Sincronizzazione Microsoft Entra Connect: gestione degli errori LargeObject causati dall'attributo userCertificate

Microsoft Entra ID applica un limite massimo di 15 valori di certificato nell'attributo userCertificate. Se Microsoft Entra Connect esporta un oggetto con più di 15 valori in Microsoft Entra ID, Microsoft Entra ID restituisce un errore LargeObject con messaggio:

"L'oggetto di cui è stato effettuato il provisioning è troppo grande. Tagliare il numero di valori di attributo su questo oggetto. L'operazione verrà ritentata nel ciclo di sincronizzazione successivo..."

L'errore LargeObject può essere causato da altri attributi di Active Directory. Per confermare che la causa sia l'attributo userCertificate, verifica l'oggetto o in Active Directory locale o nella ricerca metaverse di Synchronization Service Manager .

Per ottenere l'elenco degli oggetti nel tuo tenant con errori LargeObject, usa uno dei metodi seguenti:

• Se il tenant è abilitato per Microsoft Entra Connect Health per la sincronizzazione, è possibile fare riferimento al report fornito sugli errori di sincronizzazione .

• La scheda Operazioni di Synchronization Service Manager visualizza l'elenco degli oggetti che presentano errori del tipo LargeObject quando si seleziona l'operazione di esportazione più recente in Microsoft Entra.

Opzioni di mitigazione

Finché l'errore LargeObject non viene risolto, non è possibile esportare altre modifiche apportate allo stesso oggetto in Microsoft Entra ID. Per risolvere l'errore, è possibile considerare le opzioni seguenti:

• Aggiornare Microsoft Entra Connect alla build 1.1.524.0 o successiva. In Microsoft Entra Connect build 1.1.524.0 le regole di sincronizzazione predefinite sono state aggiornate per non esportare attributi userCertificate e userSMIMECertificate se gli attributi hanno più di 15 valori. Per informazioni dettagliate su come aggiornare Microsoft Entra Connect, vedere l'articolo Microsoft Entra Connect: Eseguire l'aggiornamento da una versione precedente alla versione più recente.

• Implementare una regola di sincronizzazione in uscita in Microsoft Entra Connect che esporta un valore null anziché i valori effettivi per gli oggetti con più di 15 valori di certificato. Questa opzione è adatta se non è necessario esportare alcun valore del certificato in Microsoft Entra ID per gli oggetti con più di 15 valori. Per informazioni dettagliate su come implementare questa regola di sincronizzazione, vedere la sezione successiva Implementazione della regola di sincronizzazione per limitare l'esportazione dell'attributo userCertificate.

• Ridurre il numero di valori di certificato nell'oggetto AD locale (almeno 15) rimuovendo i valori non più in uso dall'organizzazione. Questa opzione è adatta se i certificati scaduti o inutilizzati causano un sovraccarico degli attributi. È possibile usare il cmdlet Remove-ADSyncToolsExpiredCertificates per trovare, eseguire il backup ed eliminare i certificati scaduti in AD locale. Prima di eliminare i certificati, è consigliabile verificare con gli amministratori del gruppo Public-Key-Infrastructure nella vostra organizzazione.

• Configurare Microsoft Entra Connect per escludere l'attributo userCertificate dall'esportazione in Microsoft Entra ID. In generale, questa opzione non è consigliata perché l'attributo può essere usato da Microsoft Online Services per abilitare scenari specifici. Soprattutto:

  • L'attributo userCertificate nell'oggetto User viene utilizzato dai client Exchange Online e Outlook per la firma e la crittografia dei messaggi. Per altre informazioni su questa funzionalità, vedere l'articolo S/MIME per la firma e la crittografia dei messaggi.

  • L'attributo userCertificate nell'oggetto Computer viene usato da Microsoft Entra ID per consentire ai dispositivi Windows 10 appartenenti a un dominio locale di connettersi all'ID Microsoft Entra. Per ulteriori informazioni su questa funzionalità, vedere l'articolo Connettere dispositivi associati a un dominio a Microsoft Entra ID per esperienze Windows 10.

Implementazione della regola di sincronizzazione per limitare l'esportazione dell'attributo userCertificate

Per risolvere l'errore LargeObject causato dall'attributo userCertificate, è possibile implementare una regola di sincronizzazione in uscita in Microsoft Entra Connect che esporta un valore null anziché i valori effettivi per gli oggetti con più di 15 valori di certificato. In questa sezione vengono descritti i passaggi necessari per implementare la regola di sincronizzazione per gli oggetti utente . I passaggi possono essere adattati per gli oggetti Contact e Computer.

Importante

L'esportazione di valori null rimuove i valori del certificato che erano stati precedentemente esportati con successo in Microsoft Entra ID.

