共用方式為

診斷和補救重複的屬性同步錯誤

  • 發行項

概觀

為了進一步醒目提示同步錯誤,Microsoft Entra Connect Health 會引進自助式補救。 它會針對重複的屬性同步錯誤進行疑難排解,並修正從 Microsoft Entra ID 孤立的物件。 診斷功能具有下列優點:

  • 它提供可縮小重複屬性同步錯誤的診斷程序, 並提供特定修正。
  • 它會為 Microsoft Entra ID 中的專用案例套用修正,並透過一個步驟解決錯誤。
  • 啟用這項功能不需要升級或設定。 如需 Microsoft Entra ID 的詳細資訊,請參閱身分識別同步處理和重複屬性恢復功能

問題

常見案例

QuarantinedAttributeValueMustBeUniqueAttributeValueMustBeUnique 同步錯誤發生時,通常會在 Microsoft Entra ID 中看到 UserPrincipalNameProxy 位址衝突。 您可以透過從內部部署端更新衝突的來源物件來解決同步錯誤。 同步處理錯誤將會在下一次同步處理之後解決。例如,此影像表示兩位使用者的 UserPrincipalName 發生衝突。 兩者都是 Joe.J@contoso.com。 衝突的物件會在 Microsoft Entra ID 中隔離。

診斷同步處理錯誤的常見案例

孤立的物件案例

您偶爾可能會發現現有的使用者遺失來源錨點。 內部部署 Active Directory 中發生來源物件刪除事件。 但是刪除訊號的變更一律不會同步處理至 Microsoft Entra ID。 發生此遺失通常是因為同步引擎問題或網域移轉所致。 當相同的物件獲得復原或重新建立時,邏輯上,現有的使用者應該會是從來源錨點進行同步的使用者。

當現有的使用者是僅限雲端的物件時,您也可以看到同步處理至 Microsoft Entra ID 的衝突使用者。 使用者無法符合同步至現有的物件。 沒有直接重新對應來源錨點的方式。 深入了解現有知識庫

例如,Microsoft Entra ID 中的現有物件會保留 Joe 的授權。 具備不同來源錨點的新同步處理物件發生於 Microsoft Entra ID 中的重複屬性狀態。 內部部署 Active Directory 中 Joe 的變更不會套用至 Microsoft Entra ID 中 Joe 的原始使用者 (現有物件)。

診斷同步處理錯誤的孤立物件案例

Connect Health 中的診斷和疑難排解步驟

診斷功能支援具有下列重複屬性的使用者物件:

屬性名稱 同步處理錯誤類型
UserPrincipalName QuarantinedAttributeValueMustBeUnique 或 AttributeValueMustBeUnique
ProxyAddresses QuarantinedAttributeValueMustBeUnique 或 AttributeValueMustBeUnique
SipProxyAddress AttributeValueMustBeUnique
OnPremiseSecurityIdentifier AttributeValueMustBeUnique

重要

若要存取這項功能, 至少需要來自 Azure RBAC 的參與者 許可權。

遵循 Microsoft Entra 系統管理中心中的步驟,以縮減同步錯誤詳細資料的範圍並提供更明確的解決方案:

同步處理錯誤的診斷步驟

Microsoft Entra 系統管理中心中執行若干步驟以找出可修正的特定案例:

  1. 檢查 [診斷狀態] 資料行。 狀態會顯示是否有可直接從 Microsoft Entra ID 修正同步處理錯誤的方式。 換句話說,疑難排解流程可以縮小錯誤案例,並可能加以修正。
狀態 這代表什麼?
未啟動 您尚未瀏覽此診斷流程。 根據診斷結果,有一種潛在解決方法可以直接從入口網站修正同步處理錯誤。
需要手動修正 錯誤不符合入口網站中可用修正的準則。 衝突的物件類型不是使用者,或者您已經完成診斷步驟,而且入口網站中沒有可用的修正解決方案。 在後者的情況下,來自內部部署端的修正仍然是其中一個解決方案。 深入了解內部部署修正
待同步 已套用修正。 入口網站正在等候下一個同步週期來清除錯誤。

重要

在每個同步處理週期結束後,都會重設診斷狀態資料行。

  1. 選取錯誤詳細資料底下的 [診斷] 按鈕。 您將回答幾個問題,並識別同步錯誤詳細資料。 解答有助於識別孤立的物件案例。

  2. 如果 [關閉] 按鈕出現在診斷結束時,入口網站不會對您的答案做快速修正。 請參閱最後一個步驟中顯示的解決方案。 來自內部部署的修正仍然是解決方案。 選取 [關閉] 按鈕。 目前同步處理錯誤的狀態會切換至 [需要手動修正]。 狀態會在目前的同步處理週期期間內保持。

  3. 識別孤立的物件案例之後,您可以直接從入口網站修正重複的屬性同步處理錯誤。 若要觸發程式,請選取 [套用修正] 按鈕。 目前同步處理錯誤的狀態更新至 [同步處理擱置中]

  4. 在下一個同步處理週期之後,錯誤應該從清單中移除。

如何回答診斷問題

使用者是否存在於您的內部部署 Active Directory 中?

