Não é possível gerenciar ou remover objetos que foram sincronizados por meio da ferramenta de sincronização do Azure Active Directory
Este artigo descreve um problema em que você não pode gerenciar ou remover objetos que foram criados por meio da sincronização de diretório da ID do Microsoft Entra. Ele fornece duas resoluções para esse problema de acordo com diferentes razões.
Versão do produto original: Serviços de Nuvem (funções da Web/funções de Trabalho), Microsoft Entra ID, Microsoft Intune, Backup do Azure, Gerenciamento de Identidades do Office 365
Número original do KB: 2619062
Sintomas
Você tenta gerenciar ou remover manualmente objetos que foram criados por meio da sincronização de diretório da ID do Microsoft Entra:
Por exemplo, você deseja remover uma conta de usuário órfã que foi sincronizada com a ID do Microsoft Entra dos Serviços de Domínio Active Directory (AD DS) locais.
Nesse cenário, você não pode remover a conta de usuário órfã usando o portal de serviço de nuvem da Microsoft no Office 365, Azure ou Microsoft Intune ou usando o Windows PowerShell.
Motivo
Esse problema pode ocorrer se uma ou mais das seguintes condições ocorrer:
- O AD DS local não está mais disponível. Portanto, você não pode gerenciar ou excluir o objeto do ambiente local.
- Você excluiu um objeto do AD DS local. No entanto, o objeto não foi excluído da sua organização de serviço de nuvem. Esse comportamento é inesperado.
Resolução
O AD DS local não está mais disponível. Portanto, você não pode gerenciar ou excluir o objeto do ambiente local
Você deseja gerenciar objetos no Office 365, Azure ou Intune e não deseja mais usar a sincronização de diretório.
Observação
Os módulos Azure AD e MSOnline PowerShell estão preteridos desde 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após essa data, o suporte a esses módulos se limitará à assistência à migração para o SDK do Microsoft Graph PowerShell e às correções de segurança. Os módulos preteridos continuarão funcionando até 30 de março de 2025.
Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (antigo Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas Frequentes sobre Migração. Observação: as versões 1.0.x do MSOnline poderão sofrer interrupções após 30 de junho de 2024.
Se você não estiver executando o Windows 10, instale a versão de 64 bits do Assistente de Entrada do Microsoft Online Services: RTW do Assistente de Entrada do Microsoft Online Services para Profissionais de TI.
Instale o módulo do Microsoft Azure Active Directory para Windows PowerShell:
- Abra um prompt de comando do Windows PowerShell com privilégios elevados (execute o Windows PowerShell como administrador).
- Execute o comando
Install-Module MSOnline
.
Desative a sincronização de diretórios executando o seguinte comando:
Set-MsolDirSyncEnabled -EnableDirSync $false
Verifique se a sincronização de diretório foi totalmente desabilitada usando o Windows PowerShell. Para fazer isso, execute o seguinte comando periodicamente:
(Get-MSOLCompanyInformation).DirectorySynchronizationEnabled
Este comando retornará True ou False. Continue a executar esse comando periodicamente até que ele retorne False e, em seguida, vá para a próxima etapa.
Pode levar 72 horas para que a desativação seja concluída. O tempo depende do número de objetos que estão em sua conta de assinatura do serviço de nuvem.
Tente atualizar um objeto usando o Windows PowerShell ou usando o portal do serviço de nuvem.
A etapa 4 pode demorar um pouco para ser concluída. Há um processo no ambiente de serviço de nuvem que calcula valores de atributo. O processo deve ser concluído antes que os objetos possam ser alterados usando o Windows PowerShell ou usando o portal do serviço de nuvem.
Você exclui um objeto de um AD DS local. No entanto, o objeto não é excluído da sua conta de assinatura do serviço de nuvem
Forçar a sincronização de diretórios usando as etapas deste artigo: Iniciar o Agendador
Se algumas atualizações e exclusões forem propagadas, mas algumas exclusões não forem sincronizadas com o serviço de nuvem, siga os procedimentos típicos de solução de problemas de sincronização de diretório.
Se todas as atualizações e exclusões não estiverem sincronizadas com o serviço de nuvem, entre em contato com o Suporte.
Observação
Como uma resolução alternativa para esse cenário, um objeto pode ser excluído manualmente no serviço de nuvem. No entanto, o objeto não pode ser atualizado no serviço de nuvem. Para obter mais informações sobre como resolver esse problema, consulte o seguinte artigo da Base de Dados de Conhecimento Microsoft: As exclusões de objetos não são sincronizadas com a ID do Microsoft Entra ao usar a ferramenta de sincronização do Azure Active Directory.
Mais informações
Para reativar a sincronização de diretórios, execute o seguinte comando:
Set-MsolDirSyncEnabled -EnableDirSync $true
É importante planejar cuidadosamente ao reabilitar a sincronização de diretórios. Se você usou o portal do serviço de nuvem ou o Windows PowerShell para fazer alterações diretamente nos objetos que foram originalmente sincronizados do AD DS local, as alterações serão substituídas por atributos e configurações locais na primeira vez que a sincronização ocorrer depois que a sincronização de diretório for habilitada novamente.
Entre em contato conosco para obter ajuda
Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.