparu en premier sur Le Blog du Wis.