.png)
Transition d’Active Directory à Entra ID
Si vous déplacez votre gestion des utilisateurs d'un Active Directory local vers Entra ID basé sur le cloud, il y a quelques étapes que vous devriez apprendre à connaître pour rendre cette transition aussi facile que possible. Ces recommandations sont basées sur le fait que :
Tous les attributs AD ne sont pas représentés dans Entra ID.
Les organisations peuvent avoir des préférences différentes en matière de noms d'utilisateur et d'identifiants de connexion conviviaux.
Les utilisateurs déjà synchronisés dans MyQ à partir d'un AD sur site doivent être synchronisés avec MyQ. mis à jour par Entra IDIls ne sont pas dupliqués. Cela garantit qu'ils conservent leur historique dans MyQ, y compris les crédits, les quotas et les travaux en attente.
Dans cet article, nous allons passer en revue les options dont vous disposez pour vous assurer que les utilisateurs dans MyQ sont mis à jour par la synchronisation Entra ID et ne sont pas créés en tant que nouveaux.
Si vous partez de zéro et que vous n'avez pas besoin de mettre à jour les utilisateurs qui existent déjà dans MyQ, vous pouvez passer à l'étape suivante. guide sur la nouvelle synchronisation Entra ID.
Questions relatives à l'identification des utilisateurs
MyQ synchronise Entra ID les utilisateurs avec nomduprincipalutilisateur (Nom principal de l'utilisateur (UPN) comme identifiant principal, et pour cette raison, nom de l'utilisateur est automatiquement défini comme leur nom d'utilisateur. Il ne peut être influencé d'aucune manière. Le nom d'utilisateur résultant ressemblera à tim.canterbury@acme.com.
La raison en est que pour une authentification pleinement fonctionnelle contre Entra ID, MyQ a besoin de l'UPN complet de l'utilisateur. De plus, si plusieurs locataires d'Entra ID sont synchronisés dans MyQ, la distinction entre eux est plus facile lorsque nom de l'utilisateur est utilisé car il contient également le domaine, ce qui le rend unique.
Cependant, MyQ synchronise les utilisateurs d'un Active Directory avec sAMAccountName comme nom d'utilisateur. Cet attribut ne peut pas non plus être modifié. Les utilisateurs synchronisés à partir d'AD auront très probablement des noms d'utilisateur tels que tim.cantebury, timcanterburyou simplement Canterbury.
Par défaut, lors de la mise à jour des utilisateurs, MyQ utilise les noms d'utilisateur pour identifier l'utilisateur qui doit être mis à jour. Cependant, étant donné que sAMAccountName et nomduprincipalutilisateur ne sont généralement pas identiques, sans certaines étapes préalables, la synchronisation de ces utilisateurs entraînerait des doublons.
Déterminer votre environnement
Tout d'abord, il est important de savoir comment l'environnement avec lequel vous travaillez est conçu et configuré. Les situations suivantes peuvent se produire :
Situation | Comment mettre à jour les utilisateurs existants |
|---|---|
Les utilisateurs ont déjà un attribut valide | Option 1 : Mise à jour des utilisateurs à partir d'un fichier CSV. Option 3 : Utiliser le champ Numéro personnel pour faire correspondre les identités des utilisateurs. |
ID d'Entra | Option 1 : Mise à jour des utilisateurs à partir d'un fichier CSV. Option 2 : Ajouter le domaine aux noms d'utilisateurs et ensuite mettre à jour les utilisateurs à partir d'Entra ID. |
ID d'Entra | Option 1 : Mise à jour des utilisateurs à partir d'un fichier CSV. Option 3 : Utiliser le champ Numéro personnel pour faire correspondre les identités des utilisateurs. |
Comment mettre à jour les utilisateurs existants
Pour éviter la duplication des utilisateurs, vous devez sélectionner l'une des méthodes suivantes pour faire correspondre les deux identités différentes d'un même utilisateur :
Normaliser les utilisateurs avec CSV et les mettre à jour à partir d'Entra ID.
Ajoutez des domaines aux noms d'utilisateur, puis mettez à jour les utilisateurs à partir d'Entra ID.
