Énergie : synchroniser l’attribut utilisateur Active Directory sans le Hybrid Connector de CoreView

Un important fournisseur européen d’énergie et de communication a résolu avec succès un défi de reporting et de remédiation dans son environnement Microsoft 365 en utilisant la plateforme CoreView. 

Impossible de déployer le Hybrid Connector de CoreView, l’entreprise devait rendre visible l’attribut utilisateur synchronisé employeetype pour un reporting et une conformité efficaces. Grâce à une solution créative utilisant la flexibilité native des rapports de CoreView, ainsi que les fonctionnalités d’action personnalisée et de workflow, l’équipe informatique a rendu employeetype accessible pour la segmentation et l’automatisation. Cette solution a renforcé la gouvernance, accéléré les audits et apporté des gains opérationnels mesurables.

Profil du client

Cette organisation est une entreprise de taille moyenne opérant dans le secteur européen de l’énergie et des communications, gérant des milliers d’utilisateurs Microsoft 365 dans des rôles de bureau et sur le terrain. Dotée de exigences réglementaires complexes et d’un environnement hybride exigeant, son équipe informatique doit assurer une supervision et un contrôle précis des comptes utilisateurs. Leur environnement Microsoft 365 intègre à la fois le cloud et un AD sur site, présentant des défis uniques pour la visibilité et le reporting des attributs.

Enjeu métier

L’absence du Hybrid Connector de CoreView signifiait que le département informatique ne pouvait pas mapper localement les attributs employeetype synchronisés depuis leur Active Directory sur site dans les rapports CoreView. Cette lacune menaçait la conformité et la cohérence dans la gestion des utilisateurs et rendait inefficaces les processus opérationnels critiques.

Points de friction :

• Absence d’accès direct à employeetype pour le reporting ou les audits.
• Classification manuelle des utilisateurs chronophage et sujette à erreur.
• Retards dans la génération des rapports de conformité et d’audit.
• Capacité limitée à automatiser la remédiation et les actions de licences pour les utilisateurs.
• Augmentation de la charge administrative et de la frustration parmi les équipes IT et conformité.

Produits CoreView impliqués

• CoreView ONE

Guide de solution étape par étape

Le guide ci-dessous détaille les solutions développées pour permettre la synchronisation des attributs on-premises vers Entra et ensuite dans CoreView lorsque le client ne possède pas l’add-on Hybrid Connector de CoreView. L’approche est conçue pour préserver la visibilité des attributs et l’automatisation dans les environnements où la synchronisation hybride directe n’est pas disponible.

Un attribut personnalisé Entra sera utilisé, qui doit être mappé dans CoreView. Cela permet de rendre disponibles dans la plateforme CoreView des informations importantes provenant de l’AD sur site, telles que l’attribut employeeType, pour le reporting, la segmentation et les actions automatisées. En tirant parti de l’extensibilité d’Entra et des puissantes fonctionnalités d’automatisation de CoreView, les équipes IT peuvent maintenir la synchronisation des données critiques pour la conformité.

Étape 1 : Création d’un attribut personnalisé Entra

Un nouvel attribut personnalisé est créé dans Microsoft Entra (Azure AD) pour servir de destination à la valeur employeeType provenant d’AD sur site après la synchronisation via Entra Connect. Cela permet de transporter les données nécessaires depuis l’AD sur site, via Entra, et finalement dans CoreView.

Ouvrez une session PowerShell administrateur et connectez-vous à Graph avec la commande suivante :

Connect-MgGraph -Scopes "Application.ReadWrite.All","Directory.ReadWrite.All" -ContextScope Process

Une application est utilisée pour enregistrer une extension de répertoire. Nous avons ici utilisé l’application déjà configurée dans le tenant pour CoreView. La liste des applications configurées peut être affichée avec la commande Get-MgApplication -all.

Créez maintenant le nouvel attribut personnalisé pour l’application souhaitée en utilisant le bon ID et nom dans la commande suivante :

New-MgApplicationExtensionProperty -ApplicationId 'Id for CoreView Management Integration' -Name 'custom attribute name' -DataType String -TargetObjects @("User")

Notez le nom retourné par la réponse ; il sera nécessaire ultérieurement à l’étape 2.

Des informations supplémentaires sont disponibles dans l’article « Ajouter des données personnalisées aux ressources en utilisant les extensions » de la documentation Microsoft concernant la création de l’extension Entra.

