Partilhar via


Compreender os erros durante a sincronização do Microsoft Entra

Erros podem ocorrer quando os dados de identidade são sincronizados do Ative Directory do Windows Server para o Microsoft Entra ID. Este artigo fornece uma visão geral de diferentes tipos de erros de sincronização, alguns dos cenários possíveis que causam esses erros e possíveis maneiras de corrigir os erros. Este artigo inclui tipos de erro comuns e pode não abranger todos os erros possíveis.

Este artigo pressupõe que você esteja familiarizado com os conceitos de design subjacentes do Microsoft Entra ID e do Microsoft Entra Connect.

Importante

Este artigo tenta resolver os erros de sincronização mais comuns. Infelizmente, não é possível cobrir todos os cenários em um documento. Para obter mais informações, incluindo etapas detalhadas de solução de problemas, consulte Solução de problemas completa de objetos e atributos do Microsoft Entra Connect e a seção Provisionamento e sincronização de usuários na documentação de solução de problemas do Microsoft Entra.

Com a versão mais recente do Microsoft Entra Connect (agosto de 2016 ou superior), um Relatório de Erros de Sincronização está disponível no centro de administração do Microsoft Entra como parte do Microsoft Entra Connect Health for sync.

A partir de 1º de setembro de 2016, a resiliência de atributo duplicado do Microsoft Entra ID é habilitada por padrão para todos os novos locatários do Microsoft Entra. Esse recurso é ativado automaticamente para locatários existentes.

O Microsoft Entra Connect executa três tipos de operações a partir dos diretórios que mantém sincronizados: Importar, Sincronizar e Exportar. Podem ocorrer erros nas três operações. Este artigo se concentra principalmente em erros durante a exportação para o Microsoft Entra ID.

Erros durante a exportação para o Microsoft Entra ID

A seção a seguir descreve diferentes tipos de erros de sincronização que podem ocorrer durante a operação de exportação para o Microsoft Entra ID usando o conector Microsoft Entra. Você pode identificar esse conector pelo formato de nome contoso.onmicrosoft.com. Erros durante a exportação para o Microsoft Entra ID indicam que uma operação como adicionar, atualizar ou excluir tentada pelo Microsoft Entra Connect (mecanismo de sincronização) no Microsoft Entra ID falhou.

Diagrama que mostra a visão geral dos erros de exportação.

Erros de incompatibilidade de dados

Esta seção discute erros de incompatibilidade de dados.

InvalidHardMatch

Description

Um erro InvalidHardMatch ocorre durante a sincronização quando há uma tentativa de correspondência física de objetos presentes no ID do Microsoft Entra com um novo objeto de entrada que tem o mesmo valor sourceAnchor, mas o recurso BlockCloudObjectTakeoverThroughHardMatchEnabled está habilitado no locatário.

Cenários de exemplo para um erro InvalidHardMatch

  • O DirSync é reativado no locatário e os objetos com o mesmo sourceAnchor são sincronizados novamente, no entanto , o recurso BlockCloudObjectTakeoverThroughHardMatchEnabled está habilitado e impede que a correspondência difícil ocorra.
  • O usuário foi excluído do escopo de sincronização e restaurado da Lixeira Microsoft Entra ID. Mais tarde, o usuário é readicionado ao escopo de sincronização e tenta assumir o objeto já presente no ID do Microsoft Entra com base no mesmo valor sourceAnchor, no entanto , o recurso BlockCloudObjectTakeoverThroughHardMatchEnabled está habilitado e impede que a correspondência difícil ocorra.

