Microsoft Entra Connessione Sync: gestione degli errori LargeObject causati dall'attributo userCertificate

  • Articolo

Microsoft Entra ID applica un limite massimo di 15 valori di certificato per l'attributo userCertificate. Se Microsoft Entra Connessione esporta un oggetto con più di 15 valori in Microsoft Entra ID, Microsoft Entra ID restituisce un errore LargeObject con messaggio:

"L'oggetto di cui è stato eseguito il provisioning presenta dimensioni troppo elevate. Ridurre il numero di valori attributo dell'oggetto. L'operazione sarà ritentata durante il successivo ciclo di sincronizzazione...."

L'errore LargeObject può essere causato da altri attributi di AD. Per verificare che sia effettivamente causato dall'attributo userCertificate, è necessario confrontarlo con l'oggetto in AD locale o in Ricerca metaverse di Synchronization Service Manager.

Per ottenere l'elenco di oggetti nel tenant con gli errori LargeObject, usare uno dei metodi seguenti:

  • Se il tenant è abilitato per Microsoft Entra Connessione Health for sync, è possibile fare riferimento al report degli errori di sincronizzazione fornito.

  • Nella scheda Synchronization Service Manager Operations (Operazioni di Synchronization Service Manager) viene visualizzato l'elenco di oggetti con errori LargeObject se si fa clic sull'operazione Esporta in Microsoft Entra più recente.

Opzioni di mitigazione

Finché l'errore LargeObject non viene risolto, non è possibile esportare altre modifiche apportate allo stesso oggetto in Microsoft Entra ID. Per risolvere l'errore, è possibile considerare le seguenti opzioni:

  • Aggiornare Microsoft Entra Connessione alla build 1.1.524.0 o successiva. Nella build 1.1.524.0 di Microsoft Entra Connect, le regole di sincronizzazione predefinite sono state aggiornate in modo da non esportare gli attributi userCertificate e userSMIMECertificate se gli attributi hanno più di 15 valori. Per informazioni dettagliate su come aggiornare Microsoft Entra Connessione, vedere l'articolo Microsoft Entra Connessione: Eseguire l'aggiornamento da una versione precedente alla versione più recente.

  • Implementare una regola di sincronizzazione in uscita in Microsoft Entra Connessione che esporta un valore Null anziché i valori effettivi per gli oggetti con più di 15 valori di certificato. Questa opzione è appropriata se non è necessario esportare uno dei valori del certificato in Microsoft Entra ID per gli oggetti con più di 15 valori. Per informazioni dettagliate su come implementare questa regola di sincronizzazione, fare riferimento alla sezione successiva Implementing sync rule to limit export of userCertificate attribute (Implementare la regola di sincronizzazione per limitare l'esportazione dell'attributo userCertificate).

  • Ridurre il numero di valori del certificato nell'oggetto AD locale, a 15 o a un numero inferiore, rimuovendo i valori che non sono usati dall'organizzazione. Questa operazione è adeguata se il software boat dell'attributo è dovuto a certificati scaduti o non usati. È possibile usare il cmdlet Remove-ADSyncToolsExpiredCertificates per trovare, eseguire il backup ed eliminare i certificati scaduti in AD locale. Prima di eliminare i certificati, è consigliabile confrontarsi con gli amministratori dell'infrastruttura a chiave pubblica dell'organizzazione.

  • Configurare Microsoft Entra Connessione per escludere l'attributo userCertificate dall'esportazione in Microsoft Entra ID. In generale, si sconsiglia questa opzione perché l'attributo potrebbe essere usato da Microsoft Online Services per abilitare scenari specifici. In particolare:

    • L'attributo userCertificate nell'oggetto Utente viene usato da Exchange Online e dai client di Outlook per la crittografia e la firma dei messaggi. Per altre informazioni su questa funzionalità, vedere l'articolo S/MIME per la crittografia e firma dei messaggi.

    • L'attributo userCertificate nell'oggetto Computer viene usato da Microsoft Entra ID per consentire ai dispositivi windows 10 locali aggiunti a un dominio di connettersi all'ID Microsoft Entra. Per altre informazioni su questa funzionalità, vedere l'articolo Connessione dispositivi aggiunti a un dominio per le esperienze di Microsoft Entra ID per Windows 10.

Implementazione della regola di sincronizzazione per limitare l'esportazione dell'attributo userCertificate

Per risolvere l'errore LargeObject causato dall'attributo userCertificate, è possibile implementare una regola di sincronizzazione in uscita in Microsoft Entra Connessione che esporta un valore Null anziché i valori effettivi per gli oggetti con più di 15 valori di certificato. In questa sezione viene descritta la procedura necessaria per implementare la regola di sincronizzazione per l'oggetto Utente. La procedura può essere adattata per gli oggetti Contatto e Computer.

Importante

L'esportazione di valori Null rimuove i valori del certificato precedentemente esportati correttamente in Microsoft Entra ID.

