Sincronização do Microsoft Entra Connect: Como lidar com erros de LargeObject causados pelo atributo userCertificate

O Microsoft Entra ID impõe um limite máximo de 15 valores de certificado no atributo userCertificate. Se o Microsoft Entra Connect exportar um objeto com mais de 15 valores para a ID do Microsoft Entra, a ID do Microsoft Entra retornará um erro LargeObject com a mensagem:

"O objeto provisionado é muito grande. Corte o número de valores de atributo neste objeto. A operação será repetida no próximo ciclo de sincronização..."

O erro LargeObject pode ser causado por outros atributos do AD. Para confirmar que a causa é o atributo userCertificate, verifique o objeto no AD local ou na Pesquisa de Metaverso do Synchronization Service Manager.

Para obter a lista de objetos em seu locatário com erros LargeObject, use um dos seguintes métodos:

• Caso seu locatário esteja habilitado para Integridade do Microsoft Entra Connect para sincronização, confira o Relatório de Erros de Sincronização fornecido.

• A guia Operações do Synchronization Service Manager exibirá a lista de objetos com erros LargeObject se você selecionar a última operação Exportar para o Microsoft Entra.

Opções de mitigação

Até que o erro LargeObject seja resolvido, outras alterações de atributo no mesmo objeto não poderão ser exportadas para a ID do Microsoft Entra. Para resolver o erro, você pode considerar as seguintes opções:

• Atualize o Microsoft Entra Connect para o build 1.1.524.0 ou posterior. No Build 1.1.524.0 do Microsoft Entra Connect, as regras de sincronização padrão foram atualizadas para não exportar os atributos userCertificate e userSMIMECertificate se os atributos tiverem mais de 15 valores. Para obter detalhes sobre como atualizar o Microsoft Entra Connect, consulte o artigo Microsoft Entra Connect: Atualize da versão anterior para a mais recente.

• Implemente uma regra de sincronização de saída no Microsoft Entra Connect que exporta um valor nulo em vez dos valores reais para objetos com mais de 15 valores de certificado. Essa opção será adequada se você não exigir que nenhum dos valores de certificado seja exportado para a ID do Microsoft Entra para objetos com mais de 15 valores. Para obter detalhes sobre como implementar essa regra de sincronização, consulte a próxima seção Implementando regra de sincronização para limitar a exportação do atributo userCertificate.

• Reduza o número de valores de certificado no objeto AD local (15 ou menos) removendo valores que não estão mais em uso pela sua organização. Isso é adequado se certificados expirados ou não utilizados estiverem causando inchaço de atributos. Você pode usar o cmdlet Remove-ADSyncToolsExpiredCertificates para ajudar a localizar, fazer backup e excluir certificados expirados no AD local. Antes de excluir os certificados, é recomendável verificar com os administradores de Infraestrutura de Chave Pública de sua organização.

• Configure o Microsoft Entra Connect para excluir o atributo userCertificate de ser exportado para o Microsoft Entra ID. Em geral, não recomendamos essa opção, pois o atributo pode ser usado pelos Serviços Online da Microsoft para habilitar cenários específicos. Em particular:

  • O atributo userCertificate no objeto User é usado pelos clientes do Exchange Online e do Outlook para assinatura e criptografia de mensagens. Para saber mais sobre esse recurso, consulte o artigo S/MIME para assinatura de mensagens ede criptografia.

  • O atributo userCertificate no objeto de computador é usado pelo Microsoft Entra ID para permitir que os dispositivos conectado ao domínio local do Windows 10 se conectem ao Microsoft Entra ID. Para saber mais sobre esse recurso, leia o artigo Conectar dispositivos conectados ao domínio ao Microsoft Entra ID para experiências com o Windows 10.

Implementando a regra de sincronização para limitar a exportação do atributo userCertificate

Para resolver o erro LargeObject causado pelo atributo userCertificate, você pode implementar uma regra de sincronização de saída no Microsoft Entra Connect que exporta um valor nulo em vez dos valores reais para objetos com mais de 15 valores de certificado. Esta seção descreve as etapas necessárias para implementar a regra de sincronização para objetos User. As etapas podem ser adaptadas para objetos Contato e Computador.

Importante

Exportar um valor nulo remove os valores de certificado anteriormente exportados com sucesso para o Microsoft Entra ID.

