Configuration de la connexion Active Directory au service Workspace ONE Access

La console Workspace ONE Access permet de créer un annuaire, d'entrer les informations requises pour vous connecter à votre annuaire Active Directory et de sélectionner les utilisateurs et les groupes à synchroniser avec l'annuaire Workspace ONE Access. Les options de connexion à Active Directory sont Active Directory sur LDAP et Active Directory sur Authentification Windows intégrée. Une connexion Active Directory sur LDAP prend en charge la recherche de l'emplacement du service DNS.

Conditions préalables

Installez le service Synchronisation d'annuaire, qui est disponible comme composant de Workspace ONE Access Connector à partir de la version 20.01.0.0. Pour plus d'informations, reportez-vous à la dernière version d'Installation de VMware Workspace ONE Access Connector.
Installez également le composant Service d'authentification utilisateur si vous souhaitez l'utiliser pour authentifier les utilisateurs de l'annuaire.
Sélectionnez les attributs utilisateur requis et ajoutez des attributs personnalisés, si nécessaire, sur la page Paramètres > Attributs utilisateur de la console Workspace ONE Access. Reportez-vous à la section Gestion des attributs utilisateur dans Workspace ONE Access. Tenez compte des considérations suivantes :
- Si un attribut utilisateur est obligatoire, sa valeur doit être définie pour tous les utilisateurs à synchroniser. Les utilisateurs qui ne disposent pas d'une valeur pour l'attribut ne sont pas synchronisés.
- Les attributs s'appliquent à tous les annuaires.
- Une fois qu'un ou plusieurs annuaires ont été configurés dans le service Workspace ONE Access, les attributs ne peuvent plus être marqués obligatoires.
Créez une liste d'utilisateurs et de groupes à synchroniser à partir d'Active Directory. Les noms de groupes sont immédiatement synchronisés avec l'annuaire. Les membres d'un groupe ne sont synchronisés qu'une fois que le groupe est autorisé à accéder à des ressources ou ajouté à une règle de stratégie. Les utilisateurs qui doivent s'authentifier avant que des droits de groupe ne soient configurés doivent être ajoutés lors de la configuration initiale.
Si vous créez un annuaire de type Active Directory sur LDAP à l'aide de l'option Catalogue global, vous devez vous assurer qu'aucun autre annuaire du locataire Workspace ONE Access synchronise les utilisateurs à partir des mêmes domaines que l'annuaire Catalogue global. Le conflit peut entraîner des échecs de synchronisation.
Pour Active Directory sur LDAP, il vous faut le DN de base, l'utilisateur Bind DN et le mot de passe.
L'utilisateur de liaison doit disposer des autorisations suivantes dans Active Directory pour accorder l'accès aux objets d'utilisateurs et de groupes :
- Lecture
- Lire toutes les propriétés
- Autorisations de lecture
Note : Il est recommandé d'utiliser un compte d'utilisateur de liaison avec un mot de passe sans date d'expiration.
Pour Active Directory sur Authentification Windows intégrée, il vous faut le nom d'utilisateur et le mot de passe de l'utilisateur Bind qui est autorisé à interroger les utilisateurs et les groupes des domaines requis.
L'utilisateur de liaison doit disposer des autorisations suivantes dans Active Directory pour accorder l'accès aux objets d'utilisateurs et de groupes :
- Lecture
- Lire toutes les propriétés
- Autorisations de lecture
Note : Il est recommandé d'utiliser un compte d'utilisateur de liaison avec un mot de passe sans date d'expiration.
Si Active Directory requiert l'accès via SSL/TLS, les certificats d'autorité de certification intermédiaires (si utilisés) et racine des contrôleurs de domaine pour tous les domaines Active Directory pertinents sont requis. Si les contrôleurs de domaine disposent de certificats provenant de plusieurs autorités de certification intermédiaires et racine, tous les certificats d'autorité de certification intermédiaires et racine sont requis.

