Udostępnij za pośrednictwem

Synchronizacja tożsamości i odporność względem zduplikowanych atrybutów

  • Artykuł

Odporność na duplikaty atrybutów to funkcja w Microsoft Entra ID, która eliminuje tarcia spowodowane konfliktami UserPrincipalName i ProxyAddress SMTP podczas uruchamiania jednego z narzędzi synchronizacyjnych Microsoft.

Te dwa atrybuty muszą być unikatowe dla wszystkich obiektów User, Group lub Contact w danej dzierżawie Microsoft Entra.

Uwaga

Tylko użytkownicy mogą mieć UPN.

Nowe zachowanie włączone przez tę funkcję znajduje się w chmurowym komponencie przepływu synchronizacji, dlatego jest niezależne od klienta i istotne dla każdego produktu synchronizacji firmy Microsoft, w tym Microsoft Entra Connect, DirSync i MIM + Connector. Ogólny termin "klient synchronizacji" jest używany w tym dokumencie do reprezentowania dowolnego z tych produktów.

Bieżące zachowanie

Jeśli istnieje próba aprowizacji nowego obiektu z wartością UPN lub ProxyAddress, która narusza to ograniczenie unikatowości, identyfikator Entra firmy Microsoft blokuje tworzenie tego obiektu. Podobnie, jeśli obiekt jest aktualizowany przy użyciu innej niż unikatowa nazwa UPN lub ProxyAddress, aktualizacja zakończy się niepowodzeniem. Klient synchronizacji ponawia próbę aprowizacji lub aktualizację po każdym cyklu eksportu i nadal kończy się niepowodzeniem, dopóki konflikt nie zostanie rozwiązany. Wiadomość e-mail z raportem o błędach jest generowana po każdej próbie, a błąd jest rejestrowany przez klienta synchronizacji.

Odporność na zduplikowane atrybuty

Zamiast całkowitego braku aprowizacji lub aktualizacji obiektu z powodu zduplikowanego atrybutu, Microsoft Entra ID poddaje ten zduplikowany atrybut kwarantannie, aby nie naruszał on ograniczenia unikatowości. Jeśli ten atrybut jest wymagany do uzyskiwania, na przykład UserPrincipalName, usługa przypisuje wartość zastępczą. Format tych wartości tymczasowych to
<OriginalPrefix>+<4DigitNumber>@<InitialTenantDomain>.onmicrosoft.com.

Proces odporności atrybutów obsługuje tylko wartości UPN i SMTP ProxyAddress .

Jeśli atrybut nie jest wymagany, na przykład ProxyAddress, Microsoft Entra ID po prostu umieszcza w kwarantannie atrybut konfliktowy i przechodzi do tworzenia lub aktualizowania obiektu.

Po poddaniu atrybutu kwarantannie, informacje o konflikcie są wysyłane w tej samej wiadomości e-mail z raportem o błędach, stosowanym w dotychczasowym sposobie działania. Jednak te informacje są wyświetlane tylko raz w raporcie o błędach, gdy dochodzi do kwarantanny i nie są dalej rejestrowane w przyszłych wiadomościach e-mail. Ponadto, ponieważ eksport tego obiektu zakończył się pomyślnie, klient synchronizacji nie rejestruje błędu i nie ponawia próby wykonania operacji tworzenia/aktualizacji po kolejnych cyklach synchronizacji.

Aby obsługiwać to zachowanie, do klas obiektów User, Group i Contact jest dodawany nowy atrybut:
DirSyncProvisioningErrors

Jest to atrybut wielowartościowy używany do przechowywania atrybutów powodujących konflikt, które naruszają ograniczenie unikatowości, jeśli zostaną one dodane normalnie. Zadanie timera w tle jest włączone w Microsoft Entra ID i uruchamia się co godzinę, aby wyszukiwać konflikty zduplikowanych atrybutów, które zostały już rozwiązane, i automatycznie usuwa te atrybuty z listy kwarantanny.

Włączanie odporności na duplikaty atrybutów

Odporność na zduplikowane atrybuty to nowe domyślne zachowanie we wszystkich dzierżawach Microsoft Entra. Domyślnie jest włączona dla wszystkich najemców, którzy włączyli synchronizację po raz pierwszy 22 sierpnia 2016 r. lub później. Najemcy, którzy włączyli synchronizację przed tą datą, mają włączoną funkcję etapami. To wdrożenie rozpoczęło się we wrześniu 2016 r., a na adres e-mail technicznego kontaktu do powiadomień każdej dzierżawy jest wysyłane powiadomienie z informacją o określonej dacie włączenia funkcji.

