Microsoft Entra Connect Sync : gestion des erreurs LargeObject provoquées par l'attribut userCertificate
Microsoft Entra ID applique une limite maximale de 15 valeurs de certificat sur l'attribut userCertificate. Si Microsoft Entra Connect exporte un objet avec plus de 15 valeurs vers Microsoft Entra ID, Microsoft Entra ID renvoie une erreur LargeObject avec le message :
« L’objet approvisionné est trop volumineux. Réduisez le nombre de valeurs d’attribut sur cet objet. L’opération sera retentée lors du prochain cycle de synchronisation... »
L’erreur LargeObject peut provenir d’autres attributs AD. Pour vérifier qu’elle est bien causée par l’attribut userCertificate, vous devez la confronter à l’objet dans le service AD local ou dans la Recherche métaverse de Synchronization Service Manager.
Pour obtenir la liste des objets de votre client comportant des erreurs LargeObject, appliquez l’une des méthodes suivantes :
Si votre locataire est activé pour Microsoft Entra Connect Health pour la synchronisation, vous pouvez vous référer au rapport d'erreur de synchronisation fourni.
L’onglet Opérations de Synchronization Service Manager affiche la liste des objets avec des erreurs LargeObject si vous cliquez sur la dernière opération Exporter vers Microsoft Entra.
Options de correction
Jusqu'à ce que l'erreur LargeObject soit résolue, les autres modifications d'attribut apportées au même objet ne peuvent pas être exportées vers Microsoft Entra ID. Pour résoudre l’erreur, vous pouvez envisager les options suivantes :
Mettre à jour Microsoft Entra Connect vers la version 1.1.524.0 ou ultérieure. Dans la build 1.1.524.0 de Microsoft Entra Connect, les règles de synchronisation out-of-box ont été mises à jour de sorte que les attributs userCertificate et userSMIMECertificate ne soient pas exportés s’ils contiennent plus 15 valeurs. Pour plus de détails sur la mise à niveau de Microsoft Entra Connect, reportez-vous à l'article Microsoft Entra Connect : Mise à niveau d'une version précédente vers la dernière version.
Implémentez une règle de synchronisation sortante dans Microsoft Entra Connect qui exporte une valeur nulle au lieu des valeurs réelles pour les objets comportant plus de 15 valeurs de certificat. Cette option convient si vous n'exigez pas qu'aucune des valeurs de certificat soit exportée vers Microsoft Entra ID pour les objets comportant plus de 15 valeurs. Pour plus d’informations sur l’implémentation de cette règle de synchronisation, reportez-vous à la section suivante, Implémenter des règles de synchronisation pour limiter l’exportation de l’attribut userCertificate.
Réduire le nombre de valeurs de certificat sur l’objet AD local (15 au plus) en supprimant les valeurs qui ne sont plus utilisées par votre organisation. Cette option est adaptée si la multiplication des attributs est provoquée par des certificats expirés ou non utilisés. Vous pouvez utiliser l’applet de commandeRemove-ADSyncToolsExpiredCertificates pour trouver, sauvegarder et supprimer les certificats arrivés à expiration dans votre service AD local. Nous vous recommandons, avant de supprimer les certificats, de consulter les administrateurs de l’infrastructure de clé publique de votre organisation.
Configurez Microsoft Entra Connect pour exclure l'attribut userCertificate de l'exportation vers Microsoft Entra ID. En règle générale, nous déconseillons cette option, car l’attribut peut être utilisé par Microsoft Online Services pour certains scénarios, En particulier :
L’attribut userCertificate de l’objet utilisateur est utilisé par les clients Outlook et Exchange Online pour le chiffrement et la signature des messages. Pour en savoir plus sur cette fonctionnalité, reportez-vous à l’article S/MIME pour le chiffrement et la signature des messages.
L’attribut userCertificate sur l’objet Computer est utilisé par Microsoft Entra ID pour permettre aux appareils Windows 10 joints au domaine sur site de se connecter à Microsoft Entra ID. Pour en savoir plus sur cette fonctionnalité, veuillez vous référer à l'article Connecter les appareils appartenant à un domaine à Microsoft Entra ID pour les expériences Windows 10.
Implémenter la règle de synchronisation pour limiter l’exportation de l’attribut userCertificate
Pour résoudre l'erreur LargeObject provoquée par l'attribut userCertificate, vous pouvez implémenter une règle de synchronisation sortante dans Microsoft Entra Connect qui exporte une valeur nulle au lieu des valeurs réelles pour les objets comportant plus de 15 valeurs de certificat. Cette section décrit la procédure nécessaire pour implémenter la règle de synchronisation pour les objets User. Les étapes peuvent être adaptées pour les objets Contact et Computer.
Important
L’exportation d’une valeur nulle supprime les valeurs de certificat précédemment exportées avec succès vers Microsoft Entra ID.
La procédure peut se résumer ainsi :
- Désactiver le planificateur de synchronisation et vérifier qu'aucune synchronisation n’est en cours.