Note : Pour les annuaires de type Active Directory via l'authentification Windows intégrée, la liaison Kerberos de la couche d'authentification et de sécurité simple (SASL, Simple Authentication and Security Layer) est utilisée automatiquement pour le chiffrement. Aucun certificat n'est requis.
Pour Active Directory sur Authentification Windows intégrée, lorsque vous avez configuré un annuaire Active Directory à forêts multiples et que le groupe local du domaine contient des membres de domaines provenant de différentes forêts, assurez-vous que l’utilisateur Bind est ajouté au groupe Administrateurs du domaine dans lequel se trouve le groupe local du domaine. Sinon, ces membres ne seront pas présents dans le groupe local du domaine.
Pour Active Directory sur Authentification Windows intégrée :
- pour tous les contrôleurs de domaine répertoriés dans les enregistrements SRV et les contrôleurs de domaine en lecture seule (RODC) masqués, la commande nslookup du nom d'hôte et de l'adresse IP doit fonctionner.
- Tous les contrôleurs de domaine doivent être accessibles en termes de connectivité réseau.
Si Workspace ONE Access Connector est exécuté en mode FIPS, des exigences et des conditions préalables supplémentaires s'appliquent. Reportez-vous à la section Workspace ONE Access Connector et mode FIPS pour votre version du connecteur.

Procédure

Dans la console Workspace ONE Access, sélectionnez Intégrations > Annuaires.
Dans le menu déroulant Ajouter un annuaire, sélectionnez Active Directory.

Dans la section Informations sur l'annuaire, entrez les informations suivantes.

Option	Description
Nom du répertoire	Entrez un nom pour l'annuaire Workspace ONE Access.
Type	Sélectionnez le type d'annuaire, Active Directory sur LDAP ou Active Directory via l'authentification Windows intégrée.

Si vous avez sélectionné Active Directory sur LDAP comme type d'annuaire, suivez ces étapes pour la section Configurer l'annuaire. Sinon, passez à l'étape suivante.

Dans la section Synchronisation et authentification de l'annuaire, effectuez les sélections suivantes.

