Partager via


Comprendre les erreurs lors de la synchronisation Microsoft Entra

Des erreurs peuvent se produire quand les données d’identité sont synchronisées à partir de Windows Server Active Directory vers Microsoft Entra ID. Cet article fournit une vue d’ensemble des différents types d’erreurs de synchronisation, des scénarios susceptibles de provoquer ces erreurs, ainsi que des méthodes possibles de résolution des erreurs. Cet article inclut les types d’erreur courants. Il peut ne pas couvrir l’ensemble des erreurs possibles.

Cet article suppose que vous êtes familiarisé avec les principes de conception de Microsoft Entra ID et Microsoft Entra Connect.

Important

Cet article tente d’aborder les erreurs de synchronisation les plus courantes. Malheureusement, il n’est pas possible de couvrir tous les scénarios dans un seul document. Pour plus d’informations, notamment sur les étapes de dépannage détaillées, consultez Résolution des problèmes de bout en bout des objets et attributs Microsoft Entra Connect et la section Configuration et synchronisation de l’utilisateur dans la documentation sur la résolution des problèmes de Microsoft Entra.

Avec la dernière version de Microsoft Entra Connect (août 2016 ou version ultérieure), un rapport d’erreurs de synchronisation est disponible dans le centre d’administration Microsoft Entra dans le cadre de Microsoft Entra Connect Health pour synchronisation.

À partir du 1er septembre 2016, la résilience d’attribut dupliqué Microsoft Entra ID est activée par défaut pour tous les nouveaux locataires Microsoft Entra. Cette fonctionnalité est activée automatiquement pour les locataires existants.

Microsoft Entra Connect effectue 3 types d’opérations à partir des répertoires dont il assure la synchronisation : importation, exportation et synchronisation. Des erreurs peuvent se produire dans les trois opérations. Cet article se concentre principalement sur les erreurs lors de l’exportation vers Microsoft Entra ID.

Erreurs lors de l’exportation vers Microsoft Entra ID

La section suivante décrit les différents types d’erreurs de synchronisation pouvant survenir lors de l’opération d’exportation vers Microsoft Entra ID avec le connecteur Microsoft Entra. Vous pouvez identifier ce connecteur au format de nom contoso.onmicrosoft.com. Les erreurs lors de l’exportation vers Microsoft Entra ID indiquent qu’une opération Ajouter, Mettre à jour ou Supprimer tentée par Microsoft Entra Connect (moteur de synchronisation) sur Microsoft Entra ID a échoué.

Diagramme qui montre la vue d’ensemble des erreurs d’exportation.

Erreurs d’incohérence de données

Cette section aborde les erreurs d’incompatibilité des données.

InvalidHardMatch

Description

Durant la synchronisation, une erreur InvalidHardMatch est générée quand une tentative de mise en correspondance exacte a lieu entre des objets présents dans Microsoft Entra ID et un nouvel objet entrant partageant la même valeur sourceAnchor, mais que la fonctionnalité BlockCloudObjectTakeoverThroughHardMatchEnabled est activée sur le tenant (locataire).

Exemples de scénarios pour une erreur InvalidHardMatch

  • DirSync est réactivé sur le tenant, et les objets ayant la même valeur sourceAnchor sont resynchronisés. Toutefois, la fonctionnalité BlockCloudObjectTakeoverThroughHardMatchEnabled est activée et empêche la correspondance exacte d’avoir lieu.
  • L’utilisateur a été exclu de l’étendue de synchronisation, et restauré à partir de la corbeille Microsoft Entra ID. Plus tard, l’utilisateur est rajouté à l’étendue de synchronisation, et tente de prendre le contrôle de l’objet déjà présent dans Microsoft Entra ID en fonction de la même valeur sourceAnchor. Toutefois, la fonctionnalité BlockCloudObjectTakeoverThroughHardMatchEnabled est activée, et empêche la correspondance exacte d’avoir lieu.

