Condividi tramite

Sincronizzazione delle identità e resilienza degli attributi duplicati

  • Articolo

La resilienza degli attributi duplicati è una funzionalità di Microsoft Entra ID che rimuove i conflitti causati da conflitti di UserPrincipalName e di SMTP ProxyAddress durante l'esecuzione con uno degli strumenti di sincronizzazione di Microsoft.

Questi due attributi devono essere univoci in tutti gli oggetti User, Groupo Contact in un determinato tenant di Microsoft Entra.

Nota

Solo gli utenti possono avere UPN.

Il nuovo comportamento abilitato da questa funzionalità si trova nella parte cloud della pipeline di sincronizzazione, pertanto è indipendente dal client e rilevante per qualsiasi prodotto di sincronizzazione Microsoft, tra cui Microsoft Entra Connect, DirSync e MIM + Connector. In questo documento si usa il termine generico "client di sincronizzazione" per rappresentare uno qualsiasi di questi prodotti.

Comportamento attuale

Se si tenta di effettuare il provisioning di un nuovo oggetto con un valore UPN o ProxyAddress che viola questo vincolo di univocità, Microsoft Entra ID blocca la creazione dell'oggetto. Analogamente, se un oggetto viene aggiornato con un valore UPN o ProxyAddress non univoco, l'aggiornamento non riesce. Il client di sincronizzazione ritenta il tentativo di provisioning o l'aggiornamento in ogni ciclo di esportazione e continua a non riuscire finché il conflitto non viene risolto. A ogni tentativo viene generato un messaggio di posta elettronica di segnalazione dell'errore e il client di sincronizzazione registra un errore.

Comportamento con resilienza degli attributi duplicati

Invece di non eseguire completamente il provisioning o l'aggiornamento di un oggetto con un attributo duplicato, l'ID Microsoft Entra "mette in quarantena" l'attributo duplicato che viola il vincolo di univocità. Se questo attributo è obbligatorio per il provisioning, ad esempio UserPrincipalName, il servizio assegna un valore segnaposto. Il formato di questi valori temporanei è
<OriginalePrefisso>+<Numero4Cifre>@<DominioInizialeTenant>.onmicrosoft.com.

Il processo di resilienza degli attributi gestisce solo i valori UPN e SMTP ProxyAddress .

Se l'attributo non è obbligatorio, ad esempio un ProxyAddress, Microsoft Entra ID mette semplicemente in quarantena l'attributo del conflitto e procede con la creazione o l'aggiornamento dell'oggetto.

Dopo aver messo in quarantena l'attributo, vengono inviate informazioni sul conflitto nello stesso messaggio di posta elettronica di segnalazione dell'errore usato nel comportamento precedente. Tuttavia, queste informazioni appaiono solo una volta nella segnalazione degli errori, quando si verifica la quarantena, e non continuano a essere registrate nelle email future. Inoltre, poiché l'esportazione per questo oggetto ha esito positivo, il client di sincronizzazione non registra un errore e non ritenta l'operazione di creazione/aggiornamento al successivo ciclo di sincronizzazione.

Per supportare questo comportamento, viene aggiunto un nuovo attributo alle classi di oggetti User, Group e Contact:
DirSyncProvisioningErrors

Questo è un attributo multivalore usato per archiviare gli attributi in conflitto che violerebbero il vincolo di univocità se fossero aggiunti normalmente. Un'attività timer in background è abilitata in Microsoft Entra ID e viene eseguita ogni ora per individuare i conflitti di attributi duplicati che sono stati risolti, rimuovendo automaticamente gli attributi in questione dalla quarantena.

Abilitazione della resilienza degli attributi duplicati

La resilienza degli attributi duplicati è il nuovo comportamento predefinito in tutti i tenant di Microsoft Entra. È attivata per impostazione predefinita per tutti i tenant che hanno abilitato la sincronizzazione per la prima volta il 22 agosto 2016 o versione successiva. I tenant che hanno abilitato la sincronizzazione prima di questa data hanno la funzionalità abilitata nei batch. Questa implementazione è iniziata nel settembre 2016 e viene inviata una notifica tramite posta elettronica al contatto tecnico di notifica di ogni tenant con la data specifica in cui la funzionalità è abilitata.