As etapas podem ser resumidas como:

1. Desabilite o agendador de sincronização e verifique se não há sincronização em andamento.
2. Localize a regra de sincronização de saída existente para o atributo userCertificate.
3. Criar a regra de sincronização de saída necessária.
4. Verifique a nova regra de sincronização em um objeto existente com erro LargeObject.
5. Aplique a nova regra de sincronização aos objetos restantes com o erro LargeObject.
6. Verifique se não há alterações inesperadas esperando para serem exportadas para a ID do Microsoft Entra.
7. Exporte as alterações para a identidade Microsoft Entra.
8. Habilite novamente o agendador de sincronização.

Etapa 1: Desabilitar o agendador de sincronização e verificar se não há sincronização em andamento

Verifique se nenhuma sincronização ocorre enquanto você está no meio da implementação de uma nova regra de sincronização para evitar que alterações não intencionais sejam exportadas para a ID do Microsoft Entra. Para desabilitar o agendador de sincronização interno:

1. Inicie a sessão do PowerShell no servidor do Microsoft Entra Connect.

2. Desabilitar a sincronização agendada executando o cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $false

Nota

As etapas anteriores são aplicáveis apenas a versões mais recentes (1.1.xxx.x) do Microsoft Entra Connect com o agendador interno. Se você estiver usando versões mais antigas (1.0.xxx.x) do Microsoft Entra Connect que usa o Agendador de Tarefas do Windows ou estiver usando seu próprio agendador personalizado (não comum) para disparar a sincronização periódica, será necessário desabilitá-las adequadamente.

1. Inicie o Synchronization Service Manager acessando INICIAR → Serviço de Sincronização.

2. Acesse a guia Operações e veja se não há nenhuma operação cujo status é "Em andamento".

Etapa 2: localizar a regra de sincronização de saída existente para o atributo userCertificate

Deve haver uma regra de sincronização existente que é habilitada e configurada para exportar o atributo userCertificate para objetos User para o Microsoft Entra ID. Localize esta regra de sincronização para descobrir sua precedência e a configuração de filtro de escopo :

1. Inicie o editor de regras de sincronização acessando START → Editor de Regras de Sincronização.

2. Configure os filtros de pesquisa com os seguintes valores:

   Atributo	Valor
   Direção	Saída
   Tipo de objeto MV	Person
   Conector	nome do conector do Microsoft Entra
   Tipo de objeto do conector	user
   Atributos de MV	userCertificate

3. Se você estiver usando regras de sincronização OOB (integradas) para o conector do Microsoft Entra para exportar o atributo userCertificate de objetos User, deverá retornar à regra "Saída para o Microsoft Entra ID: ExchangeOnline do Usuário".

4. Anote o valor de precedência dessa regra de sincronização.

5. Selecione a regra de sincronização e selecione Editar.

6. Na caixa de diálogo pop-up "Editar Confirmação de Regra Reservada", selecione Não. (Não se preocupe, não faremos nenhuma alteração nessa regra de sincronização).

7. Na tela de edição, selecione a guia Filtro de escopo.

8. Anote a configuração de filtro de escopo. Se você estiver usando a regra de sincronização OOB, deverá haver exatamente um grupo de filtro de escopo que contém duas cláusulas, incluindo:

   Atributo	Operador	Valor
   sourceObjectType	EQUAL	Utilizador
   cloudMastered	NOTEQUAL	Verdadeiro

Etapa 3: Criar a regra de sincronização de saída necessária

A nova regra de sincronização deve ter o mesmo filtro de escopo e a mesma precedência mais alta da regra de sincronização existente. Isso garante que a nova regra de sincronização se aplique ao mesmo conjunto de objetos que a regra de sincronização existente e substitua a regra de sincronização existente para o atributo userCertificate. Para criar a regra de sincronização:

1. No Editor de Regras de Sincronização, selecione o botão Adicionar nova regra.

2. Na aba de descrição , forneça a seguinte configuração:

   Atributo	Valor	Detalhes
   Nome	forneça um nome	Por exemplo, "Saída para o Microsoft Entra ID – Substituição personalizada para userCertificate"
   Descrição	fornecer uma descrição	Por exemplo, "Se o atributo userCertificate tiver mais de 15 valores, exporte NULL"
   Sistema conectado	Selecione o Conector do Microsoft Entra
   Tipo de objeto do sistema conectado	user
   Tipo de objeto do Metaverso	person
   Tipo de link	Join
   Precedência	Escolheu um número entre 1 e 99	O número escolhido não deve ser usado por nenhuma regra de sincronização existente e tem um valor menor (e, portanto, precedência maior) do que a regra de sincronização existente.

