Reconhecimento dos erros durante a sincronização do Microsoft Entra

  • Artigo

Erros podem ocorrer quando os dados de identidade são sincronizados do Windows Server Active Directory para o Microsoft Entra ID. Este artigo fornece uma visão geral dos diferentes tipos de erros de sincronização, alguns dos possíveis cenários que causam esses erros e possíveis maneiras de corrigi-los. Este artigo inclui tipos de erro comuns e pode não abranger todos os erros possíveis.

Este artigo pressupõe que você esteja familiarizado com os conceitos de design subjacentes do Microsoft Entra ID e do Microsoft Entra Connect.

Importante

Este artigo tenta abordar os erros de sincronização mais comuns. Infelizmente, a cobertura de todos os cenários em um documento não é possível. Para obter mais informações, incluindo etapas detalhadas de solução de problemas, consulte a Solução de problemas de ponta a ponta de objetos e atributos do Microsoft Entra Connect e a seção de Provisionamento e sincronização do usuário na documentação de solução de problemas do Azure AD Connect.

Com a versão mais recente do Azure AD Connect (agosto de 2016 ou superior), um relatório de erros de sincronização está disponível no centro de administração do Microsoft Entra como parte do Microsoft Entra Connect Health para sincronização.

A partir de 1º de setembro de 2016, a resiliência de atributo duplicado do Microsoft Entra ID é habilitada por padrão para todos os novos locatários do Microsoft Entra. Esse recurso é habilitado automaticamente para locatários existentes.

O Microsoft Entra Connect realiza três tipos de operações dos diretórios que mantém em sincronia: Importação, Sincronização e Exportação. Os erros podem ocorrer em todas as três operações. Este artigo se concentra principalmente em erros durante a exportação para o Microsoft Entra ID.

Erros durante a exportação para Microsoft Entra ID

A seção a seguir descreve os diferentes tipos de erros de sincronização que podem ocorrer durante a operação de exportação para o Microsoft Entra ID usando o conector do Microsoft Entra. É possível identificar esse conector pelo formato de nome contoso. onmicrosoft.com. Erros durante a exportação para Microsoft Entra ID indicam que falha em uma operação como adicionar, atualizar ou excluir tentada pelo Microsoft Entra Connect (mecanismo de sincronização) no Microsoft Entra ID.

Diagrama que mostra a visão geral dos erros de exportação.

Erros de incompatibilidade de dados

Esta seção discute os erros de incompatibilidade de dados.

InvalidHardMatch

Descrição

Um erro InvalidHardMatch ocorre durante a sincronização quando há uma tentativa de fazer correspondência forçada de objetos presentes no Microsoft Entra ID com um novo objeto de entrada que tem o mesmo valor sourceAnchor, mas o recurso BlockCloudObjectTakeoverThroughHardMatchEnabled está habilitado no locatário.

Cenários de exemplo para um erro InvalidSoftMatch

  • O DirSync é habilitado novamente no locatário e os objetos com o mesmo sourceAnchor são sincronizados novamente, no entanto, recurso BlockCloudObjectTakeoverThroughHardMatchEnabled está habilitado e impede que a correspondência forçada ocorra.
  • O usuário foi excluído do escopo de sincronização e restaurado da Lixeira do Microsoft Entra ID. Posteriormente, o usuário é adicionado novamente ao escopo de sincronização e tenta assumir o objeto já presente no Microsoft Entra ID com base no mesmo valor sourceAnchor, no entanto, o recurso BlockCloudObjectTakeoverThroughHardMatchEnabled está habilitado e impede que a correspondência forçada ocorra.

Caso de exemplo

  1. O Bob Smith é um usuário sincronizado no Microsoft Entra ID do Active Directory local de contoso.com.
  2. Por padrão, o valor SourceAnchor de "abcdefghijklmnopqrstuv==" é calculado pelo Microsoft Entra Connect usando o atributo MsDs-ConsistencyGUID de Bob Smith (ou ObjectGUID dependendo da configuração) do Active Directory local. Esse valor de atributo é o immutableId para Bob Smith no Microsoft Entra ID.
  3. O administrador remove Carlos Lima do escopo de sincronização e o Microsoft Entra Connect exporta uma exclusão do objeto.
  4. O objeto de Bob Smith é excluído de maneira reversível no Microsoft Entra ID e o respectivo atributo DirSyncEnabled é alternado para False. No entanto, esse processo não converte o objeto em gerenciado na nuvem, ele ainda é considerado um objeto sincronizado do Active Directory local. O valor DirSyncEnabled é False para indicar que ele está fora do escopo de sincronização e está disponível para ser correspondido novamente.
  5. O administrador adiciona novamente Carlos Lima ao escopo de sincronização e o Microsoft Entra Connect sincroniza o objeto mais uma vez.
  6. Normalmente, uma correspondência forçada assume o objeto presente no Microsoft Entra ID com base no mesmo sourceAnchor e alterna o atributo DirSyncEnabled de volta para 'True’, no entanto, quando BlockCloudObjectTakeoverThroughHardMatchEnabled está habilitado, essa operação não é permitida e um InvalidHardMatch é gerado.