Caso de exemplo

  1. Bob Smith é um utilizador sincronizado no Microsoft Entra ID a partir do Active Directory no local de contoso.com.
  2. Por padrão, o valor SourceAnchor de "abcdefghijklmnopqrstuv==" é calculado pelo Microsoft Entra Connect usando o atributo MsDs-ConsistencyGUID de Bob Smith (ou ObjectGUID, dependendo da configuração) do Ative Directory local. Esse valor de atributo é o immutableId para Bob Smith no Microsoft Entra ID.
  3. O administrador remove Bob Smith do escopo de sincronização e o Microsoft Entra Connect exporta uma exclusão do objeto.
  4. O objeto de Bob Smith torna-se soft-deleted no Microsoft Entra ID e seu atributo DirSyncEnabled é alternado para False. Esse processo, no entanto, não converte o objeto em gerenciado pela nuvem, ele ainda é considerado um objeto sincronizado do Ative Directory local. O valor DirSyncEnabled é False para indicar que está atualmente fora de sincronia e está disponível para ser correspondido novamente.
  5. O administrador adiciona novamente Bob Smith ao escopo de sincronização e o Microsoft Entra Connect sincroniza novamente o objeto.
  6. Normalmente, uma correspondência física assume o objeto presente no ID do Microsoft Entra com base no mesmo SourceAnchor e alterna o atributo DirSyncEnabled de volta para 'True', no entanto, quando BlockCloudObjectTakeoverThroughHardMatchEnabled está habilitado, essa operação não é permitida e um InvalidHardMatch é lançado.

Corrigir o erro InvalidHardMatch

Aconselhamos os clientes a habilitar o BlockCloudObjectTakeoverThroughHardMatchEnabled , a menos que precisem dele para assumir contas existentes no Microsoft Entra ID.

Se você precisar limpar um erro InvalidHardtMatch e corresponder à conta com êxito, poderá habilitar o hard match novamente conforme descrito em Hard-match vs Soft-match.

InválidoSoftMatch

Description

  • O erro InvalidSoftMatch ocorre quando a correspondência física não encontra nenhum objeto correspondente e a correspondência suave encontra um objeto correspondente, mas esse objeto tem um valor immutableId diferente do sourceAnchor do objeto de entrada. Essa incompatibilidade sugere que o objeto correspondente foi sincronizado de outro objeto do Ative Directory local.

Para que a correspondência suave funcione, o objeto com o qual a correspondência suave não deve ter nenhum valor para o atributo immutableId . A operação resulta em um erro de sincronização InvalidSoftMatch quando o objeto com o atributo immutableId definido com um valor, falha a correspondência rígida, mas satisfaz os critérios de correspondência flexível.

O esquema do Microsoft Entra não permite que dois ou mais objetos tenham o mesmo valor dos atributos seguintes. Esta lista não é exaustiva:

  • proxyAddresses
  • userPrincipalName
  • onPremisesSecurityIdentifier
  • objectId
  • immutableId

Microsoft Entra atributo duplicado atributo resiliência](how-to-connect-syncservice-duplicate-attribute-resiliency.md) também está sendo implementado como o comportamento padrão do Microsoft Entra ID. Esse recurso reduz o número de erros de sincronização vistos pelo Microsoft Entra Connect e outros clientes de sincronização. Ele torna o Microsoft Entra mais resiliente na maneira como lida com atributos proxyAddresses e userPrincipalName duplicados presentes em ambientes locais do Ative Directory.

Esse recurso não corrige os erros de duplicação, portanto, os dados ainda precisam ser corrigidos. Mas ele permite o provisionamento de novos objetos que, de outra forma, são impedidos de serem provisionados devido a valores duplicados no Microsoft Entra ID. Esse recurso também reduz o número de erros de sincronização retornados ao cliente de sincronização.

Nota

Se a resiliência de atributo duplicado do Microsoft Entra estiver habilitada para seu locatário, você não verá os erros de sincronização InvalidSoftMatch vistos durante o provisionamento de novos objetos.

