Condividi tramite


Sincronizzazione delle identità e resilienza degli attributi duplicati

La resilienza degli attributi duplicati è una funzionalità di Microsoft Entra ID che eliminerà l'attrito causato dai conflitti UserPrincipalName e SMTP ProxyAddress durante l'esecuzione di uno degli strumenti di sincronizzazione di Microsoft.

Questi due attributi sono in genere necessari per essere univoci in tutti gli oggetti User, Group o Contact in un determinato tenant di Microsoft Entra.

Nota

Solo gli oggetti User possono avere UPN.

Il nuovo comportamento abilitato da questa funzionalità si trova nella parte cloud della pipeline di sincronizzazione, pertanto è indipendente dal client e rilevante per qualsiasi prodotto di sincronizzazione Microsoft, tra cui Microsoft Entra Connect, DirSync e MIM + Connector. In questo documento si usa il termine generico "client di sincronizzazione" per rappresentare uno qualsiasi di questi prodotti.

Comportamento attuale

Se si tenta di effettuare il provisioning di un nuovo oggetto con un valore UPN o ProxyAddress che viola questo vincolo di univocità, Microsoft Entra ID blocca la creazione dell'oggetto. Analogamente, se un oggetto viene aggiornato con un valore UPN o ProxyAddress non univoco, l'aggiornamento non riesce. Il tentativo di provisioning o aggiornamento viene ripetuto dal client di sincronizzazione a ogni ciclo di esportazione e continua a non riuscire fino a quando il conflitto non viene risolto. A ogni tentativo viene generato un messaggio di posta elettronica di segnalazione dell'errore e il client di sincronizzazione registra un errore.

Comportamento con resilienza degli attributi duplicati

Invece di non eseguire completamente il provisioning o l'aggiornamento di un oggetto con un attributo duplicato, l'ID Microsoft Entra "mette in quarantena" l'attributo duplicato che viola il vincolo di univocità. Se questo attributo è obbligatorio per il provisioning, ad esempio UserPrincipalName, il servizio assegna un valore segnaposto. Il formato di questi valori temporanei è
<OriginalPrefix>+<4DigitNumber>@<InitialTenantDomain.onmicrosoft.com>.

Il processo di resilienza degli attributi gestisce solo i valori UPN e SMTP ProxyAddress .

Se l'attributo non è obbligatorio, ad esempio un ProxyAddress, Microsoft Entra ID mette semplicemente in quarantena l'attributo in conflitto e procede con la creazione o l'aggiornamento dell'oggetto.

Dopo aver messo in quarantena l'attributo, vengono inviate informazioni sul conflitto nello stesso messaggio di posta elettronica di segnalazione dell'errore usato nel comportamento precedente. Queste informazioni vengono però visualizzate nella segnalazione dell'errore una sola volta, al momento dell'inserimento in quarantena, e non continuano a essere registrate nei messaggi di posta elettronica futuri. Poiché l'esportazione di questo oggetto è riuscita, il client di sincronizzazione non registra un errore e non prova a ripetere l'operazione di creazione o aggiornamento nei cicli di sincronizzazione successivi.

Per supportare questo comportamento è stato aggiunto un nuovo attributo alle classi di oggetti User, Group e Contact:
DirSyncProvisioningErrors

Questo è un attributo multivalore usato per archiviare gli attributi in conflitto che violerebbero il vincolo di univocità se fossero aggiunti normalmente. Un'attività timer in background è stata abilitata in Microsoft Entra ID che viene eseguito ogni ora per cercare conflitti di attributi duplicati risolti e rimuove automaticamente gli attributi in questione dalla quarantena.

Abilitazione della resilienza degli attributi duplicati

La resilienza degli attributi duplicati sarà il nuovo comportamento predefinito in tutti i tenant di Microsoft Entra. Per impostazione predefinita, tale comportamento sarà attivato per tutti i tenant con prima sincronizzazione abilitata a partire dal 22 agosto 2016. Per i tenant in cui la sincronizzazione è stata abilitata prima di questa data, la funzionalità è abilitata in batch. L'avvio di questa implementazione è previsto per settembre 2016 e ogni contatto per le notifiche tecniche riceverà un messaggio di posta elettronica con la data specifica in cui la funzionalità verrà abilitata.