Uwaga

Po włączeniu odporności zduplikowanych atrybutów nie można go wyłączyć.

Aby sprawdzić, czy funkcja jest włączona dla twojej dzierżawy, możesz to zrobić, pobierając najnowszą wersję modułu PowerShell usługi Azure Active Directory i uruchamiając polecenie:

Get-EntraDirSyncFeature -Feature DuplicateUPNResiliency

Get-EntraDirSyncFeature -Feature DuplicateProxyAddressResiliency

Uwaga

Nie można użyć polecenia cmdlet Set-EntraDirSyncFeature, aby z wyprzedzeniem włączyć funkcję odporności na zduplikowane atrybuty, zanim zostanie ona aktywowana dla Twojej dzierżawy. Aby móc przetestować tę funkcję, należy utworzyć nowego tenant Microsoft Entra.

Identyfikowanie obiektów z błędami DirSyncProvisioningErrors

Obecnie istnieją dwie metody identyfikowania obiektów, które mają te błędy z powodu zduplikowanych konfliktów właściwości, programu Microsoft Entra PowerShell i centrum administracyjnego platformy Microsoft 365. Istnieją plany rozszerzenia na dodatkowe raporty oparte na portalu w przyszłości.

Microsoft Entra PowerShell

W przypadku poleceń cmdlet programu PowerShell w tym temacie obowiązują następujące zasady:

  • W przypadku wszystkich poniższych poleceń cmdlet uwzględniana jest wielkość liter.

Najpierw rozpocznij pracę, uruchamiając Connect-Entra i wprowadzając poświadczenia administratora dzierżawy.

Następnie użyj następujących poleceń cmdlet i operatorów, aby wyświetlić błędy na różne sposoby:

  1. Zobacz wszystko
  2. Według typu właściwości
  3. Przez wartość powodującą konflikt
  4. Korzystanie z wyszukiwania ciągów
  5. Posortowany
  6. w ograniczonej ilości

Zobacz wszystko

Po połączeniu, aby wyświetlić ogólną listę błędów udostępniania atrybutów w dzierżawie:

Get-MsolDirSyncProvisioningError

Według typu właściwości

Aby wyświetlić błędy według typu właściwości, określ UserPrincipalName lub ProxyAddresses:

Get-EntraDirectoryObjectOnPremisesProvisioningError | Where-Object PropertyCausingError -eq 'UserPrincipalName'

lub

Get-EntraDirectoryObjectOnPremisesProvisioningError | Where-Object PropertyCausingError -eq 'ProxyAddresses'

Z powodu sprzecznej wartości

Aby zobaczyć błędy związane z określoną właściwością, dodaj wartość:

Get-EntraDirectoryObjectOnPremisesProvisioningError | Where-Object PropertyCausingError -eq 'UserPrincipalName' | Where-Object Value -eq 'User@domain.com'

Aby wykonać szerokie wyszukiwanie ciągów tekstowych:

Get-EntraDirectoryObjectOnPremisesProvisioningError | Select-Object 'User@domain.com'

W ograniczonej ilości

Użyj następującego polecenia, aby ograniczyć zapytanie do określonej liczby wartości.

Get-EntraDirectoryObjectOnPremisesProvisioningError | Select-Object -First 10

Centrum administracyjne platformy Microsoft 365

Błędy synchronizacji katalogów można wyświetlić w Centrum administracyjnym platformy Microsoft 365. Raport w Centrum administracyjne platformy Microsoft 365 wyświetla tylko obiekty użytkownika, które mają te błędy. Nie wyświetla informacji o konfliktach między Grupami a Kontaktami.

Zrzut ekranu przedstawiający błędy synchronizacji katalogów w Centrum administracyjne platformy Microsoft 365.

Aby uzyskać instrukcje dotyczące wyświetlania błędów synchronizacji katalogów w Centrum administracyjne platformy Microsoft 365, zobacz Identyfikowanie błędów synchronizacji katalogów na platformie Microsoft 365.

