Diagnose and remediate duplicated attribute sync errors (Diagnosticar e resolver erros de sincronização de atributos duplicados)
Descrição geral
Dando um passo adiante para destacar erros de sincronização, o Microsoft Entra Connect Health introduz a correção de autoatendimento. Ele soluciona problemas de erros de sincronização de atributos duplicados e corrige objetos que estão órfãos do ID do Microsoft Entra. O recurso de diagnóstico tem os seguintes benefícios:
- Ele fornece um procedimento de diagnóstico que reduz erros de sincronização de atributos duplicados. E dá correções específicas.
- Ele aplica uma correção para cenários dedicados do Microsoft Entra ID para resolver o erro em uma única etapa.
- Nenhuma atualização ou configuração é necessária para habilitar esse recurso. Para obter mais informações sobre o Microsoft Entra ID, consulte Sincronização de identidade e resiliência de atributos duplicados.
Problemas
Um cenário comum
Quando ocorrem erros de sincronização QuarantinedAttributeValueMustBeUnique e AttributeValueMustBeUnique , é comum ver um conflito UserPrincipalName ou Proxy Addresses no Microsoft Entra ID. Você pode resolver os erros de sincronização atualizando o objeto de origem conflitante do lado local. O erro de sincronização será resolvido após a próxima sincronização. Por exemplo, esta imagem indica que dois usuários têm um conflito de seu UserPrincipalName. Ambos são Joe.J@contoso.com. Os objetos conflitantes são colocados em quarentena no Microsoft Entra ID.
Cenário de objeto órfão
Ocasionalmente, você pode achar que um usuário existente perde a âncora de origem. A exclusão do objeto de origem ocorreu no Ative Directory local. Mas a mudança de sinal de exclusão nunca foi sincronizada com o Microsoft Entra ID. Essa perda acontece por motivos como problemas no mecanismo de sincronização ou migração de domínio. Quando o mesmo objeto é restaurado ou recriado, logicamente, um usuário existente deve ser o usuário a ser sincronizado a partir da âncora de origem.
Quando um usuário existente é um objeto somente na nuvem, você também pode ver o usuário conflitante sincronizado com o ID do Microsoft Entra. O usuário não pode ser correspondido em sincronia com o objeto existente. Não há uma maneira direta de remapear a âncora de origem. Veja mais sobre a base de dados de conhecimento existente.
Como exemplo, o objeto existente no Microsoft Entra ID preserva a licença de Joe. Um objeto recém-sincronizado com uma âncora de origem diferente ocorre em um estado de atributo duplicado no ID do Microsoft Entra. As alterações para Joe no Ative Directory local não serão aplicadas ao usuário original de Joe (objeto existente) no Microsoft Entra ID.
Etapas de diagnóstico e solução de problemas no Connect Health
O recurso de diagnóstico oferece suporte a objetos de usuário com os seguintes atributos duplicados:
| Attribute name | Tipos de erro de sincronização |
|---|---|
| UserPrincipalName | QuarentenedAttributeValueMustBeUnique ou AttributeValueMustBeUnique |
| ProxyAddresses | QuarentenedAttributeValueMustBeUnique ou AttributeValueMustBeUnique |
| SipProxyAddress | AttributeValueMustBeUnique |
| OnPremiseSecurityIdentifier | AttributeValueMustBeUnique |
Importante
Para acessar esse recurso, é necessária a permissão de Administrador Global ou a permissão de Colaborador do RBAC do Azure.
Siga as etapas do centro de administração do Microsoft Entra para restringir os detalhes do erro de sincronização e fornecer soluções mais específicas:
No centro de administração do Microsoft Entra, siga algumas etapas para identificar cenários fixáveis específicos:
- Verifique a coluna Estado do diagnóstico . O status mostra se há uma maneira possível de corrigir um erro de sincronização diretamente do ID do Microsoft Entra. Em outras palavras, existe um fluxo de solução de problemas que pode restringir o caso de erro e potencialmente corrigi-lo.
| Status | O que é que isso significa? |
|---|---|
| Não Iniciado | Você não visitou este processo de diagnóstico. Dependendo do resultado do diagnóstico, há uma maneira potencial de corrigir o erro de sincronização diretamente do portal. |
| Correção manual necessária | O erro não se encaixa nos critérios de correções disponíveis no portal. Os tipos de objeto conflitantes não são usuários ou você já passou pelas etapas de diagnóstico e nenhuma resolução de correção estava disponível no portal. Neste último caso, uma correção do lado local ainda é uma das soluções. Leia mais sobre correções locais. |
| Sincronização pendente | Foi aplicada uma correção. O portal está aguardando o próximo ciclo de sincronização para limpar o erro. |
Importante
A coluna de status do diagnóstico será redefinida após cada ciclo de sincronização.
Selecione o botão Diagnosticar abaixo dos detalhes do erro. Você responderá a algumas perguntas e identificará os detalhes do erro de sincronização. As respostas às perguntas ajudam a identificar um caso de objeto órfão.
Se um botão Fechar aparecer no final do diagnóstico, não há nenhuma solução rápida disponível no portal com base nas suas respostas. Consulte a solução mostrada na última etapa. Correções locais ainda são as soluções. Selecione o botão Fechar . O status do erro de sincronização atual muda para a correção manual necessária. O status permanece durante o ciclo de sincronização atual.