Nota

Dopo che è stata attivata, la resilienza degli attributi duplicati non può essere disabilitata.

Per verificare se la funzionalità è abilitata per il tenant, è possibile scaricare la versione più recente del modulo Azure Active Directory PowerShell ed eseguire i comandi seguenti:

Get-MsolDirSyncFeatures -Feature DuplicateUPNResiliency

Get-MsolDirSyncFeatures -Feature DuplicateProxyAddressResiliency

Nota

Non è più possibile usare il cmdlet Set-MsolDirSyncFeature per abilitare proattivamente la funzionalità Resilienza degli attributi duplicati prima che sia attivata per il tenant. Per poter testare la funzionalità, è necessario creare un nuovo tenant di Microsoft Entra.

Nota

I moduli Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per maggiori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza alla migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, consultare le Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.

Identificazione di oggetti con DirSyncProvisioningErrors

Esistono attualmente due metodi per identificare gli oggetti con questi errori dovuti a conflitti di proprietà duplicati, Azure Active Directory PowerShell e l'interfaccia di amministrazione di Microsoft 365. In futuro è prevista l'estensione ad altri portali in base alle segnalazioni.

Azure Active Directory PowerShell

Per i cmdlet di PowerShell in questo argomento si applicano le condizioni seguenti:

  • Tutti i cmdlet seguenti fanno distinzione tra maiuscole e minuscole.
  • È necessario includere sempre –ErrorCategory PropertyConflict . Non sono attualmente disponibili altri tipi di ErrorCategory, ma potrebbero essere estesi in futuro.

Per iniziare, eseguire prima di tutto Connect-MsolService e immettere le credenziali di amministratore tenant.

Usare quindi i cmdlet e gli operatori seguenti per visualizzare gli errori in modi diversi:

  1. Visualizzare tutto
  2. Per tipo di proprietà
  3. Per valore in conflitto
  4. Tramite una stringa di ricerca
  5. Ordinati
  6. Una quantità limitata o tutti

Visualizza tutto

Una volta connessi, per visualizzare un elenco generale di errori di provisioning degli attributi nel tenant, eseguire:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict

Viene generato un risultato simile al seguente:
Get-MsolDirSyncProvisioningError

Per tipo di proprietà

Per visualizzare gli errori per tipo di proprietà, aggiungere il flag -PropertyName con l'argomento UserPrincipalName o ProxyAddresses:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName UserPrincipalName

O

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName ProxyAddresses

Per valore in conflitto

Per visualizzare gli errori relativi a una proprietà specifica, aggiungere il flag -PropertyValue. Quando si aggiunge questo flag, è necessario usare anche -PropertyName:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyValue User@domain.com -PropertyName UserPrincipalName

Per eseguire una ricerca di stringhe estesa, usare il flag -SearchString . Può essere usato separatamente da tutti i flag precedenti, ad eccezione di -ErrorCategory PropertyConflictche è sempre obbligatorio:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -SearchString User

Una quantità limitata o tutti

  1. MaxResults <Int> può essere usato per limitare la query a un numero specifico di valori.
  2. All può essere usato per garantire il recupero di tutti i risultati nel caso sia presente un numero di errori elevato.

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -MaxResults 5

Interfaccia di amministrazione di Microsoft 365

È possibile visualizzare gli errori di sincronizzazione della directory nell'interfaccia di amministrazione di Microsoft 365. Il report nella interfaccia di amministrazione di Microsoft 365 visualizza solo gli oggetti User con questi errori. Non vengono visualizzate informazioni sui conflitti tra Gruppi e Contatti.

Screenshot che mostra gli errori di sincronizzazione della directory nella interfaccia di amministrazione di Microsoft 365.

Per istruzioni su come visualizzare gli errori di sincronizzazione della directory nella interfaccia di amministrazione di Microsoft 365, vedere Identificare gli errori di sincronizzazione della directory in Microsoft 365.

