Diagnostiquer et corriger les erreurs de synchronisation d’attribut en double
Vue d’ensemble
Allant plus loin dans la mise en évidence des erreurs de synchronisation, Microsoft Entra Connect Health permet la correction en libre-service des erreurs. Il résout les erreurs de synchronisation d’attribut en double et corrige les objets qui sont orphelins à partir de Microsoft Entra ID. La fonctionnalité de diagnostic présente les avantages suivants :
- Elle fournit une procédure de diagnostic qui limite les erreurs de synchronisation d’attribut en double. Elle fournit également des correctifs spécifiques.
- Elle applique un correctif pour des scénarios dédiés à partir de Microsoft Entra ID pour résoudre l’erreur en une seule étape.
- Aucune mise à niveau ou configuration n’est nécessaire pour activer cette fonctionnalité. Pour plus d’informations sur Microsoft Entra ID, consultez Synchronisation des identités et résilience d’attribut en double.
Problèmes
Un scénario courant
Quand des erreurs de synchronisation de QuarantinedAttributeValueMustBeUnique et de AttributeValueMustBeUnique se produisent, il est courant de voir un conflit deUserPrincipalName ou de Proxy Addresses dans Microsoft Entra ID. Vous pouvez résoudre les erreurs de synchronisation en mettant à jour l’objet source en conflit à partir du côté local. L’erreur de synchronisation sera résolue après la synchronisation suivante. Par exemple, cette image indique que deux utilisateurs rencontrent un conflit de leur nom d’utilisateur principal (UserPrincipalName). Les deux sont Joe.J@contoso.com. Les objets en conflit sont mis en quarantaine dans Microsoft Entra ID.
Scénario d’objet orphelin
Parfois, vous pouvez trouver qu’un utilisateur existant perd l’ancre source. La suppression de l’objet source s’est produite dans Active Directory local. Mais le changement de signal de suppression n’a jamais été synchronisé avec Microsoft Entra ID. Cette perte se produit pour des raisons comme des problèmes de moteur de synchronisation ou une migration de domaine. Quand le même objet est restauré ou recréé, un utilisateur existant doit logiquement être l’utilisateur à synchroniser à partir de l’ancre source.
Quand un utilisateur existant est un objet cloud uniquement, vous pouvez également voir l’utilisateur en conflit synchronisé avec Microsoft Entra ID. L’utilisateur ne peut pas être mis en correspondance avec l’objet existant lors de la synchronisation. Il n’existe aucun moyen direct pour remapper l’ancre source. En savoir plus sur la base de connaissances existante.
À titre d’exemple, l’objet existant dans Microsoft Entra ID conserve la licence de Joe. Un objet qui vient d’être synchronisé avec une ancre source différente se présente dans un état d’attribut en double dans Microsoft Entra ID. Les changements apportés à Joe sur Active Directory local ne sont pas appliqués à l’utilisateur d’origine de Joe (objet existant) dans Microsoft Entra ID.
Étapes de diagnostic et de dépannage dans Connect Health
La fonctionnalité de diagnostic prend en charge les objets utilisateur avec les attributs dupliqués suivants :
Nom de l’attribut | Types d’erreur de synchronisation |
---|---|
UserPrincipalName | QuarantinedAttributeValueMustBeUnique ou AttributeValueMustBeUnique |
ProxyAddresses | QuarantinedAttributeValueMustBeUnique ou AttributeValueMustBeUnique |
SipProxyAddress | AttributeValueMustBeUnique |
OnPremiseSecurityIdentifier | AttributeValueMustBeUnique |
Important
Pour accéder à cette fonctionnalité, vous devez disposer d’au moins de l’autorisation Contributeur d’Azure RBAC.
Suivez les étapes à partir du centre d’administration Microsoft Entra pour affiner les détails des erreurs de synchronisation et fournir des solutions plus spécifiques :
À partir du centre d’administration Microsoft Entra, effectuez quelques étapes pour identifier des scénarios de réparation spécifiques :
- Vérifiez la colonne État de diagnostic. L’état indique s’il existe un moyen de corriger une erreur de synchronisation directement à partir de Microsoft Entra ID. En d’autres termes, il existe un flux de résolution des problèmes pour cibler l’erreur et essayer de la corriger.
Statut | Qu’est-ce que cela signifie ? |
---|---|
Non commencé | Vous n’avez pas visité ce processus de diagnostic. Selon le résultat du diagnostic, il existe un éventuel moyen de résoudre l’erreur de synchronisation directement à partir du portail. |
Correction manuelle requise | L’erreur ne correspond pas aux critères des correctifs disponibles dans le portail. Soit les types d’objets en conflit ne sont pas des utilisateurs, soit vous avez déjà parcouru les étapes de diagnostic et aucune résolution n’était disponible à partir du portail. Dans ce dernier cas, un correctif à partir du côté local est toujours l’une des solutions. En savoir plus sur les correctifs locaux. |
En attente de synchronisation | Un correctif a été appliqué. Le portail attend le prochain cycle de synchronisation pour effacer l’erreur. |
Important
La colonne d’état de diagnostic est réinitialisée après chaque cycle de synchronisation.
Sélectionnez le bouton Diagnostiquer situé sous les détails de l’erreur. Vous allez répondre à quelques questions et identifier les détails de l’erreur de synchronisation. Les réponses aux questions permettent d’identifier un cas d’objet orphelin.
Si un bouton Fermer s’affiche à la fin des diagnostics, aucun correctif rapide n’est disponible à partir du portail, d’après les réponses que vous avez données. Reportez-vous à la solution décrite dans la dernière étape. Les correctifs disponibles en local sont toujours les solutions. Sélectionnez le bouton Fermer. L’état de l’erreur de synchronisation actuelle passe à Correction manuelle requise. L’état reste inchangé pendant le cycle de synchronisation en cours.
Une fois qu’un cas d’objet orphelin est identifié, vous pouvez résoudre les erreurs de synchronisation d’attribut en double directement à partir du portail. Pour déclencher le processus, sélectionnez le bouton Appliquer le correctif. L’état de l’erreur de synchronisation en cours est mis à jour pour devenir En attente de synchronisation.
Après le cycle de synchronisation suivant, l’erreur doit être supprimée de la liste.
Comment répondre aux questions de diagnostic
Est-ce que l’utilisateur existe dans votre Active Directory local ?
Cette question tente d’identifier l’objet source de l’utilisateur existant à partir d’Active Directory local.
- Vérifiez si Microsoft Entra ID contient un objet portant le UserPrincipalName indiqué. Si ce n’est pas le cas, répondez Non.
- Si c’est le cas, vérifiez si l’objet est encore concerné par la synchronisation.
- Recherchez dans l’espace connecteur Microsoft Entra à l’aide du nom de domaine.
- Si l’objet est trouvé avec l’état Ajout en attente, répondez Non. Microsoft Entra Connect ne peut pas connecter l’objet à l’objet Microsoft Entra droit.
- Si l’objet est introuvable, répondez Oui.
Dans ces exemples, la question tente d’identifier si Joe Jackson existe toujours dans Active Directory local. Pour le scénario courant, les deux utilisateurs Joe Johnson et Joe Jackson sont présents dans Active Directory local. Les objets mis en quarantaine sont deux utilisateurs différents.
Pour le scénario d’objet orphelin, seul un utilisateur unique Joe Johnson est présent dans Active Directory local :
Ces deux comptes appartiennent-ils au même utilisateur ?
Cette question vérifie si un utilisateur entrant en conflit et l’objet utilisateur existant dans Microsoft Entra ID appartiennent au même utilisateur.
- L’objet en conflit vient d’être synchronisé avec Microsoft Entra ID. Comparez les attributs des objets :
- Nom d’affichage
- UserPrincipalName ou SignInName
- ObjectID
- Si Microsoft Entra ID ne parvient pas à les comparer, vérifiez si Active Directory contient des objets ayant les valeurs UserPrincipalNames indiquées. Répondez Non si vous trouvez les deux.
