Dela via

Identitetssynkronisering och duplicerad attributåterhämtning

  • Artikel

Dubblettattributresiliens är en funktion i Microsoft Entra ID som eliminerar friktion orsakad av UserPrincipalName och SMTP ProxyAddress-konflikter när du kör ett av Microsofts synkroniseringsverktyg.

Dessa två attribut måste vara unika för alla Användare, Gruppeller Kontakt objekt i en viss Microsoft Entra-klient.

Anteckning

Endast användare kan ha UPN.

Det nya beteendet som den här funktionen aktiverar finns i molndelen av synkroniseringspipelinen, därför är den klientagnostisk och relevant för alla Microsoft-synkroniseringsprodukter, inklusive Microsoft Entra Connect, DirSync och MIM + Connector. Den allmänna termen "synkroniseringsklient" används i det här dokumentet för att representera någon av dessa produkter.

Aktuellt beteende

Om det görs ett försök att etablera ett nytt objekt med ett UPN- eller ProxyAddress-värde som bryter mot denna unikhetsbegränsning blockerar Microsoft Entra-ID objektet från att skapas. På samma sätt misslyckas uppdateringen om ett objekt uppdateras med ett icke-unikt UPN eller ProxyAddress. Synkroniseringsklienten försöker på nytt att etablera eller uppdatera vid varje exportcykel och fortsätter att misslyckas tills konflikten är löst. Ett e-postmeddelande om felrapport genereras vid varje försök och ett fel loggas av synkroniseringsklienten.

Beteende med tålighet mot duplicerade attribut

I stället för att helt misslyckas med att etablera eller uppdatera ett objekt med ett duplicerat attribut " placerar Microsoft Entra-ID det duplicerade attributet i karantän, vilket skulle strida mot unikhetsbegränsningen. Om det här attributet krävs för etablering, till exempel UserPrincipalName, tilldelar tjänsten ett platshållarvärde. Formatet för dessa temporära värden är
<OriginalPrefix>+<4DigitNumber>@<InitialTenantDomain>.onmicrosoft.com.

Attributåterhämtningsprocessen hanterar endast UPN- och SMTP ProxyAddress-värden .

Om attributet inte krävs, till exempel en ProxyAddress, placerar Microsoft Entra-ID helt enkelt konfliktattributet i karantän och fortsätter med att objektet skapas eller uppdateras.

När attributet sätts i karantän skickas information om konflikten i samma felrapporteringsmejl som användes i det tidigare beteendet. Den här informationen visas dock bara i felrapporten en gång, när karantänen inträffar fortsätter den inte att loggas i framtida e-postmeddelanden. Eftersom exporten för det här objektet lyckades loggar inte synkroniseringsklienten något fel och försöker inte skapa/uppdatera igen vid efterföljande synkroniseringscykler.

För att stödja det här beteendet läggs ett nytt attribut till i objektklasserna Användare, Grupp och Kontakt:
DirSyncProvisioningErrors

Det här är ett attribut med flera värden som används för att lagra de attribut som står i konflikt med unikhetsbegränsningen om de läggs till normalt. En bakgrundstimeruppgift är aktiverad i Microsoft Entra ID som körs varje timme för att söka efter dubblettattributkonflikter som har lösts och automatiskt tar bort de berörda attributen från karantän.

Aktivera motståndskraft för duplicerade attribut

Motstånd mot dubblettattribut är det nya standardbeteendet för alla hyrande i Microsoft Entra. Den är aktiverad som standard för alla klienter som aktiverade synkronisering för första gången den 22 augusti 2016 eller senare. Klienter som har aktiverat synkronisering före det här datumet har funktionen aktiverad i batchar. Den här distributionen började i september 2016 och ett e-postmeddelande skickas till varje klientorganisations tekniska meddelandekontakt med det specifika datum då funktionen är aktiverad.

Anteckning

När Dubblettattribut-tålighet är aktiverad kan det inte inaktiveras.

Om du vill kontrollera om funktionen är aktiverad för din klientorganisation kan du göra det genom att ladda ned den senaste versionen av Azure Active Directory PowerShell-modulen och köra:

Get-EntraDirSyncFeature -Feature DuplicateUPNResiliency

Get-EntraDirSyncFeature -Feature DuplicateProxyAddressResiliency

Anteckning

Du kan inte använda cmdleten Set-EntraDirSyncFeature för att proaktivt aktivera funktionen Duplicerat attributmotstånd innan den är aktiverad för din klientorganisation. För att kunna testa funktionen måste du skapa en ny Microsoft Entra-klientorganisation.

Identifiera objekt med DirSyncProvisioningErrors

Det finns för närvarande två metoder för att identifiera objekt som har dessa fel på grund av duplicerade egenskapskonflikter, Microsoft Entra PowerShell och Administrationscenter för Microsoft 365. Det finns planer på att utöka till ytterligare portalbaserad rapportering i framtiden.

Microsoft Entra PowerShell

Följande gäller för PowerShell-cmdletarna i det här avsnittet:

  • Alla följande cmdlet är skiftlägeskänsliga.

Börja med att köra Connect-Entra och ange autentiseringsuppgifter för en klientadministratör.

Använd sedan följande cmdletar och operatorer för att visa fel på olika sätt:

  1. Se alla
  2. Efter egenskapstyp
  3. Efter motstridigt värde
  4. Använda en strängsökning
  5. Sorterad
  6. I en begränsad mängd

Visa alla

När du är ansluten visas en allmän lista över attributkonfigurationsfel i klientmiljön.