Corrigir o erro InvalidHardMatch

Aconselhamos os clientes a habilitar BlockCloudObjectTakeoverThroughHardMatchEnabled, a menos que eles precisem dele para assumir contas existentes no Microsoft Entra ID.

Se você precisar limpar um erro de InvalidHardtMatch e corresponder à conta com êxito, poderá habilitar a correspondência dura novamente conforme descrito em Correspondência forçada vs Correspondência simples.

InvalidSoftMatch

Descrição

  • O erro InvalidSoftMatch ocorre quando a correspondência forçada não encontra nenhum objeto correspondente e a correspondência simples encontra um objeto correspondente, mas esse objeto tem um valor immutableId, diferente do atributo sourceAnchor do objeto de entrada. Essa incompatibilidade sugere que o objeto correspondente foi sincronizado com outro objeto do Active Directory local.

Em outras palavras, para a correspondência simples funcionar, o objeto com o qual a correspondência simples deve ser realizada não deve ter nenhum valor para o atributo immutableId. Se qualquer objeto com o atributo immutableId definido com um valor falhar na correspondência forçada, mas satisfizer os critérios de correspondência simples, a operação resultará em um erro de sincronização de InvalidSoftMatch.

O esquema do Microsoft Entra não permite que dois ou mais objetos tenham o mesmo valor para os atributos a seguir. Essa lista não é completa:

  • proxyAddresses
  • userPrincipalName
  • onPremisesSecurityIdentifier
  • objectId
  • immutableId

A resiliência do atributo duplicado do Microsoft Entra (how-to-connect-syncservice-duplicate-attribute-resiliency.md) também está sendo distribuída como o comportamento padrão do Microsoft Entra ID. Esse recurso reduz o número de erros de sincronização vistos pelo Microsoft Entra Connect e outros clientes de sincronização. Ele torna o Microsoft Entra mais resiliente na maneira como trata os atributos duplicados proxyAddresses e userPrincipalName presentes em ambientes de Active Directory locais.

Esse recurso não corrige os erros de duplicação, portanto, os dados ainda precisam ser corrigidos. No entanto, ele permite o provisionamento de novos objetos que estão de outra forma bloqueados de serem provisionados por causa de valores duplicados no Microsoft Entra ID. Essa capacidade também reduzirá o número de erros de sincronização retornados ao cliente de sincronização.

Observação

Se a resiliência de atributo duplicado de atributo do Microsoft Entra estiver habilitada para seu locatário, você não verá os erros de sincronização InvalidSoftMatch vistos durante o provisionamento de novos objetos.

Cenários de exemplo para um erro InvalidSoftMatch

  • Dois ou mais objetos com o mesmo valor do atributo proxyAddresses existem no Active Directory local. Apenas um está sendo provisionado no Microsoft Entra ID.
  • Dois ou mais objetos com o mesmo valor do atributo userPrincipalName existem no Active Directory local. Apenas um está sendo provisionado no Microsoft Entra ID.
  • Um objeto foi adicionado no Active Directory local com o mesmo valor para o atributo proxyAddresses encontrado em um objeto existente no Microsoft Entra ID. O objeto adicionado localmente não está sendo provisionado no Microsoft Entra ID.
  • Um objeto foi adicionado no Active Directory local com o mesmo valor para o atributo userPrincipalName encontrado em uma conta no Microsoft Entra ID. O objeto não está sendo provisionado no Microsoft Entra ID.
  • Uma conta sincronizada foi movida da Floresta A para a Floresta B. O Microsoft Entra Connect (mecanismo de sincronização) estava usando o atributo objectGUID para calcular o atributo sourceAnchor. Após a mudança de floresta, o valor do atributo sourceAnchor é diferente. O novo objeto da Floresta B falha ao sincronizar com o objeto existente no Microsoft Entra ID.
  • Um objeto sincronizado foi excluído acidentalmente do Active Directory local e um novo objeto foi criado no Active Directory para a mesma entidade (por exemplo, um usuário) sem excluir a conta no Microsoft Entra ID. A nova conta falha em sincronizar com o objeto existente do Microsoft Entra.
  • O Microsoft Entra Connect foi desinstalado e reinstalado. Durante a reinstalação, um atributo diferente foi escolhido como o atributo sourceAnchor. Todos os objetos que tinham sido sincronizados anteriormente interromperam a sincronização com o erro InvalidSoftMatch.

