Microsoft Entra Connect Sync : gestion des erreurs LargeObject provoquées par l’attribut userCertificate

Microsoft Entra ID applique une limite maximale de 15 valeurs de certificat sur l'attribut userCertificate. Si Microsoft Entra Connect exporte un objet avec plus de 15 valeurs vers l’ID Microsoft Entra, l’ID Microsoft Entra retourne une erreur LargeObject avec le message :

« L’objet provisionné est trop grand. Supprimez le nombre de valeurs d’attribut sur cet objet. L’opération sera retentée dans le prochain cycle de synchronisation...

L’erreur LargeObject peut être due à d’autres attributs AD. Pour vérifier qu’elle est causée par l’attribut userCertificate, confrontez-la à l’objet dans le service AD local ou dans la Recherche métaverse de Synchronization Service Manager.

Pour obtenir la liste des objets de votre locataire avec des erreurs LargeObject, utilisez l’une des méthodes suivantes :

• Si votre locataire est activé pour Microsoft Entra Connect Health pour la synchronisation, vous pouvez vous référer au rapport d'erreur de synchronisation fourni.

• L’onglet Opérations du Gestionnaire de service de synchronisation affiche la liste des objets ayant des erreurs liées aux grands objets si vous sélectionnez la dernière opération d'exportation vers Microsoft Entra.

Options d’atténuation

Tant que l’erreur LargeObject n’est pas résolue, les autres modifications d’attribut apportées au même objet ne peuvent pas être exportées vers l’ID Microsoft Entra. Pour résoudre l’erreur, vous pouvez prendre en compte les options suivantes :

• Mettez à niveau Microsoft Entra Connect pour générer la version 1.1.524.0 ou après. Dans Microsoft Entra Connect build 1.1.524.0, les règles de synchronisation prêtes à l’emploi ont été mises à jour pour ne pas exporter les attributs userCertificate et userSMIMECertificate si les attributs ont plus de 15 valeurs. Pour plus d’informations sur la mise à niveau de Microsoft Entra Connect, reportez-vous à l’article Microsoft Entra Connect : Mettre à niveau à partir d’une version précédente vers la dernière.

• Implémentez une règle de synchronisation sortante dans Microsoft Entra Connect qui exporte une valeur null au lieu des valeurs réelles pour les objets avec plus de 15 valeurs de certificat. Cette option convient si vous n’avez pas besoin d’une des valeurs de certificat à exporter vers l’ID Microsoft Entra pour les objets avec plus de 15 valeurs. Pour plus d’informations sur l’implémentation de cette règle de synchronisation, reportez-vous à la section suivante Implémentation de la règle de synchronisation pour limiter l’exportation de l’attribut userCertificate.

• Réduisez le nombre de valeurs de certificat sur l’objet AD local (15 ou moins) en supprimant les valeurs qui ne sont plus utilisées par votre organisation. Ceci est approprié si des certificats expirés ou inutilisés provoquent une surcharge d’attributs. Vous pouvez utiliser l’applet de commande Remove-ADSyncToolsExpiredCertificates pour vous aider à rechercher, sauvegarder et supprimer des certificats expirés dans votre ad local. Nous vous recommandons, avant de supprimer les certificats, de consulter les administrateurs de l’infrastructure de clé publique de votre organisation.

• Configurez Microsoft Entra Connect pour exclure l’attribut userCertificate d’être exporté vers l’ID Microsoft Entra. En général, nous vous déconseillons cette option, car l’attribut peut être utilisé par Microsoft Online Services pour activer des scénarios spécifiques. En particulier:

  • L’attribut userCertificate sur l’objet Utilisateur est utilisé par les clients Exchange Online et Outlook pour la signature et le chiffrement des messages. Pour en savoir plus sur cette fonctionnalité, reportez-vous à l’article S/MIME pour la signature de messages et le chiffrement.

  • L’attribut userCertificate sur l’objet Ordinateur est utilisé par Microsoft Entra ID pour autoriser les appareils Windows 10 reliés à un domaine local à se connecter à Microsoft Entra ID. Pour en savoir plus sur cette fonctionnalité, consultez l'article Connexion des appareils joints à un domaine avec Microsoft Entra ID pour améliorer les expériences sous Windows 10.

Implémentation d’une règle de synchronisation pour limiter l’exportation de l’attribut userCertificate

Pour résoudre l’erreur LargeObject provoquée par l’attribut userCertificate, vous pouvez implémenter une règle de synchronisation sortante dans Microsoft Entra Connect qui exporte une valeur null au lieu des valeurs réelles des objets avec plus de 15 valeurs de certificat. Cette section décrit les étapes requises pour implémenter la règle de synchronisation pour les objets Utilisateur. Les étapes peuvent être adaptées pour les objets Contact et Computer.

Important

L’exportation de la valeur Null supprime les valeurs de certificat précédemment exportées avec succès vers l’ID Microsoft Entra.