Option	Description
Hôtes de synchronisation d'annuaire	Sélectionnez une ou plusieurs instances de service de synchronisation d'annuaire à utiliser pour synchroniser cet annuaire. Toutes les instances de service de synchronisation d'annuaire enregistrées dans le locataire sont répertoriées. Vous ne pouvez sélectionner que des instances qui sont dans l'état Actif. Si vous sélectionnez plusieurs instances, Workspace ONE Access utilise la première instance sélectionnée de la liste pour synchroniser l'annuaire. Si la première instance n'est pas disponible, il utilise la deuxième, etc. Vous pouvez réorganiser la liste dans l'onglet Paramètres de synchronisation de l'annuaire après avoir créé celui-ci.
Authentification	Sélectionnez Configurer l'authentification par mot de passe pour cet annuaire si vous souhaitez authentifier les utilisateurs de cet annuaire avec le service d'authentification utilisateur. Ce service doit déjà être installé. Si vous sélectionnez cette option, cela crée automatiquement pour l'annuaire la méthode d'authentification par mot de passe (déploiement de cloud) et un fournisseur d'identité nommé IDP pour `directoryName` de type Intégré. Sélectionnez Ajouter des méthodes d'authentification ultérieurement si vous ne souhaitez pas authentifier les utilisateurs de cet annuaire avec le service d'authentification utilisateur. Si vous décidez d'utiliser le service d'authentification utilisateur ultérieurement, vous pouvez créer manuellement la méthode d'authentification par mot de passe (déploiement de Cloud) et le fournisseur d'identité pour l'annuaire. Dans ce cas, créez un fournisseur d'identité pour l'annuaire en sélectionnant Ajouter > IDP intégré sur la page Intégrations > Fournisseurs d'identité. Il n'est pas recommandé d'utiliser le fournisseur d'identité précréé nommé Intégré.
Hôtes d'authentification utilisateur	Cette option s'affiche lorsque l'option Authentification est définie sur Configurer l'authentification par mot de passe pour cet annuaire. Sélectionnez une ou plusieurs instances de service d'authentification utilisateur à utiliser pour authentifier les utilisateurs de cet annuaire. Toutes les instances de service d'authentification utilisateur qui sont enregistrées dans le locataire et qui sont dans l'état Actif sont répertoriées. Si vous sélectionnez plusieurs instances, Workspace ONE Access envoie les demandes d'authentification aux instances sélectionnées de manière circulaire.
Nom d'utilisateur	Sélectionnez l'attribut de compte qui contient le nom d'utilisateur.
ID externe	Attribut à utiliser comme identifiant unique pour les utilisateurs dans l'annuaire Workspace ONE Access. La valeur par défaut est objectGUID. Vous pouvez définir l'ID externe sur l'un des attributs suivants : Tout attribut de chaîne, tel que sAMAccountName ou distinguishedName Les attributs binaires objectSid, objectGUID ou mS-DS-ConsistencyGuid Le paramètre ID externe ne s'applique qu'aux utilisateurs dans Workspace ONE Access. Pour les groupes, l'ID externe est toujours défini sur objectGUID et ne peut pas être modifié. Important : Une valeur unique et non vide doit être définie pour l'attribut de tous les utilisateurs. Cette valeur doit être unique dans le locataire Workspace ONE Access. Si les utilisateurs ne disposent d'aucune valeur pour l'attribut, l'annuaire n'est pas synchronisé. Important : Si vous définissez l'ID externe sur l'attribut objectGUID ou mS-DS-ConsistencyGuid d'Active Directory, tous les utilisateurs doivent disposer d'une valeur non vide pour l'attribut qui comporte 16 octets précisément. Assurez-vous également que vous spécifiez le nom d'attribut Active Directory correct en utilisant la casse appropriée dans la zone de texte ID Externe. Si le nom ne correspond pas au nom d'attribut dans Active Directory, une valeur nulle est renvoyée et la synchronisation d'annuaire échoue. Par exemple, si vous utilisez l'attribut mS-DS-ConsistencyGuid dans Active Directory et que vous définissez ID externe sur ms-DS-ConsistencyGuid, la synchronisation d'annuaire ne peut pas réussir. Tenez compte des remarques suivantes lors de la définition de l'ID externe : Si vous intégrez Workspace ONE Access à Workspace ONE UEM, assurez-vous que vous définissez l'ID externe sur le même attribut dans les deux produits. Vous pouvez modifier l'ID externe après la création de l'annuaire. Toutefois, il est recommandé de définir l'ID externe avant de synchroniser les utilisateurs avec Workspace ONE Access. Lorsque vous modifiez l'ID externe, les utilisateurs sont recréés. Par conséquent, tous les utilisateurs seront déconnectés et devront se reconnecter. Vous devrez également configurer les droits d'utilisateur pour les applications Web et les applications ThinApp. Les droits pour Horizon, Horizon Cloud et Citrix seront supprimés, puis recréés à la prochaine synchronisation des droits. L'option ID externe est disponible avec Workspace ONE Access Connector versions 20.10 et ultérieures. Tous les connecteurs associés au service Workspace ONE Access doivent être de version 20.10 ou de version ultérieure. Si différentes versions du connecteur sont associées au service, l'option ID externe ne s'affiche pas.

Pour configurer les options Emplacement du serveur et Chiffrement, choisissez parmi les éléments suivants.

