Delen via

Identiteitssynchronisatie en veerkracht voor dubbele attributen

  • Artikel

Dubbele Attribuutbestendigheid is een functie in Microsoft Entra ID die wrijving elimineert veroorzaakt door UserPrincipalName en SMTP ProxyAddress conflicten bij het uitvoeren van een van de synchronisatiehulpprogramma's van Microsoft.

Deze twee kenmerken moeten uniek zijn voor alle User, Groupof Contact opnemen objecten in een bepaalde Microsoft Entra-tenant.

Notitie

Alleen gebruikers kunnen UPN's hebben.

Het nieuwe gedrag dat door deze functie wordt ingeschakeld, bevindt zich in het cloudgedeelte van de synchronisatiepijplijn, daarom is het clientneutraal en relevant voor elk Microsoft-synchronisatieproduct, waaronder Microsoft Entra Connect, DirSync en MIM + Connector. De algemene term 'synchronisatieclient' wordt in dit document gebruikt om naar een van deze producten verwijzen.

Huidig gedrag

Als er een poging is om een nieuw object in te richten met een UPN- of ProxyAddress-waarde die deze uniekheidsbeperking schendt, dan wordt dat object door Microsoft Entra ID niet aangemaakt. Als een object wordt bijgewerkt met een niet-unieke UPN of ProxyAddress, mislukt de update. De synchronisatieclient probeert de inrichtingspoging of update opnieuw uit te voeren bij elke exportcyclus en blijft mislukken totdat het conflict is opgelost. Er wordt bij elke poging een e-mail met een foutenrapport gegenereerd en er wordt een fout geregistreerd door de synchronisatieclient.

Gedrag bij veerkracht voor dubbele attributen

In plaats van een object volledig niet in te richten of bij te werken met een duplicaatkenmerk, plaatst Microsoft Entra ID het dubbele kenmerk in quarantaine die de beperking voor uniekheid schendt. Als dit kenmerk, zoals *UserPrincipalName*, vereist is voor de inrichting, kent de service een tijdelijke waarde toe. De indeling van deze tijdelijke waarden is
<OriginalPrefix>+<4DigitNumber>@<InitialTenantDomain>.onmicrosoft.com.

Het kenmerktolerantieproces verwerkt alleen de ProxyAddress-waarden voor UPN en SMTP.

Als het kenmerk niet vereist is, zoals een ProxyAddress, zet Microsoft Entra ID het conflictkenmerk in quarantaine terwijl het object wordt aangemaakt of bijgewerkt.

Wanneer het kenmerk in quarantaine wordt geplaatst, wordt er informatie over het conflict verzonden via dezelfde e-mail met foutenrapport als voor het oude gedrag. Deze gegevens worden echter slechts één keer weergegeven in het foutenrapport wanneer de quarantaine plaatsvindt. Ze worden niet in toekomstige e-mailberichten geregistreerd. Omdat de export voor dit object is geslaagd, wordt er geen fout vastgelegd door de synchronisatieclient en wordt de bewerking voor maken/bijwerken niet opnieuw uitgevoerd bij volgende synchronisatiecycli.

Ter ondersteuning van dit gedrag wordt een nieuw kenmerk toegevoegd aan de objectklassen Gebruiker, Groep en Contactpersoon:
DirSyncProvisioningErrors

Dit is een kenmerk met meerdere waarden. Het wordt gebruikt om de conflicterende kenmerken op te slaan die de uniciteitsbeperking zouden schenden als ze normaal zouden worden toegevoegd. Een achtergrondtimertaak is ingeschakeld in Microsoft Entra-id die elk uur wordt uitgevoerd om te zoeken naar dubbele kenmerkconflicten die zijn opgelost en verwijdert automatisch de betreffende kenmerken uit quarantaine.

Inschakelen van bestendigheid tegen dubbele attributen

Gestandaardiseerde weerbaarheid tegen dubbele kenmerken is het nieuwe standaardgedrag voor alle Microsoft Entra-tenants. Deze functie is standaard ingeschakeld voor alle tenants die synchronisatie voor de eerste keer hebben ingeschakeld op 22 augustus 2016 of hoger. Tenants die synchronisatie vóór deze datum hebben ingeschakeld, hebben de functie ingeschakeld in batches. Deze implementatie is gestart in september 2016 en er wordt een e-mailmelding verzonden naar de contactpersoon voor technische meldingen van elke tenant met de specifieke datum waarop de functie is ingeschakeld.