La procedura può essere riepilogata nel modo seguente:

  1. Disabilitare l'utilità di pianificazione della sincronizzazione e verificare che non ci sia alcuna sincronizzazione in corso.
  2. Trovare la regola di sincronizzazione in uscita esistente per l'attributo userCertificate.
  3. Creare la regola di sincronizzazione in uscita necessaria.
  4. Verificare la nuova regola di sincronizzazione in un oggetto esistente con errore LargeObject.
  5. Applicare la nuova regola di sincronizzazione agli oggetti restanti con errore LargeObject.
  6. Verificare che non siano presenti modifiche impreviste in attesa di essere esportate in Microsoft Entra ID.
  7. Esportare le modifiche in Microsoft Entra ID.
  8. Riattivare l'utilità di pianificazione della sincronizzazione.

Passaggio 1: Disabilitare l'utilità di pianificazione della sincronizzazione e verificare che non ci sia alcuna sincronizzazione in corso

Assicurarsi che non venga eseguita alcuna sincronizzazione durante l'implementazione di una nuova regola di sincronizzazione per evitare che le modifiche indesiderate vengano esportate in Microsoft Entra ID. Per disabilitare l'utilità di pianificazione della sincronizzazione predefinita:

  1. Avviare la sessione di PowerShell nel server microsoft Entra Connessione.

  2. Disabilitare la sincronizzazione pianificata eseguendo di cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $false

Nota

I passaggi precedenti sono applicabili solo alle versioni più recenti (1.1.xxx.x) di Microsoft Entra Connessione con l'utilità di pianificazione predefinita. Se si usano versioni precedenti (1.0.xxx.x) di Microsoft Entra Connessione che usa l'Utilità di pianificazione di Windows oppure si usa un'utilità di pianificazione personalizzata (non comune) per attivare la sincronizzazione periodica, è necessario disabilitarle di conseguenza.

  1. Avviare Synchronization Service Manager passando ad AVVIA → Servizio di sincronizzazione.

  2. Andare nella scheda Operazioni e verificare che nessuna operazione presenti lo stato "in corso".

Passaggio 2: Trovare la regola di sincronizzazione in uscita esistente per l'attributo userCertificate

Deve essere presente una regola di sincronizzazione esistente abilitata e configurata per esportare l'attributo userCertificate per gli oggetti User in Microsoft Entra ID. Individuare questa regola di sincronizzazione per scoprirne la configurazione precedente e il filtro ambito:

  1. Avviare l'editor per le regole di sincronizzazione passando ad AVVIA → Synchronization Rules Editor (Editor per le regole di sincronizzazione).

  2. Configurare i filtri della ricerca con i valori seguenti:

    Attributo valore
    Direzione In uscita
    MV Object Type Persona
    Connettore nome del connettore Microsoft Entra
    Connector Object Type user
    MV attribute userCertificate

  3. Se si usano regole di sincronizzazione OOB (predefinite) con il connettore Microsoft Entra per esportare l'attributo userCertificate per gli oggetti User, è necessario ripristinare la regola "Out to Microsoft Entra ID – User ExchangeOnline".

  4. Annotare il valore precedence della regola di sincronizzazione.

  5. Selezionare la regola di sincronizzazione e fare clic su Modifica.

  6. Nel finestra di dialogo popup "Edit Reserved Rule Confirmation" (Modifica la conferma di regola riservata) fare clic su No. Non apportata alcuna modifica a questa regola di sincronizzazione.

  7. Nella schermata di modifica, selezionare la scheda Scoping filter (Filtro ambito).

  8. Annotare la configurazione del filtro ambito. Se si usa la regola di sincronizzazione predefinita, devono essere presenti esattamente un gruppo di filtri ambito contenente due clausole, tra cui:

    Attributo Operatore valore
    sourceObjectType EQUAL User
    cloudMastered NOTEQUAL True

Passaggio 3: Creare la regola di sincronizzazione in uscita obbligatoria

La nuova regola di sincronizzazione deve avere lo stesso filtro ambito e la stessa priorità elevata della regola di sincronizzazione esistente. Ciò garantisce che la nuova regola di sincronizzazione si applichi allo stesso set di oggetti della regola di sincronizzazione esistente e sostituisca la regola di sincronizzazione esistente per l'attributo userCertificate. Per creare la regola di sincronizzazione:

  1. Nell'editor per le regole di sincronizzazione, fare clic sul pulsante Aggiungi nuova regola.

  2. Nella scheda Descrizione, inserire la configurazione seguente:

    Attributo valore Dettagli
    Name Specificare un nome Ad esempio, "Out to Microsoft Entra ID – Custom override for userCertificate"
    Descrizione Inserire una descrizione Ad esempio "Se l'attributo userCertificate contiene più di 15 valori, esportare NULL".
    Connected System Selezionare microsoft Entra Connessione or
    Connected System Object Type user
    Metaverse Object Type person
    Tipo di collegamento Join.
    Precedenza Scegliere un numero compreso tra 1 e 99 Il numero scelto non deve essere usato da una regola di sincronizzazione esistente e deve avere un valore inferiore, e pertanto priorità più alta, rispetto alla regola di sincronizzazione esistente.

  3. Andare nella scheda Filtro ambito e implementare lo stesso filtro ambito che usa la regola di sincronizzazione esistente.

