Sinkronisasi identitas dan ketahanan atribut duplikat

  • Artikel

Ketahanan Atribut Duplikat adalah fitur di ID Microsoft Entra yang akan menghilangkan gesekan yang disebabkan oleh konflik UserPrincipalName dan SMTP ProxyAddress saat menjalankan salah satu alat sinkronisasi Microsoft.

Kedua atribut ini umumnya harus unik di semua objek Pengguna, Grup, atau Kontak dalam penyewa Microsoft Entra tertentu.

Catatan

Hanya Pengguna yang dapat memiliki UPN.

Perilaku baru yang diaktifkan fitur ini ada di bagian cloud dari alur sinkronisasi, oleh karena itu merupakan agnostik klien dan relevan untuk produk sinkronisasi Microsoft apa pun termasuk Microsoft Entra Koneksi, DirSync, dan MIM + Koneksi or. Istilah umum “klien sinkronisasi” digunakan dalam dokumen ini untuk mewakili salah satu produk ini.

Perilaku saat ini

Jika ada upaya untuk menyediakan objek baru dengan nilai UPN atau ProxyAddress yang melanggar batasan keunikan ini, ID Microsoft Entra memblokir objek tersebut agar tidak dibuat. Demikian pula, jika objek diperbarui dengan UPN atau ProxyAddress yang tidak unik, pembaruan akan gagal. Upaya atau pembaruan provisi dicoba oleh klien sinkronisasi pada setiap siklus ekspor, dan terus gagal sampai konflik diselesaikan. Email laporan kesalahan dihasilkan pada setiap upaya dan kesalahan dicatat oleh klien sinkronisasi.

Perilaku dengan Ketahanan Atribut Duplikat

Alih-alih sepenuhnya gagal menyediakan atau memperbarui objek dengan atribut duplikat, ID Microsoft Entra "mengkarantina" atribut duplikat yang akan melanggar batasan keunikan. Jika atribut ini diperlukan untuk provisi, seperti UserPrincipalName, layanan menetapkan nilai tempat penampung. Format nilai sementara ini adalah
<OriginalPrefix>+<4DigitNumber>@<InitialTenantDomain>.onmicrosoft.com.

Proses ketahanan atribut hanya menangani nilai ProxyAddress UPN dan SMTP.

Jika atribut tidak diperlukan, seperti ProxyAddress, MICROSOFT Entra ID hanya mengkarantina atribut konflik dan melanjutkan pembuatan atau pembaruan objek.

Setelah mengkarantina atribut, informasi tentang konflik dikirim dalam surel laporan kesalahan yang sama yang digunakan dalam perilaku lama. Namun, info ini hanya muncul dalam laporan kesalahan satu kali. Ketika karantina terjadi, info ini tidak terus dicatat di surel mendatang. Selain itu, karena ekspor untuk objek ini telah berhasil, klien sinkronisasi tidak mencatat kesalahan dan tidak mencoba lagi operasi buat/perbarui pada siklus sinkronisasi berikutnya.

Untuk mendukung perilaku ini, atribut baru telah ditambahkan ke kelas objek Pengguna, Grup, dan Kontak:
DirSyncProvisioningErrors

Ini adalah atribut multi-nilai yang digunakan untuk menyimpan atribut yang bertentangan yang akan melanggar batasan keunikan jika ditambahkan secara normal. Tugas pengatur waktu latar belakang telah diaktifkan di ID Microsoft Entra yang berjalan setiap jam untuk mencari konflik atribut duplikat yang telah diselesaikan, dan secara otomatis menghapus atribut yang dimaksud dari karantina.

Mengaktifkan Ketahanan Atribut Duplikat

Ketahanan Atribut Duplikat akan menjadi perilaku default baru di semua penyewa Microsoft Entra. Ini akan diaktifkan secara default untuk semua penyewa yang mengaktifkan sinkronisasi untuk pertama kalinya pada 22 Agustus 2016 atau setelahnya. Penyewa yang mengaktifkan sinkronisasi sebelum tanggal ini akan mengaktifkan fitur dalam batch. Peluncuran ini akan dimulai pada bulan September 2016, dan pemberitahuan surel akan dikirim ke setiap kontak pemberitahuan teknis penyewa dengan tanggal tertentu saat fitur akan diaktifkan.

Catatan

Setelah Ketahanan Atribut Duplikat diaktifkan, ketahanan atribut tersebut tidak dapat dinonaktifkan.

