Microsoft vient de publier une mise à jour (1.4.18.0) à Azure AD Connect. Azure Active Directory Connect (AADC) est anciennement DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.
La version n’est pour l’instant disponible que via le mécanisme de mise à niveau automatique.
Notez qu’elle comprend une correction correspondant à un changement important (voir le dernier point de la liste).
Cette version comprend les améliorations suivantes :
- De nouveaux outils de dépannage permettent de dépanner les scénarios pour un "utilisateur non synchronisé", "groupe non synchronisé" ou "membre du groupe non synchronisé".
- Support des Cloud souverains dans le script de dépannage AAD Connect
- Les paramètres WMI obsolètes pour MIIS_Service ont été supprimés. Toutes les opérations WMI doivent maintenant être effectuées via des cmdlets PS.
- Amélioration de la sécurité en réinitialisant la délégation restreinte sur l'objet AZUREADSSOACC
- Lors de l'ajout ou de l'édition d'une règle de synchronisation, s'il y a des attributs utilisés dans la règle qui sont dans le schéma du connecteur mais non ajoutés au connecteur, les attributs sont automatiquement ajoutés au connecteur. Il en va de même pour le type d'objet affecté par la règle. Si quelque chose est ajouté au connecteur, le connecteur sera marqué pour une importation complète lors du prochain cycle de synchronisation.
- L'utilisation d'un administrateur d'entreprise ou de domaine comme compte connecteur n'est plus supportée.
- Dans le Gestionnaire de synchronisation, une synchronisation complète est exécutée lors de la création/modification/suppression de règles. Une fenêtre contextuelle apparaîtra lors de tout changement de règle avertissant l'utilisateur si l'importation complète ou la synchronisation complète doit être exécutée.
- Ajout d'étapes d'atténuation des erreurs de mot de passe sur la page ‘connectors > properties > connectivity'.
- Ajout d'un avertissement de dépréciation pour le gestionnaire de service de synchronisation sur la page des propriétés du connecteur. Cet avertissement avertit l'utilisateur que les modifications doivent être effectuées par l'intermédiaire de l'assistant AADC.
- Ajout d'une nouvelle erreur pour les problèmes avec la stratégie de mot de passe d'un utilisateur.
- Empêche la mauvaise configuration du filtrage de groupe par domaine et des filtres OU. Le filtrage de groupe affichera une erreur lorsque le domaine/OU du groupe saisi est déjà filtré et empêchera l'utilisateur d'avancer jusqu'à ce que le problème soit résolu.
- Les utilisateurs ne peuvent plus créer de connecteur pour Active Directory Domain Services ou Windows Azure Active Directory dans l'ancienne interface utilisateur.
- Correction de l'accessibilité des contrôles d'interface utilisateur personnalisés dans Sync Service Manager
- Activation de six tâches de gestion de fédération pour toutes les méthodes de connexion dans Azure AD Connect. (Auparavant, seule la tâche "Update AD FS SSL certificat" était disponible pour toutes les connexions.)
- Ajout d'un avertissement lors du changement de la méthode de connexion du mode fédération à PHS ou PTA afin d’avertir que tous les domaines et utilisateurs Azure AD seront convertis en authentification gérée.
- Suppression des certificats de signature de jeton de la tâche "Reset Azure AD and AD FS trust" et ajout d'une sous-tâche séparée pour mettre à jour ces certificats.
- Ajout d'une nouvelle tâche de gestion de la fédération appelée "Manage certificates" qui comporte des sous-tâches pour mettre à jour les certificats SSL ou de signature de jetons pour la ferme AD FS.
- Ajout d'une nouvelle sous-tâche de gestion de fédération appelée "Specify primary server" qui permet aux administrateurs de spécifier un nouveau serveur primaire pour la ferme AD FS.
- Ajout d'une nouvelle tâche de gestion de fédération appelée "Manage servers" qui a des sous-tâches pour déployer un serveur AD FS, déployer un serveur Web Application Proxy, et spécifier le serveur primaire.
- Ajout d'une nouvelle tâche de gestion de la fédération appelée "View federation configuration" qui affiche les paramètres AD FS actuels. (En raison de cet ajout, les paramètres AD FS ont été supprimés de la page "Review your solution".).
Cette version comprend les corrections suivantes :
- Problème d'erreur de synchronisation résolu pour le scénario où un objet utilisateur prenant en charge son objet de contact correspondant a une auto-référence (par exemple, l'utilisateur est son propre manager).
- Pour la mise à niveau automatique, si une application en conflit fonctionne depuis 6 heures, il l’arrête et continue la mise à niveau.
- Limite le nombre d'attributs qu'un client peut sélectionner à 100 par objet lors de la sélection des extensions de répertoire. Ceci empêchera l'erreur de se produire pendant l'exportation car Azure a un maximum de 100 attributs d'extension par objet.
- Correction d'un bug pour rendre le script AD Connectivity plus robuste
- Correction d'un bug pour rendre l'installation d'AADConnect sur une machine utilisant un service WCF Named Pipes existant plus robuste.
- Amélioration du diagnostic et du dépannage des stratégies de groupe qui ne permettent pas au service ADSync de démarrer lors de son installation initiale.
- Correction d'un bug où le nom d'affichage d'un ordinateur Windows était mal écrit.
- Correction d'un bug où le type d'OS pour un ordinateur Windows était écrit incorrectement.
- Ajout de plusieurs nouvelles cmdlets (internes) au module ADSync PowerShell.
- Correction d'un bug où les machines non-Windows 10 se synchronisaient de façon inattendue. Notez que l'effet de ce changement est que les machines non Windows 10 qui étaient précédemment synchronisés seront maintenant supprimés. Ceci n'affecte pas les fonctionnalités car la synchronisation des ordinateurs Windows n'est utilisée que pour le Hybrid Azure AD domain join, qui ne fonctionne que pour les machines Windows 10. Ce problème survenait par exemple lorsque la valeur de l'attribut userCertificate pour les périphériques non Windows 10 dans AD est renseignée. Ces périphériques dans Azure AD restent dans l'état "en attente" parce que ces versions d'OS n'ont pas été conçues pour être enregistrées avec Azure AD via AAD Sync. Dans cette version d'Azure AD Connect, AAD Sync cessera de synchroniser les ordinateurs Windows de versions antérieures avec Azure AD et supprimera également les périphériques Windows de versions antérieures précédemment mal synchronisés d'Azure AD. Veuillez noter que ce changement ne supprimera pas les périphériques Windows de versions antérieures qui ont été correctement enregistrés avec Azure AD en utilisant le package MSI. Ces périphériques continueront de fonctionner comme prévu aux fins de l'accès conditionnel basé sur les périphériques. Vous pouvez donc peut être constater qu’une partie ou la totalité des périphériques Windows de versions antérieures ont disparu d'Azure AD. Si vous voyez ces suppressions d'objets Ordinateur/Périphérique de versions antérieures dans Azure AD dépasser le Seuil de Suppression d'Exportation, il est conseillé d’autoriser ces suppressions.
Plus d’informations sur les fonctionnalités et les différences : https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#14x0