Synchronizace identit a odolnost duplicitních atributů
Zodolnění proti duplicitám atributů je funkce v Microsoft Entra ID, která eliminuje problémy způsobené konflikty UserPrincipalName a SMTP ProxyAddress při spuštění některého ze synchronizačních nástrojů společnosti Microsoft.
Tyto dva atributy musí být jedinečné mezi všemi objekty User, Groupnebo Contact v konkrétním tenantovi Microsoft Entra.
Poznámka:
Pouze uživatelé mohou mít UPN.
Nové chování, které tato funkce umožňuje, je v cloudové části kanálu synchronizace, a proto je nezávislé na klientovi a relevantní pro všechny synchronizační produkty Microsoftu, včetně Microsoft Entra Connect, DirSync a MIM + Connector. Obecný termín "synchronizační klient" se v tomto dokumentu používá k reprezentaci některého z těchto produktů.
Aktuální chování
Pokud dojde k pokusu o zřízení nového objektu s hodnotou UPN nebo ProxyAddress, která porušuje toto omezení jedinečnosti, Microsoft Entra ID blokuje vytvoření tohoto objektu. Podobně, pokud je objekt aktualizován s neunikátním UPN nebo ProxyAddress, aktualizace selže. Synchronizační klient opakuje pokus o zřízení nebo aktualizaci při každém cyklu exportu a pokračuje v selhání, dokud se konflikt nevyřeší. Při každém pokusu se vygeneruje e-mail se zprávou o chybě a synchronizační klient zaprotokoluje chybu.
Chování s odolností vůči duplicitním atributům
Místo toho, aby se zcela nepodařilo zřídit nebo aktualizovat objekt s duplicitním atributem, Microsoft Entra ID "umístí do karantény" duplicitní atribut, který by porušil omezení jedinečnosti. Pokud je tento atribut nutný pro zřizování, jako je UserPrincipalName, služba přiřadí zástupnou hodnotu. Formát těchto dočasných hodnot je
<PůvodníPředpona>+<ČtyřmístnéČíslo>@<PočátečníTenantDoména>.onmicrosoft.com.
Proces odolnosti atributu zpracovává pouze hodnoty UPN a SMTP ProxyAddress .
Pokud atribut není povinný, například ProxyAddress, Microsoft Entra ID jednoduše umístí konfliktní atribut do karantény a pokračuje vytvořením nebo aktualizací objektu.
Při karanténě atributu se informace o konfliktu odešlou ve stejné e-mailové zprávě o chybě, která byla použita podle starého nastavení. Tato informace se ale zobrazí v chybové zprávě pouze jednou, při události karantény, a nebudou dále zaznamenávány v budoucích e-mailech. Vzhledem k tomu, že export pro tento objekt je úspěšný, synchronizační klient nezapíše chybu a při následných cyklech synchronizace se nebude opakovat operace vytvoření nebo aktualizace.
Pro podporu tohoto chování se do tříd objektů User, Group a Contact přidá nový atribut:
DirSyncProvisioningErrors
Jedná se o atribut s více hodnotami, který se používá k ukládání konfliktních atributů, které by porušily omezení jedinečnosti, pokud by byly přidány normálně. Úloha časovače na pozadí je povolena v MICROSOFT Entra ID, která se spouští každou hodinu, aby vyhledal konflikty duplicitních atributů, které byly vyřešeny, a automaticky odebere příslušné atributy z karantény.
Povolení odolnosti duplicitních atributů
Odolnost vůči duplicitním atributům je nyní výchozím chováním ve všech tenantech Microsoft Entra. Ve výchozím nastavení je zapnutá pro všechny tenanty, kteří povolili synchronizaci poprvé 22. srpna 2016 nebo novější. Tenanti, kteří před tímto datem povolili synchronizaci, mají tuto funkci povolenou postupně. Toto zavádění začalo v září 2016 a e-mailové oznámení se odesílá technické kontaktní osobě každého nájemníka s konkrétním datem, kdy je tato funkce povolena.