Caso de exemplo

  1. O Bob Smith é um usuário sincronizado no Microsoft Entra ID do Active Directory local de contoso.com.
  2. O nome principal de usuário do Bob Smith é definido como bobs@contoso.com .
  3. O atributo sourceAnchor de "abcdefghijklmnopqrstuv = =" é calculado pelo Microsoft Entra Connect usando o atributo objectGUID do Bob Smith do Active Directory local. Esse atributo é o atributo immutableId para o Bob Smith no Microsoft Entra.
  4. O Bob também tem os seguintes valores para o atributo proxyAddresses:
    • smtp: bobs@contoso.com
    • smtp: bob.smith@contoso.com
    • smtp: bob@contoso.com
  5. Um novo usuário, Bob Taylor, é adicionado ao Active Directory local.
  6. O nome principal de usuário do Bob Taylor é definido como bobt@contoso.com.
  7. O atributo sourceAnchor de "abcdefghijkl0123456789==" é calculado pelo Microsoft Entra Connect usando o atributo objectGUID do Bob Taylor do Active Directory local.
  8. O Bob Taylor tem os valores a seguir para o atributo proxyAddresses:
    • smtp: bobt@contoso.com
    • smtp: bob.taylor@contoso.com
    • smtp: bob@contoso.com
  9. Durante a sincronização, o Microsoft Entra Connect reconhece a adição do Bob Taylor no Active Directory local e solicita ao Microsoft Entra ID fazer a mesma alteração.
  10. O Microsoft Entra primeiro executa uma correspondência difícil. Ou seja, ele pesquisa qualquer objeto com o atributo immutableId igual a "abcdefghijkl0123456789 = =". A correspondência rígida falha porque nenhum outro objeto no Microsoft Entra ID tem esse atributo immutableId.
  11. Em seguida, o Microsoft Entra ID executa uma correspondência flexível para localizar o Bob Taylor. Ou seja, ele pesquisa para ver se há algum objeto com atributos proxyAddresses igual aos três valores, incluindo SMTP: bob@contoso.com.
  12. O Microsoft Entra ID encontra o objeto do Bob Smith que satisfaz os critérios de correspondência flexível. Mas esse objeto tem o valor de immutableId = "abcdefghijklmnopqrstuv = =", que indica que esse objeto foi sincronizado de outro objeto do Active Directory local. O Microsoft Entra ID não pode fazer a correspondência flexível com esses objetos para que um erro de sincronização InvalidSoftMatch seja gerado.

Corrigir o erro InvalidSoftMatch

O motivo mais comum para o erro InvalidSoftMatch é que dois objetos com atributos sourceAnchor (iimmutableId ) diferentes que tenham o mesmo valor para os atributos proxyAddresses ou userPrincipalName, que são usados durante o processo de correspondência flexível no Microsoft Entra ID. Para corrigir o erro InvalidSoftMatch:

  1. Identifique o valor duplicado de proxyAddresses, userPrincipalName ou outro o atributo que está causando o erro. Identifique também quais dois ou mais os objetos estão envolvidos no conflito. O relatório gerado pelo Microsoft Entra Connect Health para sincronização pode ajudá-lo a identificar os dois objetos.
  2. Identifique qual objeto deve continuar a ter o valor duplicado e qual não deve.
  3. Remova o valor duplicado do objeto que não deve ter esse valor. Faça a alteração no diretório do qual o objeto é originado. Em alguns casos, pode precisar excluir um dos objetos em conflito.
  4. Se você fez a alteração no Active Directory local, permita que o Microsoft Entra Connect sincronize essa alteração.