Cenários de exemplo para um erro InvalidSoftMatch

  • Dois ou mais objetos com o mesmo valor para o atributo proxyAddresses existem no Ative Directory local. Apenas um está sendo provisionado no Microsoft Entra ID.
  • Dois ou mais objetos com o mesmo valor para o atributo userPrincipalName existem no Ative Directory local. Apenas um está sendo provisionado no Microsoft Entra ID.
  • Um objeto foi adicionado no Ative Directory local com o mesmo valor para o atributo proxyAddresses que o de um objeto existente no Microsoft Entra ID. O objeto adicionado no local não está sendo provisionado na ID do Microsoft Entra.
  • Um objeto foi adicionado no Ative Directory local com o mesmo valor para o atributo userPrincipalName que o de uma conta no Microsoft Entra ID. O objeto não está sendo provisionado no Microsoft Entra ID.
  • Uma conta sincronizada foi movida da Floresta A para a Floresta B. O Microsoft Entra Connect (mecanismo de sincronização) estava usando o atributo objectGUID para calcular o atributo sourceAnchor . Após a movimentação da floresta, o valor do atributo sourceAnchor é diferente. O novo objeto da Floresta B não consegue sincronizar com o objeto existente no Microsoft Entra ID.
  • Um objeto sincronizado foi excluído acidentalmente do Ative Directory local e um novo objeto foi criado no Ative Directory para a mesma entidade (como usuário) sem excluir a conta no Microsoft Entra ID. A nova conta não consegue sincronizar com o objeto existente do Microsoft Entra.
  • O Microsoft Entra Connect foi desinstalado e reinstalado. Durante a reinstalação, um atributo diferente foi escolhido como o atributo sourceAnchor . Todos os objetos sincronizados anteriormente param de sincronizar com o erro InvalidSoftMatch.

Caso de exemplo

  1. Bob Smith é um usuário sincronizado no Microsoft Entra ID do Ative Directory local do contoso.com.
  2. O nome principal do usuário de Bob Smith é definido como bobs@contoso.com.
  3. O atributo sourceAnchor de "abcdefghijklmnopqrstuv==" é calculado pelo Microsoft Entra Connect usando o atributo objectGUID de Bob Smith do Ative Directory local. Este atributo é o atributo immutableId para Bob Smith no Microsoft Entra ID.
  4. Bob também tem os seguintes valores para o atributo proxyAddresses :
    • SMTP: bobs@contoso.com
    • SMTP: bob.smith@contoso.com
    • SMTP: bob@contoso.com
  5. Um novo usuário, Bob Taylor, é adicionado ao Ative Directory local.
  6. O nome principal de utilizador de Bob Taylor é definido como bobt@contoso.com.
  7. O atributo sourceAnchor de "abcdefghijkl0123456789==" é calculado pelo Microsoft Entra Connect usando o atributo objectGUID de Bob Taylor do Ative Directory local.
  8. Bob Taylor tem os seguintes valores para o atributo proxyAddresses :
    • SMTP: bobt@contoso.com
    • SMTP: bob.taylor@contoso.com
    • SMTP: bob@contoso.com
  9. Durante a sincronização, o Microsoft Entra Connect reconhece a adição de Bob Taylor no Ative Directory local e solicita que o Microsoft Entra ID faça a mesma alteração.
  10. O Microsoft Entra primeiro executa uma partida difícil. Ou seja, ele procura qualquer objeto com o atributo immutableId igual a "abcdefghijkl0123456789==". A correspondência difícil falha porque nenhum outro objeto no Microsoft Entra ID tem esse atributo immutableId .
  11. Em seguida, o Microsoft Entra ID executa uma correspondência suave para encontrar Bob Taylor. Ou seja, ele pesquisa para ver se há algum objeto com atributos proxyAddresses iguais aos três valores, incluindo smtp: bob@contoso.com.
  12. O Microsoft Entra ID encontra o objeto de Bob Smith para corresponder aos critérios de correspondência suave. Mas esse objeto tem o valor de immutableId = "abcdefghijklmnopqrstuv==", o que indica que esse objeto foi sincronizado de outro objeto do Ative Directory local. O Microsoft Entra ID não pode corresponder suavemente a esses objetos, portanto, um erro de sincronização InvalidSoftMatch é lançado.

Corrigir o erro InvalidSoftMatch

O motivo mais comum para o erro InvalidSoftMatch são dois objetos com atributos sourceAnchor (immutableId) diferentes que têm o mesmo valor para os atributos proxyAddresses ou userPrincipalName, que são usados durante o processo de correspondência suave no Microsoft Entra ID. Para corrigir o erro InvalidSoftMatch:

  1. Identifique o proxyAddresses duplicado, userPrincipalName ou outro valor de atributo que está causando o erro. Identifique também quais são os dois ou mais objetos que estão envolvidos no conflito. O relatório gerado pelo Microsoft Entra Connect Health para sincronização pode ajudá-lo a identificar os dois objetos.
  2. Identifique qual objeto deve continuar a ter o valor duplicado e qual objeto não deve.
  3. Remova o valor duplicado do objeto que não deve ter esse valor. Faça a alteração no diretório de onde o objeto é proveniente. Em alguns casos, poderá ter de eliminar um dos objetos em conflito.
  4. Se você fez a alteração no Ative Directory local, deixe o Microsoft Entra Connect Sync a alteração.