Étape 2 : mapping de l’attribut dans CoreView

Le nouvel attribut personnalisé Entra est mappé dans CoreView en tant qu’attribut d’extension. Cette étape garantit que CoreView reconnaît l’attribut, le rendant disponible dans les rapports utilisateurs et pour les flux de travail automatisés.

Pour mapper l’attribut dans CoreView, connectez-vous au portail CoreView et accédez à “Paramètres > Mon organisation”.

Cliquez sur “Paramètres > Mapping des attributs d’extension”.

Sélectionnez le type de compte “On-Cloud” et collez la valeur de la réponse ID de l’étape 1 dans Nom de l’extension. 
Indiquez un nom convivial et le type de données "String" (dans ce cas).

Des informations détaillées sont disponibles dans l’article « Attributs d’extension » de notre documentation.

Étape 3 : initialisation des données via Action personnalisée

Une action personnalisée ponctuelle est lancée pour copier les valeurs existantes de employeeType depuis Entra vers le nouvel attribut personnalisé Entra pour tous les utilisateurs concernés. Après la période de synchronisation (habituellement toutes les 24 heures), cela permettra de renseigner CoreView avec l’état actuel des types d’employés dans l’environnement.

Naviguez vers “Actions > Gérer les actions personnalisées” :

Cliquez sur “Ajouter nouveau” :

Donnez un “Titre” à l’Action personnalisée et, si nécessaire, une “Description” :

Sélectionnez “None” pour le “Cible” :

Dans “Entrées”, sélectionnez :

• “Type” = "String”
• "Nom = “Extension”
• et cochez « Requis ».

Dans le champ “Script”, collez ce qui suit :

Refresh-CVGraphToken
# Récupérer tous les utilisateurs pour lesquels EmployeeType est présent
$users = Get-MgUser -All -Property "UserPrincipalName,EmployeeType" | Where-Object { $_.EmployeeType }
foreach ($user in $users) {
    $employeeType = $user.EmployeeType
    $body = @{
      $extension = $employeeType
    }
    Update-MgUser -UserId $user.UserPrincipalName -AdditionalProperties $body
    Write-Host "Updated $($user.UserPrincipalName): $employeeType"
}

Ce script utilise Graph, donc Refresh-CVGraphToken est nécessaire au début du script. Le script filtre tous les utilisateurs du tenant dont l’attribut EmployeeType n’est pas vide. Il parcourt chaque utilisateur et copie cet attribut dans l’attribut personnalisé créé à l’étape 1.

Étape 4 : maintenance continue de l’attribut avec l’automatisation

Pour maintenir l’attribut à jour, une seconde Action personnalisée est créée pour mettre à jour l’attribut personnalisé d’un utilisateur quand un changement est détecté. Cette action est intégrée dans un Workflow CoreView, créant une méthode automatisée et réutilisable pour garantir la cohérence des données.

Naviguez vers “Actions > Gérer les actions personnalisées” :

Cliquez sur “Ajouter nouveau” :

Indiquez un “Titre” pour l’action personnalisée et, si nécessaire, une “Description” :

Sélectionnez “User” pour la “Cible” :

Dans “Entrées”, sélectionnez :

• “Type” = “String”
• “Nom” = “Extension”
• et cochez “Requis”.

Dans le champ Script, collez ce qui suit :

# Ce script rafraîchit le token CoreView Graph, récupère l’EmployeeType d’un utilisateur,
# met à jour l’utilisateur si EmployeeType est renseigné, et affiche un message en conséquence.
Refresh-CVGraphToken
$user = Get-MgUser -UserId $UserPrincipalName -Property "UserPrincipalName,EmployeeType" | Select-Object UserPrincipalName, EmployeeType
if ($user.EmployeeType) {
    $body = @{
        $extension = $user.EmployeeType
    }
    Update-MgUser -UserId $UserPrincipalName -AdditionalProperties $body
    Write-Host "Updated $($user.UserPrincipalName): $($user.EmployeeType)"
} else {
    Write-Host "$($user.UserPrincipalName) does not have EmployeeType set."
}

Ce script utilise Graph, donc ‘Refresh-CVGraphToken’ est requis au début. Le script met à jour l’attribut personnalisé Entra de chaque utilisateur avec la valeur d’EmployeeType d’Entra.

