Tolerantie voor synchronisatie- en duplicatiekenmerken identificeren
Dubbele kenmerktolerantie is een functie in Microsoft Entra-id waarmee wrijving wordt voorkomen die wordt veroorzaakt door conflicten met UserPrincipalName en SMTP ProxyAddress bij het uitvoeren van een van de synchronisatiehulpprogramma's van Microsoft.
Deze twee kenmerken zijn over het algemeen uniek voor alle objecten gebruiker, groep of contactpersoon in een bepaalde Microsoft Entra-tenant.
Notitie
Alleen gebruikers kunnen UPN's hebben.
Het nieuwe gedrag dat door deze functie wordt ingeschakeld, bevindt zich in het cloudgedeelte van de synchronisatiepijplijn. Het is daarom clientneutraal en relevant voor elk Microsoft-synchronisatieproduct, waaronder Microsoft Entra Verbinding maken, DirSync en MIM + Verbinding maken or. De algemene term 'synchronisatieclient' wordt in dit document gebruikt om naar een van deze producten verwijzen.
Huidig gedrag
Als er een poging is om een nieuw object in te richten met een UPN- of ProxyAddress-waarde die deze beperking voor uniekheid schendt, blokkeert Microsoft Entra ID dat object wordt gemaakt. Als een object wordt bijgewerkt met een niet-unieke UPN of ProxyAddress, mislukt de update. De synchronisatieclient zal het object tijdens iedere exportcyclus opnieuw proberen in te richten of bij te werken, maar dit lukt pas als het conflict is opgelost. Er wordt bij elke poging een e-mail met een foutenrapport gegenereerd en er wordt een fout geregistreerd door de synchronisatieclient.
Gedrag bij tolerantie van dubbele kenmerken
In plaats van een object volledig niet in te richten of bij te werken met een duplicaatkenmerk, plaatst Microsoft Entra ID het dubbele kenmerk in quarantaine die de beperking voor uniekheid schendt. Als dit kenmerk vereist is voor de inrichting, zoals UserPrincipalName, wijst de service een tijdelijke aanduiding toe. De indeling van deze tijdelijke waarden is
<OriginalPrefix>+<4DigitNumber>@<InitialTenantDomain>.onmicrosoft.com.
Het kenmerktolerantieproces verwerkt alleen de ProxyAddress-waarden voor UPN en SMTP.
Als het kenmerk niet vereist is, zoals een ProxyAddress, plaatst De Microsoft Entra-id het conflictkenmerk in quarantaine en gaat verder met het maken of bijwerken van het object.
Wanneer het kenmerk in quarantaine wordt geplaatst, wordt er informatie over het conflict verzonden via dezelfde e-mail met foutenrapport als voor het oude gedrag. Deze informatie wordt echter slechts één keer weergegeven in het foutenrapport, namelijk wanneer de quarantaine plaatsvindt. Deze informatie wordt niet meer vermeld in toekomstige e-mailberichten. Omdat het exporteren voor dit object is geslaagd, wordt er geen fout geregistreerd door de synchronisatieclient en wordt de bewerking voor het maken/bijwerken niet opnieuw uitgevoerd bij volgende synchronisatiecycli.
Ter ondersteuning van dit gedrag is er een nieuw kenmerk toegevoegd aan de objectklassen Gebruiker, Groep en Contactpersoon:
DirSyncProvisioningErrors
Dit is een kenmerk met meerdere waarden. Het wordt gebruikt om de conflicterende kenmerken op te slaan die de uniciteitsbeperking zouden schenden als ze normaal zouden worden toegevoegd. Een achtergrondtimertaak is ingeschakeld in Microsoft Entra-id die elk uur wordt uitgevoerd om te zoeken naar dubbele kenmerkconflicten die zijn opgelost en verwijdert automatisch de betreffende kenmerken uit quarantaine.
Tolerantie van dubbele kenmerken inschakelen
Dubbele kenmerktolerantie is het nieuwe standaardgedrag voor alle Microsoft Entra-tenants. Deze is standaard ingeschakeld voor alle tenants die synchronisatie voor het eerst hebben ingeschakeld op 22 augustus 2016 of later. Tenants waarvoor synchronisatie vóór deze datum is ingeschakeld, hebben de functie ingeschakeld in batches. Deze implementatie begint in september 2016 en er wordt een e-mailmelding verzonden naar de contactpersoon voor technische meldingen van elke tenant met de specifieke datum waarop de functie wordt ingeschakeld.
