Поделиться через

Синхронизация идентификации и устойчивость к повторяющимся атрибутам

  • Статья

Устойчивость повторяющихся атрибутов — это функция в идентификаторе Microsoft Entra, которая устраняет трения, вызванные UserPrincipalName и SMTP ProxyAddress конфликтов при выполнении одного из инструментов синхронизации Microsoft.

Эти два атрибута должны быть уникальными для всех объектов user, Groupили Contact объектов в определенном клиенте Microsoft Entra.

Примечание.

Только пользователи могут иметь UPN.

Новое поведение, которое включает эта функция, находится в облачной части конвейера синхронизации, поэтому она не зависит от клиента и относится к любому продукту синхронизации Майкрософт, включая Microsoft Entra Connect, DirSync и MIM + Connector. В этом документе универсальный термин "клиент синхронизации" означает любой из этих продуктов.

Текущее поведение

Если есть попытка подготовить новый объект со значением имени учетной записи или ProxyAddress, которое нарушает это ограничение уникальности, Microsoft Entra ID препятствует созданию этого объекта. Если объект обновляется с помощью неуникальных значений UPN или ProxyAddress, обновление не удается выполнить Клиент синхронизации повторно пытается выполнить подготовку или обновление при каждом цикле экспорта и продолжает терпеть неудачу, пока конфликт не будет разрешен. После каждой попытки клиент синхронизации создает сообщение электронной почты с отчетом об ошибке и регистрирует ошибку в журнале.

Поведение с устойчивостью повторяющихся атрибутов

Вместо того, чтобы полностью не подготовить или обновить объект с повторяющимся атрибутом, служба Microsoft Entra ID отправляет в карантин дубликат атрибута, который нарушает ограничение уникальности. Если этот атрибут необходим для предоставления, как, например, UserPrincipalName, служба назначает значение заполнителя. Формат этих временных значений следующий:
<OriginalPrefix>+<4DigitNumber>@<InitialTenantDomain>.onmicrosoft.com.

Процесс обеспечения устойчивости атрибутов обрабатывает только значения ProxyAddress для UPN и SMTP.

Если атрибут не требуется, например, ProxyAddress, Microsoft Entra ID просто помещает конфликтный атрибут в карантин и продолжает создание или обновление объекта.

После помещения атрибута на карантин сведения о конфликте отправляются в том же сообщении электронной почты с отчетом об ошибке, которое использовалось при старом порядке действий. Однако эта информация отображается в отчете об ошибке только один раз — при наступлении карантина, и она не сохраняется в будущих электронных письмах. Кроме того, так как экспорт для этого объекта выполнен успешно, клиент синхронизации не регистрирует ошибку и не повторяет операцию создания или обновления при последующих циклах синхронизации.

Для поддержки этого поведения новый атрибут добавляется в классы объектов User, Group и Contact:
DirSyncProvisioningErrors

Это многозначный атрибут, используемый для хранения конфликтующих атрибутов, которые нарушают ограничение уникальности, если добавляются как обычно. Задача фонового таймера включена в Microsoft Entra ID, которая выполняется каждый час для обнаружения конфликтов повторяющихся атрибутов, уже разрешённых, и автоматического удаления этих атрибутов из карантина.

Включение механизма устойчивости к повторяющимся атрибутам

Устойчивость повторяющихся атрибутов — это новое поведение по умолчанию для всех клиентов Microsoft Entra. Он включен по умолчанию для всех клиентов, которые включили синхронизацию впервые 22 августа 2016 г. или более поздней версии. Клиенты, которые включили синхронизацию до этой даты, имеют функцию, включенную пакетами. Это развертывание началось в сентябре 2016 года, и уведомление по электронной почте отправляется в технический контакт каждого клиента с определенной датой, когда эта функция включена.

Примечание.

После включения устойчивости повторяющихся атрибутов его нельзя отключить.

Чтобы проверить, включена ли эта функция для вашего клиента, можно скачать последнюю версию модуля Azure Active Directory PowerShell и выполнив команду.

Get-EntraDirSyncFeature -Feature DuplicateUPNResiliency

Get-EntraDirSyncFeature -Feature DuplicateProxyAddressResiliency

Примечание.

Вы не можете использовать командлет Set-EntraDirSyncFeature для упреждающего включения функции устойчивости повторяющихся атрибутов, прежде чем она включена для вашего клиента. Чтобы протестировать эту функцию, необходимо создать новый клиент Microsoft Entra.

Идентификация объектов с DirSyncProvisioningErrors

В настоящее время существуют два метода определения объектов с этими ошибками из-за конфликтов повторяющихся свойств: Microsoft Entra PowerShell и Центр администрирования Microsoft 365. В будущем планируется внедрение дополнительных отчетов на базе портала.

Microsoft Entra PowerShell

Для командлетов PowerShell, рассматриваемых в этой теме, верны следующие утверждения:

  • все командлеты вводятся с учетом регистра;

Сначала начните работу, выполнив Connect-Entra и введя учетные данные администратора клиента.

Затем используйте следующие командлеты и операторы для просмотра ошибок разными способами.

  1. Смотреть все
  2. По типу свойства.
  3. По конфликтующему значению.
  4. С помощью поиска по строкам.
  5. Отсортировано.
  6. в ограниченном количестве

Смотреть все

После подключения, чтобы просмотреть общий список ошибок подготовки атрибутов в клиенте, выполните команду:

Get-MsolDirSyncProvisioningError

По типу свойства.

