.png)
Synchronisation des utilisateurs de Microsoft Entra ID avec Microsoft Graph
L'intégration de Microsoft Entra ID (anciennement Azure AD) utilise Microsoft Graph pour synchroniser les utilisateurs avec MyQ. Avant de pouvoir configurer la synchronisation, le service doit être activé et correctement configuré dans le portail Microsoft Azure.
Ajouter Microsoft Entra ID en tant que source
Une fois la connexion Microsoft Entra ID établie, accédez à MyQ > Paramètres > Synchronisation des utilisateurs. Cliquez sur Ajouter, puis sur Ajouter une source Microsoft Entra ID.
Une fois la source établie, les options de configuration vous permettent de modifier la manière dont les utilisateurs sont importés.
Dans l'onglet Général, vous configurez le serveur d'authentification et la source de synchronisation, et vous activez ou désactivez la synchronisation.
Dans l'onglet Utilisateurs, vous définissez quels utilisateurs sont importés dans MyQ, configurez leurs propriétés et définissez les options associées.
Dans l'onglet Groupes, vous définissez comment les groupes de la source sont importés et créés dans MyQ. Lorsque les groupes sont importés, MyQ crée les définitions de groupe correspondantes, et les utilisateurs sont affectés à ces groupes en fonction de leur appartenance à Entra ID.
Onglet Général
Cet onglet s'ouvre par défaut lorsque vous sélectionnez Ajouter une source Microsoft Entra ID. Les options suivantes sont disponibles :
Activer : utilisez ce bouton pour activer ou désactiver la synchronisation des utilisateurs.
Serveur d'authentification : sélectionnez le serveur d'authentification à utiliser. Si plusieurs connexions sont établies, vous pouvez choisir celle à utiliser pour cette synchronisation des utilisateurs.
Source de synchronisation : attribuez un nom pour identifier facilement la source de synchronisation. Cela est utile pour distinguer plusieurs locataires Entra ID.
Onglet Utilisateurs
Cet onglet vous permet de sélectionner les utilisateurs à importer, leurs propriétés et diverses options pour la synchronisation des utilisateurs.
Utilisateurs à importer
C'est ici que vous pouvez sélectionner les utilisateurs que vous souhaitez importer depuis votre tenant Entra ID vers MyQ.
Options disponibles :
Tous les utilisateurs
Utilisateurs des groupes sélectionnés : spécifiez les groupes à partir desquels importer les utilisateurs. Cette option importe un utilisateur s'il est membre d'au moins un groupe sélectionné.
Utilisateurs des groupes contenant une chaîne de caractères : spécifiez une ou plusieurs chaînes de caractères et importez uniquement les membres des groupes dont le nom contient au moins une de ces chaînes. Placez chaque chaîne sur une nouvelle ligne. La correspondance n'est pas sensible à la casse.
Avertissement !
La fonctionnalité « Utilisateurs des groupes contenant une chaîne » peut ralentir la synchronisation.
Propriétés
Dans la section Propriétés, vous pouvez mapper les informations utilisateur de Microsoft Entra ID aux identifiants dans MyQ. Une sélection prédéfinie de valeurs recommandées est fournie. Si la valeur prédéfinie n'est pas utilisée, un attribut personnalisé saisi manuellement peut la remplacer et synchroniser un attribut utilisateur différent depuis Entra ID.
Nom de la propriété | Description | Attribut(s) prédéfini(s) |
|---|---|---|
Nom complet | Nom complet de l'utilisateur. |
|
Numéro personnel | Numéro d'identification de l'utilisateur. |
|
E-mail des utilisateurs. |
| |
Remarques | Remarques pertinentes. |
|
Langue | Langue préférée des utilisateurs. |
|
Service | Département de l'utilisateur. |
|
Alias | Un autre nom ou nom d'utilisateur. |
|
Badge | Le numéro du badge de l'utilisateur. |
|
Code PIN | Le code PIN de l'utilisateur. |
|
Personnalisé (1) | Attribut personnalisé à attribuer à d'autres informations pertinentes. |
|
Personnalisé (2) | Attribut personnalisé à associer à d'autres informations pertinentes. |
|
Personnalisé (3) | Attribut personnalisé à associer à d'autres informations pertinentes. |
|
Pour la propriété Alias, si l'attribut onPremisesSamAccountName@onPremisesDomainName est utilisé, l'alias de l'utilisateur après la synchronisation sera une combinaison des attributs Microsoft Entra ID de l'utilisateur onPremisesSamAccountName et onPremisesDomainName au format, par exemple, user@myq.cz.
Options
Désactiver les utilisateurs manquants : cette option permet au système de désactiver automatiquement les utilisateurs de MyQ X qui ne sont plus présents dans la source Microsoft Entra ID.
