Delen via

Tolerantie voor synchronisatie- en duplicatiekenmerken identificeren

  • Artikel

Dubbele Attribuutbestendigheid is een functie in Microsoft Entra ID die wrijving elimineert veroorzaakt door UserPrincipalName en SMTP ProxyAddress conflicten bij het uitvoeren van een van de synchronisatiehulpprogramma's van Microsoft.

Deze twee kenmerken moeten uniek zijn voor alle User, Groupof Contact opnemen objecten in een bepaalde Microsoft Entra-tenant.

Notitie

Alleen gebruikers kunnen UPN's hebben.

Het nieuwe gedrag dat door deze functie wordt ingeschakeld, bevindt zich in het cloudgedeelte van de synchronisatiepijplijn, daarom is het clientneutraal en relevant voor elk Microsoft-synchronisatieproduct, waaronder Microsoft Entra Connect, DirSync en MIM + Connector. De algemene term 'synchronisatieclient' wordt in dit document gebruikt om naar een van deze producten verwijzen.

Huidig gedrag

Als er een poging is om een nieuw object in te richten met een UPN- of ProxyAddress-waarde die deze beperking voor uniekheid schendt, blokkeert Microsoft Entra ID dat object wordt gemaakt. Als een object wordt bijgewerkt met een niet-unieke UPN of ProxyAddress, mislukt de update. De synchronisatieclient probeert de inrichtingspoging of update opnieuw uit te voeren bij elke exportcyclus en blijft mislukken totdat het conflict is opgelost. Er wordt bij elke poging een e-mail met een foutenrapport gegenereerd en er wordt een fout geregistreerd door de synchronisatieclient.

Gedrag bij tolerantie van dubbele kenmerken

In plaats van een object volledig niet in te richten of bij te werken met een duplicaatkenmerk, plaatst Microsoft Entra ID het dubbele kenmerk in quarantaine die de beperking voor uniekheid schendt. Als dit kenmerk vereist is voor de inrichting, zoals UserPrincipalName, wijst de service een tijdelijke aanduiding toe. De indeling van deze tijdelijke waarden is
<OriginalPrefix>+<4DigitNumber>@<InitialTenantDomain>.onmicrosoft.com.

Het kenmerktolerantieproces verwerkt alleen de ProxyAddress-waarden voor UPN en SMTP.

Als het kenmerk niet vereist is, zoals een ProxyAddress, zet Microsoft Entra ID het conflictkenmerk in quarantaine terwijl het object wordt aangemaakt of bijgewerkt.

Wanneer het kenmerk in quarantaine wordt geplaatst, wordt er informatie over het conflict verzonden via dezelfde e-mail met foutenrapport als voor het oude gedrag. Deze gegevens worden echter slechts één keer weergegeven in het foutenrapport wanneer de quarantaine plaatsvindt. Ze worden niet in toekomstige e-mailberichten geregistreerd. Omdat de export voor dit object is geslaagd, wordt er geen fout vastgelegd door de synchronisatieclient en wordt de bewerking voor maken/bijwerken niet opnieuw uitgevoerd bij volgende synchronisatiecycli.

Ter ondersteuning van dit gedrag wordt een nieuw kenmerk toegevoegd aan de objectklassen Gebruiker, Groep en Contactpersoon:
DirSyncProvisioningErrors

Dit is een kenmerk met meerdere waarden. Het wordt gebruikt om de conflicterende kenmerken op te slaan die de uniciteitsbeperking zouden schenden als ze normaal zouden worden toegevoegd. Een achtergrondtimertaak is ingeschakeld in Microsoft Entra-id die elk uur wordt uitgevoerd om te zoeken naar dubbele kenmerkconflicten die zijn opgelost en verwijdert automatisch de betreffende kenmerken uit quarantaine.

Tolerantie van dubbele kenmerken inschakelen

Gestandaardiseerde weerbaarheid tegen dubbele kenmerken is het nieuwe standaardgedrag voor alle Microsoft Entra-tenants. Deze functie is standaard ingeschakeld voor alle tenants die synchronisatie voor de eerste keer hebben ingeschakeld op 22 augustus 2016 of hoger. Tenants die synchronisatie vóór deze datum hebben ingeschakeld, hebben de functie ingeschakeld in batches. Deze implementatie is gestart in september 2016 en er wordt een e-mailmelding verzonden naar de contactpersoon voor technische meldingen van elke tenant met de specifieke datum waarop de functie is ingeschakeld.