O Relatório de erros de sincronização no Microsoft Entra Connect Health para a sincronização é atualizado a cada 30 minutos e inclui os erros da tentativa de sincronização mais recente.

Observação

O atributo immutableId, por definição, não deve ser alterado no tempo de vida do objeto. Mas talvez o Microsoft Entra Connect não tenha sido configurado com alguns dos cenários em mente na lista anterior. Nesse caso, o Microsoft Entra Connect pode calcular um valor diferente do atributo sourceAnchor para o objeto do Active Directory que representa a mesma entidade (mesmo usuário, grupo ou contato) que tem um objeto do Microsoft Entra existente que você deseja continuar usando.

Artigo relacionado

Atributos inválidos ou duplicados impedem a sincronização de diretório no Microsoft 365

ObjectTypeMismatch

Descrição

Quando o Microsoft Entra ID tenta fazer a correspondência flexível entre dois objetos, é possível que dois objetos com "tipo de objeto" diferente, como usuário, grupo ou contato, tenham os mesmos valores para os atributos usados para executar a correspondência flexível. Como a duplicação desses atributos não é permitida no Microsoft Entra ID, a operação pode resultar em um erro de sincronização ObjectTypeMismatch.

Cenários de exemplo para o erro ObjectTypeMismatch

Um grupo de segurança habilitado para email é criado no Microsoft 365. O administrador adiciona um novo usuário ou contato no Active Directory local que ainda não está sincronizado com o Microsoft Entra ID com o mesmo valor para o atributo proxyAddresses que o utilizado no grupo do Microsoft 365.

Caso de exemplo

  1. Um administrador cria um novo grupo de segurança habilitado para email no Microsoft 365 para o departamento fiscal e fornece um endereço de email como tax@contoso.com. Esse grupo recebe o valor do atributo proxyAddresses de smtp: tax@contoso.com.
  2. Um novo usuário ingressa em Contoso.com e uma conta é criada para o usuário local com o atributo proxyAddresses como smtp: tax@contoso.com.
  3. Quando o Microsoft Entra Connect sincroniza a nova conta de usuário, ele recebe o erro ObjectTypeMismatch.

Corrigir o erro ObjectTypeMismatch

O motivo mais comum para o erro ObjectTypeMismatch é que dois objetos de tipo diferente, como usuário, grupo ou contato, tenham o mesmo valor para o atributo proxyAddresses. Para corrigir o erro ObjectTypeMismatch:

  1. Identifique o valor duplicado de proxyAddresses (ou outro atributo) que está causando o erro. Identifique também quais dois ou mais os objetos estão envolvidos no conflito. O relatório gerado pelo Microsoft Entra Connect Health para sincronização pode ajudá-lo a identificar os dois objetos.
  2. Identifique qual objeto deve continuar a ter o valor duplicado e qual não deve.
  3. Remova o valor duplicado do objeto que não deve ter esse valor. Faça a alteração no diretório do qual o objeto foi originado. Em alguns casos, pode precisar excluir um dos objetos em conflito.
  4. Se você fez a alteração no AD local, permita que o Microsoft Entra Connect sincronize essa alteração. O relatório de erros de sincronização no Microsoft Entra Connect Health para sincronização é atualizado a cada 30 minutos. O relatório inclui os erros da tentativa de sincronização mais recente.

Atributos duplicados

Esta seção aborda erros de atributo duplicados.

AttributeValueMustBeUnique

Descrição

O esquema do Microsoft Entra não permite que dois ou mais objetos tenham o mesmo valor para os atributos a seguir. Cada objeto no Microsoft Entra ID é forçado a ter um valor exclusivo desses atributos em uma determinada instância:

  • email
  • proxyAddresses
  • signInName
  • userPrincipalName

Se o Microsoft Entra Connect tentar adicionar um novo objeto ou atualizar um objeto existente com um valor para os atributos anteriores que já estiver atribuído a outro objeto no Microsoft Entra ID, a operação resultará no erro de sincronização AttributeValueMustBeUnique.

Cenário possível

Um valor duplicado é atribuído a um objeto já sincronizado, que está em conflito com outro objeto sincronizado.

