Поделиться через

Не удается управлять или удалять объекты, синхронизированные с помощью средства синхронизации Azure Active Directory

  • Статья

В этой статье описывается проблема, из-за которую нельзя управлять или удалять объекты, созданные с помощью синхронизации каталогов из идентификатора Microsoft Entra. Он предоставляет два решения по этой проблеме по разным причинам.

Исходная версия продукта: Облачные службы (веб-роли или рабочие роли), Идентификатор Microsoft Entra, Microsoft Intune, Azure Backup, Office 365 Identity Management
Исходный номер базы знаний: 2619062

Симптомы

Вы пытаетесь вручную управлять или удалять объекты, созданные с помощью синхронизации каталогов из идентификатора Microsoft Entra:

Например, необходимо удалить учетную запись пользователя, которая была синхронизирована с идентификатором Microsoft Entra из локальная служба Active Directory доменных служб (AD DS).

В этом сценарии не удается удалить учетную запись пользователя с помощью портала облачной службы Майкрософт в Office 365, Azure или Microsoft Intune или с помощью Windows PowerShell.

Причина

Причина этого может заключаться в следующем:

  • Локальные доменные службы Active Directory больше не доступны. Таким образом, вы не можете управлять или удалять объект из локальной среды.
  • Вы удалили объект из локальной службы AD DS. Однако объект не был удален из организации облачной службы. Это непредвиденное поведение.

Решение

Локальные доменные службы Active Directory больше не доступны. Таким образом, невозможно управлять или удалять объект из локальной среды.

Вы хотите управлять объектами в Office 365, Azure или Intune и больше не хотите использовать синхронизацию каталогов.

Примечание.

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание. Версии 1.0.x MSOnline могут возникнуть сбоем после 30 июня 2024 г.

  1. Если вы не используете Windows 10, установите 64-разрядную версию помощника по входу в Microsoft Online Services: помощник по входу в Microsoft Online Services для ИТ-специалистов RTW.

  2. Установите модуль Microsoft Azure Active Directory для Windows PowerShell:

    1. Откройте командную строку Windows PowerShell с повышенными привилегиями (запустите Windows PowerShell от имени администратора).
    2. Выполните команду Install-Module MSOnline.

  3. Отключите синхронизацию каталогов, выполнив следующую команду:

     Set-MsolDirSyncEnabled -EnableDirSync $false

  4. Убедитесь, что синхронизация каталогов полностью отключена с помощью Windows PowerShell. Для этого периодически выполните следующую команду:

     (Get-MSOLCompanyInformation).DirectorySynchronizationEnabled

    Эта команда возвращает значение True или False. Продолжайте выполнять эту команду периодически, пока не возвращает значение False, а затем перейдите к следующему шагу.

    Для завершения деактивации может потребоваться 72 часа. Время зависит от количества объектов, которые находятся в учетной записи подписки облачной службы.

  5. Попробуйте обновить объект с помощью Windows PowerShell или с помощью портала облачной службы.

    Шаг 4 может занять некоторое время. Существует процесс в среде облачной службы, которая вычисляет значения атрибутов. Перед изменением объектов необходимо выполнить процесс с помощью Windows PowerShell или с помощью портала облачной службы.

Объект удаляется из локальной службы AD DS. Однако объект не удаляется из учетной записи подписки облачной службы.

Принудительное синхронизация каталогов с помощью действий, описанных в этой статье: запуск планировщика

  • Если некоторые обновления и удаления распространяются, но некоторые удаления не синхронизируются с облачной службой, следуйте типичным процедурам устранения неполадок синхронизации каталогов.

  • Если все обновления и удаления не синхронизированы с облачной службой, обратитесь в службу поддержки.

    Примечание.

    В качестве альтернативного разрешения для этого сценария объект можно удалить вручную в облачной службе. Однако объект нельзя обновить в облачной службе. Дополнительные сведения об устранении этой проблемы см. в следующей статье базы знаний Майкрософт. Удаление объектов не синхронизируется с идентификатором Microsoft Entra при использовании средства синхронизации Azure Active Directory.  

Дополнительная информация

Чтобы повторно включить синхронизацию каталогов, выполните следующую команду:

Set-MsolDirSyncEnabled -EnableDirSync $true

При повторной синхронизации каталогов важно тщательно планировать. Если вы использовали портал облачной службы или Windows PowerShell для внесения изменений непосредственно в объекты, которые были изначально синхронизированы из локальной службы AD DS, изменения будут перезаписаны локальными атрибутами и параметрами при первой синхронизации каталогов после повторной включения синхронизации каталогов.

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.