Get-MsolDirSyncProvisioningError

Efter egenskapstyp

Om du vill se fel efter egenskapstyp anger du UserPrincipalName eller ProxyAddresses:

Get-EntraDirectoryObjectOnPremisesProvisioningError | Where-Object PropertyCausingError -eq 'UserPrincipalName'

Eller

Get-EntraDirectoryObjectOnPremisesProvisioningError | Where-Object PropertyCausingError -eq 'ProxyAddresses'

Genom motstridigt värde

Om du vill se fel som rör en specifik egenskap lägger du till värdet:

Get-EntraDirectoryObjectOnPremisesProvisioningError | Where-Object PropertyCausingError -eq 'UserPrincipalName' | Where-Object Value -eq 'User@domain.com'

Så här gör du en bred strängsökning:

Get-EntraDirectoryObjectOnPremisesProvisioningError | Select-Object 'User@domain.com'

I en begränsad mängd

Använd följande kommando för att begränsa frågan till ett visst antal värden.

Get-EntraDirectoryObjectOnPremisesProvisioningError | Select-Object -First 10

Microsoft 365 administratörsportal

Du kan visa katalogsynkroniseringsfel i Administrationscenter för Microsoft 365. Rapporten i Administrationscenter för Microsoft 365 visar endast användarobjekt som har dessa fel. Den visar inte information om konflikter mellan grupper och kontakter.

Skärmbild som visar katalogsynkroniseringsfel i Administrationscenter för Microsoft 365.

Anvisningar om hur du visar katalogsynkroniseringsfel i Administrationscenter för Microsoft 365 finns i Identifiera katalogsynkroniseringsfel i Microsoft 365.

Felrapport för identitetssynkronisering

När ett objekt med en dubblettattributkonflikt hanteras med det här nya beteendet finns ett meddelande med i standardfelrapportmejlet för identitetssynkronisering som skickas till den tekniska kontaktpersonen för notifieringar hos klientorganisationen. Det finns dock en viktig förändring i det här beteendet. Tidigare skulle information om en dubblettattributkonflikt inkluderas i varje efterföljande felrapport tills konflikten löstes. Med det här nya beteendet visas felmeddelandet för en viss konflikt bara en gång när det motstridiga attributet sätts i karantän.

Här är ett exempel på hur e-postmeddelandet ser ut för en ProxyAddress-konflikt:
Skärmbild som visar ett exempel på ett e-postmeddelande för en ProxyAddress-konflikt.

Lösa konflikter

Felsökningsstrategi och lösningstaktik för dessa fel bör inte skilja sig från hur dubblettattributfel hanterades tidigare. Den enda skillnaden är att timer-uppgiften genomsöker hyresgästen på tjänstsidan för att automatiskt lägga till attributet i fråga till rätt objekt när konflikten har lösts.

I följande artikel beskrivs olika felsöknings- och lösningsstrategier: Duplicerade eller ogiltiga attribut förhindrar katalogsynkronisering i Office 365.

Kända problem

Inget av dessa kända problem orsakar dataförlust eller tjänstförsämring. Flera av dem är estetiska, andra orsakar standardfel med duplicerade "pre-resiliency"-attribut som utlöses istället för att sätta konfliktattributet i karantän, och ett annat orsakar vissa fel som kräver extra manuell korrigering.

Kärnbeteende:

  1. Objekt med specifika attributkonfigurationer fortsätter att få exportfel i stället för att dubblettattributen sätts i karantän.
    Till exempel:

    a. Ny användare skapas i AD med upn Joe@contoso.com och ProxyAddress smtp:Joe@contoso.com

    b. Egenskaperna för det här objektet står i konflikt med en befintlig grupp, där ProxyAddress är SMTP:Joe@contoso.com.

    c. Vid export utlöses ett ProxyAddress-konfliktfel i stället för att konfliktattributen sätts i karantän. Åtgärden görs på nytt vid varje efterföljande synkroniseringscykel, som det skulle ha varit innan återhämtningsfunktionen aktiverades.

  2. Om två grupper skapas lokalt med samma SMTP-adress misslyckas den ena med att etableras vid det första försöket på grund av ett standardfel med duplicerad ProxyAddress. Dubblettvärdet läggs dock i karantän vid nästa synkroniseringscykel.

Office Portal-rapport:

  1. Det detaljerade felmeddelandet för två objekt i en UPN-konfliktuppsättning är detsamma. Detta indikerar att de båda har fått sina UPN ändrade eller satts i karantän, när egentligen bara en av dem hade några data ändrats.

  2. Det detaljerade felmeddelandet för en UPN-konflikt visar fel displayName för en användare vars UPN har ändrats/placerats i karantän. Till exempel:

    a. Användare A synkroniseras först med UPN = User@contoso.com.

    b. Användare B försöker synkroniseras härnäst med UPN = User@contoso.com.

    c. Användaren B:s UPN ändras till User1234@contoso.onmicrosoft.com och User@contoso.com läggs till i DirSyncProvisioningErrors.

    d. Felmeddelandet för användare B bör indikera att användare A redan har User@contoso.com som ett UPN, men det visar användar-B:s eget displayName.

Felrapport för identitetssynkronisering:

Länken för steg om hur du löser problemet är felaktig:
Aktiva användare

Det bör peka på https://aka.ms/duplicateattributeresiliency.

Se även