Os relatórios de erros de sincronização no Microsoft Entra Connect Health para sincronização são atualizados a cada 30 minutos e incluem os erros da última tentativa de sincronização.

Nota

O atributo ImmutableId , por definição, não deve ser alterado durante o tempo de vida do objeto. Mas talvez o Microsoft Entra Connect não tenha sido configurado com alguns dos cenários em mente da lista anterior. Nesse caso, o Microsoft Entra Connect pode calcular um valor diferente do atributo sourceAnchor para o objeto do Ative Directory que representa a mesma entidade (mesmo usuário, grupo ou contato) que tem um objeto existente do Microsoft Entra que você deseja continuar usando.

Artigo relacionado

Atributos duplicados ou inválidos impedem a sincronização de diretórios no Microsoft 365

ObjectTypeMismatch

Description

Quando o Microsoft Entra ID tenta fazer a correspondência suave de dois objetos, é possível que dois objetos de "tipo de objeto" diferente, como usuário, grupo ou contato, tenham os mesmos valores para os atributos usados para executar a correspondência flexível. Como a duplicação desses atributos não é permitida no Microsoft Entra ID, a operação pode resultar em um erro de sincronização ObjectTypeMismatch.

Cenário de exemplo para um erro ObjectTypeMismatch

Um grupo de segurança habilitado para email é criado no Microsoft 365. O administrador adiciona um novo usuário ou contato no Ative Directory local que ainda não está sincronizado com a ID do Microsoft Entra com o mesmo valor para o atributo proxyAddresses do grupo do Microsoft 365.

Caso de exemplo

  1. Um administrador cria um novo grupo de segurança habilitado para email no Microsoft 365 para o departamento de Impostos e fornece um endereço de email como tax@contoso.com. Este grupo recebe o valor do atributo proxyAddresses de smtp: tax@contoso.com.
  2. Um novo usuário ingressa Contoso.com e uma conta é criada para o usuário local com o atributo proxyAddresses como smtp: tax@contoso.com.
  3. Quando o Microsoft Entra Connect sincroniza a nova conta de usuário, ele recebe o erro ObjectTypeMismatch.

Corrigir o erro ObjectTypeMismatch

O motivo mais comum para o erro ObjectTypeMismatch é que dois objetos de tipo diferente, como usuário, grupo ou contato, têm o mesmo valor para o atributo proxyAddresses . Para corrigir o erro ObjectTypeMismatch:

  1. Identifique o valor proxyAddresses duplicado (ou outro atributo) que está causando o erro. Identifique também quais são os dois ou mais objetos que estão envolvidos no conflito. O relatório gerado pelo Microsoft Entra Connect Health para sincronização pode ajudá-lo a identificar os dois objetos.
  2. Identifique qual objeto deve continuar a ter o valor duplicado e qual objeto não deve.
  3. Remova o valor duplicado do objeto que não deve ter esse valor. Faça a alteração no diretório de onde o objeto é originado. Em alguns casos, poderá ter de eliminar um dos objetos em conflito.
  4. Se você fez a alteração no AD local, deixe o Microsoft Entra Connect Sync a alteração. O relatório de erros de sincronização no Microsoft Entra Connect Health for sync é atualizado a cada 30 minutos. O relatório inclui os erros da última tentativa de sincronização.

Atributos duplicados

Esta secção aborda erros de atributos duplicados.