Notitie

Zodra duplicaatkenmerkentolerantie is ingeschakeld, kan deze niet worden uitgeschakeld.

Als u wilt controleren of de functie is ingeschakeld voor uw tenant, kunt u dit doen door de nieuwste versie van de Azure Active Directory PowerShell-module te downloaden en uit te voeren:

Get-EntraDirSyncFeature -Feature DuplicateUPNResiliency

Get-EntraDirSyncFeature -Feature DuplicateProxyAddressResiliency

Notitie

U kunt de cmdlet Set-EntraDirSyncFeature niet gebruiken om proactief de functie Tolerantie voor dubbele kenmerken in te schakelen voordat deze is ingeschakeld voor uw tenant. Als u de functie wilt testen, moet u een nieuwe Microsoft Entra-tenant maken.

Objecten met DirSyncProvisioningErrors identificeren

Er zijn momenteel twee methoden om objecten te identificeren die deze fouten hebben vanwege dubbele eigenschapsconflicten, Microsoft Entra PowerShell en het Microsoft 365-beheercentrum. Er zijn plannen om in de toekomst uit te breiden naar aanvullende portalgebaseerde rapportage.

Microsoft Entra PowerShell

Voor de PowerShell-cmdlets in dit onderwerp geldt het volgende:

  • Alle de volgende cmdlets zijn hoofdlettergevoelig.

Ga eerst aan de slag door Connect-Entra- uit te voeren en referenties in te voeren voor een tenantbeheerder.

Gebruik vervolgens de volgende cmdlets en operators om fouten op verschillende manieren weer te geven:

  1. Alles bekijken
  2. Op eigenschapstype
  3. Per conflicterende waarde
  4. Zoeken met een tekenreeks
  5. Gesorteerd
  6. In beperkte hoeveelheid

Alles weergeven

Zodra verbinding is gemaakt, ziet u een algemene lijst met kenmerkinrichtingsfouten in de tenantuitvoering:

Get-MsolDirSyncProvisioningError

Op eigenschapstype

Als u fouten per eigenschapstype wilt zien, geeft u UserPrincipalName of ProxyAddressesop:

Get-EntraDirectoryObjectOnPremisesProvisioningError | Where-Object PropertyCausingError -eq 'UserPrincipalName'

Or

Get-EntraDirectoryObjectOnPremisesProvisioningError | Where-Object PropertyCausingError -eq 'ProxyAddresses'

Door conflicterende waarde

Als u fouten met betrekking tot een specifieke eigenschap wilt zien, voegt u de waarde toe:

Get-EntraDirectoryObjectOnPremisesProvisioningError | Where-Object PropertyCausingError -eq 'UserPrincipalName' | Where-Object Value -eq 'User@domain.com'

Een uitgebreide tekenreekszoekopdracht uitvoeren:

Get-EntraDirectoryObjectOnPremisesProvisioningError | Select-Object 'User@domain.com'

In een beperkte hoeveelheid

Gebruik de volgende opdracht om de query te beperken tot een bepaald aantal waarden.

Get-EntraDirectoryObjectOnPremisesProvisioningError | Select-Object -First 10

Microsoft 365-beheercentrum

U kunt adreslijstsynchronisatiefouten weergeven in het Microsoft 365-beheercentrum. In het rapport in het Microsoft 365-beheercentrum worden alleen User-objecten weergegeven met deze fouten. Er wordt geen informatie weergegeven over conflicten tussen Groepen en Contactpersonen.

Schermopname van adreslijstsynchronisatiefouten in de Microsoft 365-beheercentrum.

Zie Adreslijstsynchronisatiefouten identificeren in Microsoft 365 voor instructies over het weergeven van adreslijstsynchronisatiefouten in het Microsoft 365-beheercentrum.

