Diagnosticar e corrigir erros de sincronização de atributos duplicados
Visão geral
Dando um passo adiante para destacar os erros de sincronização, o Microsoft Entra Connect Health apresenta a remediação de autoatendimento. Ele soluciona erros de sincronização de atributos duplicados e corrige objetos que são órfãos do Microsoft Entra ID. O recurso de diagnóstico tem esses benefícios:
- Ele fornece um procedimento de diagnóstico que reduz os erros de sincronização de atributos duplicados. E isso dá correções específicas.
- Aplica uma correção para cenários dedicados do Microsoft Entra ID para resolver o erro em uma única etapa.
- Nenhuma atualização ou a configuração é necessária para habilitar esse recurso. Para obter mais informações sobre o Microsoft Entra ID, consulte Sincronização de identidades e resiliência de atributos duplicados.
Problemas
Um cenário comum
Quando ocorrem os erros de sincronização QuarantinedAttributeValueMustBeUnique e AttributeValueMustBeUnique, é comum ver um conflito entre UserPrincipalName ou Endereços Proxy no Microsoft Entra ID. Você pode resolver os erros de sincronização atualizando o objeto de origem conflitante do lado local. O erro de sincronização de dados será resolvido após a próxima sincronização. Por exemplo, esta imagem indica que dois usuários têm um conflito com seu UserPrincipalName. Ambos são Joe.J@contoso.com. Os objetos conflitantes são colocados em quarentena no Microsoft Entra ID.
Cenário de objeto órfão
Ocasionalmente, você pode descobrir que um usuário existente perde a âncora de origem. A exclusão do objeto de origem ocorreu no Active Directory local. Mas a alteração do sinal de exclusão nunca foi sincronizada com o Microsoft Entra ID. Essa perda ocorre por motivos como problemas no mecanismo de sincronização ou migração do domínio. Quando o mesmo objeto é restaurado ou recriado, logicamente, um usuário existente deve ser o usuário a sincronizar a partir da Âncora de origem.
Quando um usuário existente é um objeto somente nuvem, você também pode ver o usuário conflitante sincronizado com o Microsoft Entra ID. O usuário não pode ser correspondido em sincronia com o objeto existente. Não há nenhuma maneira direta de remapear a âncora de origem. Veja mais sobre a base de conhecimento existente.
Por exemplo, o objeto existente no Microsoft Entra ID preserva a licença de Joe. Um objeto recém-sincronizado com uma âncora de origem diferente ocorre em um estado de atributo duplicado no Microsoft Entra ID. As alterações de Joe no Active Directory no local não serão aplicadas ao usuário original do Joe (objeto existente) no Microsoft Entra ID.
Etapas de diagnóstico e solução de problemas no Connect Health
O recurso de diagnóstico suporta objetos do usuário com os seguintes atributos duplicados:
| Nome do atributo | Tipos de erro de sincronização |
|---|---|
| UserPrincipalName | QuarantinedAttributeValueMustBeUnique ou AttributeValueMustBeUnique |
| ProxyAddresses | QuarantinedAttributeValueMustBeUnique ou AttributeValueMustBeUnique |
| SipProxyAddress | AttributeValueMustBeUnique |
| OnPremiseSecurityIdentifier | AttributeValueMustBeUnique |
Importante
Para acessar esse recurso, é necessária a permissão de Administrador Global ou a permissão de Colaborador do Azure RBAC.
Siga as etapas do centro de administração do Microsoft Entra para restringir os detalhes do erro de sincronização e fornecer soluções mais específicas:
A partir do centro de administração do Microsoft Entra, execute algumas etapas para identificar cenários específicos que podem ser corrigidos:
- Verifique a coluna Diagnosticar status . O status mostra se há uma forma de corrigir um erro de sincronização diretamente do Microsoft Entra ID. Em outras palavras, existe um fluxo de solução de problemas que pode restringir o caso de erro e possivelmente corrigi-lo.
| Status | O que isso significa? |
|---|---|
| Não iniciado | Você não visitou este processo de diagnóstico. Dependendo do resultado do diagnóstico, há uma maneira potencial de corrigir o erro de sincronização diretamente do portal. |
| Correção Manual Necessária | O erro não se ajusta aos critérios de correções disponíveis no portal. Os tipos de objetos conflitantes não são usuários ou você já passou pelas etapas de diagnóstico e nenhuma resolução de correção estava disponível no portal. No último caso, uma correção do lado local ainda é uma das soluções. Leia mais sobre as correções locais . |
| Sincronização Pendente | Uma correção foi aplicada. O portal está aguardando o próximo ciclo de sincronização para limpar o erro. |
Importante
A coluna de status de diagnóstico será redefinida após cada ciclo de sincronização.
Selecione o botão Diagnosticar sob os detalhes do erro. Você responderá algumas perguntas e identificará os detalhes do erro de sincronização. As respostas às perguntas ajudam a identificar um caso de objeto órfão.
Se um botão Close for exibido no final do diagnóstico, não haverá uma solução rápida disponível no portal com base nas suas respostas. Consulte a solução mostrada na última etapa. Correções do local ainda são as soluções. Selecione o botão Fechar . O status do erro de sincronização atual muda para Correção manual necessária . O status permanece durante o ciclo de sincronização atual.
