Sincronización de identidades y resistencia de atributos duplicados
La resiliencia de atributos duplicados es una característica de Microsoft Entra ID que elimina la fricción causada por los conflictos de UserPrincipalName y de SMTP ProxyAddress al ejecutar una de las herramientas de sincronización de Microsoft.
Estos dos atributos deben ser únicos en todos los objetos de tipo usuario, grupo o contacto de un inquilino concreto de Microsoft Entra.
Nota:
Solo los usuarios pueden tener UPN.
El nuevo comportamiento que habilita esta característica está en la parte de la nube de la canalización de sincronización, por lo que es independiente del cliente y es relevante para cualquier producto de sincronización de Microsoft, incluido Microsoft Entra Connect, DirSync y MIM + Connector. El término general "cliente de sincronización" se usará en este documento para representar cualquiera de estos productos.
Comportamiento actual
Si hay un intento de aprovisionar un nuevo objeto con un valor de UPN o ProxyAddress que infrinja esta restricción de unicidad, Microsoft Entra ID bloqueará la creación de ese objeto. Igualmente, si un objeto se actualiza con un UPN o ProxyAddress que no sea único, se producirá un error en la actualización. El cliente de sincronización reintenta el intento de aprovisionamiento o la actualización en cada ciclo de exportación y continúa produciendo un error hasta que se resuelva el conflicto. Se genera un correo electrónico de informe de errores tras cada intento y el cliente de sincronización registra un error.
Comportamiento con resistencia de atributos duplicados
En lugar de generar un error completo al aprovisionar o actualizar un objeto con un atributo duplicado, Microsoft Entra ID"pone en cuarentena" el atributo duplicado que infringe la restricción de unicidad. Si este atributo es necesario para el aprovisionamiento, como en el caso de UserPrincipalName, el servicio asigna un valor de marcador de posición. El formato de estos valores temporales es
<OriginalPrefix>+<4DigitNumber>@<InitialTenantDomain>.onmicrosoft.com.
El proceso de resistencia de atributos solo controla los valores ProxyAddress de UPN y SMTP.
Si el atributo no es necesario, como una ProxyAddress, el identificador de Microsoft Entra simplemente pone en cuarentena el atributo de conflicto y continúa con la creación o actualización del objeto.
Al poner en cuarentena el atributo, se envía información sobre el conflicto con el mismo correo electrónico de informe de errores utilizado en el comportamiento anterior. Sin embargo, esta información solo aparece una vez en el informe de errores; cuando se produce la cuarentena, deja de registrarse en correos electrónicos futuros. Además, dado que la exportación de este objeto se realiza correctamente, el cliente de sincronización no registra un error y no vuelve a intentar la operación de creación o actualización tras los ciclos de sincronización posteriores.
Para admitir este comportamiento, se agrega un nuevo atributo a las clases de objeto User, Group y Contact:
DirSyncProvisioningErrors
Se trata de un atributo multivalor que se utiliza para almacenar los atributos en conflicto que infringirían la restricción de unicidad si se agregaran normalmente. Una tarea del temporizador en segundo plano está habilitada en Microsoft Entra ID, que se ejecuta cada hora para buscar conflictos de atributos duplicados que se han resuelto y eliminar automáticamente de la cuarentena los atributos en cuestión.
Habilitación de resistencia de atributos duplicados
La resiliencia de atributos duplicados es el nuevo comportamiento predeterminado en todas las instancias de Microsoft Entra. Está activado de forma predeterminada para todos los inquilinos que habilitaron la sincronización por primera vez el 22 de agosto de 2016 o posterior. Los inquilinos que habilitan la sincronización antes de esta fecha tienen habilitada la característica en lotes. Este lanzamiento comenzó en septiembre de 2016 y se envía una notificación por correo electrónico al contacto de notificación técnica de cada inquilino con la fecha específica en que está habilitada la característica.
Nota:
Una vez activada la resistencia de atributos duplicados, no se puede deshabilitar.
Para comprobar si la característica está habilitada para su inquilino, puede hacerlo descargando la versión más reciente del módulo de PowerShell de Azure Active Directory y ejecutando lo siguiente:
Get-MsolDirSyncFeatures -Feature DuplicateUPNResiliency
Get-MsolDirSyncFeatures -Feature DuplicateProxyAddressResiliency
Nota:
Ya no puede utilizar el cmdlet Set-MsolDirSyncFeature para habilitar proactivamente la funcionalidad de resiliencia ante atributos duplicados antes de que se active para su entorno. Para poder probar la característica, deberá crear un nuevo inquilino de Microsoft Entra.
Nota:
Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lee la actualización de desuso. Desde esta fecha, el soporte de estos módulos se limita a la asistencia de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.
Se recomienda migrar a PowerShell de Microsoft Graph para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para preguntas comunes sobre la migración, consulta las Preguntas más frecuentes sobre migración. Nota: las versiones 1.0.x de MSOnline podrían experimentar interrupciones después del 30 de junio de 2024.
Identificación de objetos con el atributo DirSyncProvisioningErrors
Existen actualmente dos métodos para identificar los objetos que experimentan estos errores debido a conflictos de propiedad duplicada, Azure Active Directory PowerShell y el centro de administración de Microsoft 365. Existen planes de ampliación con informes adicionales basados en el portal para el futuro.
Azure Active Directory PowerShell
Para los cmdlets de PowerShell en este tema, las siguientes afirmaciones son verdaderas:
- Todos los cmdlets siguientes distinguen mayúsculas de minúsculas.
- Siempre se debe incluir –ErrorCategoryPropertyConflict . Actualmente no hay ningún otro tipo de ErrorCategory, pero esto se podría ampliar en el futuro.