I passaggi possono essere riepilogati come segue:

1. Disabilitare l'utilità di pianificazione della sincronizzazione e verificare che non sia in corso alcuna sincronizzazione.
2. Trovare la regola di sincronizzazione in uscita esistente per l'attributo userCertificate.
3. Creare la regola di sincronizzazione in uscita obbligatoria.
4. Verificare la nuova regola di sincronizzazione su un oggetto esistente con errore di tipo LargeObject.
5. Applicare la nuova regola di sincronizzazione agli oggetti rimanenti con errore LargeObject.
6. Verificare che non siano presenti modifiche impreviste in attesa di essere esportate in Microsoft Entra ID.
7. Esportare le modifiche in Microsoft Entra ID.
8. Riabilitare il pianificatore della sincronizzazione.

Passaggio 1: Disabilitare l'utilità di pianificazione della sincronizzazione e verificare che non sia in corso alcuna sincronizzazione

Assicurarsi che non venga eseguita alcuna sincronizzazione durante l'implementazione di una nuova regola di sincronizzazione per evitare modifiche impreviste esportate in Microsoft Entra ID. Per disabilitare l'utilità di pianificazione della sincronizzazione predefinita:

1. Avviare la sessione di PowerShell nel server Microsoft Entra Connect.

2. Disabilitare la sincronizzazione pianificata eseguendo il cmdlet : Set-ADSyncScheduler -SyncCycleEnabled $false

Nota

I passaggi precedenti sono applicabili solo alle versioni più recenti (1.1.xxx.x) di Microsoft Entra Connect con l'utilità di pianificazione predefinita. Se si usano versioni precedenti (1.0.xxx.x) di Microsoft Entra Connect che usa l'Utilità di pianificazione di Windows o si usa un'utilità di pianificazione personalizzata (non comune) per attivare la sincronizzazione periodica, è necessario disabilitarle di conseguenza.

1. Avviare il Synchronization Service Manager andando su AVVIA → Servizio di Sincronizzazione.

2. Passare alla scheda Operazioni e assicurarsi che non ci siano operazioni il cui stato sia "in corso".

Passaggio 2: Trovare la regola di sincronizzazione in uscita esistente per l'attributo userCertificate

Deve esserci una regola di sincronizzazione esistente, abilitata e configurata per esportare l'attributo userCertificate per gli oggetti utente in Microsoft Entra ID. Individua questa regola di sincronizzazione per scoprire la precedenza e e la configurazione del filtro di ambito .

1. Avvia l'Editor regole di sincronizzazione andando su AVVIA → Editor regole di sincronizzazione.

2. Configurare i filtri di ricerca con i valori seguenti:

   Attributo	Valore
   Direzione	in uscita
   Tipo di oggetto MV	persona
   Connettore	nome del tuo connettore Microsoft Entra
   Tipo di oggetto Connettore	utente
   Attributo MV	certificatoUtente

3. Se si usano regole di sincronizzazione OOB (predefinite) con il connettore Microsoft Entra per esportare l'attributo userCertificate per gli oggetti User, è necessario tornare alla regola "Out to Microsoft Entra ID – User ExchangeOnline" regola.

4. Annota il valore di precedenza di questa regola di sincronizzazione.

5. Selezionare la regola di sincronizzazione e selezionare Modifica.

6. Nella finestra di dialogo popup "Modifica conferma regola riservata" selezionare No. (Non preoccuparti, non verrà apportata alcuna modifica a questa regola di sincronizzazione).

7. Nella schermata di modifica selezionare la scheda Filtro di ambito.

8. Prendere nota della configurazione del filtro di ambito. Se si usa la regola di sincronizzazione OOB, deve essere presente esattamente un gruppo di filtri di ambito contenente due clausole, tra cui:

   Attributo	Operatore	Valore
   sourceObjectType	UGUALE	Utente
   cloudMastered	NOTAQUAL	Vero

Passaggio 3: Creare la regola di sincronizzazione in uscita obbligatoria

La nuova regola di sincronizzazione deve avere lo stesso filtro di ambito e una precedenza superiore rispetto alla regola di sincronizzazione esistente. In questo modo, la nuova regola di sincronizzazione viene applicata allo stesso set di oggetti della regola di sincronizzazione esistente ed esegue l'override della regola di sincronizzazione esistente per l'attributo userCertificate. Per creare la regola di sincronizzazione:

1. Nell'Editor regole di sincronizzazione selezionare il pulsante Aggiungi nuova regola.

2. Nella scheda Descrizione specificare la configurazione seguente:

   Attributo	Valore	Dettagli
   Nome	Specificare un nome	Ad esempio, "Out to Microsoft Entra ID – Custom override for userCertificate"
   Descrizione	Fornire una descrizione	Ad esempio, "Se l'attributo userCertificate ha più di 15 valori, esportare NULL".
   Sistema connesso	Selezionare il connettore Microsoft Entra
   Tipo di oggetto del sistema connesso	utente
   Tipo di oggetto Metaverse	persona
   Tipo di collegamento	Unisciti
   Precedenza	Scelta di un numero compreso tra 1 e 99	Il numero scelto non deve essere usato da alcuna regola di sincronizzazione esistente e ha un valore inferiore (e pertanto, precedenza superiore) rispetto alla regola di sincronizzazione esistente.

