Ce tutoriel vous permettra de fusionner un utilisateur AD avec un utilisateur ENTRA déjà existant.

La synchronisation d’ENTRA vérifie chaque nouvel objet et essaie de trouver un objet existant correspondant. Trois attributs sont alors utilisés pour ce processus :
– userPrincipalName
– proxyAddresses
– sourceAnchor/immutableID

Il faut donc s’assurer que l’attibue ProxyAddress de l’AD et le compte utilisateur ENTRA soient identiques

Nous allons récupérer la valeur immuable (immutableID) de l’utilisateur AD pour l’injecter dans l’utilisateur ENTRA afin de forcer cette synchronisation.

Coté Active Directory

Ouvrir une fenêtre powershell en mode administrateur

Importez le module AD

import-module ActiveDirectory

Recherchez l’ObjectID (GUID) de l’utilisateur AD

$user = Get-ADUser -Filter 'SamAccountName -like "username_de_lutilisateur"'

Vérifions que la valeur correspond à l’utilisateur en question en tapant « $user » dans la fenêtre. Ils devrait etre identique au « username_de_lutilisateur »

Convertir l’ObjectID vers un format immuable (base64) :

$immutableid = [System.Convert]::ToBase64String($user.ObjectGUID.tobytearray())

Vérifions que la conversion a bien été prise en compte en tapant « $immutableid »

Coté Entra

Avant de commencer :
Si l’Azure AD Connect a déjà créé un autre compte compte Entra que celui que vous voulez resynchroniser, il faut désynchroniser le compte AD pour pouvoir effacer la relation.
Une fois désynchroniser, il faut effacer l’utilisateur qui a été créé et qui se trouve maintenant dans “Utilisateurs supprimés”. La suppression anticipée n’est possible que de la console ENTRA

Connexion à ENTRA en powershell à faire dans la même console pour garder les variables précédentes en mémoire.
Dans certains cas (si message d’erreur), il faut se connecter en exécutant les commandes lignes 3 et 4, avant les commandes lignes 1 et 2.

Connect-AzureAD
Connect-MsolService
Install-Module -Name AzureAD
Install-Module -Name MSOnline

Recherchez L’ObjectID de l’utilisateur Entra que vous voulez lier à l’aide la commande pour vérifier Que l’utilisateur existe bien.

Get-AzureADUser -ObjectId "[email protected]"

ATTENTION :
Si vous avez un message d’erreur, c’est que soit l’utilisateur n’existe pas, soit que AzureAD Connect a de nouveau recrée un autre utilisateur. Il faut donc de nouveau le supprimer

Le résultat devrait ressortir sous la forme

Puis liez l’utilisateur AD local avec l’utilisateur Entra à l’aide de la commande

Set-AzureADUser -ObjectId "[email protected]" -ImmutableId $immutableid

Lancez une synchronisation depuis le powershell du serveur Azure AD Connect (ou attendre 30 minutes que le script s’exécute).

Start-ADSyncSyncCycle -PolicyType Delta

On vérifie dans la fiche ENTRA que la valeur ImmuableID correspond à celle trouvée dans la partie 1