Dans l’exemple suivant, les deux objets appartiennent au même utilisateur (Joe Johnson).
Que se passe-t-il une fois le correctif appliqué dans le scénario d’objet orphelin ?
En fonction des réponses aux questions précédentes, le bouton Appliquer un correctif s’affiche quand un correctif est disponible à partir de Microsoft Entra ID. Dans ce cas, l’objet local est synchronisé avec un objet Microsoft Entra inattendu. Les deux objets sont mappés à l’aide de l’ancre source. Le changement Appliquer le correctif suit les étapes suivantes ou des étapes similaires :
- Met à jour l’ancre source sur l’objet approprié dans Microsoft Entra ID.
- Supprime l’objet en conflit dans Microsoft Entra ID, s’il est présent.
Important
Le changement Appliquer le correctif s’applique uniquement aux cas d’objet orphelin.
Une fois les étapes précédentes effectuées, l’utilisateur peut accéder à la ressource d’origine, qui est un lien vers un objet existant. La valeur État de diagnostic dans la liste est mise à jour pour devenir En attente de synchronisation. L’erreur de synchronisation sera résolue après la synchronisation suivante. Connect Health n’affiche plus l’erreur de synchronisation résolue dans la liste.
Échecs et messages d’erreur
Un utilisateur avec un attribut en conflit est supprimé temporairement de Microsoft Entra ID. Vérifiez que l’utilisateur est définitivement supprimé avant de réessayer.
Un utilisateur avec un attribut en conflit dans Microsoft Entra ID doit être effacé avant d’appliquer le correctif. Découvrez comment supprimer définitivement un utilisateur dans Microsoft Entra ID avant de réappliquer le correctif. Par ailleurs, l’utilisateur est automatiquement supprimé définitivement 30 jours après avoir été supprimé temporairement.
La mise à jour de l'ancre source vers un utilisateur basé sur le cloud n'est pas prise en charge dans votre client.
Un utilisateur basé sur le cloud dans Microsoft Entra ID ne doit pas avoir d’ancre source. Dans ce cas, la mise à jour de l’ancre source n’est pas prise en charge. Une correction manuelle doit être effectuée localement.
Le processus de correction n’a pas pu mettre à jour les valeurs. Les paramètres spécifiques tels que UserWriteback dans Microsoft Entra Connect ne sont pas pris en charge. Désactivez-les dans les paramètres.
Questions fréquentes (FAQ)
Q. Que se passe-t-il en cas d’échec de l’application du correctif ?
A. Si l’exécution échoue, il est possible que Microsoft Entra Connect fasse l’objet d’une erreur d’exportation. Actualisez la page du portail et recommencez après la synchronisation suivante. Le cycle de synchronisation par défaut est de 30 minutes.
Q. Que se passe-t-il si l’objet existant est l’objet à supprimer ?
R. Si l’objet existant doit être supprimé, le processus n’implique pas de changement de l’ancre source. En général, vous pouvez résoudre ce problème à partir d’Active Directory local.
Q. De quelle autorisation un utilisateur a-t-il besoin pour appliquer le correctif ?
A.Le rôle Contributeur d’Azure RBAC est autorisé à accéder au processus de diagnostic et de résolution des problèmes. Il s’agit de l’autorisation minimale dont vous avez besoin.
Q : Dois-je configurer Microsoft Entra Connect ou mettre à jour l’agent Microsoft Entra Connect Health pour cette fonctionnalité ?
A. Non, le processus de diagnostic est une fonctionnalité entièrement basée sur le cloud.
Q. Si l’objet existant est supprimé de manière réversible, est-ce que le processus de diagnostic rendra à l’objet son état actif ?
R. Non, le correctif ne mettra pas à jour d’autres attributs d’objet qu’Ancre source.