Udostępnij za pośrednictwem

Synchronizacja tożsamości i odporność względem zduplikowanych atrybutów

  • Artykuł

Odporność zduplikowanych atrybutów to funkcja w Microsoft Entra ID, która eliminuje problemy spowodowane przez UserPrincipalName i SMTP ProxyAddress konflikty podczas uruchamiania jednego z narzędzi do synchronizacji Microsoft.

Te dwa atrybuty muszą być unikatowe we wszystkich obiektach User, Grouplub Contact w danej dzierżawie Microsoft Entra.

Uwaga

Tylko użytkownicy mogą mieć nazwy UPN.

Nowe zachowanie włączone przez tę funkcję znajduje się w chmurowym komponencie przepływu synchronizacji, dlatego jest niezależne od klienta i istotne dla każdego produktu synchronizacji firmy Microsoft, w tym Microsoft Entra Connect, DirSync i MIM + Connector. Ogólny termin "klient synchronizacji" jest używany w tym dokumencie do reprezentowania dowolnego z tych produktów.

Bieżące zachowanie

Jeśli istnieje próba aprowizacji nowego obiektu z wartością UPN lub ProxyAddress, która narusza to ograniczenie unikatowości, identyfikator Entra firmy Microsoft blokuje tworzenie tego obiektu. Podobnie, jeśli obiekt jest aktualizowany przy użyciu innej niż unikatowa nazwa UPN lub ProxyAddress, aktualizacja zakończy się niepowodzeniem. Klient synchronizacji ponawia próbę aprowizacji lub aktualizację po każdym cyklu eksportu i nadal kończy się niepowodzeniem, dopóki konflikt nie zostanie rozwiązany. Wiadomość e-mail z raportem o błędach jest generowana po każdej próbie, a błąd jest rejestrowany przez klienta synchronizacji.

Zachowanie ze zduplikowaną odpornością atrybutu

Zamiast całkowicie nie aprowizować lub aktualizować obiektu za pomocą zduplikowanego atrybutu, identyfikator Entra firmy Microsoft "kwarantanny" duplikowany atrybut, który narusza ograniczenie unikatowości. Jeśli ten atrybut jest wymagany do aprowizacji, na przykład UserPrincipalName, usługa przypisuje wartość symbolu zastępczego. Format tych wartości tymczasowych to
> .

Proces odporności atrybutów obsługuje tylko wartości UPN i SMTP ProxyAddress .

Jeśli atrybut nie jest wymagany, na przykład ProxyAddress, Microsoft Entra ID po prostu umieszcza w kwarantannie atrybut konfliktowy i przechodzi do tworzenia lub aktualizowania obiektu.

Po kwarantowaniu atrybutu informacje o konflikcie są wysyłane w tej samej wiadomości e-mail z raportem o błędach używanym w starym zachowaniu. Jednak te informacje są wyświetlane tylko raz w raporcie o błędach, gdy dochodzi do kwarantanny i nie są dalej rejestrowane w przyszłych wiadomościach e-mail. Ponadto, ponieważ eksport tego obiektu zakończył się pomyślnie, klient synchronizacji nie rejestruje błędu i nie ponawia próby wykonania operacji tworzenia/aktualizacji po kolejnych cyklach synchronizacji.

Aby obsługiwać to zachowanie, do klas obiektów User, Group i Contact jest dodawany nowy atrybut:
DirSyncProvisioningErrors

Jest to atrybut wielowartościowy używany do przechowywania atrybutów powodujących konflikt, które naruszają ograniczenie unikatowości, jeśli zostaną one dodane normalnie. Zadanie zegara w tle jest włączone w Microsoft Entra ID i uruchamia się co godzinę, aby wyszukiwać konflikty zduplikowanych atrybutów, które zostały rozwiązane, i automatycznie usuwa te atrybuty z kwarantanny.

Włączanie odporności zduplikowanych atrybutów

Odporność na zduplikowane atrybuty to nowe domyślne zachowanie we wszystkich dzierżawach Microsoft Entra. Jest domyślnie włączona dla wszystkich dzierżaw, które włączyły synchronizację po raz pierwszy 22 sierpnia 2016 r. lub później. Najemcy, którzy włączyli synchronizację przed tą datą, mają włączoną funkcję etapami. To wdrożenie rozpoczęło się we wrześniu 2016 r., a na adres e-mail technicznego kontaktu do powiadomień każdej dzierżawy jest wysyłane powiadomienie z informacją o określonej dacie włączenia funkcji.

