Microsoft Entra Connect : comment forcer la synchronisation ?
Sommaire
I. Présentation
Dans un environnement hybride où vos comptes on-premises doivent être synchronisés vers le cloud via Microsoft Entra Connect (nouveau nom d'Azure AD Connect), il arrive qu'il ne soit pas possible d'attendre le prochain cycle de synchronisation automatique (par défaut toutes les 30 minutes). Ce tutoriel vous explique comment vérifier le cycle configuré et comment forcer immédiatement une synchronisation d'Entra Connect.
La synchronisation de l'Active Directory local vers Entra ID (Microsoft 365) est effectuée toutes les 30 minutes. Elle permet de synchroniser les derniers changements : ajout d'un utilisateur, changement dans un groupe, etc... Si vous avez besoin de réaliser une synchronisation en urgence pour appliquer des modifications sans attendre le prochain cycle, il est possible de forcer la synchronisation d'Entra Connect en PowerShell.
II. Cycle de la synchronisation
Pour rappel, les commandes PowerShell liées à Entra Connect sont intégrées dans le module "ADSync". La commande suivante permet de visualiser l'intervalle de synchronisation configuré, mais aussi de voir quand aura lieu la prochaine synchronisation.
Get-ADSyncScheduler
Ce qui donne :
AllowedSyncCycleInterval : 00:30:00 CurrentlyEffectiveSyncCycleInterval : 00:30:00 CustomizedSyncCycleInterval : NextSyncCyclePolicyType : Delta NextSyncCycleStartTimeInUTC : 02/04/2020 19:29:28 PurgeRunHistoryInterval : 7.00:00:00 SyncCycleEnabled : True MaintenanceEnabled : True StagingModeEnabled : False SchedulerSuspended : False SyncCycleInProgress : False
Le paramètre -CustomizedSyncCycleInterval n'est pas configuré par défaut, et il sert à définir un cycle de synchronisation personnalisé si vous le souhaitez. La commande ci-dessous permettra de réaliser cette opération pour passer sur un cycle à 15 minutes :
Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:15:00
Passons maintenant à la suite : comment forcer la synchronisation vers Entra ID.
III. Forcer la synchronisation Entra Connect
Pour forcer la synchronisation suite à la modification d'un utilisateur par exemple, ou l'ajout dans un nouveau groupe, voire même la création d'un nouvel utilisateur ou d'un nouveau groupe de diffusion, nous parlerons de synchronisation delta. Son objectif est de synchroniser uniquement les changements récents.
Cette opération s'effectue via la commande Start-ADSyncSyncCycle que l'on va utiliser de cette façon :
Start-ADSyncSyncCycle -PolicyType Delta
Vous devriez obtenir le résultat suivant :
Result ----- Success
Maintenant, si vous modifiez la configuration de l'outil Entra Connect en lui-même, par exemple au niveau d'une règle ou d'un filtre, il est nécessaire de réaliser une synchronisation complète.
Dans le même esprit que pour la synchronisation précédente, vous devez utiliser cette fois-ci :
Start-ADSyncSyncCycle -PolicyType Initial
Suite à l'exécution de la commande de synchronisation, vos modifications devraient apparaître en ligne très rapidement.
IV. Conclusion
En tant qu'administrateur système, vous devez être capable de déclencher une synchronisation manuellement, en particulier si vous utilisez Entra Connect (Azure AD Connect) dans votre entreprise. Grâce aux commandes PowerShell présentées (Get-ADSyncScheduler, Set-ADSyncScheduler, Start-ADSyncSyncCycle), vous avez la maitrise complète de ce processus.
Entra Connect : quelle est la fréquence de synchronisation par défaut ?
Par défaut, Entra Connect (Azure AD Connect) est configuré pour se synchroniser toutes les 30 minutes. On peut vérifier cette valeur via Get-ADSyncScheduler, et la modifier (avec précaution) via Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:15:00, par exemple pour 15 minutes.
Quelle est la différence entre une synchronisation Delta et Initial ?
Une synchronisation Delta traite uniquement les modifications récentes (ajouts, mises à jour, suppressions) depuis le dernier cycle. Elle est généralement plus rapide. Une synchronisation Initial correspond à un cycle complet (import, synchronisation et export de tous les connecteurs) ; elle est utilisée notamment après des changements importants au sein des règles, filtres ou attributs.
Que faut-il vérifier avant de forcer manuellement la synchronisation ?
Avant de lancer une synchronisation manuelle :
- Dans le cas d’une synchronisation complète (Initial), prenez en compte l’impact temps/ressources.
- Vérifiez que le service de synchronisation est bien actif (
SyncCycleEnabled = True) - Assurez-vous qu’aucun cycle n’est déjà en cours (valeur de
SyncCycleInProgress). - Vérifiez que toutes vos modifications de configuration (règles, filtres) sont bien en adéquation avec vos attentes.
Petite précision:
Mettre une valeur CustomizedSyncCycleInterval à 15 minutes ne fonctionnera pas. c’est la valeur 30 qui sera appliquée.
« CustomizedSyncCycleInterval. If you want the scheduler to run at any other frequency than the default 30 minutes, then you configure this setting[…] If you set this setting to a value lower than AllowedSyncInterval, then the latter is used. »
(source : https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-sync-feature-scheduler)
Bonjour j’ai une petite question : si un Serveur AD avec un AD Azur Connect s’est retrouvé altéré …. peut-ton remonter une backup antérieure … et demander au serveur de se synchroniser en fonction d’Azur justement ? ou c’est seulement unilatéral ?
oui en récession avec la commande pshell Dolorean -backtotF
super merci !