AttributeValueMustBeUnique

Description

O esquema do Microsoft Entra não permite que dois ou mais objetos tenham o mesmo valor dos atributos seguintes. Cada objeto no Microsoft Entra ID é forçado a ter um valor exclusivo desses atributos numa determinada instância:

  • correio
  • proxyAddresses
  • signInName
  • userPrincipalName

Se o Microsoft Entra ID tentar adicionar um novo objeto ou atualizar um objeto existente com um valor para os atributos anteriores que já está atribuído a outro objeto no Microsoft Entra ID, a operação resultará no erro de sincronização AttributeValueMustBeUnique.

Cenário possível

Um valor duplicado é atribuído a um objeto já sincronizado, que entra em conflito com um outro objeto sincronizado.

Caso de exemplo

  1. Bob Smith é um utilizador sincronizado no Microsoft Entra ID a partir do Active Directory no local de contoso.com.
  2. O nome principal de utilizador de Bob Smith no local é definido como bobs@contoso.com.
  3. Bob também tem os seguintes valores para o atributo proxyAddresses :
    • SMTP: bobs@contoso.com
    • SMTP: bob.smith@contoso.com
    • SMTP: bob@contoso.com
  4. Um novo usuário, Bob Taylor, é adicionado ao Ative Directory local.
  5. O nome principal de utilizador de Bob Taylor é definido como bobt@contoso.com.
  6. Bob Taylor tem os seguintes valores para o atributo proxyAddresses :
    • SMTP: bobt@contoso.com
    • SMTP: bob.taylor@contoso.com
  7. O objeto de Bob Taylor foi sincronizado com o Microsoft Entra ID com êxito.
  8. O administrador decidiu atualizar o atributo proxyAddresses de Bob Taylor com o seguinte valor:
    • SMTP: bob@contoso.com
  9. O Microsoft Entra ID tenta atualizar o objeto de Bob Taylor no Microsoft Entra ID com o valor anterior, mas essa operação falha porque esse valor de proxyAddresses já está atribuído a Bob Smith. O resultado é um erro AttributeValueMustBeUnique.

Corrigir o erro AttributeValueMustBeUnique

O motivo mais comum para o erro AttributeValueMustBeUnique é que dois objetos com atributos sourceAnchor (immutableId) diferentes têm o mesmo valor para os atributos proxyAddresses ou userPrincipalName. Para corrigir o erro AttributeValueMustBeUnique:

  1. Identifique o proxyAddresses duplicado, userPrincipalName ou outro valor de atributo que está causando o erro. Identifique também quais são os dois ou mais objetos que estão envolvidos no conflito. O relatório gerado pelo Microsoft Entra Connect Health para sincronização pode ajudá-lo a identificar os dois objetos.
  2. Identifique qual objeto deve continuar a ter o valor duplicado e qual objeto não deve.
  3. Remova o valor duplicado do objeto que não deve ter esse valor. Faça a alteração no diretório de onde o objeto é proveniente. Em alguns casos, poderá ter de eliminar um dos objetos em conflito.
  4. Se tiver feito a alteração no Active Directory no local, deixe o Microsoft Entra Connect sincronizar a alteração para que o erro seja corrigido.

Artigo relacionado

Atributos duplicados ou inválidos impedem a sincronização de diretórios no Microsoft 365

Falhas na validação de dados

Esta seção discute falhas de validação de dados.

IdentityDataValidationFailed

Description

O Microsoft Entra ID impõe várias restrições aos dados antes de permitir sejam escritos no diretório. Essas restrições são para garantir que os usuários finais obtenham a melhor experiência possível ao usar os aplicativos que dependem desses dados.

Cenários

  • O valor do atributo userPrincipalName tem caracteres inválidos ou sem suporte.
  • O atributo userPrincipalName não segue o formato necessário.

O resultado dos cenários anteriores é um erro IdentityDataValidationFailed.

Corrigir o erro IdentityDataValidationFailed

Verifique se o atributo userPrincipalName tem caracteres suportados e o formato necessário.