  4. Ignora la scheda Join rules (Regole di unione).

  5. Andare nella scheda Trasformazioni per aggiungere una nuova trasformazione tramite la configurazione seguente:

    Attributo valore
    Tipo di flusso Expression
    Target Attribute userCertificate
    Attributo di origine usare l'espressione seguente: IIF(IsNullOrEmpty([userCertificate]), NULL, IIF((Count([userCertificate])> 15),AuthoritativeNull,[userCertificate]))

  6. Per creare la regola di sincronizzazione, fare clic sul pulsante Aggiungi.

Passaggio 4: Verificare la nuova regola di sincronizzazione in un oggetto esistente con errore LargeObject

Si tratta di verificare che la regola di sincronizzazione creata funzioni correttamente in un oggetto di AD esistente con errore LargeObject prima di applicarla ad altri oggetti:

  1. Passare alla scheda Operazioni in Synchronization Service Manager.
  2. Selezionare l'operazione Esporta in Microsoft Entra più recente e fare clic su uno degli oggetti con errori LargeObject.
  3. Nella schermata di popup Connector Space Object Properties (Proprietà dell'oggetto spazio connettore) fare clic sul pulsante Anteprima.
  4. Nella schermata di popup Anteprima selezionare Sincronizzazione completa e fare clic su Anteprima commit.
  5. Chiudere la schermata Anteprima e la schermata Connector Space Object Properties (Proprietà dell'oggetto spazio connettore).
  6. Passare alla scheda Connettori in Synchronization Service Manager.
  7. Fare clic con il pulsante destro del mouse sul Connessione or Microsoft Entra ID e scegliere Esegui...
  8. Nella finestra popup Run Connector (Esegui connettore) selezionare il passaggio Esporta e fare clic su OK.
  9. Attendere il completamento dell'esportazione in Microsoft Entra ID e verificare che non siano presenti altri errori LargeObject per questo oggetto specifico.

Passaggio 5: Applicare la nuova regola di sincronizzazione agli oggetti rimanenti con errore LargeObject

Dopo aver aggiunto la regola di sincronizzazione, è necessario eseguire un passaggio di sincronizzazione completa per il connettore AD:

  1. Passare alla scheda Connettori in Synchronization Service Manager.
  2. Fare clic con il tasto destro del mouse sul connettore AD e selezionare Esegui...
  3. Nella finestra popup Run Connector (Esegui connettore) selezionare il passaggio Sincronizzazione completa e fare clic su OK.
  4. Attendere il completamento del passaggio Sincronizzazione completa.
  5. Ripetere i passaggi precedenti per i connettori AD restanti se si dispone di più connettori AD. In genere, sono necessari più connettori se si dispone di più directory locali.

Passaggio 6: Verificare che non siano presenti modifiche impreviste in attesa di essere esportate in Microsoft Entra ID

  1. Passare alla scheda Connettori in Synchronization Service Manager.
  2. Fare clic con il pulsante destro del mouse sul Connessione or Microsoft Entra ID e selezionare Cerca spazio Connessione or.
  3. Nella finestra popup Cerca spazio Connessione or:
    1. Impostare Ambito su Pending Export (Esportazione in sospeso).
    2. Selezionare tutte e 3 le caselle di controllo, tra cui Aggiungi, Modifica ed Elimina.
    3. Fare clic sul pulsante Cerca per restituire tutti gli oggetti con modifiche in attesa di essere esportate in Microsoft Entra ID.
    4. Verificare che non siano presenti modifiche impreviste. Per esaminare le modifiche per un determinato oggetto, fare doppio clic sull'oggetto.

Passaggio 7: Esportare le modifiche in Microsoft Entra ID

Per esportare le modifiche apportate all'ID Microsoft Entra:

  1. Passare alla scheda Connettori in Synchronization Service Manager.
  2. Fare clic con il pulsante destro del mouse sul Connessione or Microsoft Entra ID e scegliere Esegui...
  3. Nella finestra popup Run Connector (Esegui connettore) selezionare il passaggio Esporta e fare clic su OK.
  4. Attendere il completamento dell'esportazione in Microsoft Entra ID e verificare che non siano presenti altri errori LargeObject.

Passaggio 8: Riabilitare l'utilità di pianificazione della sincronizzazione

Dopo aver risolto il problema, abilitare nuovamente l'utilità di pianificazione della sincronizzazione predefinita:

  1. Avviare una sessione di PowerShell.
  2. Riabilitare la sincronizzazione pianificata eseguendo di cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $true

Nota

I passaggi precedenti sono applicabili solo alle versioni più recenti (1.1.xxx.x) di Microsoft Entra Connessione con l'utilità di pianificazione predefinita. Se si usano versioni precedenti (1.0.xxx.x) di Microsoft Entra Connessione che usa l'Utilità di pianificazione di Windows oppure si usa un'utilità di pianificazione personalizzata (non comune) per attivare la sincronizzazione periodica, è necessario disabilitarle di conseguenza.

Passaggi successivi

Altre informazioni sull'integrazione delle identità locali con Microsoft Entra ID.