Uwaga

Po włączeniu odporności zduplikowanych atrybutów nie można go wyłączyć.

Aby sprawdzić, czy funkcja jest włączona dla dzierżawy, możesz to zrobić, pobierając najnowszą wersję modułu Programu PowerShell usługi Azure Active Directory i uruchamiając polecenie:

Get-MsolDirSyncFeatures -Feature DuplicateUPNResiliency

Get-MsolDirSyncFeatures -Feature DuplicateProxyAddressResiliency

Uwaga

Nie można już używać polecenia cmdlet Set-MsolDirSyncFeature do proaktywnego włączania funkcji Odporność na zduplikowane atrybuty, zanim zostanie włączona dla twojej dzierżawy. Aby móc przetestować tę funkcję, musisz utworzyć nowego dzierżawcę Microsoft Entra.

Uwaga

Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

Identyfikowanie obiektów z błędami DirSyncProvisioningErrors

Obecnie istnieją dwie metody identyfikowania obiektów, które mają te błędy z powodu zduplikowanych konfliktów właściwości, programu PowerShell usługi Azure Active Directory i Centrum administracyjne platformy Microsoft 365. Istnieją plany rozszerzenia na dodatkowe raporty oparte na portalu w przyszłości.

Azure Active Directory PowerShell

W przypadku poleceń cmdlet programu PowerShell w tym temacie spełnione są następujące warunki:

  • W przypadku wszystkich poniższych poleceń cmdlet uwzględniana jest wielkość liter.
  • Właściwość –ErrorCategoryConflict musi być zawsze dołączona. Obecnie nie ma żadnych innych typów kategorii błędów, ale może to zostać rozszerzone w przyszłości.

Najpierw rozpocznij pracę, uruchamiając polecenie Connect-MsolService i wprowadzając poświadczenia administratora dzierżawy.

Następnie użyj następujących poleceń cmdlet i operatorów, aby wyświetlić błędy na różne sposoby:

  1. Zobacz wszystko
  2. Według typu właściwości
  3. Przez wartość powodującą konflikt
  4. Korzystanie z wyszukiwania ciągów
  5. Sorted
  6. W ograniczonej ilości lub wszystkie

Zobacz wszystko

Po nawiązaniu połączenia, aby wyświetlić ogólną listę błędów aprowizacji atrybutów w przebiegu dzierżawy:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict

Spowoduje to wynik podobny do następującego:
Get-MsolDirSyncProvisioningError

Według typu właściwości

Aby wyświetlić błędy według typu właściwości, dodaj flagę -PropertyName z argumentem UserPrincipalName lub ProxyAddresses:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName UserPrincipalName

Or

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName ProxyAddresses

Przez wartość powodującą konflikt

Aby zobaczyć błędy związane z określoną właściwością, dodaj flagę -PropertyValue (-PropertyName musi być również używana podczas dodawania tej flagi):

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyValue User@domain.com -PropertyName UserPrincipalName

Aby przeprowadzić wyszukiwanie szerokiego ciągu, użyj flagi -SearchString . Można go używać niezależnie od wszystkich powyższych flag, z wyjątkiem właściwości -ErrorCategoryConflict, która jest zawsze wymagana:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -SearchString User

W ograniczonej ilości lub wszystkich

  1. Wartość MaxResults <Int> może służyć do ograniczenia zapytania do określonej liczby wartości.
  2. Wszystkie można użyć, aby upewnić się, że wszystkie wyniki są pobierane w przypadku, gdy istnieje duża liczba błędów.

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -MaxResults 5

Centrum administracyjne platformy Microsoft 365

Błędy synchronizacji katalogów można wyświetlić w Centrum administracyjnym platformy Microsoft 365. Raport w Centrum administracyjne platformy Microsoft 365 wyświetla tylko obiekty użytkownika, które mają te błędy. Nie wyświetla informacji o konfliktach między grupami i a kontaktami .

Zrzut ekranu przedstawiający błędy synchronizacji katalogów w Centrum administracyjne platformy Microsoft 365.

Aby uzyskać instrukcje dotyczące wyświetlania błędów synchronizacji katalogów w Centrum administracyjne platformy Microsoft 365, zobacz Identyfikowanie błędów synchronizacji katalogów na platformie Microsoft 365.