Poznámka:
Jakmile je zapnutá odolnost duplicitních atributů, nelze ji zakázat.
Pokud chcete zkontrolovat, jestli je funkce pro vašeho tenanta povolená, můžete to udělat tak, že stáhnete nejnovější verzi modulu Azure Active Directory PowerShellu a spustíte:
Get-MsolDirSyncFeatures -Feature DuplicateUPNResiliency
Get-MsolDirSyncFeatures -Feature DuplicateProxyAddressResiliency
Poznámka:
Rutinu Set-MsolDirSyncFeature už nemůžete použít k proaktivnímu povolení funkce odolnosti proti duplicitním atributům, než bude pro vašeho tenanta zapnuta. Abyste mohli funkci otestovat, budete muset vytvořit nového tenanta Microsoft Entra.
Poznámka:
Moduly Azure AD a MSOnline PowerShell jsou od 30. března 2024 zastaralé. Další informace najdete v aktualizaci o ukončení podpory. Po tomto datu je podpora těchto modulů omezená na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou dál fungovat až do 30. března 2025.
Doporučujeme migrovat na Microsoft Graph PowerShell , abyste mohli pracovat s Microsoft Entra ID (dříve Azure AD). Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Verze 1.0.x MSOnline mohou po 30. červnu 2024 zaznamenat přerušení.
Identifikace objektů s DirSyncProvisioningErrors
V současné době existují dvě metody pro identifikaci objektů, které mají tyto chyby kvůli konfliktům duplicitních vlastností, Azure Active Directory PowerShellu a Centrum pro správu Microsoftu 365. V budoucnu se plánuje rozšířit o další sestavy založené na portálu.
Azure Active Directory PowerShell
Pro rutiny PowerShellu v tomto tématu platí následující:
- U všech následujících cmdletů se rozlišují malá a velká písmena.
- Vlastnost –ErrorCategory PropertyConflict musí být vždy zahrnuta. V současné době neexistují žádné jiné typy ErrorCategory, ale to může být rozšířeno v budoucnu.
Nejprve začněte spuštěním služby Connect-MsolService a zadáním přihlašovacích údajů pro správce tenanta.
Pak pomocí následujících rutin a operátorů zobrazte chyby různými způsoby:
- Zobrazit vše
- Podle typu vlastnosti
- Podle konfliktní hodnoty
- Použití vyhledávání řetězců
- Seřazeno
- V omezeném množství nebo ve všech
Zobrazit vše
Po připojení spusťte následující příkaz k zobrazení obecného seznamu chyb zřizování atributů v tenantovi:
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict
Výsledkem je následující výsledek:
Podle typu vlastnosti
Pokud chcete zobrazit chyby podle typu vlastnosti, přidejte příznak -PropertyName s argumentem UserPrincipalName nebo ProxyAddresses :
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName UserPrincipalName
Nebo
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName ProxyAddresses
Konfliktní hodnota
Pokud chcete zobrazit chyby související s konkrétní vlastností, přidejte příznak -PropertyValue (při přidávání tohoto příznaku musí být použit také parametr PropertyName ):
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyValue User@domain.com -PropertyName UserPrincipalName
Použití vyhledávání řetězců
Chcete-li provést rozsáhlé vyhledávání řetězců, použijte příznak -SearchString . To lze použít nezávisle na všech výše uvedených příznakech, s výjimkou -ErrorCategory PropertyConflict, který je vždy povinný:
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -SearchString User
V omezeném množství nebo ve všech
- Parametr MaxResults <Int> lze použít k omezení dotazu na určitý počet hodnot.
- Všechno může být použito k zajištění získání všech výsledků v případě, že existuje velký počet chyb.
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -MaxResults 5
Centrum pro správu Microsoft 365
Chyby synchronizace adresáře můžete zobrazit v centru pro správu Microsoftu 365. V Centru pro správu Microsoft 365 se zobrazují uživatelské objekty, které mají tyto chyby. Nezobrazuje informace o konfliktech mezi skupinami a kontakty .