Exemple de scénario

  1. Bob Smith est un utilisateur synchronisé dans Microsoft Entra ID à partir d’un Active Directory local de contoso.com.
  2. Par défaut, la valeur SourceAnchor "abcdefghijklmnopqrstuv==" est calculée par Microsoft Entra Connect à l’aide de l’attribut MsDs-ConsistencyGUID (ou ObjectGUID selon la configuration) de Bob Smith provenant de l’Active Directory local. Cette valeur d’attribut est immutableId pour Bob Smith dans Microsoft Entra ID.
  3. L’administrateur supprime Bob Smith de l’étendue de synchronisation, et Microsoft Entra Connect exporte une suppression de l’objet.
  4. L’objet de Bob Smith est soumis à une suppression réversible dans Microsoft Entra ID, et son attribut DirSyncEnabled prend la valeur False. Toutefois, ce processus ne convertit pas l’objet en objet géré dans le cloud. Il est toujours considéré en tant qu’objet synchronisé à partir de l’Active Directory local. La valeur de DirSyncEnabled est False pour indiquer qu’elle ne fait pas partie de l’étendue de synchronisation, et qu’elle est disponible pour une nouvelle mise en correspondance.
  5. L’administrateur rajoute Bob Smith à l’étendue de synchronisation, et Microsoft Entra Connect resynchronise l’objet.
  6. En règle générale, une correspondance exacte prend le contrôle de l’objet présent dans Microsoft Entra ID en fonction du même SourceAnchor, et réaffecte la valeur « True » à l’attribut DirSyncEnabled. Toutefois, quand BlockCloudObjectTakeoverThroughHardMatchEnabled est activé, cette opération n’est pas autorisée, et une exception InvalidHardMatch est levée.

Corriger l’erreur InvalidHardMatch

Nous conseillons aux clients d’activer BlockCloudObjectTakeoverThroughHardMatchEnabled, sauf s’ils en ont besoin pour prendre le contrôle de comptes existants dans Microsoft Entra ID.

Si vous devez résoudre une erreur InvalidHardtMatch, et faire correspondre le compte correctement, vous pouvez réactiver la correspondance exacte, comme indiqué dans Correspondance exacte et correspondance souple.

InvalidSoftMatch

Description

  • L’erreur InvalidSoftMatch se produit quand la correspondance exacte ne trouve aucun objet correspondant et que la correspondance souple trouve un objet correspondant, mais que cet objet a une valeur immutableId différente du sourceAnchor de l’objet entrant. Cette différence suggère que l’objet correspondant a été synchronisé avec un autre objet de l’Active Directory local.

Pour que la correspondance souple fonctionne, l’objet mis en correspondance ne doit avoir aucune valeur pour l’attribut immutableId. L’opération entraîne une erreur de synchronisation InvalidSoftMatch quand l’objet dont l’attribut immutableId contient une valeur, ne répond pas aux critères de correspondance exacte mais satisfait aux critères de correspondance souple.

Le schéma Microsoft Entra n’autorise pas à donner à deux objets ou plus la même valeur pour les attributs suivants. Cette liste n’est pas exhaustive :

  • proxyAddresses
  • userPrincipalName
  • onPremisesSecurityIdentifier
  • objectId
  • ImmutableID

La résilience d’attribut dupliqué Microsoft Entra](how-to-connect-syncservice-duplicate-attribute-resiliency.md) est également déployée en tant que comportement par défaut de Microsoft Entra ID. Cette fonctionnalité réduit le nombre d’erreurs de synchronisation rencontrées par Microsoft Entra Connect et d’autres clients de synchronisation. Elle rend le répertoire Microsoft Entra plus résilient dans la gestion des attributs proxyAddresses et userPrincipalName dupliqués présents dans les environnements Active Directory locaux.

Cette fonctionnalité ne corrige pas les erreurs de duplication. Il reste donc nécessaire de corriger les données. Toutefois, elle permet le provisionnement de nouveaux objets dont le provisionnement serait sinon bloqué en raison de valeurs dupliquées dans Microsoft Entra ID. Cette fonctionnalité réduit également le nombre d’erreurs de synchronisation retournées au client de synchronisation.

Remarque

Si la résilience d’attribut dupliqué Microsoft Entra est activée pour votre locataire, vous ne verrez pas les erreurs de synchronisation InvalidSoftMatch affichées lors du provisionnement de nouveaux objets.