Ajouter de nouveaux utilisateurs : lorsqu'elle est activée, cette fonctionnalité ajoute automatiquement à MyQ X les nouveaux utilisateurs trouvés dans la source Microsoft Entra ID.
Utiliser comme serveur d'authentification : si vous prévoyez d'authentifier les utilisateurs auprès d'Azure à l'aide des informations d'identification Active Directory et d'utiliser l'option d'authentification unique Microsoft, sélectionnez l'option Utiliser comme serveur d'authentification et cliquez sur Enregistrer.
Appairer par numéro personnel : cochez cette case si vous souhaitez mettre à jour les utilisateurs en fonction de leur numéro personnel. Si l'option « Numéro personnel » est cochée, lors de la resynchronisation, le système recherchera l'utilisateur à l'aide de son numéro personnel. Si une correspondance est trouvée, les détails de l'utilisateur seront mis à jour ; sinon, un nouvel utilisateur sera créé.
Depuis MyQ Print Server 10.2 RC 4, l'option « Appairer par numéro personnel » est cochée par défaut pour toutes les sources de synchronisation nouvellement créées et ne peut pas être modifiée. Les sources créées dans la version 10.1 après la migration vers la version 10.2 permettent de modifier cette option. L'appairage des utilisateurs par numéro personnel est fortement recommandé.
Ignorer la source de synchronisation : cette option permet d'ignorer de manière sélective certains aspects ou certaines données de la source Microsoft Entra ID lors de la synchronisation.
Créer un alias normalisé à partir du nom d'affichage : cette option signifie qu'un alias supplémentaire est ajouté à l'utilisateur en plus de ceux configurés dans la section des attributs utilisateur ; cet alias prend la forme de
AzureAD\concatedDisplayName. Il permet une reconnaissance correcte des utilisateurs qui impriment à partir de périphériques connectés à Entra ID.
Si deux utilisateurs ou plus ont le même nom complet synchronisé depuis Entra ID, un alias normalisé ne sera créé que pour le premier utilisateur. Il n’y a aucun moyen de distinguer les propriétaires de travaux dans ce cas dans l’environnement ADD, car le pilote de l’imprimante ne fournit que le nom et le prénom de l’utilisateur concaténés.
Onglet Groupes
L'onglet Groupes ne spécifie pas quels groupes d'utilisateurs importer, mais comment ils doivent être organisés au sein de MyQ. Les groupes d'utilisateurs à importer sont contrôlés dans Utilisateurs > Utilisateurs à importer.
Les options suivantes sont disponibles :
Type de synchronisation : ajustez le niveau de synchronisation dans l'onglet Groupes. Choisissez parmi :
Synchronisation complète : synchronisez les groupes 1:1 tels qu’ils apparaissent dans la source, ce qui signifie que les utilisateurs sont à la fois ajoutés et supprimés des groupes comme dans la source.
Synchroniser si non vide : laisser un utilisateur dans au moins un groupe même après qu'il ait perdu toutes ses appartenances dans l'annuaire.
Ajouter un nouveau : garantit qu'une fois qu'un utilisateur est affecté à un groupe dans MyQ, il ne perd pas cette affiliation même après avoir été supprimé d'un groupe dans le répertoire source.
Sélectionner les groupes : cela vous permet de sélectionner les groupes qui existent dans votre instance d'Entra ID et que vous souhaitez inclure en tant que groupes dans MyQ.
Sélectionner les groupes contenant une chaîne : cela vous permet de sélectionner des groupes Entra ID en fonction d'un filtre de chaîne, et ces groupes seront créés dans MyQ. Si cette option est combinée avec « Sélectionner les groupes », seuls les groupes répondant aux deux conditions seront créés.
Importer les groupes sous ce groupe : vous permet de sélectionner un groupe d'utilisateurs existant dans MyQ à utiliser comme groupe parent pour tous les groupes synchronisés à partir de cette source.
Ignorer les groupes : sélectionnez les groupes Active Directory que vous ne souhaitez pas utiliser dans cette synchronisation.
Ignorer les groupes contenant une chaîne : remplit la même fonction que « Ignorer les groupes », vous permettant de spécifier les groupes à ignorer en fonction d'une chaîne qu'ils contiennent.
Synchronisation des groupes - Exemple de scénario
Les administrateurs disposent d'un contrôle accru sur les appartenances aux groupes lors de la synchronisation des utilisateurs Entra ID. Grâce à l'option de filtre « Sélectionner les groupes » dans les paramètres de la source Entra ID User Sync, vous pouvez spécifier quelles appartenances aux groupes sont importées dans MyQ sans affecter le processus global de synchronisation des utilisateurs.
