Identitätssynchronisierung und Resilienz bei doppelten Attributen

  • Artikel

„Resilienz bei doppelten Attributen“ ist ein Feature in Microsoft Entra ID, das der Beseitigung von Konflikten zwischen UserPrincipalName und SMTP-ProxyAddress dient, die beim Ausführen eines Synchronisierungstools von Microsoft auftreten können.

Die beiden Attribute müssen generell für alle Objekte des Typs User, Group oder Contact eines bestimmten Microsoft Entra-Mandanten eindeutig sein.

Hinweis

Nur Benutzer können über UPNs verfügen.

Das durch dieses Feature ermöglichte neue Verhalten befindet sich im Cloudteil der Synchronisierungspipeline und ist damit clientunabhängig und für jedes Synchronisierungsprodukt von Microsoft relevant – einschließlich Microsoft Entra Connect, DirSync und MIM + Connector. Diese Produkte werden hier unter dem allgemeinen Begriff „Synchronisierungsclient“ zusammengefasst.

Aktuelles Verhalten

Beim Versuch, ein neues Objekt mit einem UPN- oder ProxyAddress-Wert bereitzustellen, der die Eindeutigkeitsanforderung nicht erfüllt, wird die Erstellung des Objekts durch Microsoft Entra ID blockiert. Analog dazu gilt: Ein Objekt kann nicht mit einem nicht eindeutigen UPN- oder ProxyAddress-Wert aktualisiert werden. Der Bereitstellungs- oder Aktualisierungsversuch wird vom Synchronisierungsclient bei jedem Exportzyklus wiederholt und kann erst nach Beseitigung des Konflikts erfolgreich abgeschlossen werden. Bei jedem Versuch wird eine E-Mail mit einem Fehlerbericht generiert, und vom Synchronisierungsclient wird ein Fehler protokolliert.

Verhalten mit Resilienz bei doppelten Attributen

Das Bereitstellen oder Aktualisieren eines Objekts mit doppeltem Attribut ist nicht einfach ohne Erfolg. Stattdessen wird das doppelte Attribut, das gegen die Eindeutigkeitsanforderung verstößt, von Microsoft Entra ID „unter Quarantäne gestellt“. Ist dieses Attribut für die Bereitstellung erforderlich (wie etwa im Falle von UserPrincipalName), weist der Dienst einen Platzhalterwert zu. Diese temporären Werte weisen folgendes Format auf:
<OriginalPrefix>+<4DigitNumber>@<InitialTenantDomain>.onmicrosoft.com.

Der Prozess für die Resilienz von Attributen verarbeitet nur UPN- und SMTP-ProxyAddress-Werte.

Ist das Attribut nicht erforderlich, etwa im Falle von ProxyAddress, wird das Konfliktattribut einfach von Microsoft Entra ID unter Quarantäne gestellt, und die Objekterstellung oder -aktualisierung wird fortgesetzt.

Im Falle einer Attributisolierung werden Informationen zum Konflikt in der gleichen Fehlerbericht-E-Mail gesendet, die auch im Rahmen des alten Verhaltens verwendet wurde. Diese Informationen werden aber nur einmal (zum Zeitpunkt der Isolierung) in den Fehlerbericht aufgenommen und in zukünftigen E-Mails nicht immer wieder erneut protokolliert. Da der Export für das Objekt erfolgreich war, protokolliert der Synchronisierungsclient keinen Fehler, und es wird in den folgenden Synchronisierungszyklen nicht erneut versucht, die Erstellung/Aktualisierung durchzuführen.

Zur Unterstützung dieses Verhaltens wurde den Objektklassen für Benutzer, Gruppen und Kontakte ein neues Attribut hinzugefügt:
DirSyncProvisioningErrors

Hierbei handelt es sich um ein mehrwertiges Attribut zum Speichern der in Konflikt stehenden Attribute, die gegen die Eindeutigkeitsanforderung verstoßen würden, wenn sie normal hinzugefügt würden. In Microsoft Entra ID wurde eine Timer-Hintergrundaufgabe hinzugefügt, um stündlich nach behobenen Konflikten mit doppelten Attributen zu suchen und automatisch die Quarantäne der betreffenden Attribute aufzuheben.

Aktivieren der Resilienz bei doppelten Attributen

Resilienz bei doppelten Attributen wird in allen Microsoft Entra-Mandanten das neue Standardverhalten sein. Es wird standardmäßig für alle Mandanten eingeschaltet sein, die die Synchronisierung zum ersten Mal am 22. August 2016 oder später aktiviert haben. Bei Mandanten, die die Synchronisierung vor diesem Datum aktiviert haben, wird das Feature mithilfe von Batches aktiviert. Dieses Rollout wird im September 2016 beginnen. Die Benachrichtigung über das genaue Aktivierungsdatum des Features wird an die technische Kontaktadresse der Mandaten gesendet.

