Comment filtrer les utilisateurs synchronisés avec Microsoft Entra Connect

adrien61

Comment filtrer les utilisateurs synchronisés avec Microsoft Entra Connect

Lorsqu’on met en place une identité hybride avec Microsoft Entra Connect, une question se pose rapidement : est-ce que tous les comptes de l’Active Directory local doivent vraiment être synchronisés vers le cloud ?

La réponse est non. Comptes de service, comptes techniques, comptes de test… les pousser vers Entra ID sans filtrage augmente votre surface d’attaque et complexifie inutilement la gestion des identités.

Voyons les deux méthodes de filtrage proposées par Entra Connect pour contrôler précisément ce qui est synchronisé.

1  Filtrage par Unité d’Organisation (OU)

1.1  Le principe

C’est la méthode la plus simple. On sélectionne dans l’assistant Entra Connect les OU dont les objets doivent être synchronisés. Tout ce qui se trouve dans les OU non cochées est ignoré.

Cela fonctionne bien quand votre AD est structuré proprement, avec des OU dédiées.

1.2  Mise en place

Sur le serveur Entra Connect, lancez l’assistant :

  1. Ouvrez Microsoft Entra Connect → Configurer
  2. Sélectionnez Personnaliser les options de synchronisation
  3. Connectez-vous avec votre compte Global Admin
  4. Sur la page de filtrage, décochez les OU à exclure
  5. Terminez l’assistant

Forcez ensuite une synchronisation :

Start-ADSyncSyncCycle -PolicyType Delta

Vérifiez sur le portail Entra (entra.microsoft.com → Utilisateurs) que seuls les utilisateurs des OU sélectionnées apparaissent.

1.3  Les limites

Cette méthode a ses limites. Si un utilisateur est déplacé dans une OU non synchronisée, il disparaît d’Entra ID. Et si votre structure d’OU est complexe ou mal organisée, le filtrage devient vite ingérable.

C’est là qu’intervient la deuxième méthode.

2  Filtrage par attribut étendu

2.1  Le principe

Au lieu de se baser sur l’emplacement du compte (son OU), on utilise la valeur d’un attribut Active Directory pour déterminer si l’objet doit être synchronisé ou non.

Concrètement, on définit une convention : tout utilisateur dont l’attribut extensionAttribute1 contient la valeur « adsync » sera synchronisé. Les autres seront ignorés, peu importe leur OU.

Pourquoi extensionAttribute1 ? C’est un attribut étendu présent nativement dans le schéma AD, non utilisé par défaut, synchronisé par Entra Connect et facilement modifiable en PowerShell.

Note : l’attribut extensionAttribute1 est disponible lorsque le schéma Active Directory a été étendu pour Exchange. Dans un environnement de lab sans Exchange, cet attribut n’existe pas. On peut alors utiliser l’attribut description comme alternative, qui est présent nativement sur tous les objets AD. C’est ce que nous utiliserons dans les exemples ci-dessous.

2.2  Étape 1 – Taguer les utilisateurs

On commence par définir l’attribut sur les comptes concernés :

# Taguer les utilisateurs à synchroniser

Set-ADUser -Identity « jdupont » -Description « adsync »

Set-ADUser -Identity « mmartin » -Description « adsync »

# Vérifier

Get-ADUser -Filter * -SearchBase « OU=Utilisateurs_Sync,DC=myad,DC=lab » -Properties Description | Select Name, Description

Les utilisateurs sans la valeur « adsync » ne seront pas synchronisés. C’est aussi simple que cela.

2.3  Étape 2 – Créer la règle de synchronisation

Ouvrez le Synchronization Rules Editor sur le serveur Entra Connect (Menu Démarrer → Synchronization Rules Editor). Sélectionnez la direction Inbound puis cliquez sur Add New Rule.

Renseignez la description de la règle :

Name: In from AD – User Filter adsync

Connected System : myad.lab

CS Object Type  : user

MV Object Type   : person

Link Type : Join

Precedence : 52

Important : la précédence à 52 garantit que notre règle sera évaluée avant les règles par défaut (qui commencent à 100+).

2.4  Étape 3 – Le Scoping Filter

Dans l’onglet Scoping Filter, on définit la condition :

  • Attribute : Description
  • Operator : equal
  • Value : adsync

Autrement dit : cette règle ne s’applique qu’aux utilisateurs qui portent notre tag.

2.6  Étape 5 – Synchroniser et vérifier

Sauvegardez la règle, puis lancez une synchronisation complète (obligatoire après modification des règles) :

Start-ADSyncSyncCycle -PolicyType Initial

Vérifiez ensuite dans le Synchronization Service Manager que tout est en succès, puis sur le portail Entra que seuls les utilisateurs taggés apparaissent.

3  Bonnes pratiques

Ne modifiez jamais les règles par défaut. Créez toujours des règles personnalisées avec une précédence plus basse.

Testez en Delta avant un Full. Pour les changements d’attributs, un Delta suffit. Le Full est réservé aux changements de règles.

Documentez vos règles. Nom, précédence, condition, transformation. En cas de problème, cette documentation sera précieuse.

Combinez les deux méthodes si nécessaire. Filtrage par OU pour les grandes exclusions, filtrage par attribut pour le contrôle fin. Les deux approches ne sont pas mutuellement exclusives.

4  Commandes PowerShell utiles

# Synchro delta

Start-ADSyncSyncCycle -PolicyType Delta

# Synchro complète

Start-ADSyncSyncCycle -PolicyType Initial

# Taguer un utilisateur

Set-ADUser -Identity « login » -Replace @{extensionAttribute1= »adsync »}

# Retirer le tag

Set-ADUser -Identity « login » -Clear extensionAttribute1

Adrien Lecler

Publié par adrien61

Laisser un commentaire