Foutrapport voor identiteitssynchronisatie

Wanneer een object met een dubbel kenmerkconflict wordt verwerkt met dit nieuwe gedrag, wordt er een melding opgenomen in de standaard-e-mail over identiteitssynchronisatiefoutrapport die wordt verzonden naar de contactpersoon voor technische meldingen voor de tenant. Er is echter een belangrijke wijziging in dit gedrag. In het verleden werd de informatie over een conflict met dubbele kenmerken opgenomen in elk volgend foutrapport, totdat het conflict was opgelost. Met dit nieuwe gedrag wordt de foutmelding voor een bepaald conflict slechts één keer weergegeven, namelijk op het moment dat het conflicterende kenmerk in quarantaine wordt geplaatst.

Hier volgt een voorbeeld zodat u kunt zien hoe de e-mailmelding eruitziet voor een ProxyAddress-conflict:
Schermopname van een voorbeeld van een e-mailmelding voor een ProxyAddress-conflict.

Conflicten oplossen

Het oplossen van strategie- en oplossingstactieken voor deze fouten mag niet verschillen van de manier waarop dubbele kenmerkfouten in het verleden werden afgehandeld. Het enige verschil is dat de timertaak de tenant aan de servicezijde doorloopt om het betreffende kenmerk automatisch toe te voegen aan het juiste object zodra het conflict is opgelost.

In het volgende artikel worden verschillende probleemoplossingsstrategieën en -tactieken beschreven: dubbele of ongeldige kenmerken voorkomen adreslijstsynchronisatie in Office 365.

Bekende problemen

Geen van deze bekende problemen veroorzaakt gegevensverlies of servicevermindering. Verschillende hiervan zijn esthetisch, andere veroorzaken standaard pre-resiliency-fouten met dubbele kenmerken in plaats van het conflictkenmerk in quarantaine te plaatsen, en een andere veroorzaakt bepaalde fouten die extra handmatig moeten worden verholpen.

Kerngedrag:

  1. Objecten met specifieke attribuutconfiguraties ondervinden nog steeds exportfouten, in tegenstelling tot dat de dubbele attributen in quarantaine worden geplaatst.
    Voorbeeld:

    a. Er wordt een nieuwe gebruiker gemaakt in AD met de UPN Joe@contoso.com en het ProxyAddress smtp:Joe@contoso.com

    b. De eigenschappen van dit object conflicteren met een bestaande groep, waarbij ProxyAddress SMTP is:Joe@contoso.com.

    c. Bij het exporteren wordt er een proxyAddress-conflictfout gegenereerd in plaats van dat de conflictkenmerken in quarantaine worden geplaatst. De bewerking wordt opnieuw geprobeerd bij elke volgende synchronisatiecyclus, zoals deze zou zijn geweest voordat de tolerantiefunctie werd ingeschakeld.

  2. Als er on-premises twee groepen worden gemaakt met hetzelfde SMTP-adres, zal één niet kunnen worden ingericht bij de eerste poging vanwege een standaardfout voor een dubbele ProxyAddress. De duplicaatwaarde wordt echter bij de volgende synchronisatiecyclus correct in quarantaine geplaatst.

Officeportaalrapport

  1. Het gedetailleerde foutbericht voor twee objecten in een UPN-conflictset is hetzelfde. Dit geeft aan dat voor beide de UPN is gewijzigd/in quarantaine is geplaatst, terwijl in feite slechts voor een van beide gegevens zijn gewijzigd.

  2. In het gedetailleerde foutbericht voor een UPN-conflict wordt de verkeerde displayName weergegeven voor een gebruiker waarvan de UPN is gewijzigd/in quarantaine is geplaatst. Voorbeeld:

    a. Gebruiker A synchroniseert eerst met UPN = User@contoso.com.

    b. Vervolgens wordt geprobeerd om Gebruiker B te synchroniseren met UPN = User@contoso.com.

    c. De UPN van Gebruiker B wordt gewijzigd in User1234@contoso.onmicrosoft.com en User@contoso.com wordt toegevoegd aan DirSyncProvisioningErrors.

    d. Het foutbericht voor Gebruiker B moet aangeven dat Gebruiker A de UPN User@contoso.com al heeft, maar het bericht bevat de eigen displayName van Gebruiker B.

Foutrapport voor identiteitssynchronisatie:

De koppeling voor stappen voor het oplossen van dit probleem is onjuist:
Actieve gebruikers

De koppeling moet verwijzen naar https://aka.ms/duplicateattributeresiliency.

Zie ook