Synchronizace identit a odolnost duplicitních atributů

  • Článek

Odolnost duplicitních atributů je funkce v MICROSOFT Entra ID, která eliminuje tření způsobené konflikty UserPrincipalName a SMTP ProxyAddress při spuštění některého ze synchronizačních nástrojů Microsoftu.

Tyto dva atributy jsou obecně nutné, aby byly jedinečné pro všechny objekty User, Group nebo Contact v daném tenantovi Microsoft Entra.

Poznámka:

Pouze uživatelé můžou mít hlavních názvů uživatelů( UPN).

Nové chování, které tato funkce umožňuje, je v cloudové části kanálu synchronizace, a proto je nezávislé na klientech a relevantní pro všechny synchronizační produkty Microsoftu, včetně Microsoft Entra Připojení, DirSync a MIM + Připojení or. Obecný termín "synchronizační klient" se v tomto dokumentu používá k reprezentaci některého z těchto produktů.

Aktuální chování

Pokud dojde k pokusu o zřízení nového objektu s hodnotou UPN nebo ProxyAddress, která porušuje toto omezení jedinečnosti, Microsoft Entra ID blokuje vytvoření tohoto objektu. Podobně platí, že pokud je objekt aktualizován neomezí hlavní název uživatele (UPN) nebo proxyaddress, aktualizace selže. Pokus o zřízení nebo aktualizaci bude synchronizační klient opakovat při každém cyklu exportu a pokračuje v selhání, dokud se konflikt nevyřeší. Při každém pokusu se vygeneruje e-mail se zprávou o chybě a synchronizační klient zaprotokoluje chybu.

Chování s odolností duplicitních atributů

Místo toho, aby se zcela nepodařilo zřídit nebo aktualizovat objekt s duplicitním atributem, Microsoft Entra ID "umístí do karantény" duplicitní atribut, který by porušil omezení jedinečnosti. Pokud je tento atribut nutný pro zřizování, jako je UserPrincipalName, služba přiřadí zástupnou hodnotu. Formát těchto dočasných hodnot je
<OriginalPrefix>+<4DigitNumber>@<InitialTenantDomain.onmicrosoft.com>.

Proces odolnosti atributu zpracovává pouze hodnoty UPN a SMTP ProxyAddress .

Pokud atribut není povinný, například ProxyAddress, Microsoft Entra ID jednoduše umístí konfliktní atribut do karantény a pokračuje vytvořením nebo aktualizací objektu.

Při kvazování atributu se informace o konfliktu odešlou ve stejném e-mailu zprávy o chybě použitém ve starém chování. Tyto informace se však zobrazí pouze v chybové zprávě jednou, když dojde k karanténě, nebude se dál protokolovat v budoucích e-mailech. Vzhledem k tomu, že export pro tento objekt byl úspěšný, synchronizační klient protokoluje chybu a při následných cyklech synchronizace neprovádí operaci vytvoření nebo aktualizace znovu.

Pro podporu tohoto chování se do tříd objektů User, Group a Contact přidal nový atribut:
Chyby DirSyncProvisioningErrors

Jedná se o atribut s více hodnotami, který se používá k ukládání konfliktních atributů, které by porušily omezení jedinečnosti, pokud by byly přidány normálně. Úloha časovače na pozadí byla povolena v MICROSOFT Entra ID, která se spouští každou hodinu, aby vyhledal konflikty duplicitních atributů, které byly vyřešeny, a automaticky odebere příslušné atributy z karantény.

Povolení odolnosti duplicitních atributů

Odolnost duplicitních atributů bude nové výchozí chování ve všech tenantech Microsoft Entra. Ve výchozím nastavení bude zapnutá pro všechny tenanty, kteří povolili synchronizaci poprvé 22. srpna 2016 nebo novější. Tenanti, kteří povolili synchronizaci před tímto datem, budou mít tuto funkci povolenou v dávkách. Toto zavedení začne v září 2016 a e-mailové oznámení se pošle kontaktu s technickým oznámením každého tenanta s konkrétním datem, kdy bude funkce povolená.