Option	Description
Si vous souhaitez utiliser la recherche de l'emplacement du service DNS pour Active Directory	Avec cette option, Workspace ONE Access recherche et utilise les contrôleurs de domaine optimaux. Si vous ne souhaitez pas utiliser la sélection de contrôleur de domaine optimisée, ne sélectionnez pas cette option. Dans la section Emplacement du serveur, cochez la case Cet annuaire prend en charge l'emplacement du service DNS. Si votre annuaire Active Directory nécessite un accès sur SSL/TLS, cochez la case Exiger STARTTLS pour toutes les connexions dans la section Chiffrement. Note : Si l'option Cet annuaire prend en charge l'emplacement du service DNS est sélectionnée, STARTTLS est utilisé pour le chiffrement sur le port 389. Si l'option Cet annuaire prend en charge l'emplacement du service DNS est désélectionnée, LDAPS est utilisé pour le chiffrement sur le port 636. Copiez et collez les certificats d'autorité de certification intermédiaires (s'ils sont utilisés) et racine des contrôleurs de domaine dans la zone de texte Certificat(s) SSL. Entrez d'abord le certificat d'autorité de certification intermédiaire, puis le certificat d'autorité de certification racine. Vérifiez que chaque certificat est au format PEM et qu'il inclut les lignes BEGIN CERTIFICATE et END CERTIFICATE. Si les contrôleurs de domaine disposent de certificats provenant de plusieurs autorités de certification intermédiaires et racine, entrez toutes les chaînes de certificats d'autorité de certification intermédiaires-racine, l'une après l'autre. Par exemple : -----BEGIN CERTIFICATE----- ... <Intermediate Certificate 1> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Root Certificate 1> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Intermediate Certificate 2> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Root Certificate 2> ... -----END CERTIFICATE----- Note : Si votre annuaire Active Directory requiert l'accès via SSL/TLS et que vous ne fournissez pas les certificats, vous ne pouvez pas créer l'annuaire.
Si vous ne souhaitez pas utiliser la recherche de l'emplacement du service DNS pour Active Directory.	Dans la section Emplacement du serveur, vérifiez que la case Cet annuaire prend en charge l'emplacement du service DNS n'est pas cochée et entrez le nom d'hôte et le numéro de port du serveur Active Directory dans les zones de texte Hôte du serveur et Port du serveur. Pour configurer l'annuaire comme catalogue global, reportez-vous à la section Environnement Active Directory à forêt unique et domaines multiples dans Intégration d'Active Directory à Workspace ONE Access. Si votre annuaire Active Directory nécessite un accès sur SSL/TLS, cochez la case Exiger LDAPS pour toutes les connexions dans la section Chiffrement. Note : Si l'option Cet annuaire prend en charge l'emplacement du service DNS est sélectionnée, STARTTLS est utilisé pour le chiffrement sur le port 389. Si l'option Cet annuaire prend en charge l'emplacement du service DNS est désélectionnée, LDAPS est utilisé pour le chiffrement sur le port 636. Copiez et collez les certificats d'autorité de certification intermédiaires (s'ils sont utilisés) et racine du contrôleur de domaine dans la zone de texte Certificat(s) SSL. Entrez d'abord le certificat d'autorité de certification intermédiaire, puis le certificat d'autorité de certification racine. Vérifiez que le certificat est au format PEM et qu'il inclut les lignes BEGIN CERTIFICATE et END CERTIFICATE. Note : Si votre annuaire Active Directory requiert l'accès via SSL/TLS et que vous ne fournissez pas le certificat, vous ne pouvez pas créer l'annuaire.
Si vous intégrez l'annuaire en tant que catalogue global	Dans la section Emplacement du serveur, désélectionnez l'option Cet annuaire prend en charge l'emplacement du service DNS. Sélectionnez l'option Cet annuaire dispose d'un catalogue global. Dans la zone de texte Hôte du serveur, entrez le nom d'hôte du serveur Active Directory. Le Port du serveur est défini sur 3268. Si vous sélectionnez SSL/TLS dans la section Chiffrement, le port est défini sur 3269. Si votre annuaire Active Directory nécessite un accès sur SSL/TLS, sélectionnez l'option Exiger LDAPS pour toutes les connexions dans la section Chiffrement. Copiez et collez les certificats d'autorité de certification intermédiaires (s'ils sont utilisés) et racine du contrôleur de domaine dans la zone de texte Certificat(s) SSL. Entrez d'abord le certificat d'autorité de certification intermédiaire, puis le certificat d'autorité de certification racine. Vérifiez que le certificat est au format PEM et qu'il inclut les lignes BEGIN CERTIFICATE et END CERTIFICATE.