Notitie

Zodra duplicaatkenmerkentolerantie is ingeschakeld, kan deze niet worden uitgeschakeld.

Als u wilt controleren of de functie is ingeschakeld voor uw tenant, kunt u dit doen door de nieuwste versie van de Azure Active Directory PowerShell-module te downloaden en uit te voeren:

Get-MsolDirSyncFeatures -Feature DuplicateUPNResiliency

Get-MsolDirSyncFeatures -Feature DuplicateProxyAddressResiliency

Notitie

U kunt Set-MsolDirSyncFeature cmdlet niet meer gebruiken om proactief de functie Dubbele kenmerktolerantie in te schakelen voordat deze is ingeschakeld voor uw tenant. Als u de functie wilt testen, moet u een nieuwe Microsoft Entra-tenant maken.

Notitie

Azure AD- en MSOnline PowerShell-modules zijn vanaf 30 maart 2024 afgeschaft. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot migratieondersteuning voor Microsoft Graph PowerShell SDK en beveiligingsoplossingen. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.

Het is raadzaam om te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: versies 1.0.x van MSOnline kunnen na 30 juni 2024 onderbrekingen ondervinden.

Objecten met DirSyncProvisioningErrors identificeren

Er zijn momenteel twee manieren om objecten te identificeren met die deze fouten hebben vanwege conflicten met dubbele eigenschappen, namelijk via Azure Active Directory PowerShell en het Microsoft 365-beheercentrum. Er zijn plannen om in de toekomst uit te breiden naar aanvullende portalgebaseerde rapportage.

Azure Active Directory PowerShell

Voor de PowerShell-cmdlets in dit onderwerp geldt het volgende:

  • Alle volgende cmdlets zijn hoofdlettergevoelig.
  • De –ErrorCategory PropertyConflict moet altijd worden opgenomen. Er zijn momenteel geen andere typen ErrorCategory, maar dit kan in de toekomst worden uitgebreid.

Voer om te beginnen Connect-MsolService uit en geef referenties op voor een tenantbeheerder.

Gebruik vervolgens de volgende cmdlets en operators om fouten op verschillende manieren weer te geven:

  1. Alles bekijken
  2. Op eigenschapstype
  3. Op conflicterende waarde
  4. Zoeken met een tekenreeks
  5. Sorted
  6. In een beperkte hoeveelheid of alles

Alles weergeven

Zodra verbinding is gemaakt, ziet u een algemene lijst met kenmerkinrichtingsfouten in de tenantuitvoering:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict

Dit levert een resultaat op zoals het volgende:
Get-MsolDirSyncProvisioningError

Op eigenschapstype

Als u fouten per eigenschapstype wilt weergeven, voegt u de vlag -PropertyName toe met het argument UserPrincipalName of ProxyAddresses:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName UserPrincipalName

Or

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName ProxyAddresses

Op conflicterende waarde

Als u fouten wilt weergeven voor een specifieke eigenschap, voegt u de vlag -PropertyValue toe (wanneer u deze vlag toevoegt, moet ook de vlag -PropertyName worden):

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyValue User@domain.com -PropertyName UserPrincipalName

Gebruik de vlag -SearchString om een brede tekenreeks te zoeken. Deze vlag kan onafhankelijk van alle bovenstaande vlaggen worden gebruikt, met uitzondering van -ErrorCategory PropertyConflict. Deze vlag is altijd vereist:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -SearchString User

In een beperkte hoeveelheid of alles

  1. MaxResults <Int> kan worden gebruikt om de query te beperken tot een specifiek aantal waarden.
  2. All kan worden gebruikt om ervoor te zorgen dat in het geval van een groot aantal fouten alle resultaten worden opgehaald.

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -MaxResults 5

Microsoft 365-beheercentrum

U kunt adreslijstsynchronisatiefouten weergeven in het Microsoft 365-beheercentrum. In het rapport in het Microsoft 365-beheercentrum worden alleen User-objecten weergegeven met deze fouten. Er wordt geen informatie weergegeven over conflicten tussen Groepen en Contactpersonen.

Schermopname van adreslijstsynchronisatiefouten in de Microsoft 365-beheercentrum.

Zie Adreslijstsynchronisatiefouten identificeren in Microsoft 365 voor instructies over het weergeven van adreslijstsynchronisatiefouten in het Microsoft 365-beheercentrum.