Depois que um caso de objeto órfão é identificado, você pode corrigir os erros de sincronização de atributos duplicados diretamente do portal. Para acionar o processo, selecione o botão Aplicar correção . O status do erro de sincronização atual é atualizado para Sincronização pendente.
Após o próximo ciclo de sincronização, o erro deve ser removido da lista.
Como responder às perguntas de diagnóstico
O usuário existe no Ative Directory local?
Esta pergunta tenta identificar o objeto de origem do usuário existente do Ative Directory local.
- Verifique se o Microsoft Entra ID tem um objeto com o UserPrincipalName fornecido. Em caso negativo, responda que não.
- Se isso acontecer, verifique se o objeto ainda está no escopo para sincronização.
- Pesquise no espaço do conector do Microsoft Entra usando o DN.
- Se o objeto for encontrado no estado Adicionar pendente , responda Não. O Microsoft Entra Connect não pode conectar o objeto ao objeto correto do Microsoft Entra.
- Se o objeto não for encontrado, responda Sim.
Nesses exemplos, a pergunta tenta identificar se Joe Jackson ainda existe no Ative Directory local. Para o cenário comum, os usuários Joe Johnson e Joe Jackson estão presentes no Ative Directory local. Os objetos em quarentena são dois usuários diferentes.
Para o cenário de objeto órfão, apenas o único usuário Joe Johnson está presente no Ative Directory local:
Ambas as contas pertencem ao mesmo utilizador?
Esta pergunta verifica um usuário conflitante de entrada e o objeto de usuário existente no ID do Microsoft Entra para ver se eles pertencem ao mesmo usuário.
- O objeto em conflito foi recentemente sincronizado com o Microsoft Entra ID. Compare os atributos dos objetos:
- Nome a apresentar
- UserPrincipalName ou SignInName
- ObjectID
- Se o Microsoft Entra ID não conseguir compará-los, verifique se o Ative Directory tem objetos com os UserPrincipalNames fornecidos. Responda Não se encontrar ambos.
No exemplo a seguir, os dois objetos pertencem ao mesmo usuário Joe Johnson.
O que acontece depois que a correção é aplicada no cenário de objeto órfão
Com base nas respostas às perguntas anteriores, você verá o botão Aplicar correção quando houver uma correção disponível no Microsoft Entra ID. Nesse caso, o objeto local está sincronizando com um objeto Microsoft Entra inesperado. Os dois objetos são mapeados usando a âncora de origem. A alteração Apply Fix executa estas etapas ou etapas semelhantes:
- Atualiza a âncora de origem para o objeto correto no Microsoft Entra ID.
- Exclui o objeto conflitante na ID do Microsoft Entra se ele estiver presente.
Importante
A alteração Apply Fix aplica-se apenas a casos de objetos órfãos.
Após as etapas anteriores, o usuário pode acessar o recurso original, que é um link para um objeto existente. O valor de status Diagnosticar no modo de exibição de lista é atualizado para Sincronização Pendente. O erro de sincronização será resolvido após a próxima sincronização. O Connect Health não mostrará mais o erro de sincronização resolvido na exibição de lista.
Falhas e mensagens de erro
O usuário com atributo conflitante é excluído suavemente na ID do Microsoft Entra. Certifique-se de que o usuário foi excluído antes de tentar novamente.
O usuário com atributo conflitante no Microsoft Entra ID deve ser limpo antes que você possa aplicar a correção. Confira como excluir o usuário permanentemente no Microsoft Entra ID antes de tentar novamente a correção. O usuário também será automaticamente excluído permanentemente após 30 dias em estado de exclusão suave.
Não há suporte para a atualização da âncora de origem para o usuário baseado em nuvem em seu locatário.
O usuário baseado em nuvem no Microsoft Entra ID não deve ter âncora de origem. Neste caso, não há suporte para a atualização da âncora de origem. A correção manual é necessária no local.
O processo de correção falhou ao atualizar os valores. As configurações específicas, como UserWriteback no Microsoft Entra Connect , não são suportadas. Por favor, desative nas configurações.
FAQ
P. O que acontece se a execução da correção de aplicação falhar?
A. Se a execução falhar, é possível que o Microsoft Entra Connect esteja executando um erro de exportação. Atualize a página do portal e tente novamente após a próxima sincronização. O ciclo de sincronização padrão é de 30 minutos.
P. E se o objeto existente for o objeto a ser excluído?
A. Se o objeto existente deve ser excluído, o processo não envolve uma alteração da âncora de origem. Normalmente, você pode corrigi-lo a partir do Ative Directory local.
P. De que permissão um usuário precisa para aplicar a correção?
Um. O Administrador Global, ou Colaborador do RBAC do Azure, tem permissão para acessar o processo de diagnóstico e solução de problemas.
P. Tenho que configurar o Microsoft Entra Connect ou atualizar o agente Microsoft Entra Connect Health para esse recurso?
A. Não, o processo de diagnóstico é um recurso completo baseado na nuvem.
P. Se o objeto existente for excluído suavemente, o processo de diagnóstico tornará o objeto ativo novamente?
A. Não, a correção não atualizará atributos de objeto diferentes da âncora de origem.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários