Microsoft Entra Connect Sync: Manipulando erros LargeObject causados pelo atributo userCertificate

O Microsoft Entra ID impõe um limite máximo de 15 valores de certificado no atributo userCertificate. Se o Microsoft Entra Connect exportar um objeto com mais de 15 valores para o Microsoft Entra ID, o Microsoft Entra ID retornará um erro LargeObject com a mensagem:

“O objeto aprovisionado é demasiado grande. Corte o número de valores de atributos neste objeto. Ocorrerá uma nova tentativa da operação no próximo ciclo de sincronização...”

O erro LargeObject pode ser causado por outros atributos do AD. Para confirmar que ele é realmente causado pelo atributo userCertificate, você precisa verificar o objeto no AD local ou na Pesquisa de Metaverso do Gerenciador do Serviço de Sincronização.

Para obter a lista de objetos em seu locatário com erros LargeObject, use um dos seguintes métodos:

• Se o seu locatário estiver habilitado para o Microsoft Entra Connect Health para sincronização, você poderá consultar o Relatório de Erros de Sincronização fornecido.

• A guia Operações do Gerenciador do Serviço de Sincronização exibirá a lista de objetos com erros LargeObject se você clicar na operação Exportar para o Microsoft Entra mais recente.

Opções de mitigação

Até que o erro LargeObject seja resolvido, outras alterações de atributo para o mesmo objeto não podem ser exportadas para o Microsoft Entra ID. Para resolver o erro, você pode considerar as seguintes opções:

• Atualize o Microsoft Entra Connect para a compilação 1.1.524.0 ou posterior. Na versão 1.1.524.0 do Microsoft Entra ID Connect, as regras de sincronização foram atualizadas para não exportar atributos userCertificate e userSMIMECertificate se estes tiverem mais de 15 valores. Para obter detalhes sobre como atualizar o Microsoft Entra Connect, consulte o artigo Microsoft Entra Connect: Atualizar de uma versão anterior para a mais recente.

• Implemente uma regra de sincronização de saída no Microsoft Entra Connect que exporte um valor nulo em vez dos valores reais para objetos com mais de 15 valores de certificado. Esta opção é adequada se não necessitar que nenhum dos valores de certificado seja exportado para o Microsoft Entra ID para objetos com mais de 15 valores. Para obter detalhes sobre como implementar essa regra de sincronização, consulte a próxima seção Implementando regra de sincronização para limitar a exportação do atributo userCertificate.

• Reduza o número de valores de certificado no objeto AD local (15 ou menos) removendo valores que não estão mais em uso pela sua organização. Isto é adequado se o atributo bloat for causado por certificados expirados ou não utilizados. Você pode usar o cmdlet Remove-ADSyncToolsExpiredCertificates para ajudar a localizar, fazer backup e excluir certificados expirados em seu AD local. Antes de eliminar os certificados, é recomendado contactar os administradores da Infraestrutura de Chave Pública na sua organização.

• Configure o Microsoft Entra Connect para excluir o atributo userCertificate de ser exportado para o Microsoft Entra ID. Em geral, não recomendamos esta opção, uma vez que o atributo pode ser utilizado pelo Microsoft Online Services para permitir cenários específicos. Em particular:

  • O atributo userCertificate no objeto User é usado pelos clientes Exchange Online e Outlook para assinatura e criptografia de mensagens. Para saber mais sobre esse recurso, consulte o artigo S/MIME para assinatura e criptografia de mensagens.

  • O atributo userCertificate no objeto Computer é usado pela ID do Microsoft Entra para permitir que dispositivos associados ao domínio local do Windows 10 se conectem à ID do Microsoft Entra. Para saber mais sobre esse recurso, consulte o artigo Conectar dispositivos ingressados no domínio ao Microsoft Entra ID para experiências do Windows 10.

Implementando regra de sincronização para limitar a exportação do atributo userCertificate

Para resolver o erro LargeObject causado pelo atributo userCertificate, você pode implementar uma regra de sincronização de saída no Microsoft Entra Connect que exporta um valor nulo em vez dos valores reais para objetos com mais de 15 valores de certificado. Esta seção descreve as etapas necessárias para implementar a regra de sincronização para objetos User . As etapas podem ser adaptadas para objetos de contato e computador .

Importante

A exportação de valor nulo remove valores de certificado exportados anteriormente com êxito para o Microsoft Entra ID.

