Avant que l’équipe informatique de Contoso ne déploie Microsoft Entra Connect, il est essentiel qu’elle vérifie l’Active Directory local (AD DS) et les technologies associées pour détecter d’éventuels problèmes, et que tout problème identifié soit corrigé. Cela est particulièrement important si la synchronisation d’annuaire est mise en œuvre comme service d’identité pour Microsoft 365.

Vérifications préalables au déploiement

Les vérifications préalables doivent inclure :

• L’analyse de l’environnement local pour détecter les caractères non valides dans les attributs des objets AD DS, ainsi que les noms principaux d’utilisateur (UPN) incorrects.
• La découverte des adresses e-mail de domaine et le comptage des utilisateurs.
• L’identification des niveaux fonctionnels de domaine, des extensions de schéma, et des attributs personnalisés utilisés.
• L’identification des serveurs proxy utilisés pour Microsoft Exchange ou Skype for Business, si Microsoft Entra Connect est déployé dans le cadre d’un déploiement Microsoft 365.
• L’identification des domaines Microsoft SharePoint, si Microsoft Entra Connect est déployé dans le cadre d’un déploiement Microsoft 365.
• L’évaluation de la préparation des clients pour l’authentification unique (SSO).
• L’enregistrement de l’utilisation des ports réseau et des enregistrements DNS liés à Office 365, si Microsoft Entra Connect est déployé dans ce cadre.

Tâches de remédiation clés après les vérifications

• Suppression des attributs proxyAddress et userPrincipalName en double.
• Mise à jour des attributs userPrincipalName vides ou invalides, en les remplaçant par des valeurs valides.
• Suppression des caractères non valides dans les attributs suivants :
  givenName, surname (sn), sAMAccountName, displayName, mail, proxyAddresses, mailNickname, et userPrincipalName.

Les UPN utilisés pour le SSO peuvent contenir des lettres, des chiffres, des points, des tirets et des tirets bas ; aucun autre type de caractère n’est autorisé.

Si vous déployez Microsoft 365 et que votre déploiement inclut le SSO, vous devez vous assurer que les noms UPN respectent cette exigence avant le déploiement du SSO. Les domaines utilisés pour le SSO et la synchronisation d’annuaire doivent être routables, ce qui signifie que vous ne pouvez pas utiliser des noms de domaine locaux, comme Contoso.local.

Outils de vérification de la santé d’Active Directory

Pour que la synchronisation d’annuaire fonctionne correctement, vous devez vous assurer que l’Active Directory local est bien préparé et exempt d’erreurs. Vous pouvez utiliser les outils suivants pour identifier et corriger les problèmes :

Outil IdFix

L’outil Microsoft 365 IdFix permet d’identifier et de corriger la plupart des erreurs de synchronisation d’objets dans Active Directory, y compris les problèmes courants tels que les proxyAddresses ou userPrincipalName en double ou mal formés.

Vous pouvez sélectionner les unités d’organisation (OU) que vous souhaitez que IdFix vérifie, et corriger les erreurs courantes directement dans l’outil. Les erreurs fréquentes incluent les caractères invalides introduits lors d’importations automatisées dans des attributs comme proxyAddresses et mailNickname.

Pour les noms distinctifs (DN) contenant des erreurs de format ou des doublons, IdFix ne peut pas toujours proposer une correction automatique. Ces erreurs peuvent être corrigées manuellement dans IdFix ou en dehors de l’outil.

Outil ADModify.NET

Pour les erreurs de format, vous pouvez modifier les attributs objet par objet à l’aide de ADSIEdit ou du mode avancé dans Utilisateurs et ordinateurs Active Directory. Toutefois, pour modifier les attributs de plusieurs objets, ADModify.NET est plus adapté. Son mode batch est utile pour modifier des attributs comme les UPN à travers plusieurs OU ou domaines.

📘 Lecture complémentaire

Pour en savoir plus, consultez le document suivant :
Prérequis pour Microsoft Entra Connect

📍 Unité suivante : Installer et configurer la synchronisation d’annuaire avec Microsoft Entra Connect