Sincronização do Microsoft Entra ID Connect: tratamento de erros LargeObject causados pelo atributo userCertificate

O Microsoft Entra ID impõe um limite máximo de 15 valores de certificado no atributo userCertificate. Se o Microsoft Entra Connect exportar um objeto com mais de 15 valores para o Microsoft Entra ID, o Microsoft Entra ID retornará um erro LargeObject com a mensagem:

“O objeto provisionado é muito grande. Restrinja o número de valores de atributo nesse objeto. A operação será repetida no próximo ciclo de sincronização...”

O erro LargeObject pode ser causado por outros atributos do AD. Para confirmar se ele realmente é causado pelo atributo userCertificate, você precisa verificar o objeto no AD local ou na Pesquisa de Metaverso do Synchronization Service Manager.

Para obter a lista de objetos em seu locatário com erros LargeObject, use um dos seguintes métodos:

• Caso seu locatário esteja habilitado para o Microsoft Entra Connect Health para sincronização, consulte o Relatório de Erros de Sincronização fornecido.

• A guia Operações do Synchronization Service Manager exibirá a lista de objetos com erros LargeObject se você clicar na última operação Exportar para o Microsoft Entra.

Opções de mitigação

Até que o erro LargeObject seja resolvido, outras alterações de atributo no mesmo objeto não podem ser exportadas para o Microsoft Entra ID. Para resolver o erro, considere as seguintes opções:

• Atualize o Microsoft Entra Connect para o build 1.1.524.0 ou posterior. No build 1.1.524.0 do Microsoft Entra Connect, as regras de sincronização integradas foram atualizadas para não exportar os atributos userCertificate e userSMIMECertificate se os atributos tiverem mais de 15 valores. Para obter detalhes sobre como atualizar o Microsoft Entra Connect, consulte o artigo Microsoft Entra Connect: Atualizar de uma versão anterior para a última versão.

• Implemente uma regra de sincronização de saída no Microsoft Entra Connect que exporta um valor nulo em vez dos valores reais de objetos com mais de 15 valores de certificado. Essa opção será adequada se você não precisar que nenhum dos valores de certificado seja exportado para o Microsoft Entra ID para objetos com mais de 15 valores. Para obter detalhes sobre como implementar essa regra de sincronização, consulte a próxima seção Implementando uma regra de sincronização para limitar a exportação do atributo userCertificate.

• Reduza o número de valores de certificado no objeto do AD local (15 ou menos) removendo os valores que não estão mais sendo usados por sua organização. Isso será adequado se a sobrecarga do atributo for causada por certificados expirados ou não utilizados. Use o cmdlet Remove-ADSyncToolsExpiredCertificates para ajudar a localizar, fazer backup e excluir certificados expirados no AD local. Antes de excluir os certificados, é recomendável verificar com os administradores de Infraestrutura de Chave Pública de sua organização.

• Configure o Microsoft Entra Connect para excluir o atributo userCertificate de ser exportado para o Microsoft Entra ID. Em geral, não recomendamos essa opção, pois o atributo pode ser usado pelo Microsoft Online Services para habilitar cenários específicos. Especialmente:

  • O atributo userCertificate no objeto User é usado por clientes do Exchange Online e do Outlook para criptografia e autenticação de mensagens. Para saber mais sobre esse recurso, consulte o artigo S/MIME para criptografia e autenticação de mensagens.

  • O atributo userCertificate no objeto Computer é usado pelo Microsoft Entra ID para permitir que os dispositivos ingressados no domínio local do Windows 10 se conectem ao Microsoft Entra ID. Para saber mais sobre esse recurso, consulte o artigo Conectar dispositivos ingressados no domínio ao Microsoft Entra ID para experiências com o Windows 10.

Implementando a regra de sincronização para limitar a exportação do atributo userCertificate

Para resolver o erro LargeObject causado pelo atributo userCertificate, implemente uma regra de sincronização de saída no Microsoft Entra Connect que exporta um valor nulo em vez dos valores reais de objetos com mais de 15 valores de certificado. Esta seção descreve as etapas necessárias para implementar a regra de sincronização em objetos User. As etapas podem ser adaptadas para objetos Contact e Computer.

Importante

A exportação de um valor nulo remove os valores de certificado anteriormente exportados com êxito para o Microsoft Entra ID.