Raport o błędach synchronizacji tożsamości

Gdy obiekt z konfliktem wynikającym z zduplikowania atrybutów jest obsługiwany przy użyciu tego nowego działania, powiadomienie jest zawarte w standardowej wiadomości e-mail z raportem o błędach synchronizacji tożsamości, która jest wysyłana do osoby kontaktowej ds. powiadomień technicznych w ramach dzierżawy. Jednak istnieje ważna zmiana w tym zachowaniu. W przeszłości informacje o zduplikowanym konflikcie atrybutów były uwzględniane w każdym kolejnym raporcie o błędach, dopóki konflikt nie zostanie rozwiązany. W przypadku tego nowego zachowania powiadomienie o błędzie dla danego konfliktu jest wyświetlane tylko raz — w momencie, gdy atrybut powodujący konflikt jest poddawany kwarantannie.

Oto przykład tego, jak wygląda powiadomienie email w przypadku konfliktu ProxyAddress.
Zrzut ekranu przedstawiający przykład powiadomienia e-mail dotyczącego konfliktu ProxyAddress.

Rozwiązywanie konfliktów

Strategia rozwiązywania problemów i taktyka usuwania tych błędów nie powinny się różnić od tego, jak radzono sobie z błędami zduplikowanych atrybutów w przeszłości. Jedyną różnicą jest to, że zadanie czasomierza przebiega przez dzierżawcę po stronie usługi, aby automatycznie dodać wspomniany atrybut do odpowiedniego obiektu, gdy konflikt zostanie rozwiązany.

W poniższym artykule opisano różne strategie rozwiązywania i naprawy problemów: zduplikowane lub nieprawidłowe atrybuty uniemożliwiają synchronizację katalogu w usłudze Office 365.

Znane problemy

Żadne z tych znanych problemów nie powoduje utraty danych lub degradacji usługi. Kilka z nich jest estetycznych, inne powodują, że błędy zduplikowanych atrybutów "przed odpornością" są zgłaszane zamiast zablokowania atrybutu konfliktu, a niektóre wymagają dodatkowej ręcznej korekty.

Podstawowe zachowanie:

  1. Obiekty z określonymi konfiguracjami atrybutów nadal otrzymują błędy eksportu, w przeciwieństwie do zduplikowanych atrybutów, które są poddane kwarantannie.
    Na przykład:

    a. Nowy użytkownik jest tworzony w usłudze AD przy użyciu nazwy UPN Joe@contoso.com i proxyAddress smtp:Joe@contoso.com

    b. Właściwości tego obiektu powodują konflikt z istniejącą grupą, gdzie proxyAddress to SMTP:Joe@contoso.com.

    c. Podczas eksportowania zgłaszany jest błąd konfliktu ProxyAddress zamiast poddawania atrybutów konfliktu kwarantannie. Operacja jest ponawiana po każdym kolejnym cyklu synchronizacji, tak jak wcześniej, zanim funkcja odporności została włączona.

  2. Jeśli dwie grupy są tworzone lokalnie z tym samym adresem SMTP, jedna z nich nie może zostać utworzona przy pierwszej próbie ze standardowym błędem zduplikowanego ProxyAddress. Jednak zduplikowana wartość jest prawidłowo poddana kwarantannie podczas następnego cyklu synchronizacji.

Raport portalu pakietu Office:

  1. Szczegółowy komunikat o błędzie jest taki sam dla dwóch obiektów w zestawie konfliktów UPN. To wskazuje, że obydwu zmieniono lub poddano kwarantannie ich UPN, podczas gdy w rzeczywistości tylko jednemu z nich zmieniono jakiekolwiek dane.

  2. Szczegółowy komunikat o błędzie dla konfliktu nazwy UPN przedstawia nieprawidłową nazwę wyświetlaną użytkownika, którego nazwa UPN została zmieniona lub umieszczona w kwarantannie. Na przykład:

    a. Użytkownik A najpierw synchronizuje się z UPN = User@contoso.com.

    b. Użytkownik B ma zostać następnie zsynchronizowany z UPN=User@contoso.com.

    c. Nazwa UPN użytkownika B została zmieniona na User1234@contoso.onmicrosoft.com i User@contoso.com zostało dodane do DirSyncProvisioningErrors.

    d. Komunikat o błędzie dla użytkownika B powinien wskazywać, że użytkownik A ma już User@contoso.com jako nazwę UPN, ale zamiast tego wyświetla się nazwa wyświetlana użytkownika B.

Raport o błędach synchronizacji tożsamości:

Link do kroków rozwiązywania tego problemu jest niepoprawny:
Aktywni użytkownicy

Powinien on wskazywać wartość https://aka.ms/duplicateattributeresiliency.

Zobacz też