Hinweis

Nach der Aktivierung der Resilienz bei doppelten Attributen kann diese nicht mehr deaktiviert werden.

Durch Herunterladen der neuesten Version des PowerShell-Moduls von Azure Active Directory und Ausführen der folgenden Befehle kann geprüft werden, ob das Feature für Ihren Mandanten aktiviert ist:

Get-MsolDirSyncFeatures -Feature DuplicateUPNResiliency

Get-MsolDirSyncFeatures -Feature DuplicateProxyAddressResiliency

Hinweis

Die Funktion für Resilienz bei doppelten Attributen kann vor der Aktivierung für den Mandanten nicht mehr proaktiv mithilfe des Cmdlets „Set-MsolDirSyncFeature“ aktiviert werden. Damit Sie die Funktion testen können, müssen Sie einen neuen Microsoft Entra-Mandanten erstellen.

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.

Ermitteln von Objekten mit DirSyncProvisioningErrors

Objekte mit Fehlern aufgrund von Konflikten mit doppelten Eigenschaften können derzeit auf zwei Arten ermittelt werden: über Azure Active Directory PowerShell und über das Microsoft 365 Admin Center. Es ist geplant, dieses Feature im Laufe der Zeit um weitere Portale zu erweitern.

Azure Active Directory PowerShell

Für die PowerShell-Cmdlets in diesem Thema gilt Folgendes:

  • Bei allen der folgenden Cmdlets muss die Groß-/Kleinschreibung beachtet werden.
  • –ErrorCategory PropertyConflict muss immer eingeschlossen werden. Derzeit sind keine anderen Arten von ErrorCategoryvorhanden, dies kann sich jedoch in Zukunft ändern.

Führen Sie zunächst Connect-MsolService aus, und geben Sie Anmeldeinformationen für einen Mandantenadministrator ein.

Verwenden Sie anschließend die folgenden Cmdlets und Operatoren, um Fehler auf verschiedene Arten anzuzeigen:

  1. Alle anzeigen
  2. Nach Eigenschaftstyp
  3. Nach Konfliktwert
  4. Mithilfe einer Zeichenfolgensuche
  5. Sortiert
  6. Eingeschränkte Menge oder alle

Alle anzeigen

Führen Sie nach dem Herstellen der Verbindung den folgenden Befehl aus, um eine allgemeine Liste mit Attributbereitstellungsfehlern für den Mandanten anzuzeigen:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict

Das Ergebnis sieht beispielsweise wie folgt aus:
Get-MsolDirSyncProvisioningError

Nach Eigenschaftstyp

Wenn Sie Fehler nach Eigenschaftstyp anzeigen möchten, fügen Sie das Flag -PropertyName mit dem Argument UserPrincipalName oder ProxyAddresses hinzu:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName UserPrincipalName

oder

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName ProxyAddresses

Nach Konfliktwert

Wenn Sie Fehler für eine bestimmte Eigenschaft anzeigen möchten, fügen Sie das Flag -PropertyValue hinzu (in diesem Fall muss auch -PropertyName verwendet werden):

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyValue User@domain.com -PropertyName UserPrincipalName

Verwenden Sie für eine allgemeine Zeichenfolgensuche das Flag -SearchString . Dieses Flag kann unabhängig von den weiter oben genannten Flags verwendet werden – mit Ausnahme von -ErrorCategory PropertyConflict, das immer erforderlich ist:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -SearchString User

Eingeschränkte Menge oder alle

  1. Mit MaxResults <Int> kann die Abfrage auf eine bestimmte Anzahl von Werten beschränkt werden.
  2. All sicherstellen, dass alle Ergebnisse abgerufen werden.

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -MaxResults 5

Microsoft 365 Admin Center

Sie können Fehler bei der Verzeichnissynchronisierung im Microsoft 365 Admin Center anzeigen. Der Bericht im Microsoft 365 Admin Center enthält nur Objekte vom Typ User, für die diese Fehler vorliegen. Er enthält keine Informationen zu Konflikten zwischen Objekten des Typs Gruppen und Kontakte.

Screenshot: Fehler bei der Verzeichnissynchronisierung im Microsoft 365 Admin Center

Eine Anleitung zum Anzeigen von Fehlern bei der Verzeichnissynchronisierung im Microsoft 365 Admin Center finden Sie unter Ermitteln von Fehlern der Verzeichnissynchronisierung in Microsoft 365.