Exemple :
La structure des groupes Entra ID est la suivante :
Tous les étudiants : 1 500 utilisateurs
Classe 1A : 1 000 utilisateurs
Classe1B : 500 utilisateurs
Paramètres MyQ :
Dans l'onglet Utilisateurs, sous Utilisateurs à importer, sélectionnez Utilisateurs des groupes sélectionnés et indiquez le groupe Tous les élèves pour synchroniser l'ensemble des 1 500 utilisateurs.
Dans l'onglet Groupes, sous Sélectionner les groupes, sélectionnez uniquement Classe 1B.
Résultat :
Les 1 500 utilisateurs sont synchronisés vers MyQ.
Seuls les 500 utilisateurs de la classe 1B voient leur appartenance au groupe appliquée dans MyQ.
Les 1 000 utilisateurs restants sont importés sans aucune appartenance à un groupe.
Les utilisateurs qui sont également membres de Class1A ne voient pas cette appartenance appliquée dans MyQ.
Synchroniser maintenant
Les utilisateurs peuvent désormais être synchronisés en sélectionnant votre source Microsoft Entra ID dans la liste et en cliquant sur Synchroniser maintenant. Vous pouvez également planifier la synchronisation des utilisateurs à l'aide du planificateur de tâches.
Pour afficher les détails d'une synchronisation, consultez le journal de synchronisation.
Synchronisation et authentification multi-locataires
Vous pouvez désormais utiliser plusieurs locataires Entra ID dans les environnements MyQ pour synchroniser et authentifier les utilisateurs. Cela s'avère particulièrement utile dans les configurations d'infrastructure d'impression partagée, telles que celles que l'on trouve dans le secteur public, où plusieurs organisations gèrent des imprimantes à partir d'un seul emplacement, chacune utilisant son propre Entra ID.
Suivez la procédure décrite ci-dessous, mais répétez-la pour configurer plusieurs instances. Veillez à attribuer un nom clair et unique à chaque tenant, ce qui permettra aux utilisateurs d'identifier celui qui correspond à leur utilisation.
Identité sur site pour les utilisateurs Entra ID hybrides
Dans les environnements Entra ID hybrides, où les utilisateurs sont gérés avec Entra ID Connect et disposent de comptes Active Directory correspondants, MyQ importe automatiquement deux attributs supplémentaires lors de la synchronisation des utilisateurs :
onPremisesSamAccountName→ stocké en tant que nom d'utilisateur sur siteonPremisesDomainName→ stocké en tant que domaine sur site
Ces attributs sont synchronisés automatiquement dès qu'ils sont présents dans Entra ID. Aucune configuration supplémentaire de la source de synchronisation n'est requise. Le journal de synchronisation enregistre, pour chaque utilisateur, si chaque attribut a été trouvé et importé ; si un attribut est absent dans Entra ID pour un utilisateur donné, un avertissement est consigné.
Les champs Nom d'utilisateur sur site et Domaine sur site sont visibles dans le profil de l'utilisateur, dans la section Avancé. Ces deux champs peuvent être modifiés manuellement, par exemple à des fins de test, mais toute valeur saisie manuellement sera écrasée lors de la prochaine synchronisation Entra ID.
Dérivation du domaine NETBIOS
Lorsque MyQ construit l'identité sur site pour les opérations du système de fichiers, le nom de domaine NETBIOS est dérivé de la valeur du domaine sur site en prenant son premier label DNS :
Domaine sur site | Identité NETBIOS dérivée |
|---|---|
|
|
|
|
Utilisation lors des opérations sur le système de fichiers
Pour les utilisateurs Entra ID hybrides dont les deux attributs sur site sont renseignés, MyQ utilise l' NETBIOS\username cette identité plutôt que l'UPN Entra ID lors de l'authentification vers des destinations du système de fichiers sur site.
MyQ utilise l' NETBIOS\username identité pour les fonctions « Easy Scan to Folder », « Easy Scan to User Storage » et « Easy Print from User Storage » lorsque l'option « Se connecter en tant que : utilisateur connecté » est configurée, ou lorsque l'option « Se connecter en tant que : service MyQ » est utilisée conjointement avec l'option « Faire de l'utilisateur qui a numérisé le propriétaire du fichier ».
Comportement de secours
Si les attributs sur site ne peuvent pas être utilisés pour construire l'identité, MyQ procède comme suit :
Domaine sur site absent : MyQ se rabat sur la résolution de domaine du serveur d'authentification ; un avertissement est consigné dans le journal.
Nom d'utilisateur sur site absent : MyQ utilise par défaut le nom d'utilisateur MyQ de l'utilisateur ; un avertissement est consigné dans le journal.
Les utilisateurs ne disposant pas d'attributs sur site dans Entra ID ne sont pas concernés par cette fonctionnalité.