Dans la section Détails de l'utilisateur Bind, entrez les informations suivantes.

Option	Description
DN de base	Saisissez le ND à partir duquel effectuer les recherches de compte. Par exemple : OU=myUnit,DC=myCorp,DC=com. Important : Le DN de base sera utilisé pour l'authentification. Seuls les utilisateurs sous le DN de base pourront s'authentifier. Assurez-vous que les DN de groupes et d'utilisateurs que vous spécifiez ultérieurement pour la synchronisation appartiennent à ce DN de base. Note : Si vous ajoutez l'annuaire comme catalogue global, le DN de base n'est pas nécessaire alors que l'option ne s'affiche pas.
Utilisateur Bind DN	Entrez le compte pouvant rechercher des utilisateurs. Par exemple : CN=binduser,OU=myUnit,DC=myCorp,DC=com. Note : Il est recommandé d'utiliser un compte d'utilisateur de liaison avec un mot de passe sans date d'expiration.
Mot de passe de l'utilisateur de liaison	Entrez le mot de passe de l'utilisateur de liaison.

Si vous avez sélectionné Active Directory via l'authentification Windows intégrée comme type d'annuaire, suivez ces étapes pour la section Configurer l'annuaire.

Dans la section Synchronisation et authentification de l'annuaire, effectuez les sélections suivantes.

Option	Description
Hôtes de synchronisation d'annuaire	Sélectionnez une ou plusieurs instances de service de synchronisation d'annuaire à utiliser pour synchroniser cet annuaire. Toutes les instances du service de synchronisation d'annuaire qui sont enregistrées dans le locataire et qui sont dans l'état Actif sont répertoriées. Si vous sélectionnez plusieurs instances, Workspace ONE Access utilise la première instance sélectionnée de la liste pour synchroniser l'annuaire. Si la première instance n'est pas disponible, il utilise la deuxième, etc. Vous pouvez réorganiser la liste dans l'onglet Paramètres de synchronisation de l'annuaire après avoir créé celui-ci.
Authentification	Sélectionnez Configurer l'authentification par mot de passe pour cet annuaire si vous souhaitez authentifier les utilisateurs de cet annuaire avec le service d'authentification utilisateur. Ce service doit déjà être installé. Si vous sélectionnez cette option, cela crée automatiquement pour l'annuaire la méthode d'authentification par mot de passe (déploiement de cloud) et un fournisseur d'identité nommé IDP pour `directory` de type Intégré. Sélectionnez Ajouter des méthodes d'authentification ultérieurement si vous ne souhaitez pas authentifier les utilisateurs de cet annuaire avec le service d'authentification utilisateur. Si vous décidez d'utiliser le service d'authentification utilisateur ultérieurement, vous pouvez créer manuellement la méthode d'authentification par mot de passe (déploiement de Cloud) et le fournisseur d'identité pour l'annuaire. Dans ce cas, créez un fournisseur d'identité pour l'annuaire en sélectionnant Ajouter > IDP intégré sur la page Intégrations > Fournisseurs d'identité. Il n'est pas recommandé d'utiliser le fournisseur d'identité précréé nommé Intégré.
Hôtes d'authentification utilisateur	Cette option s'affiche lorsque l'option Authentification est définie sur Configurer l'authentification par mot de passe pour cet annuaire. Sélectionnez une ou plusieurs instances de service d'authentification utilisateur à utiliser pour authentifier les utilisateurs de cet annuaire. Toutes les instances de service d'authentification utilisateur qui sont enregistrées dans le locataire et qui sont dans l'état Actif sont répertoriées. Si vous sélectionnez plusieurs instances, Workspace ONE Access envoie les demandes d'authentification aux instances sélectionnées de manière circulaire.
Nom d'utilisateur	Sélectionnez l'attribut de compte qui contient le nom d'utilisateur.
ID externe	Attribut à utiliser comme identifiant unique pour les utilisateurs dans l'annuaire Workspace ONE Access. La valeur par défaut est objectGUID. Vous pouvez définir l'ID externe sur l'un des attributs suivants : Tout attribut de chaîne, tel que sAMAccountName ou distinguishedName Les attributs binaires objectSid, objectGUID ou mS-DS-ConsistencyGuid Le paramètre ID externe ne s'applique qu'aux utilisateurs dans Workspace ONE Access. Pour les groupes, l'ID externe est toujours défini sur objectGUID et ne peut pas être modifié. Important : Une valeur unique doit être définie pour l'attribut de tous les utilisateurs. La valeur doit être unique dans le locataire Workspace ONE Access. Important : Si vous définissez l'ID externe sur l'attribut objectGUID ou mS-DS-ConsistencyGuid d'Active Directory, tous les utilisateurs doivent disposer d'une valeur non vide qui comporte 16 octets précisément. Assurez-vous également que vous spécifiez le nom d'attribut Active Directory correct en utilisant la casse appropriée dans la zone de texte ID Externe. Si le nom ne correspond pas au nom d'attribut dans Active Directory, une valeur nulle est renvoyée et la synchronisation d'annuaire échoue. Par exemple, si vous utilisez l'attribut mS-DS-ConsistencyGuid dans Active Directory et que vous définissez ID externe sur ms-DS-ConsistencyGuid, la synchronisation d'annuaire ne peut pas réussir. Tenez compte des remarques suivantes lors de la définition de l'ID externe : Si vous intégrez Workspace ONE Access à Workspace ONE UEM, assurez-vous de définir l'ID externe sur le même attribut dans les deux produits. Vous pouvez modifier l'ID externe après la création de l'annuaire. Toutefois, il est recommandé de définir l'ID externe avant de synchroniser les utilisateurs avec Workspace ONE Access. Lorsque vous modifiez l'ID externe, les utilisateurs sont recréés. Par conséquent, tous les utilisateurs seront déconnectés et devront se reconnecter. Vous devrez également configurer les droits d'utilisateur pour les applications Web et les applications ThinApp. Les droits pour Horizon, Horizon Cloud et Citrix seront supprimés, puis recréés à la prochaine synchronisation des droits. L'option ID externe est disponible avec Workspace ONE Access Connector versions 20.10 et ultérieures. Tous les connecteurs associés au service Workspace ONE Access doivent être de version 20.10 ou de version ultérieure. Si différentes versions du connecteur sont associées au service, l'option ID externe ne s'affiche pas.

