Diagnosticare e correggere gli errori di sincronizzazione di attributi duplicati
Panoramica
Facendo un ulteriore passo avanti per evidenziare gli errori di sincronizzazione, Microsoft Entra Connect Health introduce un sistema di correzione self-service. Risolve gli errori di sincronizzazione degli attributi duplicati e corregge gli oggetti isolati da Microsoft Entra ID. La funzionalità di diagnostica presenta i vantaggi seguenti:
- Offre una procedura di diagnostica che consente di limitare gli errori di sincronizzazione degli attributi duplicati. E fornisce correzioni specifiche.
- Applica una correzione per scenari dedicati di Microsoft Entra ID per risolvere l'errore in un solo passaggio.
- Per abilitare queste funzionalità, non sono richiesti aggiornamenti o configurazioni. Per altre informazioni su Microsoft Entra ID, vedere Sincronizzazione delle identità e resilienza degli attributi duplicati.
I problemi
Scenario comune
Quando si verificano errori di sincronizzazione QuarantinedAttributeValueMustBeUnique e AttributeValueMustBeUnique, accade di frequente di vedere un conflitto UserPrincipalName o ProxyAddresses in Microsoft Entra ID. È possibile risolvere gli errori di sincronizzazione aggiornando l'oggetto di origine in conflitto dal lato locale. L'errore di sincronizzazione viene risolto dopo la sincronizzazione successiva. Ad esempio, questa immagine indica un conflitto tra due utenti con lo stesso UserPrincipalName. Sono entrambi Joe.J@contoso.com. Gli oggetti in conflitto vengono messi in quarantena in Microsoft Entra ID.
Scenario con oggetto orfano
In alcuni casi è possibile che un utente esistente perda l'oggetto Ancoraggio di origine. L'eliminazione dell'oggetto di origine è avvenuta in Active Directory locale. Ma la modifica del segnale di eliminazione non è mai stata sincronizzata con Microsoft Entra ID. Questa perdita avviene per motivi come problemi del motore di sincronizzazione o la migrazione di un dominio. Quando lo stesso oggetto viene ripristinato o ricreato, dal punto di vista logico l'utente esistente deve essere l'utente da sincronizzare dall'ancoraggio di origine.
Quando un utente esistente è un oggetto solo cloud, è possibile visualizzare l'utente in conflitto sincronizzato con Microsoft Entra ID. L'utente non può essere abbinato come sincronizzato con l'oggetto esistente. Non esiste un modo diretto per eseguire di nuovo il mapping dell'ancoraggio di origine. Per altre informazioni, vedere la Knowledge Base esistente.
Ad esempio, l'oggetto esistente in Microsoft Entra ID mantiene la licenza di Joe. Un nuovo oggetto sincronizzato con un ancoraggio di origine diverso si troverà in uno stato di attributo duplicato in Microsoft Entra ID. Le modifiche per Joe in Active Directory locale non verranno applicate all'utente originale di Joe (oggetto esistente) in Microsoft Entra ID.
Procedura di diagnostica e risoluzione dei problemi in Connect Health
La funzionalità di diagnostica supporta oggetti utente con gli attributi duplicati seguenti:
| Nome attributo | Tipi di errore di sincronizzazione |
|---|---|
| UserPrincipalName | QuarantinedAttributeValueMustBeUnique o AttributeValueMustBeUnique |
| ProxyAddresses | QuarantinedAttributeValueMustBeUnique o AttributeValueMustBeUnique |
| SipProxyAddress | AttributeValueMustBeUnique |
| OnPremiseSecurityIdentifier | AttributeValueMustBeUnique |
Importante
Per accedere a questa funzionalità, è necessaria l'autorizzazione Global Amministrazione istrator o l'autorizzazione Collaboratore dal controllo degli accessi in base al ruolo di Azure.
Seguire i passaggi dell'interfaccia di amministrazione di Microsoft Entra per limitare i dettagli dell'errore di sincronizzazione e fornire soluzioni più specifiche:
Dall'interfaccia di amministrazione di Microsoft Entra eseguire alcuni passaggi per identificare scenari risolvibili specifici:
- Controllare la colonna Diagnose status (Stato diagnosi). Lo stato indica se esiste un modo per correggere un errore di sincronizzazione direttamente da Microsoft Entra ID. In altre parole, esiste un flusso di risoluzione dei problemi che può identificare il caso di errore e potenzialmente risolverlo.
| Stato | Significato |
|---|---|
| Non avviata | Questo processo di diagnosi non è stato avviato. A seconda del risultato della diagnosi; esiste potenzialmente un modo per correggere l'errore di sincronizzazione direttamente dal portale. |
| Correzione manuale necessaria | L'errore non rientra nei criteri delle correzioni disponibili dal portale. È possibile che i tipi di oggetto in conflitto non siano utenti oppure la procedura diagnostica è stata eseguita e nessuna risoluzione è disponibile dal portale. Nel secondo caso, una correzione dal lato locale è ancora una delle soluzioni. Altre informazioni sulle correzioni in locale. |
| In attesa di sincronizzazione | È stata applicata una correzione. Il portale è in attesa del successivo ciclo di sincronizzazione per cancellare l'errore. |
Importante
La colonna di stato della diagnostica verrà reimpostata dopo ogni ciclo di sincronizzazione.
Selezionare il pulsante Esegui diagnosi sotto i dettagli dell'errore. Verrà richiesto di rispondere ad alcune domande per identificare i dettagli dell'errore di sincronizzazione. Le risposte alle domande sono utili per identificare un caso di oggetto orfano.
La presenza di un pulsante Chiudi al termine della diagnostica indica che non è disponibile una correzione rapida dal portale in base alle risposte fornite. Fare riferimento alla soluzione illustrata nell'ultimo passaggio. Le correzioni in locale sono ancora le soluzioni. Selezionare il pulsante Chiudi. Lo stato dell'errore di sincronizzazione corrente diventa Correzione manuale necessaria. Lo stato rimane durante il ciclo di sincronizzazione corrente.
Dopo avere identificato un caso di oggetto orfano, è possibile correggere gli errori di sincronizzazione relativi agli attributi duplicati direttamente dal portale. Per attivare il processo, selezionare il pulsante Applica correzione. Lo stato dell'errore di sincronizzazione corrente diventa In attesa di sincronizzazione.
Dopo il ciclo di sincronizzazione successivo l'errore dovrebbe essere rimosso dall'elenco.
Come rispondere alle domande di diagnosi
L'utente esiste in Active Directory locale?
Questa domanda tenta di identificare l'oggetto di origine dell'utente esistente da Active Directory locale.
- Controllare se Microsoft Entra ID ha un oggetto con userPrincipalName specificato. In caso contrario, rispondere No.
- In caso affermativo, verificare se l'oggetto è ancora incluso nell'ambito per la sincronizzazione.
- Cercare nello spazio connettore Microsoft Entra usando il DN.
- Se l'oggetto viene trovato con lo stato Aggiunta in sospeso, rispondere No. Microsoft Entra Connessione non è in grado di connettere l'oggetto all'oggetto Microsoft Entra corretto.
- Se l'oggetto non viene trovato, rispondere Sì.
In questi esempi, la domanda tenta di identificare se Luca Milano esiste ancora in Active Directory locale. Per lo scenario comune, sia Luca Milanesi che Luca Milano sono presenti in Active Directory locale. Gli oggetti in quarantena sono due utenti diversi.
Per lo scenario con oggetto orfano, solo l'utente singolo Luca Milanesi è presente in Active Directory locale:
Entrambi gli account appartengono allo stesso utente?
Questa domanda controlla un utente in conflitto in ingresso e l'oggetto utente esistente in Microsoft Entra ID per verificare se appartengono allo stesso utente.
