Sincronização de identidades e resiliência de atributos duplicados
A resiliência de atributos duplicados é um recurso do Microsoft Entra ID que eliminará o atrito causado por conflitos UserPrincipalName e SMTP ProxyAddress ao executar uma das ferramentas de sincronização da Microsoft.
Esses dois atributos geralmente precisam ser exclusivos em todos os objetos User, Group ou Contact em um determinado locatário do Microsoft Entra.
Nota
Somente usuários podem ter UPNs.
O novo comportamento que esse recurso permite está na parte de nuvem do pipeline de sincronização, portanto, é independente do cliente e relevante para qualquer produto de sincronização da Microsoft, incluindo Microsoft Entra Connect, DirSync e MIM + Connector. O termo genérico "cliente de sincronização" é usado neste documento para representar qualquer um desses produtos.
Comportamento atual
Se houver uma tentativa de provisionar um novo objeto com um valor UPN ou ProxyAddress que viole essa restrição de exclusividade, a ID do Microsoft Entra bloqueará a criação desse objeto. Da mesma forma, se um objeto for atualizado com um UPN ou ProxyAddress não exclusivo, a atualização falhará. A tentativa de provisionamento ou atualização é repetida pelo cliente de sincronização em cada ciclo de exportação e continua a falhar até que o conflito seja resolvido. Um e-mail de relatório de erro é gerado em cada tentativa e um erro é registrado pelo cliente de sincronização.
Comportamento com resiliência de atributo duplicado
Em vez de falhar completamente ao provisionar ou atualizar um objeto com um atributo duplicado, o Microsoft Entra ID "coloca em quarentena" o atributo duplicado que violaria a restrição de exclusividade. Se esse atributo for necessário para provisionamento, como UserPrincipalName, o serviço atribuirá um valor de espaço reservado. O formato desses valores temporários é
<OriginalPrefix>+4DigitNumber>@<InitialTenantDomain.onmicrosoft.com>.<
O processo de resiliência de atributo lida apenas com valores UPN e SMTP ProxyAddress .
Se o atributo não for necessário, como um ProxyAddress, o Microsoft Entra ID simplesmente colocará o atributo de conflito em quarentena e prosseguirá com a criação ou atualização do objeto.
Ao colocar o atributo em quarentena, as informações sobre o conflito são enviadas no mesmo email de relatório de erros usado no comportamento antigo. No entanto, essas informações só aparecem no relatório de erros uma vez, quando a quarentena acontece, ela não continua a ser registrada em e-mails futuros. Além disso, como a exportação para este objeto foi bem-sucedida, o cliente de sincronização não registra um erro e não tenta novamente a operação de criação/atualização nos ciclos de sincronização subsequentes.
Para dar suporte a esse comportamento, um novo atributo foi adicionado às classes de objeto User, Group e Contact:
DirSyncProvisioningErrors
Este é um atributo de vários valores que é usado para armazenar os atributos conflitantes que violariam a restrição de exclusividade caso fossem adicionados normalmente. Uma tarefa de temporizador em segundo plano foi habilitada no Microsoft Entra ID que é executada a cada hora para procurar conflitos de atributos duplicados que foram resolvidos e remove automaticamente os atributos em questão da quarentena.
Ativando a resiliência de atributos duplicados
A resiliência de atributos duplicados será o novo comportamento padrão em todos os locatários do Microsoft Entra. Ele estará ativado por padrão para todos os locatários que habilitaram a sincronização pela primeira vez em 22 de agosto de 2016 ou posterior. Os locatários que habilitaram a sincronização antes dessa data terão o recurso habilitado em lotes. Essa implantação começará em setembro de 2016 e uma notificação por e-mail será enviada ao contato de notificação técnica de cada locatário com a data específica em que o recurso será habilitado.
Nota
Uma vez ativada a Resiliência de Atributos Duplicados, ela não poderá ser desativada.
Para verificar se o recurso está habilitado para seu locatário, você pode fazer isso baixando a versão mais recente do módulo PowerShell do Azure Ative Directory e executando:
Get-MsolDirSyncFeatures -Feature DuplicateUPNResiliency
Get-MsolDirSyncFeatures -Feature DuplicateProxyAddressResiliency
Nota
Você não pode mais usar o cmdlet Set-MsolDirSyncFeature para habilitar proativamente o recurso Resiliência de Atributo Duplicado antes que ele seja ativado para seu locatário. Para poder testar o recurso, você precisará criar um novo locatário do Microsoft Entra.
Nota
Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de descontinuação. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.
Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.
Identificação de Objetos com DirSyncProvisioningErrors
Atualmente, há dois métodos para identificar objetos que têm esses erros devido a conflitos de propriedade duplicados, o Azure Ative Directory PowerShell e o centro de administração do Microsoft 365. Há planos para estender a relatórios adicionais baseados em portal no futuro.
Azure Active Directory do PowerShell
Para os cmdlets do PowerShell neste tópico, o seguinte é verdadeiro:
- Todos os cmdlets a seguir diferenciam maiúsculas de minúsculas.
- O –ErrorCategory PropertyConflict deve ser sempre incluído. Atualmente, não há outros tipos de ErrorCategory, mas isso pode ser estendido no futuro.
Primeiro, comece executando o Connect-MsolService e inserindo credenciais para um administrador de locatário.