Les étapes peuvent être résumées comme suit :

1. Désactivez le planificateur de synchronisation et vérifiez qu’aucune synchronisation n’est en cours.
2. Recherchez la règle de synchronisation sortante existante pour l’attribut userCertificate.
3. Créez la règle de synchronisation sortante requise.
4. Vérifiez la nouvelle règle de synchronisation sur un objet existant avec une erreur LargeObject.
5. Appliquez la nouvelle règle de synchronisation aux objets restants avec une erreur LargeObject.
6. Vérifiez qu’aucune modification inattendue n’est en attente d’être exportée vers l’ID Microsoft Entra.
7. Exportez les modifications apportées à l’ID Microsoft Entra.
8. Réactivez le planificateur de synchronisation.

Étape 1 : Désactiver le planificateur de synchronisation et vérifier qu’aucune synchronisation n’est en cours

Vérifiez qu’aucune synchronisation n’a lieu pendant que vous êtes au milieu de l’implémentation d’une nouvelle règle de synchronisation pour éviter les modifications involontaires exportées vers l’ID Microsoft Entra. Pour désactiver le planificateur de synchronisation intégré :

1. Démarrez la session PowerShell sur le serveur Microsoft Entra Connect.

2. Désactiver la synchronisation planifiée en exécutant l’applet de commande : Set-ADSyncScheduler -SyncCycleEnabled $false

Remarque

Les étapes précédentes s’appliquent uniquement aux versions plus récentes (1.1.xxx.x) de Microsoft Entra Connect avec le planificateur intégré. Si vous utilisez des versions antérieures (1.0.xxx.x) de Microsoft Entra Connect qui utilisent le planificateur de tâches Windows ou que vous utilisez votre propre planificateur personnalisé (pas courant) pour déclencher la synchronisation périodique, vous devez les désactiver en conséquence.

1. Démarrez le Synchronization Service Manager en accédant au service de synchronisation START →.

2. Accédez à l’onglet Opérations de et vérifiez qu’il n’existe aucune opération dont l’état est « en cours ».

Étape 2 : Rechercher la règle de synchronisation sortante existante pour l’attribut userCertificate

Il doit y avoir une règle de synchronisation existante activée et configurée pour exporter l’attribut userCertificate pour les objets utilisateur vers l’ID Microsoft Entra. Localisez cette règle de synchronisation pour déterminer sa configuration de filtre d’étendue et de priorité :

1. Démarrez l’éditeur de règles de synchronisation en accédant à l’éditeur de règles de synchronisation START →.

2. Configurez les filtres de recherche avec les valeurs suivantes :

   Attribut	Valeur
   Sens	Sortante
   Type d'objet MV	Person
   Connecteur	nom de votre connecteur Microsoft Entra
   Type d’objet de connecteur	user
   Attribut MV	userCertificate

3. Si vous utilisez des règles de synchronisation OOB (prêtes à l’emploi) vers le connecteur Microsoft Entra pour exporter l’attribut userCertificate pour les objets utilisateur, vous devriez récupérer la règle « Out to Microsoft Entra ID – User ExchangeOnline ».

4. Notez la valeur de priorité de cette règle de synchronisation.

5. Sélectionnez la règle de synchronisation et sélectionnez Modifier.

6. Dans la boîte de dialogue contextuelle « Modifier la confirmation des règles réservées », sélectionnez Non. (Ne vous inquiétez pas, nous n’allons apporter aucune modification à cette règle de synchronisation).

7. Dans l’écran de modification, sélectionnez l’onglet Filtre d’étendue.

8. Notez la configuration du filtre d’étendue. Si vous utilisez la règle de synchronisation OOB, il doit y avoir exactement un groupe de filtres d’étendue comportant deux clauses, notamment :

   Attribut	Opérateur	Valeur
   sourceObjectType	ÉGAL	Utilisateur
   cloudMastered	NOTEQUAL	Vrai

Étape 3 : Créer la règle de synchronisation sortante requise

La nouvelle règle de synchronisation doit avoir le même filtre d’étendue et une priorité plus élevée que la règle de synchronisation existante. Cela garantit que la nouvelle règle de synchronisation s’applique au même ensemble d’objets que la règle de synchronisation existante et remplace la règle de synchronisation existante pour l’attribut userCertificate. Pour créer la règle de synchronisation :

1. Dans l’Éditeur de règles de synchronisation, sélectionnez le bouton Ajouter une nouvelle règle.

2. Sous l’onglet Description , fournissez la configuration suivante :

   Attribut	Valeur	Détails
   Nom	Fournir un nom	Par exemple, « Vers Microsoft Entra ID – Remplacement personnalisé pour userCertificate »
   Description	Fournir une description	Par exemple, « Si l’attribut userCertificate a plus de 15 valeurs, exportez NULL ».
   Système connecté	Sélectionner le connecteur Microsoft Entra
   Type d’objet système connecté	user
   Type d’objet metaverse	person
   Type de lien	rejoignez
   Préséance	choisir un nombre compris entre 1 et 99	Le nombre choisi ne doit pas être utilisé par une règle de synchronisation existante et a une valeur inférieure (et par conséquent, une priorité plus élevée) que la règle de synchronisation existante.

3. Accédez à l’onglet filtre d’étendue et implémentez le même filtre d’étendue que la règle de synchronisation existante utilise.