Raport o błędach synchronizacji tożsamości

Gdy obiekt z konfliktem wynikającym z zduplikowania atrybutów jest obsługiwany przy użyciu tego nowego działania, powiadomienie jest zawarte w standardowej wiadomości e-mail z raportem o błędach synchronizacji tożsamości, która jest wysyłana do osoby kontaktowej ds. powiadomień technicznych w ramach dzierżawy. Jednak istnieje ważna zmiana w tym zachowaniu. W przeszłości informacje o zduplikowanym konflikcie atrybutów były uwzględniane w każdym kolejnym raporcie o błędach, dopóki konflikt nie zostanie rozwiązany. W przypadku tego nowego zachowania powiadomienie o błędzie dla danego konfliktu jest wyświetlane tylko raz — w momencie, gdy atrybut powodujący konflikt jest poddawany kwarantannie.

Oto przykład tego, jak wygląda powiadomienie e-mail w przypadku konfliktu proxyAddress:
Zrzut ekranu przedstawiający przykład powiadomienia e-mail dotyczącego konfliktu proxyAddress.

Rozwiązywanie konfliktów

Strategia rozwiązywania problemów i taktyka usuwania tych błędów nie powinny się różnić od tego, jak radzono sobie z błędami zduplikowanych atrybutów w przeszłości. Jedyną różnicą jest to, że zadanie czasomierza jest zamiatane przez dzierżawę po stronie usługi, aby automatycznie dodać dany atrybut do odpowiedniego obiektu po rozwiązaniu konfliktu.

W poniższym artykule opisano różne strategie rozwiązywania problemów i rozwiązywania problemów: zduplikowane lub nieprawidłowe atrybuty uniemożliwiają synchronizację katalogów w usłudze Office 365.

Znane problemy

Żadne z tych znanych problemów nie powoduje utraty danych lub degradacji usługi. Kilka z nich jest estetycznych, inne powodują błędy zduplikowanych atrybutów "przed odpornością" zamiast kwarantowania atrybutu konfliktu, a inne powodują, że niektóre błędy wymagają dodatkowej ręcznej naprawy.

Podstawowe zachowanie:

  1. Obiekty z określonymi konfiguracjami atrybutów nadal otrzymują błędy eksportu, w przeciwieństwie do zduplikowanych atrybutów, które są poddane kwarantannie.
    Na przykład:

    a. Nowy użytkownik jest tworzony w usłudze AD przy użyciu nazwy UPN Joe@contoso.com i proxyAddress smtp:Joe@contoso.com

    b. Właściwości tego obiektu powodują konflikt z istniejącą grupą, gdzie proxyAddress to SMTP:Joe@contoso.com.

    c. Podczas eksportowania zgłaszany jest błąd konfliktu proxyAddress zamiast atrybutów konfliktu poddanego kwarantannie. Operacja jest ponawiana po każdym kolejnym cyklu synchronizacji, tak jak wcześniej, zanim funkcja odporności została włączona.

  2. Jeśli dwie grupy są tworzone lokalnie z tym samym adresem SMTP, nie można zainicjować obsługi administracyjnej przy pierwszej próbie ze standardowym zduplikowany błąd ProxyAddress . Jednak zduplikowana wartość jest prawidłowo poddana kwarantannie podczas następnego cyklu synchronizacji.

Raport portalu pakietu Office:

  1. Szczegółowy komunikat o błędzie dla dwóch obiektów w zestawie konfliktów nazwy UPN jest taki sam. Oznacza to, że obaj mieli swoją nazwę UPN zmienioną / poddane kwarantannie, gdy w rzeczywistości tylko jeden z nich miał jakiekolwiek dane zmienione.

  2. Szczegółowy komunikat o błędzie dla konfliktu nazwy UPN przedstawia nieprawidłową wyświetlaną nazwę użytkownika, którego nazwa UPN została zmieniona lub zablokowana. Na przykład:

    a. Użytkownik A synchronizuje się najpierw z nazwą UPN = User@contoso.com.

    b. Podjęto próbę zsynchronizowania użytkownika B z nazwą UPN =User@contoso.com .

    c. Nazwa UPN użytkownika B została zmieniona na User1234@contoso.onmicrosoft.com i User@contoso.com jest dodawana do polecenia DirSyncProvisioningErrors.

    d. Komunikat o błędzie dla użytkownika B powinien wskazywać, że użytkownik A ma User@contoso.com już nazwę UPN, ale zawiera własną nazwę wyświetlaną użytkownika B.

Raport o błędach synchronizacji tożsamości:

Link do kroków rozwiązywania tego problemu jest niepoprawny:
Aktywni użytkownicy

Powinien on wskazywać wartość https://aka.ms/duplicateattributeresiliency.

Zobacz też