- Rechercher la règle de synchronisation sortante existante pour l’attribut userCertificate.
- Créer la règle de synchronisation sortante qui s’impose.
- Vérifier la nouvelle règle de synchronisation sur un objet existant comportant l’erreur LargeObject.
- Appliquer la nouvelle règle de synchronisation aux objets restants avec l’erreur LargeObject.
- Vérifiez qu’aucune modification inattendue n’attend d’être exportée vers Microsoft Entra ID.
- Exportez les modifications vers Microsoft Entra ID.
- Réactiver le planificateur de synchronisation.
Étape 1 : Désactiver le planificateur de synchronisation et vérifier qu'aucune synchronisation n’est en cours
Assurez-vous qu’aucune synchronisation n’a lieu pendant que vous êtes en train de mettre en œuvre une nouvelle règle de synchronisation pour éviter que des modifications involontaires soient exportées vers Microsoft Entra ID. Pour désactiver le planificateur de synchronisation intégré :
Démarrez la session PowerShell sur le serveur Microsoft Entra Connect.
Désactivez la synchronisation planifiée en exécutant l’applet de commande :
Set-ADSyncScheduler -SyncCycleEnabled $false
Remarque
Les étapes précédentes ne s’appliquent qu’aux versions récentes (1.1.xxx.x) de Microsoft Entra Connect avec le planificateur intégré. Si vous utilisez des versions plus anciennes (1.0.xxx.x) de Microsoft Entra Connect, qui utilisent le planificateur de tâches Windows, ou votre propre planificateur personnalisé (peu courant) pour déclencher une synchronisation périodique, vous devez les désactiver en conséquence.
Lancez Synchronization Service Manager en accédant au menu DÉMARRER → Service de synchronisation.
Accédez à l’onglet Opérations et confirmez qu’aucune opération n’est à l’état « En cours ».
Étape 2 : Recherchez la règle de synchronisation sortante existante pour l'attribut userCertificate
Il doit exister une règle de synchronisation existante activée et configurée pour exporter l’attribut userCertificate pour les objets User vers Microsoft Entra ID. Localisez cette règle de synchronisation pour déterminer sa configuration de filtre d’étendue et de priorité :
Lancez Synchronization Rules Editor dans le menu DÉMARRER → Éditeur de règles de synchronisation.
Configurez les filtres de recherche en appliquant les valeurs suivantes :
Attribut Valeur Sens Sortante Type d'objet MV Person Connecteur nom de votre connecteur Microsoft Entra Type d’objet de connecteur user Attribut MV userCertificate Si vous utilisez des règles de synchronisation OOB (prêtes à l'emploi) avec le connecteur Microsoft Entra pour exporter l'attribut userCertificate pour les objets User, vous devez récupérer la règle « Out to Microsoft Entra ID – User ExchangeOnline ».
Notez la valeur de priorité de cette règle de synchronisation.
Sélectionnez la règle de synchronisation et cliquez sur Modifier.
Dans la boîte de dialogue contextuelle « Modifier la confirmation de règle réservée » , cliquez sur Non. (Ne vous inquiétez pas, nous n’allons pas apporter de modifications à cette règle de synchronisation).
Dans l’écran de modification, sélectionnez l’onglet Filtre d’étendue.
Notez la configuration du filtre d’étendue. Si vous utilisez la règle de synchronisation OOB, il doit y avoir exactement un groupe de filtres d’étendue comportant deux clauses, notamment :
Attribut Opérateur Valeur sourceObjectType EQUAL Utilisateur cloudMastered NOTEQUAL True
Étape 3 : Créez la règle de synchronisation sortante requise
La nouvelle règle de synchronisation doit avoir le même filtre d’étendue et une priorité plus élevée que la règle de synchronisation existante. Cela garantit que la nouvelle règle de synchronisation s’applique au même jeu d’objets que la règle de synchronisation existante, et la remplace pour l’attribut userCertificate. Pour créer la règle de synchronisation :
Dans l’éditeur de règles de synchronisation, cliquez sur le bouton Ajouter une nouvelle règle.
Sous l’onglet Description, fournissez la configuration suivante :
Attribut Valeur Détails Nom Donnez-lui un nom Par exemple, « Vers Microsoft Entra ID – Remplacement personnalisé pour userCertificate » Description Fournissez une description Ex. « Si l’attribut userCertificate comporte plus de 15 valeurs, exporter NULL » Système connecté Sélectionnez le connecteur Microsoft Entra Type d’objet système connecté user Type d’objet métaverse person Type de lien Join Priorité Choisissez un nombre compris entre 1 et 99 Le nombre sélectionné ne doit pas être utilisé par une règle de synchronisation existante ; il doit avoir une valeur inférieure à celle de la règle de synchronisation existante (et, par conséquent, une priorité plus élevée). Accédez à l’onglet Filtre d’étendue et implémentez le filtre d’étendue utilisé par la règle de synchronisation existante.