Artigo relacionado

Preparar para provisionar usuários por meio da sincronização de diretórios com o Microsoft 365

Erros de violação do acesso da palavra-passe e de violação do acesso da eliminação

O Microsoft Entra ID protege objetos somente na nuvem de serem atualizados por meio do Microsoft Entra Connect. Embora não seja possível atualizar esses objetos por meio do Microsoft Entra Connect, as chamadas podem ser feitas diretamente para o back-end do Microsoft Entra para tentar alterar objetos somente na nuvem. Ao fazer isso, os seguintes erros podem ser retornados:

  • Esta operação de sincronização, Delete, não é válida. Entre em contato com o suporte técnico (tipo de erro 114).
  • Não é possível processar esta atualização porque uma ou mais atualizações de credenciais de usuários somente na nuvem estão incluídas na solicitação atual.
  • Não há suporte para a exclusão de um objeto somente na nuvem. Entre em contato com o Suporte ao Cliente da Microsoft.
  • A solicitação de alteração de senha não pode ser executada porque contém alterações em um ou mais objetos de usuário somente na nuvem, que não são suportados. Entre em contato com o Suporte ao Cliente da Microsoft.

Resolver DeletingCloudOnlyObjectNotAllowed (Tipo de erro 114)

Esta seção discute possíveis causas e soluções para resolver o erro DeletingCloudOnlyObjectNotAllowed (Tipo de erro 114).

A Microsoft recomenda que as organizações tenham duas contas de acesso de emergência somente na nuvem permanentemente atribuídas à função de Administrador Global . Essas contas são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas são limitadas a cenários de emergência ou de "quebra de vidro" em que as contas normais não podem ser usadas ou todos os outros administradores são bloqueados acidentalmente. Essas contas devem ser criadas seguindo as recomendações da conta de acesso de emergência.

Description

Este é um cenário em que um cliente deseja migrar do híbrido para o somente na nuvem. O administrador inicia uma chamada para o Microsoft Entra Connect na tentativa de mover os usuários para fora do escopo, mas o Microsoft Entra Connect retorna o erro DeletingCloudOnlyObjectNotAllowed (ou Tipo de erro 114): "Esta operação de sincronização, Excluir, não é válida. Entre em contato com o Suporte Técnico."

Possíveis causas desse erro incluem:

  • A chamada do Microsoft Entra Connect não tem UPN, um GUID novo ou exclusivo ou outras informações necessárias.
  • O Microsoft Entra Connect está tentando exportar dados, mas está DirSyncEnabled definido como False.
  • O Microsoft Entra Connect está tentando excluir um usuário restaurado ou outro objeto. Isso geralmente ocorre porque um usuário ou outra referência de objeto foi movida para fora do escopo sincronizado ou para o contêiner Lost & Found.

Cenários possíveis

O cliente Microsoft Entra Connect não está conseguindo excluir usuários durante a migração do híbrido para a nuvem somente, resultando no tipo de erro 114.

As possíveis razões para os utilizadores não serem eliminados incluem:

  • A regra criada pelo cliente para mover os usuários para fora do escopo é baseada no Admin atributo.
  • O tipo de erro 114 está sendo retornado durante a operação de sincronização (Azure AD Sync), resultando em uma falha ao excluir usuários.
  • A sincronização falha para recursos específicos, resultando em usuários que não são excluídos de acordo.

Exemplo de erro

Exemplo do erro de exportação:

TimeOccurred (UTC) 2021-10-20 23:51:28
MachineId 321d15e1-4ad6-49c7-918b-40a62a5140bd
Connector Name IDEXX.onmicrosoft.com - AAD
ErrorType 114
ErrorCode 0x8023134a
ErrorLiteral This synchronization operation, Delete, is not valid. Contact Technical Support. Tracking Id: 09fb1e9b-3ff7-4163-9731-581785e347e5
ServerErrorDetail N/A
CsObjectIdentifier {aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb}
Dn CN={783456306961654236304B58786A66746377643748773D3D}

Corrigir o erro

Para resolver este problema:

  1. Identifique a referência do objeto problemático.
  2. Use o PowerShell para excluir suavemente a conta na nuvem:
  3. Execute Start-ADSyncSyncCycle -PolicyType Delta o que deve importar com êxito a exclusão da conta.
  4. Confirme se a exclusão foi bem-sucedida.
  5. Restaure o usuário a partir da Lixeira.
  6. Execute Start-ADSyncSyncCycle -PolicyType Delta no servidor para confirmar que o erro não ocorre novamente.