3. Passare alla scheda filtro di ambito e implementare lo stesso filtro di ambito usato dalla regola di sincronizzazione esistente.

4. Ignorare la scheda regole di join.

5. Passare alla scheda Trasformazioni per aggiungere una nuova trasformazione usando la configurazione seguente:

   Attributo	Valore
   Tipo di flusso	espressione
   Attributo di destinazione	userCertificate
   Attributo di origine	Usare l'espressione seguente: IIF(IsNullOrEmpty([userCertificate]), NULL, IIF((Count([userCertificate])> 15),AuthoritativeNull,[userCertificate]))

6. Selezionare il pulsante Aggiungi per creare la regola di sincronizzazione.

Passaggio 4: Verificare la nuova regola di sincronizzazione in un oggetto esistente con errore LargeObject

Ciò consente di verificare che la regola di sincronizzazione creata funzioni correttamente su un oggetto AD esistente con errore LargeObject prima di applicarla ad altri oggetti:

1. Passare alla scheda Operazioni in Synchronization Service Manager.
2. Selezionare l'operazione Esporta in Microsoft Entra più recente e selezionare uno degli oggetti con errori LargeObject.
3. Nella schermata popup Proprietà oggetto spazio connettore, selezionare il pulsante anteprima.
4. Nella schermata popup Anteprima, selezionare Sincronizzazione completa e selezionare Commit Preview.
5. Chiudere la schermata Anteprima e la schermata Proprietà oggetto spazio connettore.
6. Passare alla scheda Connettori in Synchronization Service Manager.
7. Fare clic con il tasto destro sul Connettore Microsoft Entra ID e selezionare Esegui...
8. Nella finestra di dialogo Esegui connettore, selezionare il passaggio Esporta e selezionare OK.
9. Attendere il completamento dell'esportazione in Microsoft Entra ID e verificare che non siano presenti altri errori LargeObject per questo oggetto specifico.

Passaggio 5: Applicare la nuova regola di sincronizzazione agli oggetti rimanenti con errore LargeObject

Dopo aver aggiunto la regola di sincronizzazione, è necessario eseguire un passaggio di sincronizzazione completo in AD Connector:

1. Vai alla scheda Connettori in Synchronization Service Manager.
2. Fare clic con il pulsante destro del mouse su AD Connector e selezionare Esegui...
3. Nella finestra popup Esegui connettore, selezionare il passaggio Sincronizzazione Completa e quindi selezionare OK.
4. Attendere che la fase di Sincronizzazione completa sia terminata.
5. Ripetere i passaggi precedenti per i connettori AD rimanenti se sono presenti più connettori di Active Directory. In genere, sono necessari più connettori se sono presenti più directory locali.

Passaggio 6: Verificare che non siano presenti modifiche impreviste in attesa di essere esportate in Microsoft Entra ID

1. Passare alla scheda Connettori nel Synchronization Service Manager.
2. Selezionare con il pulsante destro del Connettore Microsoft Entra ID e selezionare Spazio del connettore di ricerca.
3. Nella finestra popup Search Connector Space (Spazio connettore di ricerca):
   1. Impostare Ambito su Esportazione in sospeso .
   2. Selezionare tutte e 3 le caselle di controllo, tra cui Aggiungi, Modificae Elimina.
   3. Selezionare il pulsante Cerca per visualizzare tutti gli oggetti con modifiche in attesa di essere esportati in Microsoft Entra ID.
   4. Verificare che non siano presenti modifiche impreviste. Per esaminare le modifiche per un determinato oggetto, selezionare due volte sull'oggetto .

Passaggio 7: Esportare le modifiche in Microsoft Entra ID

Per esportare le modifiche apportate all'ID Microsoft Entra:

1. Passare alla scheda Connettori in Synchronization Service Manager.
2. Selezionare con il pulsante destro del Connettore Microsoft Entra ID e selezionare Esegui...
3. Nella finestra popup Esegui connettore selezionare passaggio Esporta e selezionare OK.
4. Attendere il completamento dell'esportazione in Microsoft Entra ID e verificare che non vi siano più errori di tipo LargeObject.

Passaggio 8: Riattivare la pianificazione della sincronizzazione

Ora che il problema è stato risolto, riabilitare l'utilità di pianificazione della sincronizzazione predefinita:

1. Avviare la sessione di PowerShell.
2. Riabilitare la sincronizzazione pianificata eseguendo il cmdlet : Set-ADSyncScheduler -SyncCycleEnabled $true

Nota

I passaggi precedenti sono applicabili solo alle versioni più recenti (1.1.xxx.x) di Microsoft Entra Connect con l'utilità di pianificazione predefinita. Se si usano versioni precedenti (1.0.xxx.x) di Microsoft Entra Connect che usa l'Utilità di pianificazione di Windows o si usa un'utilità di pianificazione personalizzata (non comune) per attivare la sincronizzazione periodica, è necessario disabilitarle di conseguenza.

Passaggi successivi

Scopri di più su L'integrazione delle identità locali con Microsoft Entra ID.