Em seguida, use os seguintes cmdlets e operadores para exibir erros de maneiras diferentes:
- Ver tudo
- Por Tipo de Propriedade
- Por valor conflitante
- Usando uma pesquisa de cadeia de caracteres
- Sorted
- Numa quantidade limitada ou na totalidade
Ver tudo
Uma vez conectado, para ver uma lista geral de erros de provisionamento de atributos na execução do locatário:
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict
Isso produz um resultado como o seguinte:
Por tipo de propriedade
Para ver erros por tipo de propriedade, adicione o sinalizador -PropertyName com o argumento UserPrincipalName ou ProxyAddresses :
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName UserPrincipalName
Ou
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName ProxyAddresses
Por valor conflitante
Para ver erros relacionados a uma propriedade específica, adicione o sinalizador -PropertyValue (-PropertyName também deve ser usado ao adicionar esse sinalizador):
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyValue User@domain.com -PropertyName UserPrincipalName
Usando uma pesquisa de cadeia de caracteres
Para fazer uma pesquisa de cadeia de caracteres ampla, use o sinalizador -SearchString . Isso pode ser usado independentemente de todos os sinalizadores acima, com exceção de -ErrorCategory PropertyConflict, que é sempre necessário:
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -SearchString User
Numa quantidade limitada ou na totalidade
- MaxResults <Int> pode ser usado para limitar a consulta a um número específico de valores.
- Todos podem ser usados para garantir que todos os resultados sejam recuperados no caso de existir um grande número de erros.
Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -MaxResults 5
Centro de administração do Microsoft 365
Pode ver erros de sincronização de diretórios no centro de administração do Microsoft 365. O relatório no centro de administração do Microsoft 365 exibe apenas objetos de usuário que têm esses erros. Ele não mostra informações sobre conflitos entre Grupos e Contatos.
Para obter instruções sobre como exibir erros de sincronização de diretórios no centro de administração do Microsoft 365, consulte Identificar erros de sincronização de diretórios no Microsoft 365.
Relatório de erros de sincronização de identidade
Quando um objeto com um conflito de atributo duplicado é tratado com esse novo comportamento, uma notificação é incluída no email padrão do Relatório de Erros de Sincronização de Identidade que é enviado ao contato de Notificação Técnica do locatário. No entanto, há uma mudança importante nesse comportamento. No passado, as informações sobre um conflito de atributo duplicado eram incluídas em todos os relatórios de erros subsequentes até que o conflito fosse resolvido. Com esse novo comportamento, a notificação de erro para um determinado conflito só aparece uma vez - no momento em que o atributo conflitante é colocado em quarentena.
Aqui está um exemplo da aparência da notificação por e-mail para um conflito ProxyAddress:
Resolução de conflitos
A estratégia de solução de problemas e as táticas de resolução para esses erros não devem diferir da maneira como os erros de atributos duplicados eram tratados no passado. A única diferença é que a tarefa de timer varre o locatário no lado do serviço para adicionar automaticamente o atributo em questão ao objeto adequado assim que o conflito for resolvido.
O artigo a seguir descreve várias estratégias de solução de problemas e resolução: Atributos duplicados ou inválidos impedem a sincronização de diretórios no Office 365.
Problemas conhecidos
Nenhum desses problemas conhecidos causa perda de dados ou degradação do serviço. Vários deles são estéticos, outros fazem com que erros de atributos duplicados padrão de "pré-resiliência" sejam lançados em vez de colocar em quarentena o atributo de conflito, e outro faz com que certos erros exijam correção manual extra.
Comportamento principal:
Os objetos com configurações de atributos específicos continuam a receber erros de exportação, em oposição ao(s) atributo(s) duplicado(s) que estão sendo colocados em quarentena.
Por exemplo:a. Novo usuário é criado no AD com um UPN de e smtp ProxyAddress Joe@contoso.com:Joe@contoso.com
b. As propriedades deste objeto entram em conflito com um grupo existente, onde ProxyAddress é SMTP:Joe@contoso.com.
c. Após a exportação, um erro de conflito ProxyAddress é lançado em vez de colocar os atributos de conflito em quarentena. A operação é repetida em cada ciclo de sincronização subsequente, como teria sido antes do recurso de resiliência ser habilitado.
Se dois grupos são criados no local com o mesmo endereço SMTP, um falha ao provisionar na primeira tentativa com um erro ProxyAddress duplicado padrão. No entanto, o valor duplicado é colocado corretamente em quarentena no próximo ciclo de sincronização.
Relatório do Portal do Office:
A mensagem de erro detalhada para dois objetos em um conjunto de conflitos UPN é a mesma. Isso indica que ambos tiveram sua UPN alterada/colocada em quarentena, quando na verdade apenas um deles teve algum dado alterado.
A mensagem de erro detalhada para um conflito de UPN mostra o displayName errado para um usuário que teve seu UPN alterado/colocado em quarentena. Por exemplo:
a. O usuário A sincroniza primeiro com UPN = User@contoso.com.
b. O usuário B é tentado para ser sincronizado em seguida com UPN = User@contoso.com.
c. O UPN do usuário B é alterado e User1234@contoso.onmicrosoft.comUser@contoso.com adicionado a DirSyncProvisioningErrors.
d. A mensagem de erro para o Usuário B deve indicar que o Usuário A já tem User@contoso.com como UPN, mas mostra o próprio displayName do Usuário B.
Relatório de erros de sincronização de identidade:
O link para as etapas sobre como resolver esse problema está incorreto:
Deve apontar para https://aka.ms/duplicateattributeresiliency.