Synchronizacja tożsamości i odporność względem zduplikowanych atrybutów
Odporność na zduplikowane atrybuty to funkcja w identyfikatorze Entra firmy Microsoft, która eliminuje problemy spowodowane konfliktami UserPrincipalName i SMTP ProxyAddress podczas uruchamiania jednego z narzędzi do synchronizacji firmy Microsoft.
Te dwa atrybuty są zwykle wymagane, aby były unikatowe dla wszystkich obiektów Użytkownik, Grupa lub Kontakt w danej dzierżawie firmy Microsoft Entra.
Uwaga
Tylko użytkownicy mogą mieć nazwy UPN.
Nowe zachowanie włączone przez tę funkcję znajduje się w części chmury potoku synchronizacji, dlatego jest niezależne od klienta i istotne dla dowolnego produktu synchronizacji firmy Microsoft, w tym microsoft Entra Połączenie, DirSync i MIM + Połączenie or. Ogólny termin "klient synchronizacji" jest używany w tym dokumencie do reprezentowania dowolnego z tych produktów.
Bieżące zachowanie
Jeśli istnieje próba aprowizacji nowego obiektu z wartością UPN lub ProxyAddress, która narusza to ograniczenie unikatowości, identyfikator Entra firmy Microsoft blokuje tworzenie tego obiektu. Podobnie, jeśli obiekt jest aktualizowany przy użyciu innej niż unikatowa nazwa UPN lub ProxyAddress, aktualizacja zakończy się niepowodzeniem. Próba aprowizacji lub aktualizacja jest ponawiana przez klienta synchronizacji po każdym cyklu eksportu i nadal kończy się niepowodzeniem, dopóki konflikt nie zostanie rozwiązany. Wiadomość e-mail z raportem o błędach jest generowana po każdej próbie, a błąd jest rejestrowany przez klienta synchronizacji.
Zachowanie ze zduplikowaną odpornością atrybutu
Zamiast całkowicie nie aprowizować lub aktualizować obiektu za pomocą zduplikowanego atrybutu, identyfikator Entra firmy Microsoft "kwarantanny" duplikowany atrybut, który narusza ograniczenie unikatowości. Jeśli ten atrybut jest wymagany do aprowizacji, na przykład UserPrincipalName, usługa przypisuje wartość symbolu zastępczego. Format tych wartości tymczasowych to
<OriginalPrefix>+<4DigitNumber>@<InitialTenantDomain.onmicrosoft.com>.
Proces odporności atrybutów obsługuje tylko wartości UPN i SMTP ProxyAddress .
Jeśli atrybut nie jest wymagany, taki jak ProxyAddress, identyfikator Entra firmy Microsoft po prostu poddaje atrybut konfliktowi i kontynuuje tworzenie lub aktualizowanie obiektu.
Po kwarantowaniu atrybutu informacje o konflikcie są wysyłane w tej samej wiadomości e-mail z raportem o błędach używanym w starym zachowaniu. Jednak te informacje są wyświetlane tylko w raporcie o błędach raz, gdy nastąpi kwarantanna, nie będzie on nadal rejestrowany w przyszłych wiadomościach e-mail. Ponadto, ponieważ eksport dla tego obiektu zakończył się pomyślnie, klient synchronizacji nie rejestruje błędu i nie ponawia próby wykonania operacji tworzenia/aktualizacji po kolejnych cyklach synchronizacji.
Aby zapewnić obsługę tego zachowania, do klas obiektów User, Group i Contact dodano nowy atrybut:
DirSyncProvisioningErrors
Jest to atrybut wielowartościowy używany do przechowywania atrybutów powodujących konflikt, które naruszają ograniczenie unikatowości, jeśli zostaną one dodane normalnie. Zadanie czasomierza w tle zostało włączone w identyfikatorze Entra firmy Microsoft, które jest uruchamiane co godzinę, aby wyszukać zduplikowane konflikty atrybutów, które zostały rozwiązane, i automatycznie usuwa atrybuty, o których mowa, z kwarantanny.
Włączanie odporności zduplikowanych atrybutów
Odporność zduplikowanych atrybutów będzie nowym zachowaniem domyślnym we wszystkich dzierżawach firmy Microsoft Entra. Będzie ona domyślnie włączona dla wszystkich dzierżaw, które włączały synchronizację po raz pierwszy 22 sierpnia 2016 r. lub nowszego. Dzierżawy, które włączyły synchronizację przed tą datą, będą miały włączoną funkcję w partiach. To wdrożenie rozpocznie się we wrześniu 2016 r., a powiadomienie e-mail zostanie wysłane do kontaktu z powiadomieniami technicznymi każdej dzierżawy o określonej dacie włączenia funkcji.
Uwaga
Po włączeniu odporności zduplikowanych atrybutów nie można go wyłączyć.
Aby sprawdzić, czy funkcja jest włączona dla dzierżawy, możesz to zrobić, pobierając najnowszą wersję modułu Programu PowerShell usługi Azure Active Directory i uruchamiając polecenie:
Get-MsolDirSyncFeatures -Feature DuplicateUPNResiliency
Get-MsolDirSyncFeatures -Feature DuplicateProxyAddressResiliency
Uwaga
Nie można już używać polecenia cmdlet Set-MsolDirSyncFeature, aby aktywnie włączyć funkcję odporności atrybutu duplikatu przed włączeniem dla dzierżawy. Aby móc przetestować tę funkcję, należy utworzyć nową dzierżawę firmy Microsoft Entra.
Uwaga
Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.
Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.
Identyfikowanie obiektów z błędami DirSyncProvisioningErrors
Obecnie istnieją dwie metody identyfikowania obiektów, które mają te błędy z powodu zduplikowanych konfliktów właściwości, programu PowerShell usługi Azure Active Directory i Centrum administracyjne platformy Microsoft 365. Istnieją plany rozszerzenia na dodatkowe raporty oparte na portalu w przyszłości.
Azure Active Directory PowerShell
W przypadku poleceń cmdlet programu PowerShell w tym temacie spełnione są następujące warunki:
- W przypadku wszystkich poniższych poleceń cmdlet uwzględniana jest wielkość liter.
- Właściwość –ErrorCategoryConflict musi być zawsze dołączona. Obecnie nie ma żadnych innych typów kategorii błędów, ale może to zostać rozszerzone w przyszłości.
Najpierw rozpocznij pracę, uruchamiając Połączenie-MsolService i wprowadzając poświadczenia administratora dzierżawy.
Następnie użyj następujących poleceń cmdlet i operatorów, aby wyświetlić błędy na różne sposoby:
- Zobacz wszystko
- Według typu właściwości
- Przez wartość powodującą konflikt
- Korzystanie z wyszukiwania ciągów
- Sorted
- W ograniczonej ilości lub wszystkie
Zobacz wszystko
Po nawiązaniu połączenia, aby wyświetlić ogólną listę błędów aprowizacji atrybutów w przebiegu dzierżawy:
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict
Spowoduje to wynik podobny do następującego:
Według typu właściwości
Aby wyświetlić błędy według typu właściwości, dodaj flagę -PropertyName z argumentem UserPrincipalName lub ProxyAddresses:
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName UserPrincipalName
Or
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName ProxyAddresses
Przez wartość powodującą konflikt
Aby zobaczyć błędy związane z określoną właściwością, dodaj flagę -PropertyValue (-PropertyName musi być również używana podczas dodawania tej flagi):
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyValue User@domain.com -PropertyName UserPrincipalName
Korzystanie z wyszukiwania ciągów
Aby przeprowadzić wyszukiwanie szerokiego ciągu, użyj flagi -SearchString . Można go używać niezależnie od wszystkich powyższych flag, z wyjątkiem właściwości -ErrorCategoryConflict, która jest zawsze wymagana:
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -SearchString User
W ograniczonej ilości lub wszystkich
- Wartość MaxResults <Int> może służyć do ograniczenia zapytania do określonej liczby wartości.
- Wszystkie można użyć, aby upewnić się, że wszystkie wyniki są pobierane w przypadku, gdy istnieje duża liczba błędów.
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -MaxResults 5
Centrum administracyjne platformy Microsoft 365
Błędy synchronizacji katalogów można wyświetlić w Centrum administracyjnym platformy Microsoft 365. Raport w Centrum administracyjne platformy Microsoft 365 wyświetla tylko obiekty użytkownika, które mają te błędy. Nie wyświetla informacji o konfliktach między grupami i kontaktami.
Aby uzyskać instrukcje dotyczące wyświetlania błędów synchronizacji katalogów w Centrum administracyjne platformy Microsoft 365, zobacz Identyfikowanie błędów synchronizacji katalogów na platformie Microsoft 365.
Raport o błędach synchronizacji tożsamości
Gdy obiekt z zduplikowanym konfliktem atrybutów jest obsługiwany z tym nowym zachowaniem, powiadomienie jest zawarte w standardowej wiadomości e-mail raportu o błędach synchronizacji tożsamości, która jest wysyłana do kontaktu powiadomienia technicznego dla dzierżawy. Jednak istnieje ważna zmiana w tym zachowaniu. W przeszłości informacje o zduplikowanym konflikcie atrybutów były uwzględniane w każdym kolejnym raporcie o błędach, dopóki konflikt nie zostanie rozwiązany. W przypadku tego nowego zachowania powiadomienie o błędzie dla danego konfliktu jest wyświetlane tylko raz — w momencie, gdy atrybut powodujący konflikt jest poddawany kwarantannie.
Oto przykład tego, jak wygląda powiadomienie e-mail w przypadku konfliktu proxyAddress:
Rozwiązywanie konfliktów
Taktyka rozwiązywania problemów ze strategią i rozwiązywaniem tych błędów nie powinna różnić się od sposobu obsługi zduplikowanych błędów atrybutów w przeszłości. Jedyną różnicą jest to, że zadanie czasomierza jest zamiatane przez dzierżawę po stronie usługi, aby automatycznie dodać dany atrybut do odpowiedniego obiektu po rozwiązaniu konfliktu.
W poniższym artykule opisano różne strategie rozwiązywania problemów i rozwiązywania problemów: zduplikowane lub nieprawidłowe atrybuty uniemożliwiają synchronizację katalogów w usłudze Office 365.
Znane problemy
Żadne z tych znanych problemów nie powoduje utraty danych lub degradacji usługi. Kilka z nich jest estetycznych, inne powodują błędy zduplikowanych atrybutów "przed odpornością" zamiast kwarantowania atrybutu konfliktu, a inne powodują, że niektóre błędy wymagają dodatkowej ręcznej naprawy.
Podstawowe zachowanie:
Obiekty z określonymi konfiguracjami atrybutów nadal otrzymują błędy eksportu, w przeciwieństwie do zduplikowanych atrybutów, które są poddane kwarantannie.
Na przykład:a. Nowy użytkownik jest tworzony w usłudze AD przy użyciu nazwy UPN Joe@contoso.com i proxyAddress smtp:Joe@contoso.com
b. Właściwości tego obiektu powodują konflikt z istniejącą grupą, gdzie proxyAddress to SMTP:Joe@contoso.com.
c. Podczas eksportowania zgłaszany jest błąd konfliktu proxyAddress zamiast atrybutów konfliktu poddanego kwarantannie. Operacja jest ponawiana po każdym kolejnym cyklu synchronizacji, tak jak wcześniej, zanim funkcja odporności została włączona.
Jeśli dwie grupy są tworzone lokalnie z tym samym adresem SMTP, nie można zainicjować obsługi administracyjnej przy pierwszej próbie ze standardowym zduplikowany błąd ProxyAddress . Jednak zduplikowana wartość jest prawidłowo poddana kwarantannie podczas następnego cyklu synchronizacji.
Raport portalu pakietu Office:
Szczegółowy komunikat o błędzie dla dwóch obiektów w zestawie konfliktów nazwy UPN jest taki sam. Oznacza to, że obaj mieli swoją nazwę UPN zmienioną / poddane kwarantannie, gdy w rzeczywistości tylko jeden z nich miał jakiekolwiek dane zmienione.
Szczegółowy komunikat o błędzie dla konfliktu nazwy UPN pokazuje nieprawidłową nazwę displayName dla użytkownika, który miał zmienioną/poddane kwarantannie nazwę UPN. Na przykład:
a. Użytkownik A synchronizuje się najpierw z nazwą UPN = User@contoso.com.
b. Podjęto próbę zsynchronizowania użytkownika B z nazwą UPN =User@contoso.com .
c. Nazwa UPN użytkownika B została zmieniona na User1234@contoso.onmicrosoft.com i User@contoso.com jest dodawana do polecenia DirSyncProvisioningErrors.
d. Komunikat o błędzie dla użytkownika B powinien wskazywać, że użytkownik A ma User@contoso.com już nazwę UPN, ale zawiera własną nazwę wyświetlaną użytkownika B.
Raport o błędach synchronizacji tożsamości:
Link do kroków rozwiązywania tego problemu jest niepoprawny:
Powinien on wskazywać wartość https://aka.ms/duplicateattributeresiliency.