Poznámka:

Jakmile je zapnutá odolnost duplicitních atributů, nelze ji zakázat.

Pokud chcete zkontrolovat, jestli je funkce pro vašeho tenanta povolená, můžete to udělat tak, že stáhnete nejnovější verzi modulu Azure Active Directory PowerShellu a spustíte:

Get-MsolDirSyncFeatures -Feature DuplicateUPNResiliency

Get-MsolDirSyncFeatures -Feature DuplicateProxyAddressResiliency

Poznámka:

Rutinu Set-MsolDirSyncFeature už nemůžete použít k proaktivnímu povolení funkce odolnosti duplicitních atributů, než je pro vašeho tenanta zapnutá. Abyste mohli funkci otestovat, budete muset vytvořit nového tenanta Microsoft Entra.

Poznámka:

Moduly Azure AD a MSOnline PowerShell jsou od 30. března 2024 zastaralé. Další informace najdete v aktualizaci vyřazení. Po tomto datu je podpora těchto modulů omezená na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou dál fungovat až do 30. března 2025.

Doporučujeme migrovat na Microsoft Graph PowerShell , abyste mohli pracovat s Microsoft Entra ID (dříve Azure AD). Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Verze 1.0.x msOnline mohou dojít k přerušení po 30. červnu 2024.

Identifikace objektů s DirSyncProvisioningErrors

V současné době existují dvě metody pro identifikaci objektů, které mají tyto chyby kvůli konfliktům duplicitních vlastností, Azure Active Directory PowerShellu a Centrum pro správu Microsoftu 365. V budoucnu se plánuje rozšířit na další vytváření sestav založených na portálu.

Azure Active Directory PowerShell

Pro rutiny PowerShellu v tomto tématu platí následující:

  • U všech následujících rutin se rozlišují malá a velká písmena.
  • Vlastnost –ErrorCategory PropertyConflict musí být vždy zahrnuta. V současné době neexistují žádné jiné typy ErrorCategory, ale to může být rozšířeno v budoucnu.

Nejprve začněte spuštěním Připojení-MsolService a zadáním přihlašovacích údajů pro správce tenanta.

Pak pomocí následujících rutin a operátorů zobrazte chyby různými způsoby:

  1. Zobrazit vše
  2. Podle typu vlastnosti
  3. Konfliktní hodnota
  4. Použití vyhledávání řetězců
  5. Sorted
  6. V omezeném množství nebo ve všech

Zobrazit vše

Po připojení se zobrazí obecný seznam chyb zřizování atributů ve spuštění tenanta:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict

Výsledkem je následující výsledek:
Get-MsolDirSyncProvisioningError

Podle typu vlastnosti

Pokud chcete zobrazit chyby podle typu vlastnosti, přidejte příznak -PropertyName s argumentem UserPrincipalName nebo ProxyAddresses :

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName UserPrincipalName

Nebo

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName ProxyAddresses

Konfliktní hodnota

Pokud chcete zobrazit chyby související s konkrétní vlastností, přidejte příznak -PropertyValue (při přidávání tohoto příznaku musí být použit také parametr PropertyName ):

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyValue User@domain.com -PropertyName UserPrincipalName

Chcete-li provést rozsáhlé vyhledávání řetězců, použijte příznak -SearchString . To lze použít nezávisle na všech výše uvedených příznakech, s výjimkou -ErrorCategory PropertyConflict, který je vždy povinný:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -SearchString User

V omezeném množství nebo ve všech

  1. Parametr MaxResults <Int> lze použít k omezení dotazu na určitý počet hodnot.
  2. Všechny je možné použít k zajištění načtení všech výsledků v případě, že existuje velký počet chyb.

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -MaxResults 5

Centrum pro správu Microsoft 365

Chyby synchronizace adresáře můžete zobrazit v centru pro správu Microsoftu 365. Sestava v Centrum pro správu Microsoftu 365 zobrazuje pouze objekty uživatele, které mají tyto chyby. Nezobrazuje informace o konfliktech mezi skupinami a kontakty.

