Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La résilience des attributs dupliqués est une fonctionnalité de Microsoft Entra ID qui élimine les frictions causées par des conflits de UserPrincipalName et de ProxyAddress SMTP lors de l’exécution de l’un des outils de synchronisation de Microsoft.
Ces deux attributs doivent être uniques sur tous les objets Utilisateur, Groupe ou Contact dans un locataire Microsoft Entra donné.
Remarque
Seuls les Utilisateurs peuvent avoir des noms UPN.
Le nouveau comportement que cette fonctionnalité active se trouve dans la partie cloud du pipeline de synchronisation, par conséquent, il est indépendant du client et pertinent pour n’importe quel produit de synchronisation Microsoft, y compris Microsoft Entra Connect, DirSync et MIM + Connector. Le terme générique « client de synchronisation » désigne ces produits dans le présent document.
Comportement actuel
En cas de tentative de provisionnement d'un nouvel objet avec une valeur UPN ou ProxyAddress qui viole cette contrainte d'unicité, Microsoft Entra ID bloque la création de cet objet. De même, si un objet est mis à jour avec une valeur UPN ou ProxyAddress qui n’est pas unique, la mise à jour échoue. Le client de synchronisation tente à nouveau la tentative d’approvisionnement ou la mise à jour sur chaque cycle d’exportation, et continue d’échouer jusqu’à ce que le conflit soit résolu. Chaque tentative infructueuse génère un e-mail contenant un rapport d’erreur, et une erreur est consignée par le client de synchronisation.
Comportement avec une résilience d’attribut en double
Au lieu d'échouer complètement à provisionner ou à mettre à jour un objet avec un attribut en double, Microsoft Entra ID « met en quarantaine » l'attribut en double, ce qui violerait la contrainte d'unicité. Si cet attribut est requis pour l’approvisionnement, comme pour UserPrincipalName, le service affecte une valeur d’espace réservé. Le format de ces valeurs temporaires est
<OriginalPrefix>+<4DigitNumber>@<InitialTenantDomain>.onmicrosoft.com.
Le processus de résilience d’attribut gère uniquement les valeurs ProxyAddress UPN et SMTP.
Si l’attribut n’est pas obligatoire, comme un ProxyAddress, l’ID Microsoft Entra met simplement en quarantaine l’attribut de conflit et procède à la création ou à la mise à jour de l’objet.
Lorsque l’attribut est mis en quarantaine, des informations sur le conflit sont envoyées dans le même e-mail de rapport d’erreur utilisé avec l’ancien comportement. Toutefois, ces informations s’affichent uniquement dans le rapport d’erreurs une seule fois, lorsque la mise en quarantaine se produit, elle ne continue pas d’être enregistrée dans les e-mails futurs. En outre, étant donné que l’exportation de cet objet réussit, le client de synchronisation ne enregistre pas d’erreur et n’effectue pas de nouvelle tentative d’opération de création/mise à jour lors des cycles de synchronisation suivants.
Pour prendre en charge ce comportement, un nouvel attribut est ajouté aux classes d’objet User, Group et Contact :
DirSyncProvisioningErrors
Il s’agit d’un attribut à valeurs multiples utilisé pour stocker les attributs en conflit qui enfreindraient la contrainte d’unicité s’ils étaient ajoutés normalement. Une tâche de minuterie en arrière-plan est activée dans Microsoft Entra ID, qui s'exécute chaque heure pour identifier les conflits d'attributs en double qui ont été résolus et supprime automatiquement les attributs concernés de la quarantaine.
Activer la résistance aux duplications d'attributs
La résilience des attributs dupliqués est le nouveau comportement par défaut dans toutes les instances Microsoft Entra. Il est activé par défaut pour tous les locataires qui ont activé la synchronisation pour la première fois le 22 août 2016 ou version ultérieure. Les locataires qui ont activé la synchronisation avant cette date ont la fonctionnalité activée par lots. Ce déploiement a commencé en septembre 2016 et une notification par e-mail est envoyée au contact technique de chaque locataire avec la date spécifique à laquelle la fonctionnalité est activée.
Remarque
Une fois la résilience des attributs en double activée, elle ne peut pas être désactivée.
Vous pouvez vérifier si cette fonctionnalité est activée sur votre client en téléchargeant la dernière version du module Azure Active Directory PowerShell, puis en exécutant ce qui suit :
Get-EntraDirSyncFeature -Feature DuplicateUPNResiliency
Get-EntraDirSyncFeature -Feature DuplicateProxyAddressResiliency
Remarque
Vous ne pouvez pas utiliser l’applet Set-EntraDirSyncFeature de commande pour activer de manière proactive la fonctionnalité de résilience d’attribut dupliquée avant d’être activée pour votre locataire. Pour pouvoir tester la fonctionnalité, vous devez créer un nouveau locataire Microsoft Entra.
Identification des objets avec DirSyncProvisioningErrors
Il existe actuellement deux méthodes pour identifier les objets qui présentent ces erreurs en raison de conflits de propriétés en double, Microsoft Entra PowerShell et le Centre d’administration Microsoft 365. Il est prévu d’augmenter la capacité de génération de rapports dans le portail.
Microsoft Entra PowerShell
Pour les applets de commande PowerShell dans cette rubrique, les éléments suivants s'appliquent :
- Toutes les cmdlets suivantes sont sensibles à la casse.
Tout d’abord, commencez par exécuter Connect-Entra et entrez des informations d’identification pour un administrateur de locataire.
