Partilhar via

Sincronização de identidades e resiliência de atributos duplicados

  • Artigo

A resiliência de atributos duplicados é uma funcionalidade no Microsoft Entra ID que reduz os conflitos causados por UserPrincipalName e conflitos de SMTP ProxyAddress ao usar uma das ferramentas de sincronização da Microsoft.

Esses dois atributos devem ser exclusivos em todos os objetos User, Groupou Contact em um determinado locatário do Microsoft Entra.

Nota

Somente usuários podem ter UPNs.

O novo comportamento que esse recurso permite está na parte de nuvem do pipeline de sincronização, portanto, é independente do cliente e relevante para qualquer produto de sincronização da Microsoft, incluindo Microsoft Entra Connect, DirSync e MIM + Connector. O termo genérico "cliente de sincronização" é usado neste documento para representar qualquer um desses produtos.

Comportamento atual

Se houver uma tentativa de provisionar um novo objeto com um valor UPN ou ProxyAddress que viole essa restrição de exclusividade, a ID do Microsoft Entra bloqueará a criação desse objeto. Da mesma forma, se um objeto for atualizado com um UPN ou ProxyAddress não exclusivo, a atualização falhará. O cliente de sincronização tenta novamente a tentativa de provisionamento ou atualização em cada ciclo de exportação e continua a falhar até que o conflito seja resolvido. Um e-mail de relatório de erro é gerado em cada tentativa e um erro é registrado pelo cliente de sincronização.

Comportamento com resiliência de atributo duplicado

Em vez de falhar completamente ao provisionar ou atualizar um objeto com um atributo duplicado, o Microsoft Entra ID "coloca em quarentena" o atributo duplicado que violaria a restrição de exclusividade. Se esse atributo for necessário para provisionamento, como UserPrincipalName, o serviço atribuirá um valor de espaço reservado. O formato desses valores temporários é
< > .

O processo de resiliência de atributo lida apenas com valores UPN e SMTP ProxyAddress .

Se o atributo não for necessário, como umProxyAddress , o Microsoft Entra ID simplesmente colocará o atributo de conflito em quarentena e prosseguirá com a criação ou atualização do objeto.

Ao colocar o atributo em quarentena, as informações sobre o conflito são enviadas no mesmo email de relatório de erros usado no comportamento antigo. No entanto, essa informação só aparece uma vez no relatório de erros: quando ocorre a quarentena, a informação não continua a ser registada em emails futuros. Além disso, como a exportação para este objeto é bem-sucedida, o cliente de sincronização não registra um erro e não tenta novamente a operação de criação/atualização nos ciclos de sincronização subsequentes.

Para dar suporte a esse comportamento, um novo atributo é adicionado às classes de objeto User, Group e Contact:
DirSyncProvisioningErrors

Este é um atributo de vários valores que é usado para armazenar os atributos conflitantes que violariam a restrição de exclusividade caso fossem adicionados normalmente. Uma tarefa de temporizador em segundo plano está habilitada no Microsoft Entra ID que é executada a cada hora para procurar conflitos de atributos duplicados que foram resolvidos e remove automaticamente os atributos em questão da quarentena.

Ativando a resiliência de atributos duplicados

A Resiliência de Atributos Duplicados é o novo comportamento padrão em todos os inquilinos do Microsoft Entra. Ele está ativado por padrão para todos os locatários que habilitaram a sincronização pela primeira vez em 22 de agosto de 2016 ou posterior. Os locatários que habilitaram a sincronização antes dessa data têm o recurso habilitado em lotes. Essa implantação começou em setembro de 2016 e uma notificação por e-mail é enviada para o contato de notificação técnica de cada locatário com a data específica em que o recurso está habilitado.

Nota

Depois que a Resiliência de Atributo Duplicado estiver ativada, ela não poderá ser desabilitada.

Para verificar se o recurso está habilitado para seu locatário, você pode fazer isso baixando a versão mais recente do módulo PowerShell do Azure Ative Directory e executando:

Get-MsolDirSyncFeatures -Feature DuplicateUPNResiliency

Get-MsolDirSyncFeatures -Feature DuplicateProxyAddressResiliency

Nota

Você não pode mais usar Set-MsolDirSyncFeature cmdlet para habilitar proativamente o recurso Resiliência de Atributo Duplicado antes que ele seja ativado para seu locatário. Para poder testar o recurso, você precisará criar um novo locatário do Microsoft Entra.

Nota

Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de descontinuação. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

Identificação de Objetos com DirSyncProvisioningErrors

Atualmente, há dois métodos para identificar objetos que têm esses erros devido a conflitos de propriedade duplicados, o Azure Ative Directory PowerShell e o centro de administração do Microsoft 365. Há planos para estender a relatórios adicionais baseados em portal no futuro.

Azure Active Directory do PowerShell

Para os cmdlets do PowerShell neste tópico, o seguinte é verdadeiro:

  • Todos os cmdlets a seguir diferenciam maiúsculas de minúsculas.
  • O –ErrorCategory PropertyConflict deve ser sempre incluído. Atualmente, não há outros tipos de ErrorCategory, mas isso pode ser estendido no futuro.

Primeiro, comece executando o Connect-MsolService e inserindo credenciais para um administrador de locatário.