Foutrapport voor identiteitssynchronisatie

Wanneer een object met een dubbel kenmerkconflict wordt verwerkt met dit nieuwe gedrag, wordt er een melding opgenomen in de standaard-e-mail over identiteitssynchronisatiefoutrapport die wordt verzonden naar de contactpersoon voor technische meldingen voor de tenant. Er is echter een belangrijke wijziging in dit gedrag. In het verleden werd de informatie over een conflict met dubbele kenmerken opgenomen in elk volgend foutrapport, totdat het conflict was opgelost. Met dit nieuwe gedrag wordt de foutmelding voor een bepaald conflict slechts één keer weergegeven, namelijk op het moment dat het conflicterende kenmerk in quarantaine wordt geplaatst.

Hier volgt een voorbeeld zodat u kunt zien hoe de e-mailmelding eruitziet voor een ProxyAddress-conflict:
Schermopname van een voorbeeld van een e-mailmelding voor een ProxyAddress-conflict.

Conflicten oplossen

Het oplossen van strategie- en oplossingstactieken voor deze fouten mag niet verschillen van de manier waarop dubbele kenmerkfouten in het verleden werden afgehandeld. Het enige verschil is dat de timertaak de tenant aan de servicezijde doorloopt om het betreffende kenmerk automatisch toe te voegen aan het juiste object zodra het conflict is opgelost.

In het volgende artikel worden verschillende probleemoplossingsstrategieën en -tactieken beschreven: dubbele of ongeldige kenmerken voorkomen adreslijstsynchronisatie in Office 365.

Bekende problemen

Geen van deze bekende problemen veroorzaakt gegevensverlies of servicevermindering. Verschillende hiervan zijn esthetisch, andere veroorzaken standaard pre-resiliency-fouten met dubbele kenmerken in plaats van het conflictkenmerk in quarantaine te plaatsen, en een ander veroorzaakt bepaalde fouten die handmatige moeten worden verholpen.

Kerngedrag:

  1. Objecten met specifieke kenmerkconfiguraties blijven exportfouten ontvangen in plaats van de dubbele kenmerken die in quarantaine worden geplaatst.
    Voorbeeld:

    a. Er wordt een nieuwe gebruiker gemaakt in AD met de UPN Joe@contoso.com en het ProxyAddress smtp:Joe@contoso.com

    b. De eigenschappen van dit object conflicteren met een bestaande groep, waarbij ProxyAddress SMTP is:Joe@contoso.com.

    c. Bij het exporteren wordt er een proxyAddress-conflictfout gegenereerd in plaats van dat de conflictkenmerken in quarantaine worden geplaatst. De bewerking wordt opnieuw geprobeerd bij elke volgende synchronisatiecyclus, zoals deze zou zijn geweest voordat de tolerantiefunctie werd ingeschakeld.

  2. Als er on-premises twee groepen worden gemaakt met hetzelfde SMTP-adres, zal de inrichting van een van deze groepen bij de eerste poging mislukken met de standaardfout voor een dubbele ProxyAddress-waarde. De dubbele waarde wordt echter in quarantaine geplaatst bij de volgende synchronisatiecyclus.

Office-portalrapport:

  1. Het gedetailleerde foutbericht voor twee objecten in een UPN-conflictset is hetzelfde. Dit geeft aan dat voor beide de UPN is gewijzigd/in quarantaine is geplaatst, terwijl in feite slechts voor een van beide gegevens zijn gewijzigd.

  2. In het gedetailleerde foutbericht voor een UPN-conflict wordt de verkeerde displayName weergegeven voor een gebruiker waarvan de UPN is gewijzigd/in quarantaine is geplaatst. Voorbeeld:

    a. Gebruiker A synchroniseert eerst met UPN = User@contoso.com.

    b. Vervolgens wordt geprobeerd om Gebruiker B te synchroniseren met UPN = User@contoso.com.

    c. De UPN van Gebruiker B wordt gewijzigd in User1234@contoso.onmicrosoft.com en User@contoso.com wordt toegevoegd aan DirSyncProvisioningErrors.

    d. Het foutbericht voor Gebruiker B moet aangeven dat Gebruiker A de UPN User@contoso.com al heeft, maar het bericht bevat de eigen displayName van Gebruiker B.

Foutrapport voor identiteitssynchronisatie:

De koppeling voor stappen voor het oplossen van dit probleem is onjuist:
Actieve gebruikers

De koppeling moet verwijzen naar https://aka.ms/duplicateattributeresiliency.

Zie ook