En primer lugar, comience con la ejecución de Connect-MsolService y escriba las credenciales de un administrador de inquilinos.
A continuación, use los cmdlets y operadores siguientes para ver los errores de maneras diferentes:
- Ver todos
- Por tipo de propiedad
- Por valor en conflicto
- Mediante una búsqueda de cadena
- Ordenados
- En una cantidad limitada o todos
Ver todos
Una vez conectado, para ver una lista general de errores de aprovisionamiento de atributos en el inquilino ejecute:
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict
Esto genera un resultado similar al siguiente:
Por tipo de propiedad
Para ver los errores ordenados por tipo de propiedad, agregue la marca -PropertyName con el argumento UserPrincipalName o ProxyAddresses:
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName UserPrincipalName
Or
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName ProxyAddresses
Por valor en conflicto
Para ver los errores relativos a una propiedad específica, agregue la marca -PropertyValue ( -PropertyName se debe utilizar también al agregar esta marca):
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyValue User@domain.com -PropertyName UserPrincipalName
Mediante una búsqueda de cadena
Para realizar una búsqueda de cadenas amplia, use la marca -SearchString . Se puede utilizar independientemente de todas las marcas anteriores, con la excepción de -ErrorCategory PropertyConflict, que es obligatoria:
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -SearchString User
En una cantidad limitada o todos
- MaxResults <Int> se puede utilizar para limitar la consulta a un número específico de valores.
- All se puede utilizar para asegurarse de que todos los resultados se recuperan en caso de que exista un gran número de errores.
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -MaxResults 5
Centro de administración de Microsoft 365
Puede ver los errores de sincronización de directorios en el centro de administración de Microsoft 365. En el informe del centro de administración de Microsoft 365 solo aparecen los objetos User que presentan estos errores. No muestra información sobre los conflictos entre grupos y contactos.
Para obtener instrucciones acerca de cómo ver los errores de sincronización de directorios en el centro de administración de Microsoft 365, consulte Identificación de problemas de sincronización de directorios en Microsoft 365.
Informe de errores de sincronización de identidades
Cuando se controla un objeto con un conflicto de atributos duplicados con este nuevo comportamiento, se incluye una notificación en el correo electrónico estándar de informe de errores de sincronización de identidades que se envía al contacto de notificación técnica para el inquilino. Sin embargo, hay un cambio importante en este comportamiento. En el pasado, se incluía información sobre un conflicto de atributo duplicado en cada informe de errores posterior hasta que se resolvía el conflicto. Con este nuevo comportamiento, la notificación de error de un conflicto determinado solo aparece una vez en el momento en que se pone en cuarentena el atributo en conflicto.
Este es un ejemplo del aspecto de la notificación de correo electrónico si hay un conflicto de ProxyAddress:
Resolución de conflictos
La estrategia de solución de problemas y las tácticas de resolución de estos errores no deben diferir de la forma en que se controlaron los errores de atributo duplicados en el pasado. La única diferencia es que la tarea de temporizador limpiará el inquilino en el servicio para agregar automáticamente el atributo en cuestión al objeto adecuado una vez que se resuelva el conflicto.
En el siguiente artículo se describen diversas estrategias de solución de problemas: Atributos duplicados o no válidos evitan la sincronización de directorios en Office 365.
Problemas conocidos
Ninguno de estos problemas conocidos provoca la degradación del servicio o la pérdida de datos. Varios de ellos son estéticos, otros producen errores estándar de atributos duplicados de “resistencia previa” que se generan en lugar de poner en cuarentena el archivo en conflicto, y otros que provocan ciertos errores que requieren una solución manual adicional.
Comportamiento básico:
Los objetos con configuraciones de atributos específicos continúan recibiendo errores de exportación, en lugar de que los atributos duplicados se pongan en cuarentena.
Por ejemplo:a. Se crea un nuevo usuario en AD con Joe@contoso.com como valor de UPN y smtp:Joe@contoso.com como valor de ProxyAddress.
b. Las propiedades de este objeto entran en conflicto con un grupo existente, donde el valor de ProxyAddress es SMTP:Joe@contoso.com.
c. Tras la exportación, se produce un error de conflicto de ProxyAddress en lugar de poner los atributos en conflicto en cuarentena. Se reintenta la operación tras cada ciclo de sincronización posterior, como sucedía antes de que se habilitara la característica de resistencia.
Si se crean dos grupos locales con la misma dirección SMTP, uno no se podrá aprovisionar en el primer intento con un error estándar de atributo ProxyAddress duplicado. Sin embargo, el valor duplicado se pondrá en cuarentena correctamente en el siguiente ciclo de sincronización.
Informe del Portal de Office:
El mensaje de error detallado para dos objetos en un conjunto de conflictos de UPN es el mismo. Esto indica que se ha modificado o puesto en cuarentena el UPN de ambos cuando, en realidad, solo se modificaron los datos de uno de ellos.
El mensaje de error detallado de un conflicto de UPN muestra un displayName incorrecto para un usuario cuyo UPN ha cambiado o está en cuarentena. Por ejemplo:
a. El usuario A se sincroniza primero con UPN = User@contoso.com.
b. A continuación, se trata de sincronizar el usuario B con UPN = User@contoso.com.
c. El UPN del usuario B se cambia a User1234@contoso.onmicrosoft.com y User@contoso.com se agrega a DirSyncProvisioningErrors.
d. El mensaje de error para el usuario B debe indicar que el usuario A ya tiene User@contoso.com como UPN; no obstante, muestra el valor de nombreParaMostrar propio del usuario B.
Informe de errores de sincronización de identidades:
El vínculo de los pasos necesarios para resolver este problema no es correcto:
Debe apuntar a https://aka.ms/duplicateattributeresiliency.