Untuk memeriksa apakah fitur diaktifkan untuk penyewa Anda, Anda dapat melakukannya dengan mengunduh dan menjalankan modul Azure Active Directory PowerShell versi terbaru:

Get-MsolDirSyncFeatures -Feature DuplicateUPNResiliency

Get-MsolDirSyncFeatures -Feature DuplicateProxyAddressResiliency

Catatan

Anda tidak dapat lagi menggunakan cmdlet Set-MsolDirSyncFeature untuk secara proaktif mengaktifkan fitur Ketahanan Atribut Duplikat sebelum diaktifkan untuk penyewa Anda. Untuk dapat menguji fitur ini, Anda harus membuat penyewa Microsoft Entra baru.

Catatan

Modul Azure ACTIVE Directory dan MSOnline PowerShell tidak digunakan lagi per 30 Maret 2024. Untuk mempelajari lebih lanjut, baca pembaruan penghentian. Setelah tanggal ini, dukungan untuk modul ini terbatas pada bantuan migrasi ke Microsoft Graph PowerShell SDK dan perbaikan keamanan. Modul yang tidak digunakan lagi akan terus berfungsi hingga Maret, 30 2025.

Sebaiknya migrasi ke Microsoft Graph PowerShell untuk berinteraksi dengan ID Microsoft Entra (sebelumnya Microsoft Azure AD). Untuk pertanyaan umum tentang migrasi, lihat Tanya Jawab Umum Migrasi. Catatan: MSOnline versi 1.0.x mungkin mengalami gangguan setelah 30 Juni 2024.

Mengidentifikasi Objek dengan DirSyncProvisioningErrors

Saat ini, ada dua metode untuk mengidentifikasi objek yang memiliki kesalahan ini karena konflik properti duplikat, Azure Active Directory PowerShell dan pusat admin Microsoft 365. Ada rencana untuk memperluas ke pelaporan berbasis portal tambahan di masa mendatang.

Azure Active Directory PowerShell

Untuk cmdlet PowerShell dalam topik ini, pernyataan berikut ini benar:

  • Semua cmdlet berikut peka huruf besar/kecil.
  • –ErrorCategory PropertyConflict harus selalu disertakan. Saat ini tidak ada jenis ErrorCategory lainnya, tetapi ini dapat diperpanjang di masa mendatang.

Pertama, mulailah dengan menjalankan Connect-MsolService dan masukkan info masuk untuk administrator penyewa.

Kemudian, gunakan cmdlet dan operator berikut untuk melihat kesalahan dengan cara lain:

  1. Lihat Semua
  2. Menurut Jenis Properti
  3. Menurut Nilai yang Bertentangan
  4. Menggunakan Pencarian Untai (karakter)
  5. Diurutkan
  6. Dalam Jumlah Terbatas atau Semua

Lihat semua

Setelah tersambung, untuk melihat daftar umum kesalahan provisi atribut dalam eksekusi penyewa:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict

Ini membuat hasil seperti berikut:
Get-MsolDirSyncProvisioningError

Menurut jenis properti

Untuk melihat kesalahan menurut jenis properti, tambahkan bendera -PropertyName dengan argumen UserPrincipalName atau ProxyAddresses:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName UserPrincipalName

Atau

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName ProxyAddresses

Menurut nilai yang bertentangan

Untuk melihat kesalahan yang berkaitan dengan properti tertentu, tambahkan bendera -PropertyValue (-PropertyName juga harus digunakan saat menambahkan bendera ini):

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyValue User@domain.com -PropertyName UserPrincipalName

Untuk melakukan pencarian untai (karakter) yang luas, gunakan flag -SearchString. Ini dapat digunakan secara independen dari semua bendera di atas, kecuali -ErrorCategory PropertyConflict, yang selalu diperlukan:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -SearchString User

Dalam jumlah terbatas atau semua

  1. MaxResults <Int> dapat digunakan untuk membatasi kueri ke sejumlah nilai tertentu.
  2. Semua dapat digunakan untuk memastikan semua hasil diambil dalam kasus bahwa sejumlah besar kesalahan ada.

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -MaxResults 5

Pusat admin Microsoft 365

Anda dapat melihat kesalahan sinkronisasi direktori di pusat admin Microsoft 365. Laporan di pusat admin Microsoft 365 hanya menampilkan objek Pengguna yang memiliki kesalahan ini. Laporan ini tidak menampilkan info tentang konflik antara Grup dan Kontak.

Cuplikan layar yang memperlihatkan kesalahan sinkronisasi direktori di pusat admin Microsoft 365.