As etapas podem ser resumidas como:

1. Desabilitar o agendador de sincronização e verificar se não há nenhuma sincronização em andamento.
2. Encontrar a regra de sincronização de saída existente para o atributo userCertificate.
3. Criar a regra de sincronização de saída necessária.
4. Verificar a nova regra de sincronização em um objeto existente com o erro LargeObject.
5. Aplicar a nova regra de sincronização aos objetos restantes com o erro LargeObject.
6. Verificar se não há alterações inesperadas com exportação pendente para o Microsoft Entra ID.
7. Exporte as alterações para o Microsoft Entra ID.
8. Habilitar o agendador de sincronização novamente.

Etapa 1: desabilitar o agendador de sincronização e verificar se não há nenhuma sincronização em andamento

Garanta que não há nenhuma sincronização em andamento durante a implementação de uma nova regra de sincronização, a fim de evitar a exportação de alterações indesejadas para o Microsoft Entra ID. Para desabilitar o agendador de sincronização interno:

1. Inicie uma sessão do PowerShell no servidor do Microsoft Entra Connect.

2. Desabilite a sincronização agendada executando o cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $false

Observação

As etapas anteriores só são aplicáveis às versões mais recentes (1.1.xxx.x) do Microsoft Entra Connect com o agendador interno. Se você estiver usando versões mais antigas (1.0.xxx.x) do Microsoft Entra Connect que usam o Agendador de Tarefas do Windows ou estiver usando seu agendador personalizado (caso incomum) para disparar a sincronização periódica, desabilite-as de acordo.

1. Inicie o Synchronization Service Manager acessando INICIAR → Serviço de Sincronização.

2. Acesse a guia Operações e confirme se não há nenhuma operação cujo status é “Em andamento”.

Etapa 2: Encontrar a regra de sincronização de saída existente para o atributo userCertificate

Deve haver uma regra de sincronização existente que é habilitada e configurada para exportar o atributo userCertificate para objetos User para o Microsoft Entra ID. Localize essa regra de sincronização para descobrir sua configuração de precedência e filtro de escopo:

1. Inicie o Editor de Regras de Sincronização acessando INICIAR → Editor de Regras de Sincronização.

2. Configure os filtros de pesquisa com os seguintes valores:

   Atributo	Valor
   Direção	Saída
   Tipo de Objeto de MV	Person
   Connector	o nome do seu conector do Microsoft Entra
   Tipo de Objeto de Conector	user
   Atributos de MV	userCertificate

3. Se você estiver usando regras de sincronização OOB (integradas) para o Microsoft Entra Connector para exportar o atributo userCertificate de objetos User, deverá retornar à regra “Saída para o Microsoft Entra ID: ExchangeOnline do Usuário”.

4. Anote o valor de precedência dessa regra de sincronização.

5. Selecione a regra de sincronização e clique em Editar.

6. Na caixa de diálogo pop-up “Editar Confirmação de Regra Reservada”, clique em Não. (Não se preocupe; não vamos fazer nenhuma alteração nessa regra de sincronização).

7. Na tela de edição, selecione a guia Filtro de escopo.

8. Anote a configuração de filtro de escopo. Se você estiver usando a regra de sincronização OOB, deverá haver exatamente um grupo de filtro de escopo que contém duas cláusulas, incluindo:

   Atributo	Operador	Valor
   sourceObjectType	EQUAL	Usuário
   cloudMastered	NOTEQUAL	Verdadeiro

Etapa 3: Criar a regra de sincronização de saída necessária

A nova regra de sincronização deve ter o mesmo filtro de escopo e a mesma precedência mais alta da regra de sincronização existente. Isso garante que a nova regra de sincronização se aplica ao mesmo conjunto de objetos da regra de sincronização existente e substitui a regra de sincronização existente do atributo userCertificate. Para criar a regra de sincronização:

1. No Editor de Regras de Sincronização, clique no botão Adicionar nova regra.

2. Na guia Descrição, forneça a seguinte configuração:

   Atributo	Valor	Detalhes
   Nome	Fornecer um nome	Por exemplo, “Saída para o Microsoft Entra ID – Substituição personalizada para userCertificate”
   Descrição	Fornecer uma descrição	Por exemplo, “Se o atributo userCertificate tiver mais de 15 valores, exportar NULL”.
   Sistema Conectado	Selecione o Microsoft Entra Connector
   Tipo de Objeto do Sistema Conectado	user
   Tipo de Objeto de Metaverso	person
   Tipo de link	Join
   Precedência	Escolher um número entre 1 a 99	O número escolhido não deve ser usado por nenhuma regra de sincronização existente e tem um valor mais baixo (e, portanto, uma precedência mais alta) que a regra de sincronização existente.

3. Acesse a guia Filtro de escopo e implemente o mesmo filtro de escopo usado pela regra de sincronização existente.

4. Ignore a guia Regras de junção.

5. Acesse a guia Transformações para adicionar uma nova transformação usando a seguinte configuração:

   Atributo	Valor
   Tipo de Fluxo	Expression
   Atributo de Destino	userCertificate
   Atributo de Origem	Use a seguinte expressão: IIF(IsNullOrEmpty([userCertificate]), NULL, IIF((Count([userCertificate])> 15),AuthoritativeNull,[userCertificate]))

6. Clique no botão Adicionar para criar a regra de sincronização.

Etapa 4: Verificar a nova regra de sincronização em um objeto existente com o erro LargeObject

Isso serve para verificar se a regra de sincronização criada está funcionando corretamente em um objeto existente do AD com o erro LargeObject antes de aplicá-la a outros objetos:

1. Acesse a guia Operações no Synchronization Service Manager.
2. Selecione a operação mais recente Exportar para o Microsoft Entra e clique em um dos objetos com erros LargeObject.
3. Na tela pop-up de Propriedades de Objeto do Espaço Conector, clique no botão Visualizar.
4. Na tela pop-up Visualização, selecione Sincronização total e clique em Confirmar Visualização.
5. Feche a tela Visualização e a tela Propriedades de Objeto do Espaço Conector.
6. Acesse a guia Conectores no Synchronization Service Manager.
7. Clique com o botão direito do mouse no Microsoft Entra ID Connector e selecione Executar...
8. No pop-up Executar Conector, selecione a etapa Exportar e clique em OK.
9. Aguarde até que a etapa Exportar para o Microsoft Entra ID seja concluída e confirme se não há mais nenhum erro LargeObject nesse objeto específico.

Etapa 5: Aplicar a nova regra de sincronização aos objetos restantes com o erro LargeObject

Depois que a regra de sincronização for adicionada, você precisará executar uma etapa de sincronização completa no AD Connector:

1. Acesse a guia Conectores no Synchronization Service Manager.
2. Clique com o botão direito do mouse em AD Connector e selecione Executar...
3. No pop-up Executar Conector, selecione a etapa Sincronização Completa e clique em OK.
4. Aguarde até que a etapa Sincronização Completa seja concluída.
5. Repita as etapas acima para os AD Connectors restantes caso você tenha mais de um AD Connector. Normalmente, vários conectores serão necessários se você tiver vários diretórios locais.

Etapa 6: Verificar se não há alterações inesperadas com exportação pendente para o Microsoft Entra ID

1. Acesse a guia Conectores no Synchronization Service Manager.
2. Clique com o botão direito do mouse no Microsoft Entra ID Connector e selecione Pesquisar Espaço Conector.
3. No pop-up Pesquisar Espaço Conector:
   1. Defina o Escopo como Exportação Pendente.
   2. Marque todas as 3 caixas de seleção, incluindo Adicionar, Modificar e Excluir.
   3. Clique no botão Pesquisar para retornar todos os objetos com alterações com exportação pendente para o Microsoft Entra ID.
   4. Verifique se não há alterações inesperadas. Para examinar as alterações de determinado objeto, clique duas vezes nele.

Etapa 7: Exportar as alterações para o Microsoft Entra ID

Para exportar as alterações para o Microsoft Entra ID:

1. Acesse a guia Conectores no Synchronization Service Manager.
2. Clique com o botão direito do mouse no Microsoft Entra ID Connector e selecione Executar...
3. No pop-up Executar Conector, selecione a etapa Exportar e clique em OK.
4. Aguarde até que a etapa Exportar para o Microsoft Entra ID seja concluída e confirme se não há mais erros LargeObject.

Etapa 8: reabilitar o agendador de sincronização

Agora que o problema foi resolvido, habilite o agendador de sincronização interno novamente:

1. Inicie uma sessão do PowerShell.
2. Habilite a sincronização agendada novamente executando o cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $true

Observação

As etapas anteriores só são aplicáveis às versões mais recentes (1.1.xxx.x) do Microsoft Entra Connect com o agendador interno. Se você estiver usando versões mais antigas (1.0.xxx.x) do Microsoft Entra Connect que usam o Agendador de Tarefas do Windows ou estiver usando seu agendador personalizado (caso incomum) para disparar a sincronização periódica, desabilite-as de acordo.

Próximas etapas

Saiba mais sobre Integrar suas identidades locais com o Microsoft Entra ID.