Exemples de scénarios pour une erreur InvalidSoftMatch

  • Deux objets ou plus ayant la même valeur d’attribut proxyAddresses existent dans Active Directory local. Un seul est provisionné dans Microsoft Entra ID.
  • Deux objets ou plus ayant la même valeur d’attribut userPrincipalName existent dans Active Directory local. Un seul est provisionné dans Microsoft Entra ID.
  • Un objet a été ajouté dans Active Directory local avec la même valeur d’attribut proxyAddresses qu’un objet existant dans Microsoft Entra ID. L’objet ajouté en local n’est pas provisionné dans Microsoft Entra ID.
  • Un objet a été ajouté dans l’Active Directory local avec la même valeur d’attribut userPrincipalName qu’un compte dans Microsoft Entra ID. L’objet n’est pas provisionné dans Microsoft Entra ID.
  • Un compte synchronisé a été déplacé de la forêt A vers la forêt B. Microsoft Entra Connect (moteur de synchronisation) utilisait l’attribut objectGUID pour calculer l’attribut sourceAnchor. Après la migration d’une forêt à l’autre, la valeur de l’attribut sourceAnchor est différente. Le nouvel objet de la forêt B ne parvient pas à se synchroniser avec l’objet existant dans Microsoft Entra ID.
  • Un objet synchronisé a été supprimé accidentellement à partir d’un Active Directory local et un nouvel objet a été créé dans Active Directory pour la même entité (par exemple un utilisateur) sans supprimer le compte dans Microsoft Entra ID. Le nouveau compte ne parvient pas à se synchroniser avec l’objet Microsoft Entra existant.
  • Microsoft Entra Connect a été désinstallé et réinstallé. Pendant la réinstallation, un attribut différent a été choisi comme attribut sourceAnchor. Tous les objets synchronisés arrêtent de se synchroniser en cas d’erreur InvalidSoftMatch.

Exemple de scénario

  1. Bob Smith est un utilisateur synchronisé dans Microsoft Entra ID à partir d’un Active Directory local de contoso.com.
  2. Le nom d’utilisateur principal de Bob Smith est défini sur bobs@contoso.com.
  3. L’attribut sourceAnchor de "abcdefghijklmnopqrstuv==" est calculé par Microsoft Entra Connect à l’aide de l’attribut objectGUID de Bob Smith à partir de l’Active Directory local. Cet attribut est l’attribut immutableId pour Bob Smith dans Microsoft Entra ID.
  4. Bob dispose des valeurs suivantes pour l’attribut proxyAddresses :
    • smtp : bobs@contoso.com
    • smtp : bob.smith@contoso.com
    • smtp : bob@contoso.com
  5. Un nouvel utilisateur, Bob Taylor, est ajouté à l’Active Directory local.
  6. Le nom d’utilisateur principal de Bob Taylor est défini sur bobt@contoso.com.
  7. L’attribut sourceAnchor de "abcdefghijkl0123456789==" est calculé par Microsoft Entra Connect à l’aide de l’attribut objectGUID de Bob Taylor à partir de l’Active Directory local.
  8. Bob Taylor dispose des valeurs suivantes pour l’attribut proxyAddresses :
    • smtp : bobt@contoso.com
    • smtp : bob.taylor@contoso.com
    • smtp : bob@contoso.com
  9. Lors de la synchronisation, Microsoft Entra Connect reconnaît l’ajout de Bob Taylor dans l’Active Directory local et demande àMicrosoft Entra ID d’effectuer la même modification.
  10. Microsoft Entra effectue d’abord une correspondance exacte. Autrement dit, il recherche tout objet dont l’attribut immutableId est égal à "abcdefghijkl0123456789==". La correspondance exacte échoue, car aucun autre objet n’existe dans Microsoft Entra ID avec cet attribut immutableId.
  11. Microsoft Entra effectue ensuite une correspondance souple pour trouver Bob Taylor. Autrement dit, il vérifie s’il existe des objets avec des attributs proxyAddresses égaux aux trois valeurs, notamment smtp : bob@contoso.com.
  12. Microsoft Entra ID trouve l’objet de Bob Smith correspondant aux critères de correspondance souple. Mais cet objet a la valeur immutableId = "abcdefghijklmnopqrstuv==", qui indique que cet objet a été synchronisé à partir d’un autre objet à partir d’un Active Directory local. Microsoft Entra ID ne peut pas effectuer de correspondance souple pour ces objets, c’est pourquoi une erreur de synchronisation InvalidSoftMatch est levée.