Caso de exemplo

  1. O Bob Smith é um usuário sincronizado no Microsoft Entra ID do Active Directory local de contoso.com.
  2. O nome principal do usuário do Bob Smith no local é definido como bobs@contoso.com.
  3. O Bob também tem os seguintes valores para o atributo proxyAddresses:
    • smtp: bobs@contoso.com
    • smtp: bob.smith@contoso.com
    • smtp: bob@contoso.com
  4. Um novo usuário, Bob Taylor, é adicionado ao Active Directory local.
  5. O nome principal de usuário do Bob Taylor é definido como bobt@contoso.com.
  6. O Bob Taylor tem os valores a seguir para o atributo proxyAddresses:
    • smtp: bobt@contoso.com
    • smtp: bob.taylor@contoso.com
  7. O objeto de Bob Taylor é sincronizado com Microsoft Entra ID com êxito.
  8. O administrador decidiu atualizar o atributo ProxyAddresses do Bob Taylor com o seguinte valor:
    • smtp: bob@contoso.com
  9. O Microsoft Entra ID tenta atualizar o objeto do Bob Taylor no Microsoft Entra ID com o valor anterior, mas essa operação falha porque o valor de proxyAddresses já está atribuído ao Bob Smith. O resultado é um erro AttributeValueMustBeUnique.

Corrigir o erro AttributeValueMustBeUnique

O motivo mais comum para o erro AttributeValueMustBeUnique é que dois objetos com os atributossourceAnchor (immutableId) diferentes, tenham o mesmo valor para os atributos proxyAddresses ou userPrincipalName. Para corrigir o erro AttributeValueMustBeUnique:

  1. Identifique o valor duplicado de proxyAddresses, userPrincipalName ou outro o atributo que está causando o erro. Identifique também quais dois ou mais os objetos estão envolvidos no conflito. O relatório gerado pelo Microsoft Entra Connect Health para sincronização pode ajudá-lo a identificar os dois objetos.
  2. Identifique qual objeto deve continuar a ter o valor duplicado e qual não deve.
  3. Remova o valor duplicado do objeto que não deve ter esse valor. Faça a alteração no diretório do qual o objeto é originado. Em alguns casos, pode precisar excluir um dos objetos em conflito.
  4. Se você fez a alteração no Active Directory local, permita que o Microsoft Entra Connect sincronize essa alteração para que o erro seja corrigido.

Artigo relacionado

Atributos inválidos ou duplicados impedem a sincronização de diretório no Microsoft 365

Falha na validação de dados

Esta seção discute as falhas de validação de dados.

IdentityDataValidationFailed

Descrição

O Microsoft Entra ID impõe várias restrições nos dados antes de permitir que dados sejam gravados no diretório. Essas restrições têm a finalidade de garantir que os usuários finais tenham as melhores experiências possíveis ao usar os aplicativos que dependem desses dados.

Cenários

  • O valor do atributo userPrincipalName tem caracteres inválidos ou sem suporte.
  • O atributo userPrincipalName não segue o formato necessário.

O resultado dos cenários anteriores é um erro IdentityDataValidationFailed.

Corrigir o erro IdentityDataValidationFailed

Certifique-se de que o atributo userPrincipalName tem caracteres com suporte e o formato necessário.

Artigo relacionado

Preparar para provisionar usuários por meio da sincronização de diretório para o Microsoft 365

Erros de violação de acesso de senha e de violação de acesso à exclusão

O Microsoft Entra ID protege os objetos somente na nuvem de serem atualizados por meio do Microsoft Entra Connect. Embora não seja possível atualizar esses objetos por meio do Microsoft Entra Connect, as chamadas podem ser feitas diretamente ao back-end do Microsoft Entra para uma tentativa de alteração dos objetos somente de nuvem. Ao fazer isso, os seguintes erros podem ser retornados:

  • Esta operação de sincronização, Delete, não é válida. Entre em contato com o suporte técnico (tipo de erro 114).
  • Não é possível processar esta atualização, porque uma ou mais atualizações de credenciais de usuários somente na nuvem estão incluídas na solicitação atual.
  • Não há suporte para a exclusão de um objeto somente na nuvem. Contate o Atendimento ao Cliente da Microsoft.
  • A solicitação de alteração de senha não pode ser executada porque contém alterações de um ou mais objetos de usuário somente na nuvem, que não têm suporte. Contate o Atendimento ao Cliente da Microsoft.

Resolver DeletingCloudOnlyObjectNotAllowed (tipo de erro 114)

Esta seção discute possíveis causas e soluções para resolver o erro DeletingCloudOnlyObjectNotAllowed (tipo de erro 114).