Utilisez le champ Numéro personnel pour faire correspondre les identités des utilisateurs.
Sources de synchronisation
Lors de la mise à jour des utilisateurs dans MyQ, il est important de comprendre les sources de synchronisation et la manière dont elles coexistent. Dans les paramètres de la source de synchronisation des utilisateurs, vous trouverez deux options :
Source de synchronisation: le nom de la source. Il sert également de "marqueur" pour identifier les utilisateurs provenant de cette source.
Si vous ajoutez deux sources, toutes deux nommées "CSV", la deuxième source peut écraser ce que la première source a importé.
Vous pouvez également combiner différents types de sources, par exemple, si vos sources AD et CSV utilisent toutes deux le nom "SYNC1", le CSV pourra mettre à jour les utilisateurs importés depuis AD et vice versa (en fonction de l'ordre de synchronisation).
Si vos sources sont nommées "CSV1" et "CSV2", la synchronisation à partir de CSV2 ignorera les utilisateurs synchronisés à partir de CSV1, à moins que vous n'utilisiez l'option ci-dessous.
Ignorer la source de synchronisation: Lorsqu'elle est activée, cette source de synchronisation prend en compte tous les utilisateurs de MyQ et peut les écraser/mettre à jour. Lorsqu'elle est désactivée, la synchronisation ne mettra à jour que les utilisateurs qu'elle a importés.
Option 1 : Normaliser les utilisateurs avec CSV et les mettre à jour à partir d'Entra ID
Dans cette méthode, vous devez vous assurer que les utilisateurs de MyQ ont des numéros personnels, les exporter, modifier le fichier CSV exporté pour changer tous les noms d'utilisateurs en UPNs utilisés par Entra ID, et ensuite importer tout cela à nouveau tout en jumelant les utilisateurs avec le numéro personnel. Par conséquent, les utilisateurs AD auront déjà un UPN comme nom d'utilisateur lorsque vous les synchroniserez, et leurs identités seront correctement connectées.
Conditions préalables
Si vos utilisateurs n'utilisent pas de numéros personnels, les synchroniser avec les numéros personnels de l'AD actuel. Nous aurons besoin de cet attribut pour appairer les utilisateurs ultérieurement (puisque nous ne pourrons pas les appairer par leur nom d'utilisateur).
Si vous ne pouvez pas synchroniser les numéros personnels à partir d'AD, attribuez-les directement dans MyQ. Exporter les utilisateurs au format CSV (sur la page Utilisateurs page, sélectionnez Outils - Exportation), modifiez le fichier CSV à votre convenance et attribuez à chaque utilisateur un numéro personnel unique (
CODEcolonne). Réimporter le CSV pour que les utilisateurs de MyQ soient mis à jour et que leurs numéros personnels soient ajoutés.
Passer les noms d'utilisateur à UPN
Aller à la page Utilisateurs page, sélectionnez Outils - Exportationet attendez que le fichier CSV contenant les utilisateurs exportés soit téléchargé.
Modifiez le CSV à votre convenance, changez tous les noms d'utilisateurs pour qu'ils prennent la forme d'UPN dans Entra ID, par exemple, timcanterbury → tim.canterbury@acme.comet enregistrez le fichier CSV. Laisser les numéros personnels intacts.
De retour dans MyQ, dans Paramètres - Synchronisation des utilisateursajouter le fichier CSV final comme source de synchronisation.
Remplacez le nom de la source de synchronisation "CSV" par le nom de votre source de synchronisation AD (pour cibler les utilisateurs d'AD uniquement) ou cochez l'option "Ignorer la source de synchronisation" (voir
ci-dessus).Activer Pair par le numéro personnel.
Exécutez cette synchronisation des utilisateurs, soit à partir de l'interface utilisateur, soit à partir de l'interface utilisateur. Synchronisation des utilisateurs ou Planificateur de tâches (recommandé).
Une fois cette opération terminée, les noms d'utilisateur dans MyQ devraient correspondre. nomduprincipalutilisateur dans Entra ID.