Corriger l’erreur InvalidSoftMatch

La raison la plus courante de l’erreur InvalidSoftMatch est que deux objets avec des valeurs sourceAnchor (immutableId) différentes ont la même valeur pour les attributs proxyAddresses ou userPrincipalName qui sont utilisés pendant le processus de correspondance souple sur Microsoft Entra ID. Pour corriger l’erreur InvalidSoftMatch :

  1. Identifiez les valeurs d’attributs dupliqués proxyAddresses, userPrincipalName ou les autres valeurs d’attributs causant l’erreur. Identifiez également les deux objets ou plus impliqués dans le conflit. Le rapport généré par Microsoft Entra Connect Health pour synchronisation peut vous aider à identifier les deux objets.
  2. Identifiez l’objet qui doit conserver la valeur dupliquée, et celui qui ne doit pas la conserver.
  3. Supprimez la valeur dupliquée de l’objet qui ne doit pas avoir cette valeur. Effectuez la modification dans le répertoire d’où l’objet provient. Dans certains cas, vous devez peut-être supprimer un des objets en conflit.
  4. Si vous avez effectué la modification dans l’Active Directory local, laissez Microsoft Entra Connect synchroniser la modification.

Les rapports d’erreurs de synchronisation dans Microsoft Entra Connect Health pour la synchronisation sont mis à jour toutes les 30 minutes et incluent les erreurs de la dernière tentative de synchronisation.

Remarque

L’attribut ImmutableId, par définition, ne doit pas changer au cours de la durée de vie de l’objet. Mais Microsoft Entra Connect n’a peut-être pas été configuré selon les scénarios répertoriés dans la liste précédente. Dans ce cas, Microsoft Entra Connect peut calculer une valeur différente de l’attribut sourceAnchor pour l’objet Active Directory représentant la même entité (même utilisateur, groupe ou contact) qui a un objet Microsoft Entra existant que vous souhaitez continuer à utiliser.

Article associé

Les attributs en double ou non valides empêchent la synchronisation d’annuaires dans Microsoft 365

ObjectTypeMismatch

Description

Quand Microsoft Entra ID tente d’effectuer une correspondance souple pour deux objets, il est possible que deux objets qui présentent des valeurs de « type d’objet » différentes, comme utilisateur, groupe ou contact, aient les mêmes valeurs pour les attributs servant à effectuer la correspondance souple. Comme la duplication de ces attributs n’est pas autorisée dans Microsoft Entra ID, l’opération peut entraîner une erreur de synchronisation ObjectTypeMismatch.

Exemple de scénario pour l’erreur ObjectTypeMismatch

Un groupe de sécurité à extension messagerie est créé dans Microsoft 365. L’administrateur ajoute un nouvel utilisateur ou un nouveau contact à l’Active Directory local qui n’est pas encore synchronisé à Microsoft Entra ID avec la même valeur pour l’attribut proxyAddresses que pour le groupe Microsoft 365.

Exemple de scénario

  1. Un administrateur crée un nouveau groupe de sécurité à extension messagerie dans Microsoft 365 pour le service des impôts et fournit une adresse e-mail en tant que tax@contoso.com. Une valeur d’attribut proxyAddresses de smtp: tax@contoso.com est attribuée à ce groupe.
  2. Un nouvel utilisateur rejoint Contoso.com et un compte est créé pour l’utilisateur local avec l’attribut proxyAddresses en tant que smtp: tax@contoso.com.
  3. Quand Microsoft Entra Connect synchronise le nouveau compte d’utilisateur, il obtient l’erreur ObjectTypeMismatch.