Depois que um caso de objeto órfão é identificado, você pode corrigir os erros de sincronização de atributos duplicados diretamente do portal. Para acionar o processo, selecione o botão Apply Fix . O status do erro de sincronização atual é atualizado para Pending sync .
Após o próximo ciclo de sincronização, o erro deve ser removido da lista.
Como responder às perguntas de diagnóstico
O usuário existe no seu Active Directory no local?
Esta questão tenta identificar o objeto de origem do usuário existente no Active Directory local.
- Verifique se o Microsoft Entra ID tem um objeto com UserPrincipalName fornecido. Se não, responda Não .
- Em caso afirmativo, verifique se o objeto ainda está no escopo para sincronização.
- Pesquise no espaço do conector do Microsoft Entra usando o DN.
- Se o objeto for encontrado no estado Pendente Adicionar , responda Não . O Microsoft Entra Connect não pode conectar o objeto ao objeto correto do Microsoft Entra.
- Se o objeto não for encontrado, responda Sim .
Nesses exemplos, a pergunta tenta identificar se Joe Jackson ainda existe no Active Directory local. Para o cenário comum, os usuários Joe Johnson e Joe Jackson estão presentes no Active Directory local. Os objetos em quarentena são dois usuários diferentes.
Para o cenário de objeto órfão, apenas o único usuário Joe Johnson está presente no Active Directory local:
Ambas as contas pertencem ao mesmo usuário?
Essa pergunta verifica se um usuário conflitante de entrada e o objeto de usuário existente no Microsoft Entra ID para verificar se pertencem ao mesmo usuário.
- O objeto conflitante é sincronizado recentemente com Microsoft Entra ID. Compare os atributos dos objetos:
- Nome para Exibição
- UserPrincipalName ou SignInName
- ObjectID
- Se o Microsoft Entra ID não conseguir compará-los, verifique se o Active Directory tem objetos com o UserPrincipalNames fornecido. Responda Não se você encontrar os dois.
No exemplo a seguir, os dois objetos pertencem ao mesmo usuário Joe Johnson .
O que acontece depois que a correção é aplicada no cenário de objeto órfão
Com base nas respostas às perguntas anteriores, você verá o botão Aplicar correção quando houver uma correção disponível no Microsoft Entra ID. Nesse caso, o objeto local está sincronizando com um objeto inesperado do Microsoft Entra. Os dois objetos são mapeados usando a âncora de origem . A alteração de Aplicar Correção segue estas ou etapas semelhantes:
- Atualiza a Âncora de origem para o objeto correto no Microsoft Entra ID.
- Exclui o objeto conflitante no Microsoft Entra ID, se estiver presente.
Importante
A alteração Aplicar correção se aplica apenas a casos de objeto órfãos.
Após as etapas anteriores, o usuário pode acessar o recurso original, que é um link para um objeto existente. O valor do Status de diagnóstico na exibição de lista é atualizado para Sincronização pendente. O erro de sincronização será resolvido após a próxima sincronização. O Connect Health não mostrará mais o erro de sincronização na exibição de lista uma vez que ele seja resolvido.
Mensagens de erro e falhas
O usuário com atributo conflitante é excluído temporariamente do Microsoft Entra ID. Certifique-se de que o usuário é excluído forçadamente antes de tentar novamente.
O usuário com atributo conflitante no Microsoft Entra ID deve ser excluído antes de aplicar a correção. Confira como excluir permanentemente o usuário no Microsoft Entra ID antes de tentar a correção novamente. O usuário também será automaticamente excluído permanentemente após 30 dias no estado excluído flexível.
Não há suporte para atualizar âncora de origem para usuário baseado em nuvem no locatário.
O usuário baseado em nuvem no Microsoft Entra ID não deve ter uma âncora de origem. Nesse caso, não há suporte para atualizar âncora de origem. É necessária a correção manual no local.
O processo de correção falhou ao atualizar os valores. Configurações específicas, como UserWriteback no Microsoft Entra Connect, não têm suporte. Desabilite nas configurações.
Perguntas frequentes
Q. O que acontece se a execução do Apply Fix falhar?
R. Se a execução falhar, é possível que o Microsoft Entra Connect esteja executando um erro de exportação. Atualize a página do portal e tente novamente após a próxima sincronização. O ciclo de sincronização padrão é de 30 minutos.
P. E se o objeto existente deve ser o objeto a ser excluído?
a. Se o objeto existente deve ser excluído, o processo não envolve uma mudança de Âncora de Origem . Normalmente, você pode corrigi-lo no Active Directory local.
P. Qual permissão o usuário precisa para aplicar a correção?
A. O Administrador Global ou Colaborador do Azure RBAC, tem permissão para acessar o processo de diagnóstico e a solução de problemas.
P. Preciso configurar o Microsoft Entra Connect ou atualizar o agente do Microsoft Entra Connect Health para esse recurso?
R. Não, o processo de diagnóstico é um recurso completo baseado em nuvem.
P. Se o objeto existente for apagado, o processo de diagnóstico tornará o objeto ativo novamente?
a. Não, a correção não atualizará atributos de objetos diferentes de Âncora de origem .