Aviso

A Microsoft recomenda que os clientes configurem uma conta para emergências antes de fazer logon no Microsoft Entra Connect. Para obter mais informações, confira Gerenciar contas de acesso de emergência no Microsoft Entra ID.

Descrição

Esse é um cenário em que um cliente deseja migrar do híbrido para somente na nuvem. O administrador inicia uma chamada ao Microsoft Entra Connect na tentativa de remover os usuários do escopo, mas o Microsoft Entra Connect retorna o erro DeletingCloudOnlyObjectNotAllowed (ou o tipo de erro 114): “Esta operação de sincronização, Delete, não é válida”. Contate o suporte técnico."

Possíveis causas do erro incluem:

  • A chamada do Microsoft Entra Connect não tem nenhum UPN, um GUID novo ou exclusivo ou outras informações necessárias.
  • O Microsoft Entra Connect está tentando exportar dados, mas tem DirSyncEnabled definido como False.
  • O Microsoft Entra Connect está tentando excluir um usuário ou outro objeto restaurado. Isso geralmente ocorre porque uma referência de usuário ou outro objeto foi movida para fora do escopo de sincronização ou para o contêiner de Achados e Perdidos.

Cenários possíveis

O cliente do Microsoft Entra Connect não está conseguindo excluir usuários durante a migração do híbrido para somente nuvem, resultando no tipo de erro 114.

Os possíveis motivos para os usuários não serem excluídos incluem:

  • A regra criada pelo cliente para mover usuários para fora do escopo é baseada no atributo Admin.
  • O tipo de erro 114 está sendo retornado durante a operação de sincronização (Sincronização do Azure AD), resultando em uma falha ao excluir usuários.
  • A sincronização falha para recursos específicos, resultando na exclusão adequada dos usuários.

Exemplo de erro

Exemplo do erro de exportação:

TimeOccurred (UTC) 2021-10-20 23:51:28
MachineId 321d15e1-4ad6-49c7-918b-40a62a5140bd
Connector Name IDEXX.onmicrosoft.com - AAD
ErrorType 114
ErrorCode 0x8023134a
ErrorLiteral This synchronization operation, Delete, is not valid. Contact Technical Support. Tracking Id: 09fb1e9b-3ff7-4163-9731-581785e347e5
ServerErrorDetail N/A
CsObjectIdentifier {2819A5C8-BE27-EC11-A970-000D3A1B4EEE}
Dn CN={783456306961654236304B58786A66746377643748773D3D}

Corrigir o erro

Para resolver o problema:

  1. Identifique a referência do objeto de problema.
  2. Use o PowerShell para excluir a conta de nuvem:
  3. Execute Start-ADSyncSyncCycle -PolicyType Delta, que deve importar com êxito a exclusão da conta.
  4. Confirme se a exclusão foi bem-sucedida.
  5. Restaure o usuário da Lixeira.
  6. Execute Start-ADSyncSyncCycle -PolicyType Delta no servidor para confirmar se o erro não ocorre novamente.

Aviso

Quando um usuário é excluído do escopo de sincronização, o objeto é excluído suavemente na ID do Microsoft Entra e o respectivo atributo DirSyncEnabled é alternado para False. No entanto, esse processo não converte o objeto em gerenciado na nuvem, pois ele ainda contém atributos e valores sincronizados do Active Directory local que não podem ser gerenciados na nuvem. O valor DirSyncEnabled é False para indicar que ele está fora do escopo de sincronização e está disponível para ser correspondido novamente.

LargeObject ou ExceededAllowedLength

Esta seção discute os erros Largeobject ou ExceededAllowedLength.

Descrição

Quando um atributo excede o limite de tamanho permitido, o limite de comprimento ou o limite de contagem definidos pelo esquema do Microsoft Entra, a operação de sincronização resultará em um erro de sincronização LargeObject ou ExceededAllowedLength. Geralmente este erro ocorre para os atributos seguir:

  • userCertificate
  • userSMIMECertificate
  • thumbnailPhoto
  • proxyAddresses

O Microsoft Entra ID não impõe limites por atributo, exceto por um limite em código de 15 certificados no atributo userCertificate e até 100 atributos para extensões de Directory com um máximo de 250 caracteres para cada extensão de diretório. Há um limite de tamanho para o objeto inteiro. Quando Microsoft Entra Connect tenta sincronizar um objeto que excede esse limite de tamanho de objeto, um erro de exportação é gerado.