- L'oggetto in conflitto viene appena sincronizzato con Microsoft Entra ID. Confrontare gli attributi degli oggetti:
- Nome visualizzato
- UserPrincipalName o SignInName
- ObjectID
- Se Microsoft Entra ID non riesce a confrontarli, verificare se Active Directory dispone di oggetti con gli oggetti UserPrincipalName specificati. Rispondere No se vengono trovati entrambi.
Nell'esempio seguente, i due oggetti appartengono allo stesso utente Luca Milanesi.
Cosa accade dopo che è stata applicata la correzione per lo scenario con oggetto orfano
In base alle risposte alle domande precedenti, verrà visualizzato il pulsante Applica correzione quando è disponibile una correzione da Microsoft Entra ID. In questo caso, l'oggetto locale viene sincronizzato con un oggetto Microsoft Entra imprevisto. I due oggetti vengono mappati usando Ancoraggio di origine. La modifica Applica correzione esegue questi passaggi o passaggi simili:
- AggiornamentiAncoraggio di origine all'oggetto corretto in Microsoft Entra ID.
- Elimina l'oggetto in conflitto in Microsoft Entra ID, se presente.
Importante
La modifica Applica correzione si applica solo ai casi con oggetto orfano.
Dopo i passaggi precedenti, l'utente può accedere alla risorsa originale, ovvero un collegamento a un oggetto esistente. Il valore Diagnostica stato nella visualizzazione elenco viene aggiornato alla sincronizzazione in sospeso. L'errore di sincronizzazione verrà risolto dopo la sincronizzazione successiva. Connessione Integrità non mostrerà più l'errore di sincronizzazione risolto nella visualizzazione elenco.
Errori e messaggi di errore
L'utente con attributo in conflitto viene eliminato softmente nell'ID Microsoft Entra. Assicurarsi che l'utente venga eliminato definitivamente prima di riprovare.
L'utente con attributo in conflitto in Microsoft Entra ID deve essere pulito prima di poter applicare la correzione. Scopri come eliminare definitivamente l'utente in Microsoft Entra ID prima di ritentare la correzione. L'utente verrà anche eliminato automaticamente in modo permanente dopo 30 giorni in cui si trova nello stato di eliminazione temporanea.
L'aggiornamento dell'ancoraggio di origine in un utente basato sul cloud nel tenant non è supportato.
L'utente basato sul cloud in Microsoft Entra ID non deve avere ancoraggio di origine. In questo caso l'aggiornamento dell'ancoraggio di origine non è supportato. La correzione manuale è necessaria in locale.
Il processo di correzione non è riuscito ad aggiornare i valori. Le impostazioni specifiche, ad esempio UserWriteback in Microsoft Entra Connessione, non sono supportate. Disabilitare le impostazioni.
Domande frequenti
D. Cosa accade se l'esecuzione di Applica correzione non riesce?
R. Se l'esecuzione non riesce, è possibile che Microsoft Entra Connessione esegua un errore di esportazione. Aggiornare la pagina del portale e riprovare dopo la sincronizzazione successiva. Il ciclo di sincronizzazione predefinito è 30 minuti.
D. Cosa accade se l'oggetto esistente deve essere l'oggetto da eliminare?
R. Se l'oggetto esistente deve essere eliminato, il processo non comporta la modifica di Ancoraggio di origine. In genere, è possibile risolvere questo problema da Active Directory locale.
D. Quale autorizzazione è necessaria per applicare la correzione?
Un.Il Amministrazione istrator globale o collaboratore dal controllo degli accessi in base al ruolo di Azure ha l'autorizzazione per accedere al processo di diagnostica e risoluzione dei problemi.
D. È necessario configurare Microsoft Entra Connessione o aggiornare Microsoft Entra Connessione Health Agent per questa funzionalità?
R. No, il processo di diagnosi è completamente basato sul cloud.
D. Se l'oggetto esistente viene eliminato temporaneamente, il processo di diagnosi renderà di nuovo attivo l'oggetto?
R. No, la correzione non aggiornerà gli attributi dell'oggetto, se non Ancoraggio di origine.