Pokyny k zobrazení chyb synchronizace adresářů v Centrum pro správu Microsoftu 365 najdete v tématu Identifikace chyb synchronizace adresářů v Microsoftu 365.
Sestava chyb při synchronizaci identit
Při zpracování objektu s konfliktem duplicitního atributu s tímto novým chováním je do standardního e-mailu se zprávou o chybách synchronizace identit, který je odeslán na technický kontaktní osobě pro nájemníka, zahrnuto oznámení. V tomto chování je však důležitá změna. V minulosti se informace o konfliktu duplicitních atributů zahrnuly do každé následné zprávy o chybách, dokud se konflikt nevyřeší. Při tomto novém chování se oznámení o chybě pro daný konflikt zobrazí pouze jednou – v době, kdy je konfliktní atribut v karanténě.
Tady je příklad toho, jak e-mailové oznámení vypadá pro konflikt ProxyAddress:
Řešení konfliktů
Řešení potíží se strategií a taktikou řešení těchto chyb by se nemělo lišit od způsobu zpracování chyb duplicitních atributů v minulosti. Jediným rozdílem je, že úloha časovače prochází tenantem v rámci služby, aby po vyřešení konfliktu automaticky přidala zmíněný atribut k odpovídajícímu objektu.
Následující článek popisuje různé strategie řešení potíží: Duplicitní nebo neplatné atributy brání synchronizaci adresářů v Office 365.
Známé problémy
Žádný z těchto známých problémů nezpůsobuje ztrátu dat nebo snížení výkonu služby. Některé z nich jsou estetické, jiné způsobují standardní “před-odolnost” chyby duplicitních atributů namísto karanténování konfliktního atributu, a další způsobují určité chyby, které vyžadují další ruční opravu.
Základní chování:
Objekty s konkrétní konfigurací atributů nadále dostávají chyby exportu, a ne duplicitní atributy, které jsou v karanténě.
Příklad:a. Nový uživatel je vytvořen v AD s UPN Joe@contoso.com a ProxyAddress smtp:Joe@contoso.com
b. Vlastnosti tohoto objektu kolidují s existující skupinou, kde ProxyAddress je SMTP:Joe@contoso.com.
c. Při exportu je vyvolána chyba konfliktu ProxyAddress místo umístění atributů konfliktu do karantény. Operace se opakuje při každém následném cyklu synchronizace, stejně jako tomu bylo před povolením funkce odolnosti.
Pokud jsou dvě skupiny vytvořeny na pracovišti se stejnou adresou SMTP, jedna se nepodaří zřídit při prvním pokusu se standardní chybou duplicitní ProxyAddress. Duplicitní hodnota je však správně umístěna do karantény při dalším cyklu synchronizace.
Zpráva portálu Office
Podrobná chybová zpráva pro dva objekty v sadě konfliktů UPN je stejná. To naznačuje, že u obou došlo ke změně nebo karanténě jejich uživatelského hlavního jména (UPN), když ve skutečnosti se změnily údaje pouze u jednoho z nich.
Podrobná chybová zpráva pro konflikt UPN zobrazuje nesprávný zobrazovaný název uživatele, jehož UPN byl změněn nebo je v karanténě. Příklad:
a. Uživatel A se nejprve synchronizuje s UPN = User@contoso.com.
b. Uživatel B je dalším, kdo bude pokusně synchronizován s UPN = User@contoso.com.
c. UPN uživatele B se změní na User1234@contoso.onmicrosoft.com a User@contoso.com se přidá do DirSyncProvisioningErrors.
d. Chybová zpráva uživatele B by měla znamenat, že uživatel A již má User@contoso.com jako hlavní název uživatele (UPN), ale zobrazuje vlastní zobrazované jméno uživatele B .
Zpráva o chybách synchronizace identit:
Odkaz na postup řešení tohoto problému je nesprávný:
Měl by odkazovat na https://aka.ms/duplicateattributeresiliency.