Todos os atributos contribuem para o tamanho final do objeto. Alguns atributos têm multiplicadores de peso diferentes devido à sobrecarga de processamento adicional. Um exemplo são valores indexados. Além disso, diferentes serviços de nuvem, planos de serviços e licenças podem ser atribuídos à conta, o que consome ainda mais atributos e contribuem para o tamanho geral do objeto.

Não é possível determinar exatamente quantas entradas um atributo pode conter no Microsoft Entra ID, por exemplo, quantos endereços SMTP podem caber no atributo proxyAddresses. A quantidade depende do tamanho e dos fatores de multiplicação de todos os atributos preenchidos no objeto.

Cenários possíveis

  • O atributo userCertificate do Bob está armazenando certificados em excesso atribuídos ao Bob. Esses certificados podem incluir certificados mais antigos e expirados. O limite rígido é de 15 certificados. Para obter mais informações sobre como lidar com erros LargeObject com o atributo userCertificate, consulte Tratamento de erros LargeObject causados pelo atributo userCertificate.
  • O atributo userSMIMECertificate do Bob está armazenando certificados em excesso atribuídos a Bob. Esses certificados podem incluir certificados mais antigos e expirados. O limite rígido é de 15 certificados.
  • O atributo thumbnailPhoto do Bob, definido no Active Directory, é muito grande para ser sincronizado no Microsoft Entra ID.
  • Durante a população automática do atributo proxyAddresses no Active Directory, um objeto possui muitos atributos proxyAddresses atribuídos.

Os exemplos a seguir demonstram os diferentes pesos de atributos, como userCertificate e proxyAddresses:

  • Um usuário sincronizado que não tem outros atributos preenchidos além daqueles obrigatórios do Active Directory e Mail pode conseguir sincronizar até 332 endereços de proxy.
  • Para um usuário sincronizado semelhante que tem um atributo mailNickName e mais 10 certificados de usuário, o número máximo de endereços proxy diminui para 329.
  • Se um usuário sincronizado semelhante com 10 ou mais certificados de usuário e, por exemplo, mais 4 assinaturas atribuídas (com todos os planos de serviço habilitados), o número máximo de endereços proxy diminuirá para 311.
  • Agora, vamos pegar o usuário anterior, que já contém o número máximo de endereços proxy, e digamos que você precise adicionar mais um endereço SMTP. Para obter endereços proxy 312, você precisará remover pelo menos três certificados de usuário (dependendo do tamanho do certificado).

Observação

Esses números podem variar um pouco. Como regra geral, é mais seguro supor que o limite de endereços SMTP no atributo proxyAddresses seja de aproximadamente 300 endereços, para deixar o espaço para crescimento futuro do objeto e seus atributos populados.

Corrigir o erro LargeObject ou ExceededAllowedLength

Examine as propriedades do usuário e remova os valores de atributo que podem não ser mais necessários. Os exemplos incluem certificados revogados ou expirados e endereços desatualizados ou desnecessários, como SMTP, X. 400, X. 500, MSMail e CcMail.

Conflito de função de administrador existente

Descrição

Um erro de sincronização de conflito de função de administrador existente ocorre em um objeto do usuário durante a sincronização quando esse objeto de usuário tiver:

  • Permissões administrativas.
  • O mesmo atributo userPrincipalName que um objeto existente do Microsoft Entra.

O Microsoft Entra Connect não tem permissão para fazer a correspondência suave com um objeto de usuário do AD local com um objeto de usuário no Microsoft Entra ID que tenha uma função administrativa atribuída a ele. Para obter mais informações, confira Preenchimento de UserPrincipalName do Microsoft Entra.

Captura de tela que mostra o número de erros de sincronização de Conflito de Funções de Administração Existentes.

Corrigir o erro de conflito de função de administrador existente

Para resolver o problema:

  1. Remova a conta do Microsoft Entra (proprietário) de todas as funções de administrador.
  2. Exclua o objeto em quarentena na nuvem.
  3. O próximo ciclo de sincronização cuidará da correspondência flexível do usuário local para a conta de nuvem, pois o usuário da nuvem agora não é mais um Administrador de Identidade Híbrida.
  4. Restaure as associações de função para o proprietário.

Observação

Você pode atribuir a função administrativa ao objeto do usuário existente novamente depois que a correspondência flexível entre o objeto do usuário local e o objeto do usuário do Microsoft Entra for concluída.