Synchronisation utilisateur

Cette tâche du serveur synchronise l'information concernant les utilisateurs et les groupes d'utilisateurs à partir d'une source comme l'Active Directory, les paramètres LDAP, etc.

Pour créer une tâche serveur, cliquez sur Tâches > Nouveau > add_new_defaultTâche serveur ou sélectionnez le type de tâche souhaité sur la gauche et cliquez sur Nouveau add_new_defaultTâches serveur.

General

Dans la section De base, saisissez des informations générales sur la tâche, telles que le nom et la description (facultatif). Cliquez sur Sélectionner les balises pour attribuer des balises.
Dans le menu contextuel Tâche, sélectionnez le type de tâche que vous souhaitez créer et configurer. Si vous avez sélectionné un type de tâche spécifique avant de créer une nouvelle tâche, la tâche est présélectionnée en fonction de votre choix précédent. La tâche (voir la liste de toutes les tâches) définit les paramètres et le comportement de la tâche.

Vous pouvez également sélectionner les paramètres de déclencheur de tâche suivants :

Exécuter immédiatement la tâche après la fin : sélectionnez cette option pour que la tâche s'exécute automatiquement après que vous ayez cliqué sur Terminer.

Configurer un déclencheur : sélectionnez cette option pour activer la section Déclencheur dans laquelle vous pouvez configurer des paramètres de déclencheur.

Pour définir le déclencheur ultérieurement, laissez les cases décochées.

Paramètres

Paramètres communs

Nom du groupe d'utilisateurs : par défaut, la racine des utilisateurs synchronisés est utilisée (par défaut, il s'agit du groupe Tous). Vous pouvez également créer un groupe d'utilisateurs.

Gestion des collisions de création d'utilisateur : deux types de conflit peuvent se produire :

Un même groupe contient deux utilisateurs portant le même nom.

Un utilisateur existant possède le même SID (n'importe où dans le système).

Vous pouvez définir la gestion des collisions sur les options suivantes :

Ignorer : l'utilisateur n'est pas ajouté à ESMC pendant la synchronisation avec Active Directory.

Écraser : l'utilisateur existant dans ESMC est remplacé par celui d'Active Directory. Dans le cas d'un conflit de SID, l'utilisateur existant dans ESMC est supprimé de son précédent emplacement (même si l'utilisateur figurait dans un autre groupe).

Gestion des extinctions d'utilisateur : si un utilisateur n'existe plus, vous pouvez le supprimer ou l'ignorer.

Gestion des extinctions de groupe d'utilisateurs : si un groupe d'utilisateurs n'existe plus, vous pouvez le supprimer ou l'ignorer.

note

Remarque

Si vous utilisez des attributs personnalisés pour un utilisateur, définissez Gestion des collisions de création d'utilisateur sur Ignorer. Sinon, l'utilisateur (et tous les détails) est remplacé par les données d'Active Directory et perd les attributs personnalisés. Si vous voulez remplacer l'utilisateur, choisissez Ignorer pour Gestion des extinctions d'utilisateur.

Paramètres de connexion au serveur

Serveur - Saisissez le nom du serveur ou l’adresse IP du contrôleur de domaine.

Connexion - Tapez le nom d'utilisateur de votre contrôleur de domaine au format suivant :

oDOMAIN\username (ServeurESMC fonctionnant sous Windows)

ousername@FULL.DOMAIN.NAME ou username (Serveur ESMC fonctionnant sous Linux).

important

IMPORTANT

Assurez-vous de taper le domaine en majuscules; ce formatage est nécessaire pour authentifier correctement les requêtes sur un serveur Active Directory.

Mot de passe : saisissez le mot de passe utilisé pour se connecter au contrôleur de domaine.

important

IMPORTANT

Le serveur ESMC 7.2 sur Windows utilise le protocole de chiffrement LDAPS (LDAP sur SSL) par défaut pour toutes les connexions Active Directory (AD). Vous pouvez également configurer LDAPS sur un périphérique virtuel ESMC.

Si vous effectuez une mise à niveau d'une version antérieure de ESMC sur Windows vers ESMC 7.2 et que vous utilisiez la synchronisation d'Active Directory, les tâches de synchronisation échoueront dans ESMC 7.2.