As etapas podem ser resumidas como:

1. Desative o agendador de sincronização e verifique se não há nenhuma sincronização em andamento.
2. Encontre a regra de sincronização de saída existente para o atributo userCertificate.
3. Crie a regra de sincronização de saída necessária.
4. Verifique a nova regra de sincronização em um objeto existente com erro LargeObject.
5. Aplique a nova regra de sincronização aos objetos restantes com erro LargeObject.
6. Verifique se não há alterações inesperadas esperando para serem exportadas para o Microsoft Entra ID.
7. Exporte as alterações para o Microsoft Entra ID.
8. Reative o agendador de sincronização.

Etapa 1: desativar o agendador de sincronização e verificar se não há nenhuma sincronização em andamento

Certifique-se de que nenhuma sincronização ocorra enquanto estiver no meio da implementação de uma nova regra de sincronização para evitar que alterações não intencionais sejam exportadas para o Microsoft Entra ID. Para desativar o agendador de sincronização integrado:

1. Inicie a sessão do PowerShell no servidor Microsoft Entra Connect.

2. Desative a sincronização agendada executando o cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $false

Nota

As etapas anteriores só são aplicáveis a versões mais recentes (1.1.xxx.x) do Microsoft Entra Connect com o agendador interno. Se você estiver usando versões mais antigas (1.0.xxx.x) do Microsoft Entra Connect que usa o Agendador de Tarefas do Windows ou estiver usando seu próprio agendador personalizado (não comum) para acionar a sincronização periódica, será necessário desativá-los adequadamente.

1. Inicie o Gerenciador de Serviço de Sincronização indo para INICIAR → Serviço de Sincronização.

2. Vá para a guia Operações e confirme se não há nenhuma operação cujo status esteja "em andamento".

Etapa 2: Localizar a regra de sincronização de saída existente para o atributo userCertificate

Deve haver uma regra de sincronização existente habilitada e configurada para exportar o atributo userCertificate para objetos User para o ID do Microsoft Entra. Localize esta regra de sincronização para descobrir sua precedência e configuração de filtro de escopo:

1. Inicie o Editor de Regras de Sincronização indo para INICIAR → Editor de Regras de Sincronização.

2. Configure os filtros de pesquisa com os seguintes valores:

   Atributo	valor
   Direção	Saída
   Tipo de objeto MV	Pessoa
   Conector	nome do conector Microsoft Entra
   Tipo de objeto do conector	Utilizador
   Atributo MV	userCertificate

3. Se você estiver usando regras de sincronização OOB (prontas para uso) com o conector Microsoft Entra para exportar o atributo userCertificate para objetos User, deverá recuperar a regra "out to Microsoft Entra ID – User ExchangeOnline".

4. Anote o valor de precedência dessa regra de sincronização.

5. Selecione a regra de sincronização e clique em Editar.

6. Na caixa de diálogo pop-up "Editar confirmação de regra reservada", clique em Não. (Não se preocupe, não vamos fazer nenhuma alteração a esta regra de sincronização).

7. Na tela de edição, selecione a guia Filtro de escopo.

8. Anote a configuração do filtro de escopo. Se você estiver usando a regra de sincronização OOB, deve haver exatamente um grupo de filtros de escopo contendo duas cláusulas, incluindo:

   Atributo	Operador	valor
   sourceObjectType	IGUAL	User
   cloudMastered	OBSERVAÇÃO	True

Etapa 3: Criar a regra de sincronização de saída necessária

A nova regra de sincronização deve ter o mesmo filtro de escopo e precedência maior do que a regra de sincronização existente. Isso garante que a nova regra de sincronização se aplique ao mesmo conjunto de objetos que a regra de sincronização existente e substitua a regra de sincronização existente para o atributo userCertificate. Para criar a regra de sincronização:

1. No Editor de Regras de Sincronização, clique no botão Adicionar nova regra .

2. Na guia Descrição, forneça a seguinte configuração:

   Atributo	valor	Detalhes
   Nome	Forneça um nome	Por exemplo, "out to Microsoft Entra ID – Custom override for userCertificate"
   Description	Forneça uma descrição	Por exemplo, "Se o atributo userCertificate tiver mais de 15 valores, exporte NULL."
   Sistema conectado	Selecione o Microsoft Entra Connector
   Tipo de objeto do sistema conectado	Utilizador
   Tipo de objeto Metaverso	pessoa
   Tipo de Ligação	Join
   Precedência	Escolha um número entre 1 - 99	O número escolhido não deve ser usado por nenhuma regra de sincronização existente e tem um valor menor (e, portanto, maior precedência) do que a regra de sincronização existente.