Snímek obrazovky znázorňující chyby synchronizace adresářů v Centrum pro správu Microsoftu 365

Pokyny k zobrazení chyb synchronizace adresářů v Centrum pro správu Microsoftu 365 najdete v tématu Identifikace chyb synchronizace adresářů v Microsoftu 365.

Sestava chyb synchronizace identit

Při zpracování objektu s konfliktem duplicitního atributu s tímto novým chováním se oznámení zahrne do standardního e-mailu se zprávou o chybách synchronizace identit, který se odešle kontaktu technického oznámení pro tenanta. V tomto chování je však důležitá změna. V minulosti se informace o konfliktu duplicitních atributů zahrnuly do každé následné zprávy o chybách, dokud se konflikt nevyřeší. Při tomto novém chování se oznámení o chybě pro daný konflikt zobrazí pouze jednou – v době, kdy je konfliktní atribut v karanténě.

Tady je příklad toho, jak e-mailové oznámení vypadá pro konflikt ProxyAddress:
Snímek obrazovky znázorňující příklad e-mailového oznámení pro konflikt ProxyAddress

Řešení konfliktů

Strategie řešení potíží s těmito chybami by se neměly lišit od způsobu zpracování chyb duplicitních atributů v minulosti. Jediným rozdílem je, že úloha časovače prochází tenantem na straně služby, aby po vyřešení konfliktu automaticky přidala příslušný atribut k příslušnému objektu.

Následující článek popisuje různé strategie řešení potíží: Duplicitní nebo neplatné atributy brání synchronizaci adresářů v Office 365.

Známé problémy

Žádný z těchto známých problémů nezpůsobuje ztrátu dat nebo snížení výkonu služby. Některé z nich jsou estetické, jiné způsobují standardní chyby duplicitních atributů "před odolností" místo kvazování konfliktního atributu a další způsobí určité chyby, které vyžadují další ruční opravu.

Základní chování:

  1. Objekty s konkrétní konfigurací atributů nadále dostávají chyby exportu, a ne duplicitní atributy, které jsou v karanténě.
    Příklad:

    a. Nový uživatel se vytvoří v AD s upN Joe@contoso.com a ProxyAddress smtp:Joe@contoso.com

    b. Vlastnosti tohoto objektu kolidují s existující skupinou, kde ProxyAddress je SMTP:Joe@contoso.com.

    c. Při exportu se místo umístění atributů konfliktu v karanténě vyvolá chyba konfliktní adresy ProxyAddress . Operace se opakuje při každém následném cyklu synchronizace, protože by byla před povolením funkce odolnosti.

  2. Pokud jsou dvě skupiny vytvořeny místně se stejnou adresou SMTP, jeden se nepodaří zřídit při prvním pokusu se standardní duplicitní chybou ProxyAddress . Duplicitní hodnota je však správně umístěna do karantény při dalším cyklu synchronizace.

Sestava portálu Office:

  1. Podrobná chybová zpráva pro dva objekty v sadě konfliktů hlavního názvu uživatele (UPN) je stejná. To znamená, že oba měli změněné hlavního názvu uživatele (UPN) nebo karanténu, když se ve skutečnosti změnila pouze jedna z nich.

  2. Podrobná chybová zpráva pro konflikt hlavního názvu uživatele (UPN) zobrazuje nesprávný zobrazovaný název uživatele, který měl změněný nebo v karanténě hlavního názvu uživatele (UPN). Příklad:

    a. Uživatel A se nejprve synchronizuje s UPN = User@contoso.com.

    b. Uživatel B se pokusí o synchronizaci další s UPN = User@contoso.com.

    c. Hlavní název uživatele B se změní na User1234@contoso.onmicrosoft.com hlavní název uživatele (UPN) a User@contoso.com přidá se do DirSyncProvisioningErrors.

    d. Chybová zpráva uživatele B by měla znamenat, že uživatel A již má User@contoso.com jako hlavní název uživatele (UPN), ale zobrazuje vlastní zobrazované jméno uživatele B .

Sestava chyb synchronizace identit:

Odkaz na postup řešení tohoto problému je nesprávný:
Aktivní uživatelé

Měl by odkazovat na https://aka.ms/duplicateattributeresiliency.

Viz také