Utilisez ensuite les applets de commande et les opérateurs suivants pour afficher les erreurs de différentes manières :
- Afficher tout
- Par type de propriété
- Par valeur en conflit
- À l’aide d’une recherche de chaîne
- Triées
- En quantité limitée
Afficher tout
Une fois connecté, pour voir une liste générale des erreurs d’approvisionnement d’attribut dans l’exécution du locataire :
Get-MsolDirSyncProvisioningError
Par type de propriété
Pour afficher les erreurs par type de propriété, spécifiez UserPrincipalName ou ProxyAddresses :
Get-EntraDirectoryObjectOnPremisesProvisioningError | Where-Object PropertyCausingError -eq 'UserPrincipalName'
Ou
Get-EntraDirectoryObjectOnPremisesProvisioningError | Where-Object PropertyCausingError -eq 'ProxyAddresses'
Par valeur en conflit
Pour voir les erreurs relatives à une propriété spécifique, ajoutez la valeur :
Get-EntraDirectoryObjectOnPremisesProvisioningError | Where-Object PropertyCausingError -eq 'UserPrincipalName' | Where-Object Value -eq 'User@domain.com'
À l’aide d’une recherche de chaîne
Pour effectuer une large recherche de chaîne :
Get-EntraDirectoryObjectOnPremisesProvisioningError | Select-Object 'User@domain.com'
En quantité limitée
Utilisez la commande suivante pour limiter la requête à un nombre spécifique de valeurs.
Get-EntraDirectoryObjectOnPremisesProvisioningError | Select-Object -First 10
Centre d’administration Microsoft 365
Vous pouvez afficher les erreurs de synchronisation d’annuaires dans le Centre d’administration Microsoft 365. Le rapport dans le centre d’administration Microsoft 365 n’affiche que les objets Utilisateur qui présentent ces erreurs. Il n’affiche pas d’informations sur les conflits entre les groupes et les contacts.
Pour obtenir des instructions sur l’affichage des erreurs de synchronisation d’annuaires dans le Centre d’administration Microsoft 365, consultez Identifier les erreurs de synchronisation d’annuaires dans Microsoft 365.
Rapport d’erreur de synchronisation d’identité
Lorsqu’un objet en cas de conflit d'attributs dupliqués est géré avec ce nouveau comportement, une notification est incluse dans l’e-mail standard de rapport d’erreur de synchronisation d’identité envoyé au contact de notification technique du locataire. Toutefois, ce comportement présente un changement majeur. Auparavant, les informations de conflit d’attribut en double apparaissaient dans chaque nouveau rapport d’erreurs jusqu’à la résolution du conflit. Avec ce nouveau comportement, la notification d’erreur pour un conflit donné n’apparaît qu’une fois : au moment où l’attribut en conflit est mis en quarantaine.
Voici un exemple de notification par e-mail d’un conflit ProxyAddress :
Résolution des conflits
La résolution des problèmes de stratégie et de tactiques de résolution de ces erreurs ne doit pas différer de la façon dont les erreurs d’attribut dupliquées ont été gérées dans le passé. La seule différence est que la tâche du minuteur effectue un balayage du client côté serveur afin d’ajouter automatiquement l’attribut en question à l’objet concerné lorsque le conflit est résolu.
L’article suivant décrit les différentes stratégies de dépannage et de résolution : Les attributs en double ou non valides empêchent la synchronisation d’annuaires dans Office 365.
Problèmes connus
Aucun de ces problèmes connus n’entraîne une dégradation du service ou une perte des données. Plusieurs d’entre eux relèvent de l’esthétisme ; d’autres génèrent des erreurs d’attribut en double («pré-résilience»), au lieu de mettre en quarantaine l’attribut à l’origine du conflit ; un dernier requiert un travail de correction manuelle supplémentaire pour certaines erreurs.
Comportement de base :
Les objets ayant une configuration d’attribut spécifique continuent à recevoir des erreurs d’exportation ; les attributs dupliqués ne sont pas mis en quarantaine.
Par exemple :a. Le nouvel utilisateur est créé dans AD avec un UPN Joe@contoso.com et une ProxyAddress smtp:Joe@contoso.com
b. Les propriétés de cet objet sont en conflit avec un Groupe existant, où ProxyAddress est SMTP :Joe@contoso.com.
c. Lors de l’exportation, une erreur de conflit ProxyAddress est générée au lieu de la mise en quarantaine des attributs à l’origine du conflit. L’opération est retentée à chaque cycle de synchronisation, comme cela était le cas avant l’activation de la fonction de résilience.
Si deux Groupes sont créés en local avec la même adresse SMTP, l’approvisionnement de l’un d’entre eux échoue à la première tentative, ce qui génère une erreur standard d’attribut ProxyAddress en double. Toutefois, la valeur en double est bien mise en quarantaine lors du prochain cycle de synchronisation.
Rapport du portail Office:
Le message d’erreur détaillé pour deux objets dans un ensemble de conflit UPN est le même. Cela indique que l’UPN des deux objets a changé/été mis en quarantaine, alors que seules les données de l’un d’entre eux ont changé.
Le message d’erreur détaillé d’un conflit UPN affiche une propriété displayName incorrecte pour un utilisateur dont l’UPN a changé ou mis en quarantaine. Par exemple :
a. L’utilisateur A est synchronisé en premier avec UPN = User@contoso.com.
b. L’utilisateur B fait ensuite l’objet d’une tentative de synchronisation avec UPN = User@contoso.com.
c. L’UPN de l’utilisateur B est remplacé par User1234@contoso.onmicrosoft.com et User@contoso.com est ajouté à DirSyncProvisioningErrors.
d. Le message d’erreur de l’utilisateur B doit indiquer que l’utilisateur A a déjà User@contoso.com comme UPN, mais il affiche le paramètre displayName de l’utilisateur B.
Rapport d’erreur de synchronisation d’identité :
Le lien pour la procédure à suivre pour résoudre ce problème est incorrect :
Il doit pointer vers https://aka.ms/duplicateattributeresiliency.