Fehlerbericht für die Identitätssynchronisierung

Wenn dieses neue Verhalten bei einem Objekt mit einem Konflikt aufgrund eines doppelten Attributs angewendet wird, enthält die standardmäßige Fehlerberichts-E-Mail für die Identitätssynchronisierung, die an den Kontakt für technische Benachrichtigungen des Mandanten gesendet wird, eine entsprechende Benachrichtigung. Bei diesem Verhalten gibt es jedoch eine wichtige Änderung. In der Vergangenheit wurden Informationen zu einem Konflikt aufgrund eines doppelten Attributs in jeden nachfolgenden Fehlerbericht einbezogen, bis der Konflikt behoben wurde. Bei Verwendung des neuen Verhaltens erscheint die Fehlerbenachrichtigung für einen bestimmten Konflikt lediglich einmal (zu dem Zeitpunkt, zu dem das in Konflikt stehende Attribut isoliert wird).

Hier sehen Sie ein Beispiel für eine E-Mail-Benachrichtigung bei einem ProxyAddress-Konflikt:
Screenshot: Beispiel für eine E-Mail-Benachrichtigung bei einem ProxyAddress-Konflikt

Beheben von Konflikten

Zur Behandlung von Fehlern aufgrund von doppelten Attributen werden die gleichen Strategien und Vorgehensweisen verwendet wie zuvor. Der einzige Unterschied besteht darin, dass für den Mandanten automatisch dienstseitig die Timer-Aufgabe ausgeführt wird, um dem entsprechenden Objekt nach Behebung des Konflikts das betreffende Attribut hinzuzufügen.

Der folgende Artikel beschäftigt sich mit verschiedenen Strategien zur Problembehandlung und -behebung: Duplizierte oder ungültige Attribute verhindern die Verzeichnissynchronisierung in Office 365.

Bekannte Probleme

Keines dieser bekannten Probleme führt zu Datenverlusten oder Dienstbeeinträchtigungen. Einige sind kosmetischer Natur, andere führen dazu, dass das in Konflikt stehende Attribut nicht isoliert und stattdessen ein Standardfehler wievor der Resilienzbei doppelten Attributen ausgelöst wird, und wieder ein anderer bewirkt, dass bei bestimmten Fehlern zusätzliche manuelle Korrekturen erforderlich sind.

Grundverhalten:

  1. Bei Objekten mit einer bestimmten Attributkonfiguration treten immer wieder Exportfehler auf, obwohl doppelte Attribute eigentlich isoliert werden sollten.
    Beispiel:

    a. In Active Directory wird ein neuer Benutzer mit dem UPN-Wert Joe@contoso.com und dem ProxyAddress-Wert smtp:Joe@contoso.com erstellt

    b. Die Eigenschaften dieses Objekts stehen mit einer vorhandenen Gruppe mit dem ProxyAddress-Wert SMTP:Joe@contoso.comin Konflikt.

    c. Beim Exportieren werden die in Konflikt stehenden Attribute nicht isoliert. Stattdessen wird ein Fehler vom Typ ProxyAddress-Konflikt ausgegeben. Der Vorgang wird wie vor der Aktivierung des Resilienzfeatures in jedem nachfolgenden Synchronisierungszyklus wiederholt.

  2. Wenn zwei Gruppen lokal mit der gleichen SMTP-Adresse erstellt werden, kann eine davon beim ersten Versuch nicht erfolgreich bereitgestellt werden, und es tritt ein Standardfehler für doppelte Werte vom Typ ProxyAddress auf. Der doppelte Wert wird beim nächsten Synchronisierungszyklus aber richtig isoliert.

Bericht des Office-Portals:

  1. Die ausführliche Fehlermeldung für zwei Objekte in einem UPN-Konfliktsatz ist identisch. Sie gibt an, dass bei beiden der UPN-Wert geändert/isoliert wurde, obwohl sich eigentlich nur die Daten eines der Objekte geändert haben.

  2. Die ausführliche Fehlermeldung für einen UPN-Konflikt enthält den falschen displayName-Wert für einen Benutzer, dessen UPN geändert/isoliert wurde. Beispiel:

    a. Zunächst wird Benutzer A mit UPN = User@contoso.com synchronisiert.

    b. Anschließend wird versucht, Benutzer B mit UPN = User@contoso.com zu synchronisieren.

    c. Der UPN-Wert von Benutzer B wird in User1234@contoso.onmicrosoft.comgeändert, und User@contoso.com wird DirSyncProvisioningErrors hinzugefügt.

    d. Die Fehlermeldung für Benutzer B sollte angeben, dass Benutzer A bereits den UPN-Wert User@contoso.com besitzt, aber den displayName-Wert von Benutzer B anzeigt.

Fehlerbericht für die Identitätssynchronisierung:

Der Link zur Anleitung zum Beheben dieses Problems ist nicht korrekt:
Aktive Benutzer

Er sollte auf https://aka.ms/duplicateattributeresiliency verweisen.

Siehe auch