通过

无法管理或删除通过 Azure Active Directory 同步工具同步的对象

  • 项目

本文介绍无法从 Microsoft Entra ID 管理或删除通过目录同步创建的对象的问题。 它根据不同的原因提供此问题的两个解决方法。

原始产品版本: 云服务(Web 角色/辅助角色)、Microsoft Entra ID、Microsoft Intune、Azure 备份、Office 365 标识管理
原始 KB 数: 2619062

现象

尝试从 Microsoft Entra ID 手动管理或删除通过目录同步创建的对象:

例如,你希望从本地 Active Directory域服务(AD DS)中删除同步到Microsoft Entra ID 的孤立用户帐户。

在此方案中,无法在 Office 365、Azure 或 Microsoft Intune 中使用 Microsoft 云服务门户或使用 Windows PowerShell 删除孤立用户帐户。

原因

如果出现下述一个或多个情况,则可能发生此问题:

  • 本地 AD DS 不再可用。 因此,无法从本地环境管理或删除对象。
  • 已从本地 AD DS 中删除对象。 但是,该对象不会从云服务组织中删除。 此行为是意外的。

解决方法

本地 AD DS 不再可用。 因此,无法从本地环境管理或删除对象

想要管理 Office 365、Azure 或 Intune 中的对象,并且不再想要使用目录同步。

注意

自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模块已弃用。 若要了解详细信息,请阅读有关弃用的更新。 在此日期之后,对这些模块的支持仅限于到 Microsoft Graph PowerShell SDK 的迁移帮助和安全性修复。 弃用的模块将持续运行至 2025 年 3 月 30 日。

我们建议迁移到 Microsoft Graph PowerShell,以便与 Microsoft Entra ID(以前称为 Azure AD)进行交互。 有关常见迁移问题,请参阅迁移常见问题解答注意:2024 年 6 月 30 日之后,MSOnline 版本 1.0.x 可能会遇到中断。

  1. 如果未运行 Windows 10,请安装 Microsoft Online Services 登录助手的 64 位版本: Microsoft面向 IT 专业人员 RTW 的联机服务登录助手。

  2. 安装适用于 Windows PowerShell 的 Microsoft Azure Active Directory 模块:

    1. 打开提升的 Windows PowerShell 命令提示符(以管理员身份运行 Windows PowerShell)。
    2. 运行 Install-Module MSOnline 命令。

  3. 运行以下命令禁用目录同步:

     Set-MsolDirSyncEnabled -EnableDirSync $false

  4. 使用 Windows PowerShell 检查是否已完全禁用目录同步。 为此,请定期运行以下命令:

     (Get-MSOLCompanyInformation).DirectorySynchronizationEnabled

    此命令将返回 TrueFalse。 继续定期运行此命令,直到返回 False,然后转到下一步。

    停用可能需要 72 小时才能完成。 时间取决于云服务订阅帐户中的对象数。

  5. 尝试使用 Windows PowerShell 或云服务门户更新对象。

    步骤 4 可能需要一段时间才能完成。 云服务环境中有一个计算属性值的过程。 必须先完成该过程,然后才能使用 Windows PowerShell 或云服务门户更改对象。

从本地 AD DS 中删除对象。 但是,不会从云服务订阅帐户中删除该对象

使用本文中的步骤强制目录同步: 启动计划程序

  • 如果传播某些更新和删除,但某些删除不会同步到云服务,请遵循典型的目录同步故障排除过程。

  • 如果所有更新和删除未同步到云服务,请联系支持人员。

    注意

    作为此方案的替代解决方案,可以在云服务中手动删除对象。 但是,无法在云服务中更新对象。 有关如何解决此问题的详细信息,请参阅以下Microsoft知识库文章: 使用 Azure Active Directory 同步工具时,对象删除不会同步到Microsoft Entra ID。  

详细信息

若要重新启用目录同步,请运行以下命令:

Set-MsolDirSyncEnabled -EnableDirSync $true

重新启用目录同步时,请务必仔细规划。 如果使用云服务门户或 Windows PowerShell 直接对最初从本地 AD DS 同步的对象进行任何更改,则本地属性和设置将在重新启用目录同步后首次发生同步时被本地属性和设置覆盖。

联系我们寻求帮助

如果你有任何疑问或需要帮助,请创建支持请求联系 Azure 社区支持。 你还可以将产品反馈提交到 Azure 反馈社区