Em seguida, use os seguintes cmdlets e operadores para exibir erros de maneiras diferentes:

  1. Ver tudo
  2. Por Tipo de Propriedade
  3. Por valor conflitante
  4. Usando uma pesquisa de cadeia de caracteres
  5. Sorted
  6. Numa quantidade limitada ou na totalidade

Ver tudo

Uma vez conectado, para ver uma lista geral de erros de provisionamento de atributos na execução do locatário:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict

Isso produz um resultado como o seguinte:
Get-MsolDirSyncProvisioningError

Por tipo de propriedade

Para ver erros por tipo de propriedade, adicione o sinalizador -PropertyName com o argumento UserPrincipalName ou ProxyAddresses :

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName UserPrincipalName

Ou

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName ProxyAddresses

Por valor conflitante

Para ver erros relacionados a uma propriedade específica, adicione o sinalizador -PropertyValue (-PropertyName também deve ser usado ao adicionar esse sinalizador):

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyValue User@domain.com -PropertyName UserPrincipalName

Para fazer uma pesquisa de cadeia de caracteres ampla, use o sinalizador -SearchString . Isso pode ser usado independentemente de todos os sinalizadores acima, com exceção de -ErrorCategory PropertyConflict, que é sempre necessário:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -SearchString User

Numa quantidade limitada ou na totalidade

  1. MaxResults <Int> pode ser usado para limitar a consulta a um número específico de valores.
  2. Todos podem ser usados para garantir que todos os resultados sejam recuperados no caso de existir um grande número de erros.

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -MaxResults 5

Centro de administração do Microsoft 365

Pode ver erros de sincronização de diretórios no centro de administração do Microsoft 365. O relatório no centro de administração do Microsoft 365 exibe apenas objetos de usuário que têm esses erros. Não mostra informações acerca de conflitos entre Grupos e Contactos.

Captura de ecrã que mostra erros de sincronização de diretórios no centro de administração do Microsoft 365.

Para obter instruções sobre como exibir erros de sincronização de diretórios no centro de administração do Microsoft 365, consulte Identificar erros de sincronização de diretórios no Microsoft 365.

Relatório de erros de sincronização de identidade

Quando um objeto com um conflito de atributo duplicado é tratado com esse novo comportamento, uma notificação é incluída no email padrão do Relatório de Erros de Sincronização de Identidade que é enviado ao contato de Notificação Técnica do locatário. No entanto, há uma mudança importante nesse comportamento. No passado, as informações sobre um conflito de atributo duplicado eram incluídas em todos os relatórios de erros subsequentes até que o conflito fosse resolvido. Com esse novo comportamento, a notificação de erro para um determinado conflito só aparece uma vez - no momento em que o atributo conflitante é colocado em quarentena.

Aqui está um exemplo da aparência da notificação por e-mail para um conflito ProxyAddress:
Captura de tela que mostra um exemplo de uma notificação por e-mail para um conflito ProxyAddress.

Resolução de conflitos

A estratégia de solução de problemas e as táticas de resolução para esses erros não devem diferir da maneira como os erros de atributos duplicados eram tratados no passado. A única diferença é que a tarefa de timer varre o locatário no lado do serviço para adicionar automaticamente o atributo em questão ao objeto adequado assim que o conflito for resolvido.

O artigo a seguir descreve várias estratégias de solução de problemas e resolução: Atributos duplicados ou inválidos impedem a sincronização de diretórios no Office 365.

Problemas conhecidos

Nenhum desses problemas conhecidos causa perda de dados ou degradação do serviço. Vários deles são estéticos, outros fazem com que erros de atributos duplicados padrão de "pré-resiliência" sejam lançados em vez de colocar em quarentena o atributo de conflito, e outro faz com que certos erros exijam correção manual extra.

Comportamento principal:

  1. Os objetos com configurações de atributos específicos continuam a receber erros de exportação, em oposição ao(s) atributo(s) duplicado(s) que estão sendo colocados em quarentena.
    Por exemplo:

    a. Novo usuário é criado no AD com um UPN de e smtp ProxyAddress Joe@contoso.com:Joe@contoso.com

    b. As propriedades deste objeto entram em conflito com um grupo existente, onde ProxyAddress é SMTP:Joe@contoso.com.

    c. Após a exportação, um erro de conflito ProxyAddress é lançado em vez de colocar os atributos de conflito em quarentena. A operação é repetida em cada ciclo de sincronização subsequente, como teria sido antes do recurso de resiliência ser habilitado.

  2. Se dois grupos são criados no local com o mesmo endereço SMTP, um falha ao provisionar na primeira tentativa com um erro ProxyAddress duplicado padrão. No entanto, o valor duplicado é colocado corretamente em quarentena no próximo ciclo de sincronização.

Relatório do Portal do Office:

  1. A mensagem de erro detalhada para dois objetos em um conjunto de conflitos UPN é a mesma. Isso indica que ambos tiveram sua UPN alterada/colocada em quarentena, quando na verdade apenas um deles teve algum dado alterado.

  2. A mensagem de erro detalhada para um conflito UPN mostra o displayName errado para um usuário cujo UPN foi alterado/colocado em quarentena. Por exemplo:

    a. O usuário A sincroniza primeiro com UPN = User@contoso.com.

    b. O usuário B é tentado para ser sincronizado em seguida com UPN = User@contoso.com.

    c. O UPN do usuário B é alterado e User1234@contoso.onmicrosoft.comUser@contoso.com adicionado a DirSyncProvisioningErrors.

    d. A mensagem de erro para o Usuário B deve indicar que o Usuário A já tem User@contoso.com como UPN, mas mostra o próprio displayName do Usuário B.

Relatório de erros de sincronização de identidade:

O link para as etapas sobre como resolver esse problema está incorreto:
Utilizadores Ativos

Deve apontar para https://aka.ms/duplicateattributeresiliency.

Consulte também