Freigeben über


Objekte, die über das Azure Active Directory-Synchronisierungstool synchronisiert wurden, können nicht verwaltet oder entfernt werden.

In diesem Artikel wird ein Problem beschrieben, bei dem Sie objekte, die über die Verzeichnissynchronisierung von Microsoft Entra ID erstellt wurden, nicht verwalten oder entfernen können. Es stellt zwei Lösungen für dieses Problem aus unterschiedlichen Gründen bereit.

Ursprüngliche Produktversion: Cloud-Dienste (Webrollen/Workerrollen), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Ursprüngliche KB-Nummer: 2619062

Symptome

Sie versuchen, Objekte, die über die Verzeichnissynchronisierung erstellt wurden, manuell zu verwalten oder zu entfernen:

Sie möchten z. B. ein verwaistes Benutzerkonto entfernen, das mit Microsoft Entra-ID aus Ihrem lokales Active Directory Domain Services (AD DS) synchronisiert wurde.

In diesem Szenario können Sie das verwaiste Benutzerkonto nicht mithilfe des Microsoft-Clouddienstportals in Office 365, Azure oder Microsoft Intune oder mit Windows PowerShell entfernen.

Ursache

Dieses Problem kann auftreten, wenn mindestens eine der folgenden Bedingungen erfüllt ist:

  • Der lokale AD DS ist nicht mehr verfügbar. Sie können das Objekt also nicht aus der lokalen Umgebung verwalten oder löschen.
  • Sie haben ein Objekt aus dem lokalen AD DS gelöscht. Das Objekt wurde jedoch nicht aus Ihrer Clouddienstorganisation gelöscht. Dieses Verhalten ist unerwartet.

Lösung

Der lokale AD DS ist nicht mehr verfügbar. Daher können Sie das Objekt nicht aus der lokalen Umgebung verwalten oder löschen.

Sie möchten Objekte in Office 365, Azure oder Intune verwalten und die Verzeichnissynchronisierung nicht mehr verwenden.

Notiz

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.

  1. Wenn Sie Windows 10 nicht ausführen, installieren Sie die 64-Bit-Version des Microsoft Online Services-Anmelde-Assistenten: Microsoft Online Services-Anmelde-Assistent für IT-Experten RTW.

  2. Installieren Sie das Microsoft Azure Active Directory-Modul für Windows PowerShell:

    1. Öffnen Sie eine Windows PowerShell-Eingabeaufforderung mit erhöhten Rechten (führen Sie Windows PowerShell als Administrator aus).
    2. Führen Sie den Befehl Install-Module MSOnline aus.
  3. Deaktivieren Sie die Verzeichnissynchronisierung, indem Sie den folgenden Befehl ausführen:

     Set-MsolDirSyncEnabled -EnableDirSync $false
    
  4. Überprüfen Sie, ob die Verzeichnissynchronisierung mithilfe der Windows PowerShell vollständig deaktiviert wurde. Führen Sie dazu regelmäßig den folgenden Befehl aus:

     (Get-MSOLCompanyInformation).DirectorySynchronizationEnabled
    

    Mit diesem Befehl wird "True" oder "False" zurückgegeben. Führen Sie diesen Befehl in regelmäßigen Abständen aus, bis er False zurückgibt, und fahren Sie dann mit dem nächsten Schritt fort.

    Es kann 72 Stunden dauern, bis die Deaktivierung abgeschlossen ist. Die Zeit hängt von der Anzahl der Objekte ab, die sich in Ihrem Clouddienstabonnementkonto befinden.

  5. Versuchen Sie, ein Objekt mithilfe von Windows PowerShell oder mithilfe des Clouddienstportals zu aktualisieren.

    Schritt 4 kann eine Weile dauern, bis sie abgeschlossen ist. In der Clouddienstumgebung gibt es einen Prozess, der Attributwerte berechnet. Der Vorgang muss abgeschlossen werden, bevor die Objekte mithilfe von Windows PowerShell oder mithilfe des Clouddienstportals geändert werden können.

Sie löschen ein Objekt aus einem lokalen AD DS. Das Objekt wird jedoch nicht aus Ihrem Clouddienstabonnementkonto gelöscht.

Erzwingen der Verzeichnissynchronisierung mithilfe der Schritte in diesem Artikel: Starten des Schedulers

  • Wenn einige Updates und Löschungen weitergegeben werden, aber einige Löschungen nicht mit dem Clouddienst synchronisiert werden, befolgen Sie typische Verfahren zur Problembehandlung bei der Verzeichnissynchronisierung.

  • Wenn alle Updates und Löschungen nicht mit dem Clouddienst synchronisiert werden, wenden Sie sich an den Support.

    Notiz

    Als alternative Lösung für dieses Szenario kann ein Objekt manuell im Clouddienst gelöscht werden. Das Objekt kann jedoch nicht im Clouddienst aktualisiert werden. Weitere Informationen zum Beheben dieses Problems finden Sie im folgenden Microsoft Knowledge Base-Artikel: Objektlöschungen werden bei Verwendung des Azure Active Directory-Synchronisierungstools nicht mit Microsoft Entra-ID synchronisiert.  

Weitere Informationen

Führen Sie den folgenden Befehl aus, um die Verzeichnissynchronisierung erneut zu aktivieren:

Set-MsolDirSyncEnabled -EnableDirSync $true

Es ist wichtig, sorgfältig zu planen, wenn Sie die Verzeichnissynchronisierung erneut aktivieren. Wenn Sie das Clouddienstportal oder Windows PowerShell verwendet haben, um änderungen direkt an den Objekten vorzunehmen, die ursprünglich aus dem lokalen AD DS synchronisiert wurden, werden die Änderungen durch lokale Attribute und Einstellungen überschrieben, wenn die Synchronisierung zum ersten Mal erfolgt, nachdem die Verzeichnissynchronisierung erneut aktiviert wurde.

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.