4. Ignorez l’onglet Règles de jointure.

5. Accédez à l’onglet transformations pour ajouter une nouvelle transformation à l’aide de la configuration suivante :

   Attribut	Valeur
   Type de flux	Expression
   Attribut cible	userCertificate
   Attribut source	Utiliser l’expression suivante: IIF(IsNullOrEmpty([userCertificate]), NULL, IIF((Count([userCertificate])> 15),AuthoritativeNull,[userCertificate]))

6. Sélectionnez le bouton Ajouter pour créer la règle de synchronisation.

Étape 4 : Vérifier la nouvelle règle de synchronisation sur un objet existant avec une erreur LargeObject

Pour vérifier que la règle de synchronisation créée fonctionne correctement sur un objet AD existant avec une erreur LargeObject avant de l’appliquer à d’autres objets :

1. Accédez à l’onglet Operations dans le Gestionnaire de service de synchronisation.
2. Sélectionnez l’opération Exporter vers Microsoft Entra la plus récente, puis sélectionnez l’un des objets avec des erreurs LargeObject.
3. Dans l’écran contextuel de propriétés de l’objet CS (Connector Space), sélectionnez le bouton Aperçu.
4. Dans l’écran contextuel Aperçu, sélectionnez Synchronisation complète et sélectionnez Aperçu Validation.
5. Fermez l’écran Aperçu et l’écran Propriétés de l’objet CS.
6. Accédez à l’onglet Connecteurs dans le Gestionnaire de service de synchronisation.
7. Cliquez avec le bouton droit sur le connecteur Microsoft Entra ID et sélectionnez Exécuter...
8. Dans la fenêtre contextuelle Exécuter le connecteur, sélectionnez l’étape Exporter et sélectionnez OK.
9. Attendez que l’exportation vers l’ID Microsoft Entra se termine et vérifiez qu’il n’y a plus d’erreur LargeObject sur cet objet spécifique.

Étape 5 : Appliquer la nouvelle règle de synchronisation aux objets restants avec une erreur LargeObject

Une fois la règle de synchronisation ajoutée, vous devez exécuter une étape de synchronisation complète sur le connecteur AD :

1. Accédez à l’onglet Connecteurs dans le Gestionnaire de service de synchronisation.
2. Cliquez avec le bouton droit sur le connecteur AD et sélectionnez Exécuter...
3. Dans la fenêtre contextuelle Exécuter le connecteur, sélectionnez l’étape Synchronisation complète et sélectionnezOK.
4. Attendez que l’étape de synchronisation complète se termine.
5. Répétez les étapes ci-dessus pour les connecteurs AD restants si vous avez plusieurs connecteurs AD. En règle générale, plusieurs connecteurs sont requis si vous avez plusieurs répertoires locaux.

Étape 6 : Vérifier qu’aucune modification inattendue n’est en attente d’être exportée vers l’ID Microsoft Entra

1. Accédez à l’onglet Connecteurs dans le Gestionnaire de service de synchronisation.
2. Cliquez avec le bouton droit sur le connecteur Microsoft Entra ID et sélectionnez Rechercher un espace de connecteur.
3. Dans la fenêtre contextuelle Rechercher dans l’espace connecteur :
   1. Définissez l’étendue sur En attente d’exportation.
   2. Cochez les 3 cases, y compris Ajouter, Modifieret Supprimer.
   3. Sélectionnez le bouton Rechercher pour renvoyer tous les objets avec des modifications en attente d'exportation vers Microsoft Entra ID.
   4. Vérifiez qu’aucune modification inattendue n’est apportée. Pour examiner les modifications d’un objet donné, double-sélectionnez l’objet.

Étape 7 : Exporter les modifications apportées à l’ID Microsoft Entra

Pour exporter les modifications apportées à l’ID Microsoft Entra :

1. Accédez à l’onglet Connecteurs dans le Gestionnaire de service de synchronisation.
2. Cliquez avec le bouton droit sur le connecteur Microsoft Entra ID et sélectionnez Exécuter...
3. Dans la fenêtre contextuelle Exécuter le connecteur, sélectionnez l’étape Exporter et sélectionnez OK.
4. Attendez que l’exportation vers l’ID Microsoft Entra se termine et vérifiez qu’il n’y a plus d’erreurs LargeObject.

Étape 8 : réactiver le planificateur de synchronisation

Maintenant que le problème est résolu, réactivez le planificateur de synchronisation intégré :

1. Démarrez la session PowerShell.
2. Réactivez la synchronisation planifiée en exécutant l’applet de commande : Set-ADSyncScheduler -SyncCycleEnabled $true

Remarque

Les étapes précédentes s’appliquent uniquement aux versions plus récentes (1.1.xxx.x) de Microsoft Entra Connect avec le planificateur intégré. Si vous utilisez des versions antérieures (1.0.xxx.x) de Microsoft Entra Connect qui utilisent le planificateur de tâches Windows ou que vous utilisez votre propre planificateur personnalisé (pas courant) pour déclencher la synchronisation périodique, vous devez les désactiver en conséquence.

Étapes suivantes

En savoir plus sur l'intégration de vos identités sur site avec Microsoft Entra ID.