3. Acesse a guia Filtro de escopo e implemente o mesmo filtro de escopo usado pela regra de sincronização existente.

4. Ignore a guia Regras de junção.

5. Vá para a guia Transformações para adicionar uma nova transformação usando a seguinte configuração:

   Atributo	Valor
   Tipo de fluxo	Expression
   Atributo de Destino	userCertificate
   Atributo de origem	Use a seguinte expressão: IIF(IsNullOrEmpty([userCertificate]), NULL, IIF((Count([userCertificate])> 15),AuthoritativeNull,[userCertificate]))

6. Selecione o botão Adicionar para criar a regra de sincronização.

Etapa 4: Verificar a nova regra de sincronização em um objeto existente com erro LargeObject

Isso é para verificar se a regra de sincronização criada está funcionando corretamente em um objeto AD existente com erro LargeObject antes de aplicá-la a outros objetos:

1. Acesse a guia Operações no Synchronization Service Manager.
2. Selecione a operação mais recente Exportar para o Microsoft Entra e selecione um dos objetos com erros LargeObject.
3. Na tela pop-up de Propriedades de Objeto do Espaço Conector, selecione o botão Visualizar.
4. Na tela pop-up Visualização, selecione Sincronização total e selecione Confirmar Visualização.
5. Feche a tela Visualização e a tela Propriedades de Objeto do Espaço Conector.
6. Acesse a guia Conectores no Synchronization Service Manager.
7. Clique com o botão direito do mouse no Conector do Microsoft Entra ID e selecione Executar...
8. No pop-up Executar Conector, selecione a etapa Exportar e selecione OK.
9. Aguarde a conclusão da Exportação para o Microsoft Entra ID e confirme se não há mais nenhum erro de LargeObject neste objeto específico.

Etapa 5: Aplicar a nova regra de sincronização aos objetos restantes com o erro LargeObject

Depois que a regra de sincronização for adicionada, você precisará executar uma etapa de sincronização completa no Conector do AD:

1. Acesse a guia Conectores no Synchronization Service Manager.
2. Clique com o botão direito do mouse em Conector do AD e selecione Executar...
3. Na janela Executar Conector, selecione a etapa Sincronização Completa e selecione OK.
4. Aguarde a conclusão da etapa de Sincronização Completa.
5. Repita as etapas acima para os Conectores do AD restantes se você tiver mais de um Conector do AD. Normalmente, vários conectores são necessários se você tiver vários diretórios locais.

Etapa 6: Verificar se não há alterações inesperadas esperando para serem exportadas para a ID do Microsoft Entra

1. Acesse a guia Conectores no Synchronization Service Manager.
2. Clique com o botão direito do mouse no Conector do Microsoft Entra ID e selecione Pesquisar Espaço do Conector.
3. No pop-up Pesquisar Espaço Conector:
   1. Defina o Escopo como Exportação Pendente.
   2. Marque todas as três caixas de seleção, incluindo Adicionar, Modificare Excluir.
   3. Selecione o botão Pesquisar para retornar todos os objetos com alterações com exportação pendente para o Microsoft Entra ID.
   4. Verifique se não há alterações inesperadas. Para examinar as alterações de um determinado objeto, selecione duas vezes no objeto.

Etapa 7: Exportar as alterações para a ID do Microsoft Entra

Para exportar as alterações para a ID do Microsoft Entra:

1. Acesse a guia Conectores no Synchronization Service Manager.
2. Clique com o botão direito do mouse no Conector do Microsoft Entra ID e selecione Executar...
3. No pop-up Executar Conector, selecione a etapa Exportar e selecione OK.
4. Aguarde a conclusão da exportação para o Microsoft Entra ID e confirme que não há mais erros de LargeObject.

Etapa 8: habilitar novamente o agendador de sincronização

Agora que o problema foi resolvido, habilite novamente o agendador de sincronização interno:

1. Inicie a sessão do PowerShell.
2. Habilite novamente a sincronização agendada executando o cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $true

Nota

As etapas anteriores são aplicáveis apenas a versões mais recentes (1.1.xxx.x) do Microsoft Entra Connect com o agendador interno. Se você estiver usando versões mais antigas (1.0.xxx.x) do Microsoft Entra Connect que usa o Agendador de Tarefas do Windows ou estiver usando seu próprio agendador personalizado (não comum) para disparar a sincronização periódica, será necessário desabilitá-las adequadamente.

Próximas etapas

Saiba mais sobre Integrando suas identidades locais com o Microsoft Entra ID.