Ce tutoriel vous permettra de fusionner un utilisateur AD avec un utilisateur ENTRA déjà existant.
La synchronisation d’ENTRA vérifie chaque nouvel objet et essaie de trouver un objet existant correspondant. Trois attributs sont alors utilisés pour ce processus :
– userPrincipalName
– proxyAddresses
– sourceAnchor/immutableID
Il faut donc s’assurer que l’attibue ProxyAddress de l’AD et le compte utilisateur ENTRA soient identiques
Nous allons récupérer la valeur immuable (immutableID) de l’utilisateur AD pour l’injecter dans l’utilisateur ENTRA afin de forcer cette synchronisation.
Coté Active Directory
Ouvrir une fenêtre powershell en mode administrateur
Importez le module AD
import-module ActiveDirectory
Recherchez l’ObjectID (GUID) de l’utilisateur AD
$user = Get-ADUser -Filter 'SamAccountName -like "username_de_lutilisateur"'
Vérifions que la valeur correspond à l’utilisateur en question en tapant « $user » dans la fenêtre. Ils devrait etre identique au « username_de_lutilisateur »
Convertir l’ObjectID vers un format immuable (base64) :
$immutableid = [System.Convert]::ToBase64String($user.ObjectGUID.tobytearray())
Vérifions que la conversion a bien été prise en compte en tapant « $immutableid »
Coté Entra
Avant de commencer :
Si l’Azure AD Connect a déjà créé un autre compte compte Entra que celui que vous voulez resynchroniser, il faut désynchroniser le compte AD pour pouvoir effacer la relation.
Une fois désynchroniser, il faut effacer l’utilisateur qui a été créé et qui se trouve maintenant dans “Utilisateurs supprimés”. La suppression anticipée n’est possible que de la console ENTRA
Connexion à ENTRA en powershell à faire dans la même console pour garder les variables précédentes en mémoire.
Dans certains cas (si message d’erreur), il faut se connecter en exécutant les commandes lignes 3 et 4, avant les commandes lignes 1 et 2.
Connect-AzureAD
Connect-MsolService
Install-Module -Name AzureAD
Install-Module -Name MSOnline
Recherchez L’ObjectID de l’utilisateur Entra que vous voulez lier à l’aide la commande pour vérifier Que l’utilisateur existe bien.
Get-AzureADUser -ObjectId "[email protected]"
ATTENTION :
Si vous avez un message d’erreur, c’est que soit l’utilisateur n’existe pas, soit que AzureAD Connect a de nouveau recrée un autre utilisateur. Il faut donc de nouveau le supprimer
Le résultat devrait ressortir sous la forme
Puis liez l’utilisateur AD local avec l’utilisateur Entra à l’aide de la commande
Set-AzureADUser -ObjectId "[email protected]" -ImmutableId $immutableid
Lancez une synchronisation depuis le powershell du serveur Azure AD Connect (ou attendre 30 minutes que le script s’exécute).
Start-ADSyncSyncCycle -PolicyType Delta
On vérifie dans la fiche ENTRA que la valeur ImmuableID correspond à celle trouvée dans la partie 1