Corriger l’erreur ObjectTypeMismatch

La raison la plus courante pour l’erreur ObjectTypeMismatch est que deux objets de types différents, comme utilisateur, groupe ou contact, ont la même valeur pour l’attribut proxyAddresses. Pour corriger l’erreur ObjectTypeMismatch :

  1. Identifiez les valeurs dupliquées proxyAddresses (ou d’autres attributs) qui entraînent l’erreur. Identifiez également les deux objets ou plus impliqués dans le conflit. Le rapport généré par Microsoft Entra Connect Health pour synchronisation peut vous aider à identifier les deux objets.
  2. Identifiez l’objet qui doit conserver la valeur dupliquée, et celui qui ne doit pas la conserver.
  3. Supprimez la valeur dupliquée de l’objet qui ne doit pas avoir cette valeur. Vous devez effectuer la modification dans le répertoire d’où provient l’objet. Dans certains cas, vous devez peut-être supprimer un des objets en conflit.
  4. Si vous avez apporté la modification dans l’Active Directory local, laissez Microsoft Entra Connect synchroniser la modification. Le rapport d’erreurs de synchronisation dans Microsoft Entra Connect Health pour la synchronisation est mis à jour toutes les 30 minutes. Le rapport inclut les erreurs de la dernière tentative de synchronisation.

Attributs en double

Cette section aborde les erreurs d’attributs dupliqués.

AttributeValueMustBeUnique

Description

Le schéma Microsoft Entra n’autorise pas à donner à deux objets ou plus la même valeur pour les attributs suivants. Chaque objet dans Microsoft Entra ID est obligé d’avoir une valeur unique de ces attributs sur une instance donnée.

  • mail
  • proxyAddresses
  • signInName
  • userPrincipalName

Si Microsoft Entra Connect tente d’ajouter un nouvel objet ou de mettre à jour un objet existant avec une valeur qui est déjà attribuée à un autre objet dans Microsoft Entra ID pour les attributs précédents, l’opération entraîne l’erreur de synchronisation AttributeValueMustBeUnique.

Scénario possible

Une valeur dupliquée est attribuée à un objet déjà synchronisé, ce qui crée un conflit avec un autre objet synchronisé.

Exemple de scénario

  1. Bob Smith est un utilisateur synchronisé dans Microsoft Entra ID à partir d’un Active Directory local de contoso.com.
  2. Le nom d’utilisateur principal local de Bob Smith est défini sur bobs@contoso.com.
  3. Bob dispose des valeurs suivantes pour l’attribut proxyAddresses :
    • smtp : bobs@contoso.com
    • smtp : bob.smith@contoso.com
    • smtp : bob@contoso.com
  4. Un nouvel utilisateur, Bob Taylor, est ajouté à l’Active Directory local.
  5. Le nom d’utilisateur principal de Bob Taylor est défini sur bobt@contoso.com.
  6. Bob Taylor dispose des valeurs suivantes pour l’attribut proxyAddresses :
    • smtp : bobt@contoso.com
    • smtp : bob.taylor@contoso.com
  7. L’objet de Bob Taylor est synchronisé avec Microsoft Entra avec succès.
  8. L’administrateur a décidé de mettre à jour l’attribut proxyAddresses de Bob Taylor avec la valeur suivante :
    • smtp : bob@contoso.com
  9. Microsoft Entra ID tente de mettre à jour l’objet de Bob Taylor dans Microsoft Entra ID avec la valeur précédente, mais cette opération échoue, car cette valeur proxyAddresses est déjà attribuée à Bob Smith. Le résultat est une erreur AttributeValueMustBeUnique.

Corriger l’erreur AttributeValueMustBeUnique

La raison la plus courante pour l’erreur AttributeValueMustBeUnique est que deux objets avec des attributs sourceAnchor (immutableId) différents ont la même valeur pour les attributs proxyAddresses ou userPrincipalName. Pour corriger l’erreur AttributeValueMustBeUnique :

  1. Identifiez les valeurs d’attributs dupliqués proxyAddresses, userPrincipalName ou les autres valeurs d’attributs causant l’erreur. Identifiez également les deux objets ou plus impliqués dans le conflit. Le rapport généré par Microsoft Entra Connect Health pour synchronisation peut vous aider à identifier les deux objets.
  2. Identifiez l’objet qui doit conserver la valeur dupliquée, et celui qui ne doit pas la conserver.
  3. Supprimez la valeur dupliquée de l’objet qui ne doit pas avoir cette valeur. Effectuez la modification dans le répertoire d’où l’objet provient. Dans certains cas, vous devez peut-être supprimer un des objets en conflit.
  4. Si vous avez effectué la modification dans l’Active Directory local, laissez Microsoft Entra Connect synchroniser la modification pour corriger l’erreur.

Article associé

Les attributs en double ou non valides empêchent la synchronisation d’annuaires dans Microsoft 365

Échecs de validation de données

Cette section aborde les échecs de validation des données.

IdentityDataValidationFailed

Description

Microsoft Entra ID applique diverses restrictions sur les données elles-mêmes avant d’autoriser l’écriture des données dans le répertoire. Ces restrictions permettent de garantir aux utilisateurs finaux la meilleure expérience possible quand ils utilisent des applications qui dépendent de ces données.

Scénarios

  • La valeur de l’attribut userPrincipalName comporte des caractères non valides ou non pris en charge.
  • L’attribut userPrincipalName ne respecte pas le format requis.

Le résultat des scénarios précédents est une erreur IdentityDataValidationFailed.

Corriger l’erreur IdentityDataValidationFailed

Assurez-vous que l’attribut userPrincipalName utilise des caractères pris en charge et respecte le format requis.

Article connexe

Préparation de l’approvisionnement d’utilisateurs via la synchronisation d’annuaires sur Microsoft 365

Erreurs de violation d’accès Supprimer et de violation d’accès Mot de passe

Microsoft Entra ID empêche toute mise à jour des objets cloud uniquement via Microsoft Entra Connect. Bien qu’il ne soit pas possible de mettre à jour ces objets avec Microsoft Entra Connect, vous pouvez effectuer des appels directement au back-end de Microsoft Entra pour tenter de changer les objets cloud uniquement. Dans ce cas, les erreurs suivantes peuvent être renvoyées :

  • Cette opération de synchronisation, Supprimer, n’est pas valide. Contactez le support technique (type d’erreur 114).
  • Impossible de traiter cette mise à jour, car la mise à jour des informations d’identification d’un ou plusieurs utilisateurs cloud uniquement est incluse dans la requête actuelle.
  • La suppression d’un objet cloud uniquement n’est pas prise en charge. Contacter le support technique Microsoft.
  • La demande de changement de mot de passe ne peut pas être exécutée, car elle comporte des changements apportés à un ou plusieurs objets utilisateur cloud uniquement, ce qui n’est pas pris en charge. Contacter le support technique Microsoft.

Résoudre l’erreur DeletingCloudOnlyObjectNotAllowed (type d’erreur 114)

Cette section traite des causes potentielles et des solutions liées à la résolution de l’erreur DeletingCloudOnlyObjectNotAllowed (type d’erreur 114).

Microsoft recommande aux organisations de disposer de deux comptes d’accès d’urgence, en mode cloud uniquement, attribué indéfiniment au rôle Administrateur général. Ces comptes hautement privilégiés ne sont pas attribués à des personnes spécifiques. Les comptes sont limités à des scénarios d’urgence ou « de secours » dans lesquels il est impossible d’utiliser des comptes normaux ou tous les administrateurs sont accidentellement verrouillés. Ces comptes doivent être créés, conformément aux recommandations relatives aux comptes d’accès d’urgence.

Description

Il s’agit d’un scénario où un client souhaite migrer de l’hybride vers le cloud uniquement. L’administrateur lance un appel à Microsoft Entra Connect pour tenter de sortir les utilisateurs de l’étendue, mais Microsoft Entra Connect renvoie l’erreur DeletingCloudOnlyObjectNotAllowed (ou le type d’erreur 114) : « Cette opération de synchronisation, Supprimer, n’est pas valide. Contactez le support technique. »

Cette erreur peut avoir plusieurs causes :

  • L’appel de Microsoft Entra Connect n’a pas d’UPN, de GUID nouveau ou unique, ou d’autres informations obligatoires.
  • Microsoft Entra Connect tente d’exporter des données, mais DirSyncEnabled est défini sur False.
  • Microsoft Entra Connect tente de supprimer un utilisateur ou un autre objet restauré. Cela est généralement dû au fait qu’un utilisateur ou toute autre référence d’objet a été déplacé hors de l’étendue de synchronisation, ou vers le conteneur des objets trouvés.

Scénarios possibles

Le client Microsoft Entra Connect ne parvient pas à supprimer les utilisateurs durant la migration d’un environnement hybride vers un environnement cloud uniquement, ce qui entraîne le type d’erreur 114.

Voici les raisons potentielles pour lesquelles la suppression des utilisateurs est impossible :

  • La règle créée par le client pour déplacer les utilisateurs hors de portée est basée sur l’attribut Admin.
  • Le type d’erreur 114 est renvoyé pendant l’opération de synchronisation (Azure AD Sync), entraînant un échec de suppression des utilisateurs.
  • La synchronisation échoue pour des fonctionnalités spécifiques, ce qui signifie que les utilisateurs ne sont pas supprimés de manière appropriée.

Exemple d’erreur

Exemple d’erreur d’exportation :

TimeOccurred (UTC) 2021-10-20 23:51:28
MachineId 321d15e1-4ad6-49c7-918b-40a62a5140bd
Connector Name IDEXX.onmicrosoft.com - AAD
ErrorType 114
ErrorCode 0x8023134a
ErrorLiteral This synchronization operation, Delete, is not valid. Contact Technical Support. Tracking Id: 09fb1e9b-3ff7-4163-9731-581785e347e5
ServerErrorDetail N/A
CsObjectIdentifier {aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb}
Dn CN={783456306961654236304B58786A66746377643748773D3D}

Corriger l’erreur

Pour résoudre ce problème :

  1. Identifiez la référence de l’objet du problème.
  2. Utilisez PowerShell pour effectuer une suppression réversible du compte cloud :
  3. Exécutez Start-ADSyncSyncCycle -PolicyType Delta, ce qui doit permettre l’importation correcte de la suppression du compte.
  4. Confirmez que la suppression a réussi.
  5. Restaurez l’utilisateur à partir de la Corbeille.
  6. Exécutez Start-ADSyncSyncCycle -PolicyType Delta sur le serveur pour vérifier que l’erreur ne se reproduit pas.

Avertissement

Quand un utilisateur est exclu de l’étendue de synchronisation, l’objet est soumis à une suppression réversible dans Microsoft Entra ID, et son attribut DirSyncEnabled prend la valeur False. Toutefois, ce processus ne convertit pas l’objet en objet géré dans le cloud, car il contient toujours des attributs et des valeurs synchronisés à partir de l’Active Directory local, qui ne peuvent pas être gérées dans le cloud. La valeur de DirSyncEnabled est False pour indiquer qu’elle ne fait pas partie de l’étendue de synchronisation, et qu’elle est disponible pour une nouvelle mise en correspondance.

LargeObject ou ExceededAllowedLength

Cette section aborde les erreurs LargeObject ou ExceededAllowedLength.

Description

Quand un attribut dépasse la limite de taille autorisée, la longueur maximale ou le nombre défini par le schéma Microsoft Entra, l’opération de synchronisation cause une erreur de synchronisation LargeObject ou ExceededAllowedLength. Cette erreur se produit généralement pour les attributs suivants :

  • userCertificate
  • userSMIMECertificate
  • thumbnailPhoto
  • proxyAddresses

Microsoft Entra ID n’impose pas de limites par attribut, si ce n’est une limite codée en dur de 15 certificats dans l’attribut userCertificate et jusqu’à 100 attributs pour les extensions d’annuaire avec un maximum de 250 caractères pour chaque extension d’annuaire. Il existe une limite de taille pour l’objet entier. Quand Microsoft Entra Connect tente de synchroniser un objet qui dépasse cette limite de taille d’objet, une erreur d’exportation est générée.

Tous les attributs contribuent à la taille finale de l’objet. Certains attributs ont des multiplicateurs de poids différents en raison d’une surcharge de traitement supplémentaire. On peut citer par exemple les valeurs indexées. En outre, d’autres services cloud, plans de service et licences peuvent être attribués au compte, qui consomment encore plus d’attributs et contribuent également à la taille globale de l’objet.

Il n’est pas possible de déterminer précisément le nombre d’entrées qu’un attribut peut contenir dans Microsoft Entra ID, comme par exemple le nombre d’adresses SMTP pouvant être contenues dans l’attribut proxyAddresses. La quantité dépend de la taille et des facteurs de multiplication de tous les attributs remplis dans l’objet.

Scénarios possibles

  • L’attribut userCertificate de Bob stocke trop de certificats attribués à Bob. Ces certificats peuvent inclure des certificats plus anciens, expirés. La limite matérielle est de 15 certificats. Pour plus d’informations sur la gestion des erreurs LargeObject avec l’attribut userCertificate, consultez Gérer les erreurs LargeObject provoquées par l’attribut userCertificate.
  • L’attribut userSMIMECertificate de Bob stocke un trop grand nombre de certificats affectés à Bob. Ces certificats peuvent inclure des certificats plus anciens, expirés. La limite matérielle est de 15 certificats.
  • L’attribut thumbnailPhoto de Bob défini dans Active Directory est trop volumineux pour être synchronisé dans Microsoft Entra ID.
  • Lors du remplissage automatique de l’attribut proxyAddresses dans Active Directory, trop d’attributs proxyAddresses ont été attribués à un objet.

Voici quelques exemples qui illustrent les différents poids des attributs, comme userCertificate et proxyAddresses :

  • Un utilisateur synchronisé qui n’a pas d’attributs renseignés autres que les attributs Active Directory obligatoires et une adresse e-mail peut être en mesure de synchroniser jusqu’à 332 adresses de proxy.
  • Pour un utilisateur synchronisé similaire, doté d’un attribut mailNickName et de 10 certificats utilisateur, le nombre maximal d’adresses de proxy diminue jusqu’à 329.
  • Pour un utilisateur synchronisé similaire avec 10 certificats utilisateur et 4 abonnements attribués par exemple (avec tous les plans de service activés), le nombre maximal d’adresses de proxy diminue jusqu’à 311.
  • À présent, examinons l’utilisateur précédent, qui contient déjà le nombre maximal d’adresses de proxy. Supposons que vous devez ajouter une autre adresse SMTP. Pour atteindre 312 adresses de proxy, vous devez supprimer au moins trois certificats utilisateur (en fonction de la taille du certificat).

Notes

Ces valeurs peuvent varier légèrement. En règle générale, il est plus sûr de supposer que la limite des adresses SMTP dans l’attribut proxyAddresses est d’environ 300 adresses afin de laisser suffisamment de place pour que l’objet et ses attributs renseignés puissent croître ultérieurement.

Corriger l’erreur LargeObject ou ExceededAllowedLength

Passez en revue les propriétés de l’utilisateur et supprimez les valeurs d’attribut qui ne sont peut-être plus nécessaires. Les exemples incluent des certificats révoqués ou expirés, ainsi que des adresses obsolètes ou inutiles, comme SMTP, X.400, X.500, MSMail et CcMail.

Conflit de rôle Administrateur existant

Description

Une erreur de synchronisation de conflit de rôle Administrateur existant se produit sur un objet utilisateur pendant la synchronisation quand cet objet utilisateur dispose des éléments suivants :

  • Autorisations administratives.
  • Le même attribut userPrincipalName qu’un objet Microsoft Entra existant.

Microsoft Entra Connect n’est pas autorisé à établir une correspondance approximative d’un objet utilisateur d’un annuaire AD local avec un objet utilisateur dans Microsoft Entra ID auquel un rôle d’administration est attribué. Pour plus d’informations, consultez Remplissage de UserPrincipalName dans Microsoft Entra.

Capture d’écran montrant le nombre d’erreurs de synchronisation de conflit de rôle Administration existantes.

Corriger l’erreur de conflit de rôle Administrateur existant

Pour résoudre ce problème :

  1. Supprimez le compte Microsoft Entra (propriétaire) de tous les rôles d’administrateur.
  2. Supprimez définitivement l’objet mis en quarantaine dans le cloud.
  3. Le prochain cycle de synchronisation s’occupe de la mise en correspondance souple de l’utilisateur local avec le compte cloud dans la mesure où l’utilisateur cloud n’est plus administrateur d’identité hybride.
  4. Restaurez les appartenances aux rôles pour le propriétaire.

Remarque

Vous pouvez réattribuer le rôle d’administrateur à l’objet utilisateur existant une fois la correspondance souple entre l’objet utilisateur local et l’objet utilisateur Microsoft Entra terminée.