Compartir a través de

No se pueden administrar ni quitar objetos que se sincronizaron a través de la herramienta de sincronización de Azure Active Directory

  • Artículo

En este artículo se describe un problema que no se puede administrar ni quitar objetos creados a través de la sincronización de directorios de Microsoft Entra ID. Proporciona dos resoluciones para este problema según diferentes razones.

Versión del producto original: Cloud Services (roles web/roles de trabajo), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Número de KB original: 2619062

Síntomas

Intenta administrar o quitar manualmente objetos creados a través de la sincronización de directorios de Microsoft Entra ID:

Por ejemplo, quiere quitar una cuenta de usuario huérfana que se sincronizó con el id. de Microsoft Entra de su Active Directory local Domain Services (AD DS).

En este escenario, no se puede quitar la cuenta de usuario huérfana mediante el portal de servicios en la nube de Microsoft en Office 365, Azure o Microsoft Intune, o mediante Windows PowerShell.

Causa

Este problema puede producirse si se cumplen una o varias de las condiciones siguientes:

  • AD DS local ya no está disponible. Por lo tanto, no puede administrar ni eliminar el objeto del entorno local.
  • Ha eliminado un objeto de AD DS local. Sin embargo, el objeto no se eliminó de la organización del servicio en la nube. Este comportamiento es inesperado.

Solución

AD DS local ya no está disponible. Por lo tanto, no puede administrar ni eliminar el objeto del entorno local.

Quiere administrar objetos en Office 365, Azure o Intune y ya no desea usar la sincronización de directorios.

Nota:

Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lee la actualización de desuso. Desde esta fecha, el soporte de estos módulos se limita a la asistencia de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.

Se recomienda migrar a PowerShell de Microsoft Graph para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para preguntas comunes sobre la migración, consulta las Preguntas más frecuentes sobre migración. Nota: versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.

  1. Si no ejecuta Windows 10, instale la versión de 64 bits del Asistente para inicio de sesión de Microsoft Online Services: Asistente para inicio de sesión de Microsoft Online Services para profesionales de TI RTW.

  2. Instale el módulo Microsoft Azure Active Directory para Windows PowerShell:

    1. Abra un símbolo del sistema de Windows PowerShell con privilegios elevados (ejecute Windows PowerShell como administrador).
    2. Ejecute el comando Install-Module MSOnline.

  3. Para deshabilitar la sincronización de directorios, ejecute el siguiente comando:

     Set-MsolDirSyncEnabled -EnableDirSync $false

  4. Compruebe que la sincronización de directorios estaba totalmente deshabilitada mediante Windows PowerShell. Para ello, ejecute el siguiente comando periódicamente:

     (Get-MSOLCompanyInformation).DirectorySynchronizationEnabled

    Este comando devolverá True o False. Continúe ejecutando este comando periódicamente hasta que devuelva False y, a continuación, vaya al paso siguiente.

    La desactivación puede tardar 72 horas en completarse. El tiempo depende del número de objetos que se encuentran en la cuenta de suscripción de servicio en la nube.

  5. Intente actualizar un objeto mediante Windows PowerShell o mediante el portal de servicios en la nube.

    El paso 4 puede tardar un tiempo en completarse. Hay un proceso en el entorno de servicio en la nube que calcula los valores de atributo. El proceso debe completarse para que los objetos se puedan cambiar mediante Windows PowerShell o mediante el portal de servicios en la nube.

Se elimina un objeto de un AD DS local. Sin embargo, el objeto no se elimina de la cuenta de suscripción de servicio en la nube.

Forzar la sincronización de directorios mediante los pasos descritos en este artículo: Iniciar el programador

  • Si se propagan algunas actualizaciones y eliminaciones, pero algunas eliminaciones no se sincronizan con el servicio en la nube, siga los procedimientos habituales de solución de problemas de sincronización de directorios.

  • Si todas las actualizaciones y eliminaciones no se sincronizan con el servicio en la nube, póngase en contacto con el soporte técnico.

    Nota:

    Como solución alternativa para este escenario, un objeto se puede eliminar manualmente en el servicio en la nube. Sin embargo, el objeto no se puede actualizar en el servicio en la nube. Para obtener más información sobre cómo resolver este problema, consulte el siguiente artículo de Microsoft Knowledge Base: Las eliminaciones de objetos no se sincronizan con el identificador de Microsoft Entra al usar la herramienta Azure Active Directory Sync.  

Más información

Para volver a habilitar la sincronización de directorios, ejecute el siguiente comando:

Set-MsolDirSyncEnabled -EnableDirSync $true

Es importante planear cuidadosamente al volver a habilitar la sincronización de directorios. Si usó el portal de servicios en la nube o Windows PowerShell para realizar cambios directamente en los objetos que se sincronizaron originalmente desde AD DS local, los cambios se sobrescribirán mediante atributos locales y la configuración la primera vez que se produzca la sincronización después de que se vuelva a habilitar la sincronización de directorios.

Ponte en contacto con nosotros para obtener ayuda

Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.