Aucune action n'est requise pour l'option Chiffrement. Les annuaires de type Active Directory via l'authentification Windows intégrée utilisent automatiquement la liaison Kerberos de SASL et ne nécessitent aucune sélection de LDAPS ou de STARTTLS.
Dans la section Détails de l'utilisateur de liaison, entrez le nom d'utilisateur et le mot de passe de l'utilisateur de liaison qui est autorisé à interroger les utilisateurs et les groupes des domaines requis. Entrez le nom d'utilisateur sAMAccountName@domain, où domain est le nom de domaine complet. Par exemple, jdoe@example.com.

Note : Il est recommandé d'utiliser un compte d'utilisateur de liaison avec un mot de passe sans date d'expiration.

Cliquez sur Enregistrer.
Dans la section Sélectionner un ou plusieurs domaines, sélectionnez les domaines, puis cliquez sur Enregistrer.
- Pour un annuaire de type Active Directory sur LDAP, les domaines sont répertoriés. Sélectionnez les domaines à associer à l'annuaire Workspace ONE Access.
- Pour un annuaire de type Active Directory via l'authentification Windows intégrée, sélectionnez les domaines à associer à l'annuaire Workspace ONE Access. Tous les domaines ayant une relation de confiance bidirectionnelle avec le domaine de base sont répertoriés.
  Si des domaines ayant une relation de confiance bidirectionnelle avec le domaine de base sont ajoutés à Active Directory après la création de l'annuaire Workspace ONE Access, vous pouvez les ajouter dans l'onglet Paramètres de synchronisation > Domaines de l'annuaire.
  