此問題嘗試從內部部署 Active Directory 中找出現有使用者的來源物件。

  1. 檢查 Microsoft Entra ID 是否有物件具備提供的 UserPrincipalName。 如果沒有,請回答 [否]
  2. 如果有,請檢查物件是否仍在同步處理範圍內。
    • 使用 DN 在 Microsoft Entra 連接器空間中搜尋。
    • 如果發現該物件的狀態為 [待新增],請回答 [否]。 Microsoft Entra Connect 無法將物件連線到正確的 Microsoft Entra 物件。
    • 如果找不到物件,請回答 [是]

在這些範例中,問題會嘗試識別 Joe Jackson 是否仍存在於內部部署 Active Directory 中。 在常見的案例中,Joe JohnsonJoe Jackson 這兩個使用者會出現在內部部署 Active Directory 中。 隔離的物件是兩個不同的使用者。

診斷同步處理錯誤的常見案例

孤立物件案例中,只有一個使用者 (Joe Johnson) 會出現在內部部署 Active Directory 中:

診斷同步錯誤的孤立物件「使用者是否存在」案例

這兩個帳戶是否屬於同一個使用者?

此問題會在 Microsoft Entra ID 中檢查後續發生衝突的使用者與現有的使用者物件,以確認兩者是否屬於相同的使用者。

  1. 衝突的物件是同步處理至 Microsoft Entra ID 的新物件。 比較物件的屬性:
    • 顯示名稱
    • UserPrincipalName 或 SignInName
    • ObjectID
  2. 如果 Microsoft Entra ID 無法比較這兩者,請檢查 Active Directory 中是否有物件具備提供的 UserPrincipalNames。 如果兩者均發現,請回答 [否]

在下列範例中,兩個物件會屬於相同的使用者 Joe Johnson

診斷同步錯誤的孤立物件「相同使用者」案例

在孤立物件案例中套用修正後的情況

根據上述問題的回答,當您可從 Microsoft Entra ID 取得修正時,會看到 [套用修正] 按鈕。 在此情況下,內部部署物件將會與非預期的 Microsoft Entra 物件同步處理。 這兩個物件會使用來源錨點進行對應。 套用修正變更會採取下列步驟或類似步驟:

  1. 為 Microsoft Entra ID 中的正確物件更新來源錨點
  2. 刪除 Microsoft Entra ID 中有衝突的物件 (如果有的話)。

在修正後診斷同步處理錯誤

重要

套用修正變更只會套用至孤立物件案例。

完成前述步驟後,使用者即可存取連結至現有物件的原始資源。 清單檢視中的 [診斷狀態] 值會更新為 [待同步]。同步處理錯誤會在下一次同步處理後獲得解決。Connect Health 不會再於清單檢視中顯示已解決的同步處理錯誤。

失敗和錯誤訊息

具備衝突屬性的使用者在 Microsoft Entra ID 中遭虛刪除。 請先確認使用者已遭實刪除後再重試。
應先清除 Microsoft Entra ID 中具有衝突屬性的使用者,才能套用修正程式。 請參閱如何在 Microsoft Entra ID 中永久刪除使用者,再重試此修正程式。 進入虛刪除狀態 30 天後,也會自動永久刪除使用者。

不支援對租用戶中的雲端式使用者更新來源錨點。
Microsoft Entra ID 中的雲端式使用者不應擁有來源錨點。 在此情況下,不支援更新來源錨點。 必須從內部部署環境手動修正。

修正程序無法更新值。 不支援特定的設定,例如 Microsoft Entra Connect 中的 UserWriteback。 請在設定中停用。

常見問題集

問: 如果套用修正執行失敗,會發生什麼狀況?
A. 如果執行失敗,可能表示 Microsoft Entra Connect 正在執行匯出錯誤。 請重新整理入口網站頁面,並在下一個同步處理完成後重試。預設的同步處理週期為 30 分鐘。

問: 如果現有的物件是要刪除的物件,將會如何?
A. 如果應刪除現有的物件,則不會在此程序中變更來源錨點。 您通常可以從內部部署 Active Directory 修正此錯誤。

問: 使用者需要哪些權限才能套用修正?
一個。來自 Azure RBAC 的參與者具有存取診斷和疑難解答程序的許可權。 這是您需要的最低許可權。

問: 我需要針對這項功能設定 Microsoft Entra Connect 或更新 Microsoft Entra Connect Health 代理程式嗎?
A. 不需要,診斷程序是完整的雲端功能。

問: 如果現有的物件遭到虛刪除,診斷程序是否會將物件再次還原為使用中的物件?
A. 否,修正並不會更新來源錨點以外的物件屬性。