Ignorez l’onglet Règles de jointure.
Accédez à l’onglet Transformations pour ajouter une nouvelle transformation selon la configuration suivante :
Attribut Valeur Type de flux Expression Attribut cible userCertificate Attribut source Utilisez l’expression suivante : IIF(IsNullOrEmpty([userCertificate]), NULL, IIF((Count([userCertificate])> 15),AuthoritativeNull,[userCertificate]))
Cliquez sur le bouton Ajouter pour créer la règle de synchronisation.
Étape 4 : Vérifiez la nouvelle règle de synchronisation sur un objet existant avec une erreur LargeObject
Il s’agit de vérifier que la règle de synchronisation créée fonctionne correctement sur un objet AD existant comportant une erreur LargeObject, avant de l’appliquer à d’autres objets :
- Accédez à l’onglet Opérations dans Synchronization Service Manager.
- Sélectionnez l’opération d’exportation vers Microsoft Entra la plus récente et cliquez sur l’un des objets contenant des erreurs LargeObject.
- Dans l’écran contextuel de propriétés de l’objet CS (Connector Space), cliquez sur le bouton Aperçu.
- Dans l’écran contextuel Aperçu, sélectionnez Synchronisation complète et cliquez sur Valider l’aperçu.
- Fermez l’écran Aperçu et l’écran Propriétés de l’objet CS.
- Accédez à l’onglet Connecteurs dans Synchronization Service Manager.
- Cliquez avec le bouton droit sur le connecteur Microsoft Entra ID et sélectionnez Exécuter...
- Dans la fenêtre contextuelle Exécuter le connecteur, sélectionnez l’étape Exporter et cliquez sur OK.
- Attendez la fin de l'exportation vers Microsoft Entra ID et confirmez qu'il n'y a plus d'erreur LargeObject sur cet objet spécifique.
Étape 5 : Appliquer la nouvelle règle de synchronisation aux objets restants avec une erreur LargeObject
Une fois la règle de synchronisation ajoutée, vous devez lancer une étape de synchronisation complète sur le connecteur AD :
- Accédez à l’onglet Connecteurs dans Synchronization Service Manager.
- Cliquez avec le bouton droit sur le connecteur AD et sélectionnez Exécuter...
- Dans la fenêtre contextuelle Exécuter le connecteur, sélectionnez l’étape Synchronisation complète et cliquez sur OK.
- Attendez la fin de l’étape de synchronisation complète.
- Répétez les étapes ci-dessus pour les autres connecteurs AD si vous en avez plusieurs. En règle générale, plusieurs connecteurs sont requis si vous avez plusieurs annuaires locaux.
Étape 6 : Vérifiez qu’aucune modification inattendue n’attend d’être exportée vers Microsoft Entra ID
- Accédez à l’onglet Connecteurs dans Synchronization Service Manager.
- Cliquez avec le bouton droit sur le connecteur Microsoft Entra ID et sélectionnez Rechercher un espace de connecteur.
- Dans la fenêtre contextuelle Rechercher dans l’espace connecteur :
- Définissez l’étendue sur En attente d’exportation.
- Cochez les trois cases : Ajouter, Modifier et Supprimer.
- Cliquez sur le bouton Rechercher pour renvoyer tous les objets avec des modifications en attente d'exportation vers Microsoft Entra ID.
- Vérifiez l’absence de modification inattendue. Pour examiner les modifications d’un objet donné, double-cliquez sur l’objet.
Étape 7 : Exporter les modifications vers Microsoft Entra ID
Pour exporter les modifications vers Microsoft Entra ID :
- Accédez à l’onglet Connecteurs dans Synchronization Service Manager.
- Cliquez avec le bouton droit sur le connecteur Microsoft Entra ID et sélectionnez Exécuter...
- Dans la fenêtre contextuelle Exécuter le connecteur, sélectionnez l’étape Exporter et cliquez sur OK.
- Attendez la fin de l’exportation vers Microsoft Entra ID et confirmez qu’il n’y a plus d’erreurs LargeObject.
Étape 8 : Réactiver le planificateur de synchronisation
Maintenant que le problème est résolu, réactivez le planificateur de synchronisation intégré :
- Lancez une session PowerShell.
- Réactivez la synchronisation planifiée en exécutant l’applet de commande :
Set-ADSyncScheduler -SyncCycleEnabled $true
Remarque
Les étapes précédentes ne s’appliquent qu’aux versions récentes (1.1.xxx.x) de Microsoft Entra Connect avec le planificateur intégré. Si vous utilisez des versions plus anciennes (1.0.xxx.x) de Microsoft Entra Connect, qui utilisent le planificateur de tâches Windows, ou votre propre planificateur personnalisé (peu courant) pour déclencher une synchronisation périodique, vous devez les désactiver en conséquence.
Étapes suivantes
Explorez plus en détail l’Intégration de vos identités locales avec Microsoft Entra ID.