  Info-bulle : Choisissez les domaines approuvés un par un au lieu de tous les sélectionner à la fois. Cette approche garantit que l'enregistrement de domaine n'est pas une opération de longue durée susceptible d'expirer. Le choix séquentiel des domaines garantit que le service de synchronisation d'annuaire consacre du temps à essayer de résoudre un seul domaine uniquement.
- Si vous créez un annuaire Active Directory sur LDAP avec l'option Catalogue global sélectionnée, l'onglet Sélectionner un ou plusieurs domaines ne s'affiche pas.
Dans la section Mapper les attributs utilisateur, mappez les attributs de l'annuaire Workspace ONE Access aux attributs Active Directory, puis cliquez sur Enregistrer.

Vous pouvez ajouter des attributs et gérer la liste des attributs requis sur la page Paramètres > Attributs utilisateur.

Important : Si un attribut est marqué obligatoire, vous devez définir sa valeur pour tous les utilisateurs à synchroniser. Les enregistrements utilisateur pour lesquels la valeur des attributs requis est manquante ne sont pas synchronisés.
Dans la section Synchroniser les groupes, ajoutez les groupes que vous souhaitez synchroniser. Voir Sélection d'utilisateurs et de groupes à synchroniser avec votre annuaire Workspace ONE Access pour plus d'informations.
Dans la section Synchroniser les utilisateurs, ajoutez les utilisateurs que vous souhaitez synchroniser. Voir Sélection d'utilisateurs et de groupes à synchroniser avec votre annuaire Workspace ONE Access pour plus d'informations.
Dans la section Fréquence de synchronisation, configurez une planification de synchronisation pour synchroniser les utilisateurs et les groupes à intervalles réguliers ou sélectionnez Manuellement dans le menu déroulant Fréquence de synchronisation si vous ne souhaitez définir aucune planification.
L'heure est définie en UTC.

Info-bulle : Planifiez les intervalles de synchronisation pour qu'ils soient plus longs que le délai de synchronisation de l'annuaire. Si les utilisateurs et les groupes sont en cours de synchronisation avec l'annuaire lorsque la synchronisation suivante est planifiée, la nouvelle synchronisation démarre immédiatement après la fin de la synchronisation précédente.

Si vous sélectionnez Manuellement, vous devez sélectionner Synchroniser > Synchroniser avec protections ou Synchroniser > Synchroniser sans protection sur la page de l'annuaire lorsque vous souhaitez synchroniser ce dernier.
Cliquez sur Enregistrer pour créer l'annuaire ou sur Enregistrer et synchroniser pour créer l'annuaire et commencer à le synchroniser.

Résultats

La connexion à Active Directory est établie. Si vous avez cliqué sur Enregistrer et synchroniser, les noms d'utilisateurs et de groupes sont synchronisés entre Active Directory et l'annuaire Workspace ONE Access.

Pour plus d'informations sur le mode de synchronisation des groupes, reportez-vous à la section « Gestion des utilisateurs et des groupes » dans la section Administration de VMware Workspace ONE Access.

Que faire ensuite

Si vous avez défini l'option Authentification sur Configurer l'authentification par mot de passe pour cet annuaire, un fournisseur d'identité nommé IDP pour directoryname et une méthode d'authentification par mot de passe (déploiement de cloud) sont automatiquement créés pour l'annuaire. Vous pouvez les afficher sur les pages Intégrations > Fournisseurs d'identité et Intégrations > Méthodes d'authentification. Vous pouvez également créer d'autres méthodes d'authentification pour l'annuaire sur les pages Méthodes d'authentification du connecteur et Méthodes d'authentification. Pour plus d'informations sur la création de méthodes d'authentification, reportez-vous à la section Gestion des méthodes d'authentification utilisateur dans Workspace ONE Access.
Vérifiez la stratégie d'accès par défaut sur la page Ressources > Stratégies.
Examinez les paramètres de protections de synchronisation par défaut et apportez des modifications, si nécessaire. Voir Configuration des protections de synchronisation d'annuaire dans Workspace ONE Access pour plus d'informations.