Untuk petunjuk tentang cara menampilkan kesalahan sinkronisasi direktori di pusat admin Microsoft 365, lihat Mengidentifikasi kesalahan sinkronisasi direktori di Microsoft 365.

Laporan kesalahan sinkronisasi identitas

Ketika objek dengan konflik atribut duplikat ditangani dengan perilaku baru ini, pemberitahuan disertakan dalam surel Laporan Kesalahan Sinkronisasi Identitas standar yang dikirim ke kontak Pemberitahuan Teknis untuk penyewa. Namun, ada perubahan penting dalam perilaku ini. Di masa lalu, informasi tentang konflik atribut duplikat akan disertakan dalam setiap laporan kesalahan berikutnya sampai konflik diselesaikan. Dengan perilaku baru ini, pemberitahuan kesalahan untuk konflik tertentu hanya muncul sekali- pada saat atribut yang bertentangan dikarantina.

Berikut adalah contoh tampilan pemberitahuan surel untuk konflik ProxyAddress:
Cuplikan layar yang menampilkan contoh pemberitahuan surel untuk konflik ProxyAddress.

Mengatasi konflik

Pemecahan masalah strategi dan taktik resolusi untuk kesalahan ini seharusnya tidak berbeda dari cara kesalahan atribut duplikat ditangani di masa lalu. Satu-satunya perbedaan adalah bahwa tugas timer menghapus penyewa di sisi layanan untuk secara otomatis menambahkan atribut yang bersangkutan ke objek yang tepat setelah konflik diselesaikan.

Artikel berikut ini menguraikan berbagai strategi pemecahan masalah dan resolusi: Atribut duplikat atau tidak valid mencegah sinkronisasi direktori di Office 365.

Masalah umum

Tidak satu pun dari masalah yang diketahui ini menyebabkan kehilangan data atau penurunan layanan. Beberapa masalahnya bersifat estetik, sisanya menyebabkan kesalahan atribut duplikat “pra-ketahanan” standar yang ditampilkan sebagai ganti mengkarantina atribut konflik, dan lainnya menyebabkan kesalahan tertentu untuk memerlukan perbaikan manual tambahan.

Perilaku inti:

  1. Objek dengan konfigurasi atribut tertentu terus menerima kesalahan ekspor dibandingkan dengan atribut duplikat yang sedang dikarantina.
    Contohnya:

    a. Pengguna baru dibuat di AD dengan UPN Joe@contoso.com dan ProxyAddress smtp:Joe@contoso.com

    b. Properti objek ini bertentangan dengan Grup yang ada, dengan ProxyAddress adalah SMTP:Joe@contoso.com.

    c. Setelah diekspor, kesalahan konflik ProxyAddress ditampilkan sebagai ganti memiliki atribut konflik yang dikarantina. Operasi ini dicoba kembali pada setiap siklus sinkronisasi berikutnya, karena seharusnya sebelum fitur ketahanan diaktifkan.

  2. Jika dua Grup dibuat di tempat dengan alamat SMTP yang sama, satu grup akan gagal memprovisi pada upaya pertama dengan kesalahan ProxyAddress duplikat standar. Namun, nilai duplikat dikarantina dengan benar pada siklus sinkronisasi berikutnya.

Laporan Portal Office:

  1. Pesan kesalahan terperinci untuk dua objek dalam kumpulan konflik UPN adalah sama. Ini menunjukkan objek ini telah mengubah/mengkarantina UPN, padahal sebenarnya hanya salah satu objek ini yang mengubah datanya.

  2. Pesan kesalahan terperinci untuk konflik UPN menunjukkan displayName yang salah untuk pengguna yang telah mengubah/mengkarantina UPN-nya. Contohnya:

    a. Pengguna A disinkronkan terlebih dahulu dengan UPN = User@contoso.com.

    b. Pengguna B selanjutnya dicoba untuk disinkronkan dengan UPN = User@contoso.com.

    c. UPN Pengguna B diubah menjadi User1234@contoso.onmicrosoft.com dan User@contoso.com ditambahkan ke DirSyncProvisioningErrors.

    d. Pesan kesalahan untuk Pengguna B seharusnya menunjukkan bahwa Pengguna A sudah memiliki User@contoso.com sebagai UPN, tetapi menunjukkan displayName Pengguna B sendiri.

Laporan kesalahan sinkronisasi identitas:

Tautan untuk langkah-langkah tentang cara mengatasi masalah ini tidak benar:
Pengguna Aktif

Ini harus mengarah ke https://aka.ms/duplicateattributeresiliency.

Lihat juga