3. Vá para a guia Filtro de escopo e implemente o mesmo filtro de escopo que a regra de sincronização existente está usando.

4. Ignore a guia Regras de ingresso.

5. Vá para a guia Transformações para adicionar uma nova transformação usando a seguinte configuração:

   Atributo	valor
   Tipo de fluxo	Expression
   Atributo de destino	userCertificate
   Atributo de origem	Use a seguinte expressão: IIF(IsNullOrEmpty([userCertificate]), NULL, IIF((Count([userCertificate])> 15),AuthoritativeNull,[userCertificate]))

6. Clique no botão Adicionar para criar a regra de sincronização.

Etapa 4: Verificar a nova regra de sincronização em um objeto existente com o erro LargeObject

Isso é para verificar se a regra de sincronização criada está funcionando corretamente em um objeto do AD existente com erro LargeObject antes de aplicá-la a outros objetos:

1. Vá para a guia Operações no Gerenciador de Serviço de Sincronização.
2. Selecione a operação Exportar para o Microsoft Entra mais recente e clique em um dos objetos com erros LargeObject.
3. Na tela pop-up Propriedades do objeto de espaço do conector, clique no botão Visualizar .
4. Na tela pop-up Visualização, selecione Sincronização completa e clique em Confirmar visualização.
5. Feche a tela Visualizar e a tela Propriedades do objeto de espaço do conector.
6. Vá para a guia Conectores no Gerenciador do Serviço de Sincronização.
7. Clique com o botão direito do mouse no Microsoft Entra ID Connector e selecione Executar...
8. No pop-up Executar conector, selecione a etapa Exportar e clique em OK.
9. Aguarde a conclusão de Exportar para a ID do Microsoft Entra e confirme se não há mais erro LargeObject neste objeto específico.

Etapa 5: Aplicar a nova regra de sincronização aos objetos restantes com erro LargeObject

Depois que a regra de sincronização for adicionada, você precisará executar uma etapa de sincronização completa no AD Connector:

1. Vá para a guia Conectores no Gerenciador do Serviço de Sincronização.
2. Clique com o botão direito do mouse no AD Connector e selecione Executar...
3. No pop-up Executar conector, selecione a etapa Sincronização completa e clique em OK.
4. Aguarde a conclusão da etapa Sincronização Completa.
5. Repita as etapas acima para os Conectores AD restantes se você tiver mais de um Conectores AD. Normalmente, vários conectores são necessários se você tiver vários diretórios locais.

Etapa 6: Verificar se não há alterações inesperadas esperando para serem exportadas para o Microsoft Entra ID

1. Vá para a guia Conectores no Gerenciador do Serviço de Sincronização.
2. Clique com o botão direito do mouse no Microsoft Entra ID Connector e selecione Search Connector Space.
3. No pop-up Espaço do conector de pesquisa:
   1. Defina Escopo como Exportação pendente.
   2. Marque todas as 3 caixas de seleção, incluindo Adicionar, Modificar e Excluir.
   3. Clique no botão Pesquisar para retornar todos os objetos com alterações aguardando para serem exportados para o Microsoft Entra ID.
   4. Verifique se não há alterações inesperadas. Para examinar as alterações de um determinado objeto, clique duas vezes no objeto.

Etapa 7: Exportar as alterações para o ID do Microsoft Entra

Para exportar as alterações para o Microsoft Entra ID:

1. Vá para a guia Conectores no Gerenciador do Serviço de Sincronização.
2. Clique com o botão direito do mouse no Microsoft Entra ID Connector e selecione Executar...
3. No pop-up Executar conector, selecione a etapa Exportar e clique em OK.
4. Aguarde a conclusão de Exportar para a ID do Microsoft Entra e confirme se não há mais erros LargeObject.

Etapa 8: Reativar o agendador de sincronização

Agora que o problema foi resolvido, reative o agendador de sincronização integrado:

1. Inicie a sessão do PowerShell.
2. Reative a sincronização agendada executando o cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $true

Nota

As etapas anteriores só são aplicáveis a versões mais recentes (1.1.xxx.x) do Microsoft Entra Connect com o agendador interno. Se você estiver usando versões mais antigas (1.0.xxx.x) do Microsoft Entra Connect que usa o Agendador de Tarefas do Windows ou estiver usando seu próprio agendador personalizado (não comum) para acionar a sincronização periódica, será necessário desativá-los adequadamente.

Próximos passos

Saiba mais sobre como integrar suas identidades locais com a ID do Microsoft Entra.