Segnalazione dell'errore di sincronizzazione delle identità

Quando un oggetto con un conflitto di attributi duplicati viene gestito con questo nuovo comportamento, nel messaggio di posta elettronica standard di segnalazione dell'errore di sincronizzazione delle identità inviato al contatto per le comunicazioni tecniche del tenant viene inclusa una notifica. Questo comportamento include tuttavia una modifica importante. In passato le informazioni su un conflitto di attributi duplicati sarebbe stato incluso in tutte le segnalazioni degli errori successive, fino alla risoluzione del conflitto. Con questo nuovo comportamento la notifica di errore per un determinato conflitto viene visualizzata solo una volta, nel momento in cui l'attributo in conflitto viene messo in quarantena.

Di seguito è riportato un esempio dell'aspetto della notifica di posta elettronica per un conflitto relativo a ProxyAddress:
Screenshot che mostra un esempio di notifica tramite posta elettronica per un conflitto proxyAddress.

Risoluzione dei conflitti

La strategia di risoluzione dei problemi e le tattiche per risolvere questi errori non dovranno essere diverse dal modo in cui venivano gestiti in passato gli errori relativi agli attributi duplicati. L'unica differenza è che l'attività timer scorre il tenant sul lato del servizio per aggiungere automaticamente l'attributo in questione all'oggetto corretto dopo la risoluzione del conflitto.

L'articolo seguente descrive varie strategie di risoluzione dei problemi e degli errori: Gli attributi duplicati o non validi impediscono la sincronizzazione delle directory in Office 365.

Problemi noti

Nessuno di questi problemi noti causa perdite di dati o la riduzione delle prestazioni del servizio. Alcuni sono di tipo estetico, altri causano la generazione di errori di attributi duplicati di tipo "pre-resilienza" standard invece di mettere in quarantena l'attributo in conflitto e altri ancora causano la richiesta di correzioni manuali aggiuntive per determinati errori.

Comportamento di base:

  1. Per gli oggetti con configurazioni di attributo specifiche continuano a verificarsi errori di esportazione, diversamente dagli attributi duplicati che vengono messi in quarantena.
    Ad esempio:

    a. Il nuovo utente viene creato in AD con un UPN di Joe@contoso.com e proxyAddress smtp:Joe@contoso.com

    b. Le proprietà di questo oggetto sono in conflitto con un gruppo esistente, dove ProxyAddress è SMTP:Joe@contoso.com.

    c. Al momento dell'esportazione viene generato un errore per un conflitto di ProxyAddress , invece di mettere in quarantena gli attributi in conflitto. L'operazione viene ritentata durante ogni ciclo di sincronizzazione successivo, come avveniva prima dell'abilitazione della funzionalità di resilienza.

  2. Se in locale vengono creati due gruppi con lo stesso indirizzo SMTP, uno non riesce a effettuare il provisioning al primo tentativo, con un errore duplicato ProxyAddress standard. Il valore duplicato viene tuttavia messo correttamente in quarantena al successivo ciclo di sincronizzazione.

Report del portale di Office:

  1. Il messaggio di errore dettagliato per due oggetti in un set di conflitti UPN è lo stesso. Ciò indica che per entrambi l'UPN è stato modificato o messo in quarantena, mentre in realtà i dati sono stati modificati solo per uno di essi.

  2. Il messaggio di errore dettagliato per un conflitto di UPN mostra il valore displayName errato per un utente il cui UPN è stato modificato o messo in quarantena. Ad esempio:

    a. User A viene sincronizzato prima con UPN = User@contoso.com.

    b. Viene quindi provata la sincronizzazione di User B con UPN = User@contoso.com.

    c. L'UPN di User B UPN viene modificato in User1234@contoso.onmicrosoft.com e User@contoso.com viene aggiunto a DirSyncProvisioningErrors.

    d. Il messaggio di errore per User B indicherà che per User A esiste già User@contoso.com come UPN, ma visualizza il valore displayName di User B.

Segnalazione dell'errore di sincronizzazione delle identità:

Il collegamento per i passaggi per risolvere il problema non è corretto:
Utenti attivi

Dovrebbe puntare a https://aka.ms/duplicateattributeresiliency.

Vedi anche