Nota

Una volta attivata la resilienza degli attributi duplicati, non è possibile disabilitarla.

Per verificare se la funzionalità è abilitata per il tenant, è possibile scaricare la versione più recente del modulo Azure Active Directory PowerShell ed eseguire i comandi seguenti:

Get-EntraDirSyncFeature -Feature DuplicateUPNResiliency

Get-EntraDirSyncFeature -Feature DuplicateProxyAddressResiliency

Nota

Non è possibile usare il cmdlet Set-EntraDirSyncFeature per abilitare in modo proattivo la funzionalità Di resilienza degli attributi duplicati prima che sia attivata per il tenant. Per poter testare la funzionalità, è necessario creare un nuovo tenant di Microsoft Entra.

Identificazione di oggetti con DirSyncProvisioningErrors

Esistono attualmente due metodi per identificare gli oggetti con questi errori dovuti a conflitti di proprietà duplicati, Microsoft Entra PowerShell e l'interfaccia di amministrazione di Microsoft 365 . In futuro si prevede di estendere la funzione di reportistica basata su portali aggiuntivi.

Microsoft Entra PowerShell

Per i cmdlet di PowerShell in questo argomento si applicano le condizioni seguenti:

  • Tutti i cmdlet seguenti fanno distinzione tra maiuscole e minuscole.

Per iniziare, eseguire Connect-Entra e immettere le credenziali per un amministratore tenant.

Usare quindi i cmdlet e gli operatori seguenti per visualizzare gli errori in modi diversi:

  1. Visualizzare tutto
  2. Per tipo di proprietà
  3. Per valore conflittuale
  4. Utilizzare una ricerca per stringa
  5. Ordinati
  6. in una quantità limitata

Visualizza tutto

Una volta connessi, per visualizzare un elenco generale di errori di provisioning degli attributi nel tenant, eseguire il comando:

Get-MsolDirSyncProvisioningError

Per tipo di proprietà

Per visualizzare gli errori in base al tipo di proprietà, specificare UserPrincipalName o ProxyAddresses:

Get-EntraDirectoryObjectOnPremisesProvisioningError | Where-Object PropertyCausingError -eq 'UserPrincipalName'

O

Get-EntraDirectoryObjectOnPremisesProvisioningError | Where-Object PropertyCausingError -eq 'ProxyAddresses'

Per valore conflittuale

Per visualizzare gli errori relativi a una proprietà specifica, aggiungere il valore :

Get-EntraDirectoryObjectOnPremisesProvisioningError | Where-Object PropertyCausingError -eq 'UserPrincipalName' | Where-Object Value -eq 'User@domain.com'

Per eseguire una ricerca di stringhe generale:

Get-EntraDirectoryObjectOnPremisesProvisioningError | Select-Object 'User@domain.com'

In una quantità limitata

Usare il comando seguente per limitare la query a un numero specifico di valori.

Get-EntraDirectoryObjectOnPremisesProvisioningError | Select-Object -First 10

Interfaccia di amministrazione di Microsoft 365

È possibile visualizzare gli errori di sincronizzazione della directory nell'interfaccia di amministrazione di Microsoft 365. Il report nella interfaccia di amministrazione di Microsoft 365 visualizza solo gli oggetti User con questi errori. Non visualizza informazioni sui conflitti tra Gruppi e Contatti.

Screenshot che mostra gli errori di sincronizzazione della directory nella interfaccia di amministrazione di Microsoft 365.

Per istruzioni su come visualizzare gli errori di sincronizzazione della directory nella interfaccia di amministrazione di Microsoft 365, vedere Identificare gli errori di sincronizzazione della directory in Microsoft 365.