Il faut maintenant encapsuler l’action personnalisée afin de disposer d’une méthode automatisée pour maintenir la cohérence des données.

Naviguez vers “Actions > Gérer les workflows > Workflows” :

Cliquez sur “Créer nouveau” :

Donnez un “Nom” au Workflow puis cliquez sur “Ajouter > Action” :

Dans “Catégorie d’action” choisissez “Actions personnalisées” et retrouvez votre Action personnalisée créée à l’étape 4. Collez votre valeur de l’étape 1 dans le champ “Extension” puis cliquez sur “Champs” et sélectionnez “UserPrincipalName”.

Cliquez sur l’icône éclair à côté de UserPrincipalName et sélectionnez “Gérer l’entrée d’exécution” :

• Sous “Cible” sélectionnez “User”
• Sous “Nom” sélectionnez “UserPrincipalName” 
• et cochez “Requis”

puis cliquez sur “Enregistrer”.

Cliquez sur l’icône éclair à côté de UserPrincipalName, sélectionnez “UserPrincipalName”, puis cliquez sur “Enregistrer” :

Cliquez sur “Enregistrer > Enregistrer et publier” :

Étape 6 : surveillance en temps réel et automatisation pilotée par les politiques

Une politique personnalisée Playbook permet de surveiller le log d’audit Entra pour toute modification de l’attribut employeeType. Lorsqu’une mise à jour est détectée, le Workflow associé est déclenché automatiquement, ce qui garantit que CoreView reste synchronisé avec Entra.

Naviguez vers “Audit > Entra” :

Cliquez sur “Colonnes” puis sélectionnez “Propriétés modifiées” :

• Sous “Workload” sélectionnez “AzureActiveDirectory”
• Sous “Opération” sélectionnez “Mettre à jour l’utilisateur”
• Sous “Propriétés modifiées” tapez “EmployeeType”
• Modifiez “7 derniers jours” en “Dernier jour”

Cliquez sur “Actions > Créer une politique personnalisée” :

Remplissez les informations nécessaires puis cliquez sur “Suivant” :

Cela vous amène au rapport que nous venons de personnaliser, cliquez sur “Suivant” :

Cliquez sur “Suivant” et vous accéderez à l’écran Action de remédiation. 

• Activez “Activer la remédiation” puis sélectionnez “Exécuter un workflow”. 
• Dans “Sélectionner un workflow” choisissez le workflow créé à l’étape 5. 
• Dans “Correspondance des entrées d’exécution”, cliquez sur l’icône éclair et choisissez “ObjectId”, puis cliquez sur “Suivant”

Révisez les paramètres puis cliquez sur “Enregistrer” :

Le Playbook surveillera le log d’audit Entra pour toute modification de l’attribut EmployeeType et exécutera le Workflow pour copier l’attribut dans l’attribut personnalisé.

Résultats de la solution

Grâce à cette solution, les principaux attributs utilisateur issus de l’AD sur site sont efficacement rendus visibles dans CoreView, permettant un reporting robuste, des audits de conformité et une gestion automatisée des comptes. Il n’est plus nécessaire de suivre et mettre à jour manuellement les utilisateurs, ce qui réduit considérablement la charge administrative tout en améliorant la précision et la rapidité des opérations de conformité.

Désormais, nous pouvons segmenter et agir sur les types d’emploi des utilisateurs nativement dans CoreView, ce qui permet à notre équipe de gagner des heures chaque semaine" explique le responsable informatique du projet.

Les intervalles de reporting sont maintenant automatisés, ce qui réduit de plus de 60 % le temps de préparation des audits et améliore la précision des flux de travail et des remédiations utilisateurs.

Bénéfices obtenus

• Auditabilité complète de employeetype dans les rapports utilisateur
• Pas de besoin supplémentaire de licence ou de connecteur
• Remédiation et segmentation automatisées des utilisateurs selon les données en temps réel
• Délais des rapports d’audit réduits de plus de 60 %
• Efficacité opérationnelle IT sensible améliorée

Ces résultats ont permis un ROI rapide, en assurant la conformité et l’efficacité sans alourdir la charge administrative ni le budget.

Ressources supplémentaires

• Microsoft Créer un attribut personnalisé
• Mapper les attributs dans CoreView
• Créer des actions personnalisées
• Créer des workflows
• Log d’audit
• Créer un Playbook personnalisé