Vous pouvez procéder à la synchronisation des utilisateurs d'Entra ID en utilisant la méthode habituelle. Lors de la création de la nouvelle synchronisation Entra ID, n'oubliez pas d'ajuster le nom de la source de synchronisation ou d'activer l'option "Ignorer la source de synchronisation" pour vous assurer que la source Entra ID peut mettre à jour les utilisateurs synchronisés à partir d'AD (voir ci-dessus).
Les utilisateurs correspondant aux noms d'utilisateur doivent être reflétés avec précision dans les journaux (affichés en tant que Match via LOGIN).
Option 2 : ajouter un domaine aux noms d'utilisateur et mettre à jour les utilisateurs à partir d'Entra ID
Si votre domaine AD est le même que le domaine de votre Entra ID, vous pouvez faire ce qui suit :
Dans votre source de synchronisation AD, activez l'option Ajouter le domaine au nom d'utilisateuret synchroniser les utilisateurs. Il en résultera un changement de nom d'utilisateur tel que tim.canterbury → tim.canterbury@acme.com.
Exécutez la synchronisation à partir d'AD, soit à partir de l'interface utilisateur, soit à partir de l'interface utilisateur. Synchronisation des utilisateurs ou Planificateur de tâches (recommandé).
Créez une nouvelle synchronisation Entra ID, modifiez le nom de la source de synchronisation (voir
ci-dessus), ou activer Ignorer la source de synchronisation pour pouvoir mettre à jour les utilisateurs synchronisés à partir d'autres sources.Exécutez la synchronisation à partir d'Entra ID, soit à partir de l'onglet Synchronisation des utilisateurs ou Planificateur de tâches (recommandé).
Si les noms d'utilisateur, après avoir ajouté le domaine, correspondent à la norme nomduprincipalutilisateur de ces utilisateurs, ils seront mis à jour à partir de la nouvelle source. A partir de maintenant, vous pouvez continuer à synchroniser les utilisateurs à partir d'Entra ID et supprimer l'ancienne source de synchronisation.
Option 3 : Utiliser le champ du numéro personnel pour faire correspondre les identités des utilisateurs
Vous pouvez relier les deux identités de l'utilisateur en les appariant à l'aide de la fonction Champ du numéro personnel. Il existe deux scénarios courants :
Les utilisateurs dans AD ont déjà des numéros personnels qui peuvent également être synchronisés à partir d'Entra ID (e.g.,
ID de l'employé).Les utilisateurs n'ont pas de numéro personnel, mais une autre information peut être synchronisée avec ce champ, par exemple une adresse électronique.
Si vous décidez de faire correspondre des utilisateurs existants par cette méthode, procédez comme suit :
Dans Paramètres - Synchronisation des utilisateurs, réglez la source de synchronisation AD et, dans l'onglet Utilisateurs, indiquez l'attribut que vous souhaitez utiliser pour le fichier de synchronisation AD. Numéro personnel, par exemple,
courrier. Si vous utiliseznomduprincipalutilisateurVous pouvez synchroniser l'UPN de l'utilisateur à partir de l'AD local et l'utiliser pour faire correspondre son identité avec Entra ID.Dans la nouvelle source de synchronisation Entra ID, activez l'option Pair par le numéro personnel et remplir le même attribut dans l'option Numéro personnel champ (
courrierounomduprincipalutilisateurdans cet exemple). N'oubliez pas non plus de modifier le nom de la source de synchronisation ou d'activer l'option Ignorer la source de synchronisation (voir ci-dessus).
L'attribut ne doit pas nécessairement figurer dans la liste déroulante. Vous pouvez saisir manuellement et créer un nouvel attribut, et ainsi synchroniser pratiquement n'importe quel attribut de la base de données. type de ressource utilisateur dans Entra ID.
Exécutez la synchronisation, soit à partir du Page Synchronisation des utilisateurs ou Planificateur de tâches (recommandé).
Il est recommandé de vérifier les utilisateurs après l'exécution de la synchronisation AD, et de s'assurer que l'option Numéro personnel contient les informations souhaitées. Si c'est le cas, vous pouvez passer à la deuxième synchronisation à partir d'Entra ID.