Segnalazione dell'errore di sincronizzazione delle identità

Quando un oggetto con un conflitto di attributi duplicati viene gestito con questo nuovo comportamento, una notifica viene inclusa nell'email standard per la segnalazione degli errori di sincronizzazione delle identità, inviata al contatto tecnico per le notifiche del tenant. Questo comportamento include tuttavia una modifica importante. In passato le informazioni su un conflitto di attributi duplicati sarebbero state incluse nelle segnalazioni di errore successive, fino alla risoluzione del conflitto. Con questo nuovo comportamento la notifica di errore per un determinato conflitto viene visualizzata solo una volta, nel momento in cui l'attributo in conflitto viene messo in quarantena.

Di seguito è riportato un esempio dell'aspetto della notifica di posta elettronica per un conflitto relativo a ProxyAddress:
Screenshot che mostra un esempio di notifica per un conflitto ProxyAddress tramite posta elettronica.

Risoluzione dei conflitti

Le strategie e tattiche di risoluzione per questi errori non devono differire dal modo in cui gli errori di attributo duplicati sono stati gestiti in passato. L'unica differenza è che il compito del timer passa attraverso il tenant dal lato del servizio per aggiungere automaticamente l'attributo in questione all'oggetto appropriato una volta risolto il conflitto.

L'articolo seguente descrive varie strategie di risoluzione dei problemi e degli errori: Gli attributi duplicati o non validi impediscono la sincronizzazione delle directory in Office 365.

Problemi noti

Nessuno di questi problemi noti causa perdite di dati o la riduzione delle prestazioni del servizio. Alcuni sono di tipo estetico, altri causano la generazione di errori di attributi duplicati di tipo "pre-resilienza" standard invece di mettere in quarantena l'attributo in conflitto e altri ancora causano la richiesta di correzioni manuali aggiuntive per determinati errori.

Comportamento di base:

  1. Per gli oggetti con configurazioni di attributo specifiche continuano a verificarsi errori di esportazione, diversamente dagli attributi duplicati che vengono messi in quarantena.
    Ad esempio:

    a. Il nuovo utente viene creato in AD con un UPN di Joe@contoso.com e proxyAddress smtp:Joe@contoso.com

    b. Le proprietà di questo oggetto sono in conflitto con un gruppo esistente, dove ProxyAddress è SMTP:Joe@contoso.com.

    c. Al momento dell'esportazione viene generato un errore per un conflitto di ProxyAddress , invece di mettere in quarantena gli attributi in conflitto. L'operazione viene ritentata durante ogni ciclo di sincronizzazione successivo, come avveniva prima dell'abilitazione della funzionalità di resilienza.

  2. Se in sede vengono creati due gruppi con lo stesso indirizzo SMTP, uno non riesce a eseguire il provisioning al primo tentativo con un errore duplicato ProxyAddress standard. Il valore duplicato viene tuttavia messo correttamente in quarantena al successivo ciclo di sincronizzazione.

Report del portale di Office:

  1. Il messaggio di errore dettagliato per due oggetti in un set di conflitti UPN è lo stesso. Ciò indica che per entrambi l'UPN è stato modificato o messo in quarantena, mentre in realtà i dati sono stati modificati solo per uno di essi.

  2. Il messaggio di errore dettagliato per un conflitto UPN mostra il displayName errato per un utente il cui UPN è stato modificato/messo in quarantena. Ad esempio:

    a. User A viene sincronizzato prima con UPN = User@contoso.com.

    b. Viene quindi provata la sincronizzazione di User B con UPN = User@contoso.com.

    c. L'UPN di User B UPN viene modificato in User1234@contoso.onmicrosoft.com e User@contoso.com viene aggiunto a DirSyncProvisioningErrors.

    d. Il messaggio di errore per User B dovrebbe indicare che User A ha già User@contoso.com come UPN, ma mostra il displayName di User B.

Segnalazione dell'errore di sincronizzazione delle identità:

Il collegamento per i passaggi per risolvere il problema non è corretto:
Utenti attivi

Dovrebbe puntare a https://aka.ms/duplicateattributeresiliency.

Vedi anche