Non è possibile gestire o rimuovere oggetti sincronizzati tramite lo strumento di sincronizzazione di Azure Active Directory

  • Articolo

Questo articolo descrive un problema che non è possibile gestire o rimuovere oggetti creati tramite la sincronizzazione della directory da Microsoft Entra ID. Fornisce due soluzioni per questo problema in base a motivi diversi.

Versione originale del prodotto: Servizi cloud (Ruoli Web/Ruoli di lavoro), Microsoft Entra ID, Microsoft Intune, Backup di Azure, Gestione delle identità di Office 365
Numero KB originale: 2619062

Sintomi

Si tenta di gestire o rimuovere manualmente gli oggetti creati tramite la sincronizzazione della directory da Microsoft Entra ID:

Ad esempio, si vuole rimuovere un account utente orfano sincronizzato con Microsoft Entra ID dal Active Directory locale Domain Services (AD DS).

In questo scenario non è possibile rimuovere l'account utente orfano usando il portale del servizio cloud Microsoft in Office 365, Azure o Microsoft Intune o usando Windows PowerShell.

Causa

Questo problema può verificarsi se si verificano una o più delle condizioni seguenti:

  • Active Directory Domain Services locale non è più disponibile. Non è quindi possibile gestire o eliminare l'oggetto dall'ambiente locale.
  • È stato eliminato un oggetto da Active Directory Domain Services locale. Tuttavia, l'oggetto non è stato eliminato dall'organizzazione del servizio cloud. Questo comportamento è imprevisto.

Risoluzione

Active Directory Domain Services locale non è più disponibile. Pertanto, non è possibile gestire o eliminare l'oggetto dall'ambiente locale

Si vuole gestire gli oggetti in Office 365, Azure o Intune e non si vuole più usare la sincronizzazione della directory.

Nota

I moduli di PowerShell di Azure AD e MSOnline sono deprecati a partire dal 30 marzo 2024. Per altre informazioni, vedere l'aggiornamento della deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza per la migrazione a Microsoft Graph PowerShell SDK e alle correzioni per la sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande frequenti sulla migrazione, vedere Domande frequenti sulla migrazione. Nota: Le versioni 1.0.x di MSOnline potrebbero verificarsi interruzioni dopo il 30 giugno 2024.

  1. Se non si esegue Windows 10, installare la versione a 64 bit dell'Assistente per l'accesso a Microsoft Online Services: Assistente per l'accesso a Microsoft Online Services per professionisti IT - RTW.

  2. Installare il modulo Microsoft Azure Active Directory per Windows PowerShell:

    1. Aprire un prompt dei comandi di Windows PowerShell con privilegi elevati (eseguire Windows PowerShell come amministratore).
    2. Eseguire il comando Install-Module MSOnline.

  3. Disabilitare la sincronizzazione della directory eseguendo il comando seguente:

     Set-MsolDirSyncEnabled -EnableDirSync $false

  4. Verificare che la sincronizzazione della directory sia stata completamente disabilitata usando il Windows PowerShell. A tale scopo, eseguire periodicamente il comando seguente:

     (Get-MSOLCompanyInformation).DirectorySynchronizationEnabled

    Questo comando restituirà True o False. Continuare a eseguire periodicamente questo comando fino a quando non restituisce False e quindi passare al passaggio successivo.

    Il completamento della disattivazione potrebbe richiedere 72 ore. Il tempo dipende dal numero di oggetti presenti nell'account di sottoscrizione del servizio cloud.

  5. Provare ad aggiornare un oggetto usando Windows PowerShell o il portale del servizio cloud.

    Il passaggio 4 potrebbe richiedere del tempo per essere completato. Nell'ambiente del servizio cloud è presente un processo che calcola i valori degli attributi. Il processo deve essere completato prima che gli oggetti possano essere modificati usando Windows PowerShell o il portale del servizio cloud.

È possibile eliminare un oggetto da Active Directory Domain Services locale. Tuttavia, l'oggetto non viene eliminato dall'account di sottoscrizione del servizio cloud

Forzare la sincronizzazione della directory usando la procedura descritta in questo articolo: Avviare l'utilità di pianificazione

  • Se vengono propagati alcuni aggiornamenti ed eliminazioni, ma alcune eliminazioni non sono sincronizzate con il servizio cloud, seguire le procedure tipiche di risoluzione dei problemi di sincronizzazione della directory.

  • Se tutti gli aggiornamenti e le eliminazioni non sono sincronizzati con il servizio cloud, contattare il supporto tecnico.

    Nota

    Come soluzione alternativa per questo scenario, un oggetto può essere eliminato manualmente nel servizio cloud. Tuttavia, l'oggetto non può essere aggiornato nel servizio cloud. Per altre informazioni su come risolvere questo problema, vedere l'articolo della Microsoft Knowledge Base seguente: Le eliminazioni di oggetti non sono sincronizzate con Microsoft Entra ID quando si usa lo strumento di sincronizzazione di Azure Active Directory.  

Ulteriori informazioni

Per riabilitare la sincronizzazione della directory, eseguire il comando seguente:

Set-MsolDirSyncEnabled -EnableDirSync $true

È importante pianificare con attenzione quando si riabilitare la sincronizzazione della directory. Se è stato usato il portale del servizio cloud o Windows PowerShell per apportare modifiche direttamente agli oggetti originariamente sincronizzati da Servizi di dominio Active Directory locali, le modifiche verranno sovrascritte dagli attributi e dalle impostazioni locali la prima volta che si verifica la sincronizzazione dopo la riabilitare la sincronizzazione della directory.

Contattaci per ricevere assistenza

In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.