Pour une connexion AD réussie sur LDAPS, configurez les éléments suivants :

1.Le contrôleur de domaine doit avoir installé un certificat d'ordinateur. Pour émettre un certificat à votre contrôleur de domaine, procédez comment suit :

a)Ouvrez le Gestionnaire de serveur, cliquez sur Gérer > Ajouter des rôles et des fonctionnalités et installez les services de certificats Active Directory > Autorité de certification. Une nouvelle autorité de certification sera créée dans Autorités de certification racines de confiance.

b)Accédez à Démarrer > entrez certmgr.msc et appuyez sur Entrée pour exécuter les certificats du composant logiciel enfichable Microsoft Management Console > Certificats - Ordinateur local > Personnel > cliquez avec le bouton droit de la souris sur le volet vide > Toutes les tâches > Demander un nouveau certificat > Inscrire le contrôleur de domaine.

c)Vérifiez que le certificat émis contient le FQDN du contrôleur de domaine.

d)Sur votre serveur ESMC, importez le CA généré vers le magasin cert (en utilisant l’outil certmgr.msc) vers le dossier CA de confiance.

 

2.Lorsque vous fournissez les paramètres de connexion au serveur AD, tapez le FQDN du contrôleur de domaine (comme indiqué dans le certificat du contrôleur de domaine) dans le champ Serveur ou Hôte. L'adresse IP n'est plus suffisante pour LDAPS.

Pour permettre le retour au protocole LDAP, cochez la case Utiliser LDAP au lieu d'Active Directory et entrez les attributs spécifiques correspondant à votre serveur. Vous pouvez également sélectionner des valeurs prédéfinies en cliquant sur Sélectionner pour que les paramètres soient renseignés automatiquement :

Active Directory

Open Directory de Mac OS X Server (noms d’hôte des ordinateurs)

OpenLDAP avec les enregistrements d’ordinateur Samba : configuration des paramètres de nom DNS dans Active Directory.

 

Paramètres de synchronisation

Nom unique : chemin d’accès (nom unique) au nœud dans l’arborescence d’Active Directory. Si ce champ est laissé vide, l’arborescence entière d’Active Directory est synchronisée. Cliquez sur Parcourir à côté de Nom unique. Votre arborescence Active Directory va s'afficher. Sélectionnez l'entrée supérieure pour synchroniser tous les groupes avec ESMC ou ne sélectionnez que des groupes spécifiques à ajouter. Seuls les ordinateurs et les unités d'organisation sont synchronisés. Cliquez sur OK lorsque vous avez terminé.

Attributs d'utilisateur et de groupe d'utilisateurs : les attributs par défaut d'un utilisateur sont spécifiques à l'annuaire auquel l'utilisateur appartient. Si vous souhaitez synchroniser les attributs Active Directory, sélectionnez le paramètre AD dans le menu déroulant des champs adéquats ou saisissez un nom personnalisé pour l'attribut. Un espace réservé ESMC se trouve en regard de chaque champ synchronisé (par exemple : ${display_name}). Il représente cet attribut dans certains paramètres de politique d'ESMC.

Attributs d’utilisateur avancés : si vous souhaitez utiliser des attributs personnalisés avancés, sélectionnez Ajouter. Ces champs héritent des informations de l'utilisateur et peuvent être utilisés dans un éditeur de politique MDM iOS en tant qu'espace réservé.

important

IMPORTANT

Si vous obtenez l'erreur Server not find in Kerberos database après avoir cliqué sur Parcourir, utilisez le nom de domaine complet du serveur à la place de l'adresse IP.

Déclencheur

La section Déclencheur contient des informations sur le ou les déclencheurs qui doivent exécuter une tâche. Chaque tâche serveur peut être associée à un déclencheur. Chaque déclencheur ne peut exécuter qu'une seule tâche serveur. Si l'option Configurer un déclencheur n'est pas sélectionnée dans la section Général, un déclencheur n'est pas créé. Une tâche peut être créée sans déclencheur. Dans ce cas, elle est déclenchée manuellement (un déclencheur peut être ajouté par la suite).

Paramètres avancés de la limitation

En définissant une limitation, vous pouvez définir des règles avancées pour le déclencheur créé. La définition d'une limitation est facultative.

Synthèse

Toutes les options configurées sont affichées dans cette section. Examinez les paramètres et cliquez sur Terminer.

Dans Tâches, vous pouvez voir la barre d'indicateur de progression, l'icône d'état et les détails pour chaque tâche créée.