Чтобы просмотреть ошибки по типу свойства, укажите UserPrincipalName или ProxyAddresses:

Get-EntraDirectoryObjectOnPremisesProvisioningError | Where-Object PropertyCausingError -eq 'UserPrincipalName'

Или

Get-EntraDirectoryObjectOnPremisesProvisioningError | Where-Object PropertyCausingError -eq 'ProxyAddresses'

По конфликтующему значению.

Чтобы увидеть ошибки, связанные с определенным свойством, добавьте это значение:

Get-EntraDirectoryObjectOnPremisesProvisioningError | Where-Object PropertyCausingError -eq 'UserPrincipalName' | Where-Object Value -eq 'User@domain.com'

Чтобы выполнить широкий поиск строк:

Get-EntraDirectoryObjectOnPremisesProvisioningError | Select-Object 'User@domain.com'

В ограниченном количестве

Используйте следующую команду, чтобы ограничить запрос определенным количеством значений.

Get-EntraDirectoryObjectOnPremisesProvisioningError | Select-Object -First 10

Центр администрирования Microsoft 365

Ошибки синхронизации каталогов можно просмотреть в центре администрирования Microsoft 365. Отчет в центре администрирования Microsoft 365 отображает только объекты Пользователь, для которых обнаружены эти ошибки. В нем не отображаются сведения о конфликтах между группами и контактами.

Снимок экрана: ошибки синхронизации каталогов в центре администрирования Microsoft 365.

Инструкции по просмотру ошибок синхронизации каталогов в центре администрирования Microsoft 365 см. в статье Просмотр ошибок синхронизации каталогов в Microsoft 365.

Отчет об ошибках синхронизации идентификаций

Когда объект с конфликтом повторяющихся атрибутов обрабатывается с помощью этого нового поведения, уведомление включается в стандартное сообщение об ошибке синхронизации удостоверений, которое отправляется контактному лицу для технических уведомлений арендатора. Но в этом поведении есть важные изменения. Раньше сведения о конфликте повторяющихся атрибутов включались в каждый отчет об ошибках до тех пор, пока конфликт не разрешался. После включения нового поведения уведомление об ошибке, связанное с тем или иным конфликтом, отображается только один раз: когда конфликтующий атрибут помещается на карантин.

Вот как выглядит уведомление электронной почты о конфликте ProxyAddress:
Снимок экрана: пример оповещения по электронной почте о конфликте ProxyAddress.

Разрешение конфликтов

Стратегия устранения неполадок и тактика разрешения этих ошибок не должны отличаться от способа обработки повторяющихся ошибок атрибутов в прошлом. Единственное различие заключается в том, что задача таймера просматривает арендатора на стороне сервиса и автоматически добавляет данный атрибут в правильный объект после того, как конфликт будет разрешен.

Различные стратегии устранения неполадок и разрешения конфликтов описаны в статье Duplicate or invalid attributes prevent directory synchronization in Office 365(Повторяющиеся или недопустимые атрибуты препятствуют синхронизации каталогов в Office 365).

Известные проблемы

Ни одна из известных проблем не приводит к потере данных или снижению производительности службы. Некоторые из них связаны с внешним видом, другие вызывают стандартные ошибки повторяющихся атрибутов "до включения режима устойчивости", которые возникают вместо помещения конфликтующего атрибута в карантин, и еще одна проблема приводит к тому, что для устранения определенных ошибок требуется дополнительное ручное вмешательство.

Основное поведение

  1. Объекты с определенными конфигурациями атрибутов продолжают получать ошибки экспорта, вместо того чтобы повторяющиеся атрибуты помещались в карантин.
    Например:

    a. В Active Directory создается новый пользователь со следующими свойствами: имя участника-пользователя (UPN) — Joe@contoso.com, ProxyAddress — smtp:Joe@contoso.com

    b. Свойства этого объекта конфликтуют с существующей группой, имеющей свойство ProxyAddress со значением SMTP:Joe@contoso.com.

    c. После экспорта отображается ошибка о конфликте ProxyAddress , при этом конфликтующие атрибуты не помещаются на карантин. Операция повторяется после каждого цикла синхронизации, как это и происходило до включения компонента устойчивости.

  2. Если локально создаются две группы с одним и тем же адресом SMTP, то одну группу не удается подготовить с первой попытки из-за стандартной ошибки повторяющихся значений ProxyAddress . Однако при очередном цикле синхронизации повторяющиеся значения правильно помещаются на карантин.

Отчет на портале Office

  1. Подробное сообщение об ошибке для двух объектов в наборе конфликтов UPN одинаково. Это указывает на то, что UPN обоих объектов якобы было изменено или помещено в карантин, однако на самом деле изменения данных произошли только в одном из них.

  2. Подробное сообщение об ошибке для конфликта UPN показывает неправильное значение параметра displayName для пользователя, у которого UPN был изменён или помещён в карантин. Например:

    a. Сначала пользователь A синхронизируется с UPN = User@contoso.com.

    b. Следующим шагом пытаются синхронизировать пользователя B с UPN = User@contoso.com.

    c. UPN пользователя B изменяется на User1234@contoso.onmicrosoft.com, а User@contoso.com добавляется в DirSyncProvisioningErrors.

    d. Сообщение об ошибке для пользователя B должно указывать, что пользователь A уже использует User@contoso.com как UPN, но вместо этого отображается собственное имя пользователя B в поле displayName.

Отчет об ошибках синхронизации идентичности.

Ссылка на указания по устранению этой проблемы неправильная.
Активные пользователи

Она должна указывать на https://aka.ms/duplicateattributeresiliency.

См. также