Notitie
Zodra Tolerantie van dubbele kenmerken is ingeschakeld, kan deze optie niet meer worden uitgeschakeld.
Als u wilt controleren of de functie is ingeschakeld voor uw tenant, kunt u dit doen door de nieuwste versie van de Azure Active Directory PowerShell-module te downloaden en uit te voeren:
Get-MsolDirSyncFeatures -Feature DuplicateUPNResiliency
Get-MsolDirSyncFeatures -Feature DuplicateProxyAddressResiliency
Notitie
U kunt de cmdlet Set-MsolDirSyncFeature pas weer gebruiken om proactief de functie Tolerantie van dubbele kenmerken in te schakelen nadat deze functie is ingeschakeld voor uw tenant. Als u de functie wilt testen, moet u een nieuwe Microsoft Entra-tenant maken.
Notitie
Azure AD- en MSOnline PowerShell-modules zijn vanaf 30 maart 2024 afgeschaft. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot migratieondersteuning voor Microsoft Graph PowerShell SDK en beveiligingsoplossingen. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.
Het is raadzaam om te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: versies 1.0.x van MSOnline kunnen na 30 juni 2024 onderbrekingen ondervinden.
Objecten met DirSyncProvisioningErrors identificeren
Er zijn momenteel twee manieren om objecten te identificeren met die deze fouten hebben vanwege conflicten met dubbele eigenschappen, namelijk via Azure Active Directory PowerShell en het Microsoft 365-beheercentrum. Er zijn plannen om in de toekomst uit te breiden naar aanvullende portalgebaseerde rapportage.
Azure Active Directory PowerShell
Voor de PowerShell-cmdlets in dit onderwerp geldt het volgende:
- Alle volgende cmdlets zijn hoofdlettergevoelig.
- De –ErrorCategory PropertyConflict moet altijd worden opgenomen. Er zijn momenteel geen andere typen ErrorCategory, maar dit kan in de toekomst worden uitgebreid.
Voer om te beginnen Connect-MsolService uit en geef referenties op voor een tenantbeheerder.
Gebruik vervolgens de volgende cmdlets en operators om fouten op verschillende manieren weer te geven:
- Alles bekijken
- Op eigenschapstype
- Op conflicterende waarde
- Zoeken met een tekenreeks
- Sorted
- In een beperkte hoeveelheid of alles
Alles weergeven
Zodra verbinding is gemaakt, ziet u een algemene lijst met kenmerkinrichtingsfouten in de tenantuitvoering:
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict
Dit levert een resultaat op zoals het volgende:
Op eigenschapstype
Als u fouten per eigenschapstype wilt weergeven, voegt u de vlag -PropertyName toe met het argument UserPrincipalName of ProxyAddresses:
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName UserPrincipalName
Or
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName ProxyAddresses
Op conflicterende waarde
Als u fouten wilt weergeven voor een specifieke eigenschap, voegt u de vlag -PropertyValue toe (wanneer u deze vlag toevoegt, moet ook de vlag -PropertyName worden):
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyValue User@domain.com -PropertyName UserPrincipalName
Zoeken met een tekenreeks
Gebruik de vlag -SearchString om een brede tekenreeks te zoeken. Deze vlag kan onafhankelijk van alle bovenstaande vlaggen worden gebruikt, met uitzondering van -ErrorCategory PropertyConflict. Deze vlag is altijd vereist:
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -SearchString User
In een beperkte hoeveelheid of alles
- MaxResults <Int> kan worden gebruikt om de query te beperken tot een specifiek aantal waarden.
- All kan worden gebruikt om ervoor te zorgen dat in het geval van een groot aantal fouten alle resultaten worden opgehaald.
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -MaxResults 5
Microsoft 365-beheercentrum
U kunt adreslijstsynchronisatiefouten weergeven in het Microsoft 365-beheercentrum. In het rapport in het Microsoft 365-beheercentrum worden alleen User-objecten weergegeven met deze fouten. Het rapport bevat geen informatie over conflicten tussen groepen en contactpersonen.
Zie Adreslijstsynchronisatiefouten identificeren in Microsoft 365 voor instructies over het weergeven van adreslijstsynchronisatiefouten in het Microsoft 365-beheercentrum.
Foutrapport voor identiteitssynchronisatie
Wanneer een object met een conflict met dubbele kenmerken wordt verwerkt met dit nieuwe gedrag, wordt er een melding opgenomen in de standaardmail met het foutrapport voor identiteitssynchronisatie dat wordt verzonden naar de contactpersoon die technische meldingen over de tenant moet ontvangen. Er is echter een belangrijke wijziging in dit gedrag. In het verleden werd de informatie over een conflict met dubbele kenmerken opgenomen in elk volgend foutrapport, totdat het conflict was opgelost. Met dit nieuwe gedrag wordt de foutmelding voor een bepaald conflict slechts één keer weergegeven, namelijk op het moment dat het conflicterende kenmerk in quarantaine wordt geplaatst.
Hier volgt een voorbeeld zodat u kunt zien hoe de e-mailmelding eruitziet voor een ProxyAddress-conflict:
Conflicten oplossen
De oplossingsstrategieën en -tactieken voor problemen met deze fouten mogen niet verschillen van de manier waarop dubbele kenmerkfouten in het verleden werden verwerkt. Het enige verschil is dat de timertaak de tenant aan de servicezijde doorloopt om het betreffende kenmerk automatisch toe te voegen aan het juiste object zodra het conflict is opgelost.
In het volgende artikel worden verschillende probleemoplossingsstrategieën en -tactieken beschreven: dubbele of ongeldige kenmerken voorkomen adreslijstsynchronisatie in Office 365.
Bekende problemen
Geen van deze bekende problemen veroorzaakt gegevensverlies of servicevermindering. Verschillende hiervan zijn esthetisch, andere veroorzaken standaard pre-resiliency-fouten met dubbele kenmerken in plaats van het conflictkenmerk in quarantaine te plaatsen, en een ander veroorzaakt bepaalde fouten die handmatige moeten worden verholpen.
Kerngedrag:
Objecten met specifieke kenmerkconfiguraties blijven exportfouten ontvangen in plaats van de dubbele kenmerken die in quarantaine worden geplaatst.
Voorbeeld:a. Er wordt een nieuwe gebruiker gemaakt in AD met de UPN Joe@contoso.com en het ProxyAddress smtp:Joe@contoso.com
b. De eigenschappen van dit object conflicteren met een bestaande groep, waarbij ProxyAddress SMTP is:Joe@contoso.com.
c. Bij het exporteren wordt er een proxyAddress-conflictfout gegenereerd in plaats van dat de conflictkenmerken in quarantaine worden geplaatst. De bewerking wordt opnieuw geprobeerd bij elke volgende synchronisatiecyclus, zoals deze zou zijn geweest voordat de tolerantiefunctie werd ingeschakeld.
Als er on-premises twee groepen worden gemaakt met hetzelfde SMTP-adres, zal de inrichting van een van deze groepen bij de eerste poging mislukken met de standaardfout voor een dubbele ProxyAddress-waarde. De dubbele waarde wordt echter in quarantaine geplaatst bij de volgende synchronisatiecyclus.
Office-portalrapport:
Het gedetailleerde foutbericht voor twee objecten in een UPN-conflictset is hetzelfde. Dit geeft aan dat voor beide de UPN is gewijzigd/in quarantaine is geplaatst, terwijl in feite slechts voor een van beide gegevens zijn gewijzigd.
Het gedetailleerde foutbericht voor een UPN-conflict bevat de verkeerde displayName voor de gebruiker wiens UPN is gewijzigd/in quarantaine is geplaatst. Voorbeeld:
a. Gebruiker A synchroniseert eerst met UPN = User@contoso.com.
b. Vervolgens wordt geprobeerd om Gebruiker B te synchroniseren met UPN = User@contoso.com.
c. De UPN van Gebruiker B wordt gewijzigd in User1234@contoso.onmicrosoft.com en User@contoso.com wordt toegevoegd aan DirSyncProvisioningErrors.
d. Het foutbericht voor Gebruiker B moet aangeven dat Gebruiker A de UPN User@contoso.com al heeft, maar het bericht bevat de eigen displayName van Gebruiker B.
Foutrapport voor identiteitssynchronisatie:
De koppeling voor stappen voor het oplossen van dit probleem is onjuist:
De koppeling moet verwijzen naar https://aka.ms/duplicateattributeresiliency.