Condividi tramite

Non è possibile gestire o rimuovere oggetti sincronizzati tramite lo strumento di sincronizzazione di Azure Active Directory

  • Articolo

Questo articolo descrive un problema che non è possibile gestire o rimuovere oggetti creati tramite la sincronizzazione della directory da Microsoft Entra ID. Fornisce due soluzioni per questo problema in base a diversi motivi.

Versione originale del prodotto: Servizi cloud (Ruoli Web/Ruoli di lavoro), Microsoft Entra ID, Microsoft Intune, Backup di Azure, Gestione delle identità di Office 365
Numero KB originale: 2619062

Sintomi

Si tenta di gestire o rimuovere manualmente gli oggetti creati tramite la sincronizzazione della directory da Microsoft Entra ID:

Ad esempio, si vuole rimuovere un account utente orfano sincronizzato con Microsoft Entra ID dal Active Directory locale Domain Services (AD DS).

In questo scenario non è possibile rimuovere l'account utente orfano usando il portale del servizio cloud Microsoft in Office 365, Azure o Microsoft Intune o tramite Windows PowerShell.

Causa

Questo problema può verificarsi se una o più delle seguenti condizioni sono vere:

  • Active Directory Domain Services locale non è più disponibile. Non è quindi possibile gestire o eliminare l'oggetto dall'ambiente locale.
  • È stato eliminato un oggetto da Active Directory Domain Services locale. Tuttavia, l'oggetto non è stato eliminato dall'organizzazione del servizio cloud. Questo comportamento è imprevisto.

Risoluzione

Active Directory Domain Services locale non è più disponibile. Pertanto, non è possibile gestire o eliminare l'oggetto dall'ambiente locale

Si vuole gestire gli oggetti in Office 365, Azure o Intune e non si vuole più usare la sincronizzazione della directory.

Note

I moduli Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per maggiori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza alla migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, consultare le Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.

  1. Se non si esegue Windows 10, installare la versione a 64 bit dell'Assistente per l'accesso a Microsoft Online Services: Assistente per l'accesso a Microsoft Online Services per professionisti IT RTW.

  2. Installare il modulo Microsoft Azure Active Directory per Windows PowerShell:

    1. Aprire un prompt dei comandi di Windows PowerShell con privilegi elevati (eseguire Windows PowerShell come amministratore).
    2. Eseguire il comando Install-Module MSOnline.

  3. Disabilitare la sincronizzazione della directory eseguendo il comando seguente:

     Set-MsolDirSyncEnabled -EnableDirSync $false

  4. Verificare che la sincronizzazione della directory sia stata completamente disabilitata usando Windows PowerShell. A tale scopo, eseguire periodicamente il comando seguente:

     (Get-MSOLCompanyInformation).DirectorySynchronizationEnabled

    Questo comando restituirà True o False. Continuare a eseguire periodicamente questo comando fino a quando non restituisce False e quindi andare al passaggio successivo.

    Il completamento della disattivazione potrebbe richiedere 72 ore. Il tempo dipende dal numero di oggetti presenti nell'account di sottoscrizione del servizio cloud.

  5. Provare ad aggiornare un oggetto usando Windows PowerShell o il portale del servizio cloud.

    Il passaggio 4 può richiedere un po' di tempo. È presente un processo nell'ambiente del servizio cloud che calcola i valori degli attributi. Il processo deve essere completato prima che gli oggetti possano essere modificati tramite Windows PowerShell o tramite il portale del servizio cloud.

Si elimina un oggetto da un'istanza di Active Directory Domain Services locale. Tuttavia, l'oggetto non viene eliminato dall'account della sottoscrizione del servizio cloud

Forzare la sincronizzazione della directory usando la procedura descritta in questo articolo: Avviare l'utilità di pianificazione

  • Se alcuni aggiornamenti ed eliminazioni vengono propagati, ma alcune eliminazioni non vengono sincronizzate con il servizio cloud, seguire le procedure di risoluzione dei problemi di sincronizzazione delle directory tipiche.

  • Se tutti gli aggiornamenti e le eliminazioni non vengono sincronizzati con il servizio cloud, contattare il supporto tecnico.

    Note

    Come soluzione alternativa per questo scenario, un oggetto può essere eliminato manualmente nel servizio cloud. Tuttavia, l'oggetto non può essere aggiornato nel servizio cloud. Per altre informazioni su come risolvere questo problema, vedere l'articolo della Microsoft Knowledge Base seguente: Le eliminazioni di oggetti non vengono sincronizzate con Microsoft Entra ID quando si usa lo strumento di sincronizzazione di Azure Active Directory.  

Ulteriori informazioni

Per riabilitare la sincronizzazione della directory, eseguire il comando seguente:

Set-MsolDirSyncEnabled -EnableDirSync $true

È importante pianificare attentamente quando si riabilita la sincronizzazione della directory. Se è stato usato il portale del servizio cloud o Windows PowerShell per apportare modifiche direttamente agli oggetti originariamente sincronizzati da Servizi di dominio Active Directory locali, le modifiche verranno sovrascritte dagli attributi locali e le impostazioni la prima volta che si verifica la sincronizzazione dopo la sincronizzazione della directory viene riabilitata.

Contattaci per ricevere assistenza

In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.