Aviso

Quando um usuário é excluído do escopo de sincronização, o objeto se torna excluído suavemente na ID do Microsoft Entra e seu atributo DirSyncEnabled é alternado para False. No entanto, esse processo não converte o objeto em gerenciado pela nuvem, pois ainda contém atributos e valores sincronizados do Ative Directory local que não podem ser gerenciados na nuvem. O valor DirSyncEnabled é False para indicar que está atualmente fora de sincronia e está disponível para ser correspondido novamente.

LargeObject ou ExceededAllowedLength

Esta seção discute erros LargeObject ou ExceededAllowedLength.

Description

Quando um atributo excede o limite de tamanho permitido, limite de comprimento ou limite de contagem definido pelo esquema do Microsoft Entra, a operação de sincronização resulta em um erro de sincronização LargeObject ou ExceededAllowedLength. Normalmente, esse erro ocorre para os seguintes atributos:

  • userCertificate
  • userSMIMECertificate
  • thumbnailPhoto
  • proxyAddresses

O Microsoft Entra ID não impõe limites por atributo, exceto por um limite codificado de 15 certificados no atributo userCertificate e até 100 atributos para extensões de diretório com um máximo de 250 caracteres para cada extensão de diretório. Há um limite de tamanho para todo o objeto. Quando o Microsoft Entra Connect tenta sincronizar um objeto que excede este limite de tamanho de objeto, é gerado um erro de exportação.

Todos os atributos contribuem para o tamanho final do objeto. Alguns atributos têm multiplicadores de peso diferentes devido à sobrecarga de processamento adicional. Um exemplo são os valores indexados. Além disso, diferentes serviços de nuvem, planos de serviço e licenças podem ser atribuídos à conta, o que consome ainda mais atributos e contribui para o tamanho geral do objeto.

Não é possível determinar exatamente quantas entradas um atributo pode conter no Microsoft Entra ID, por exemplo, quantos endereços SMTP podem caber no atributo proxyAddresses . A quantidade depende do tamanho e dos fatores multiplicadores de todos os atributos preenchidos no objeto.

Cenários possíveis

  • O atributo userCertificate de Bob está armazenando muitos certificados atribuídos a Bob. Estes certificados poderão incluir certificados mais antigos e expirados. O limite máximo é de 15 certificados. Para obter mais informações sobre como manipular erros LargeObject com o atributo userCertificate , consulte Manipulando erros LargeObject causados pelo atributo userCertificate.
  • O atributo userSMIMECertificate do Bob está armazenando muitos certificados atribuídos ao Bob. Estes certificados poderão incluir certificados mais antigos e expirados. O limite máximo é de 15 certificados.
  • O atributo thumbnailPhoto de Bob definido no Ative Directory é muito grande para ser sincronizado no Microsoft Entra ID.
  • Durante o preenchimento automático do atributo proxyAddresses no Ative Directory, um objeto tem muitos atributos proxyAddresses atribuídos.

Os exemplos a seguir demonstram os diferentes pesos de atributos como userCertificate e proxyAddresses:

  • Um usuário sincronizado que não tenha nenhum atributo preenchido além dos atributos obrigatórios do Ative Directory e do Mail poderá sincronizar até 332 endereços proxy.
  • Para um usuário sincronizado semelhante que tenha um atributo mailNickName , mais 10 certificados de usuário, o número máximo de endereços proxy diminui para 329.
  • Se um usuário sincronizado semelhante com 10 certificados de usuário mais, por exemplo, 4 assinaturas atribuídas (com todos os planos de serviço habilitados), o número máximo de endereços proxy diminui para 311.
  • Agora vamos pegar o usuário anterior, que já detém o número máximo de endereços proxy, e dizer que você precisa adicionar mais um endereço SMTP. Para obter 312 endereços proxy, você precisaria remover pelo menos três certificados de usuário (dependendo do tamanho do certificado).

Nota

Estes números podem variar ligeiramente. Como regra geral, é mais seguro assumir que o limite de endereços SMTP no atributo proxyAddresses é de aproximadamente 300 endereços para deixar espaço para o crescimento futuro do objeto e seus atributos preenchidos.

Corrigir o erro LargeObject ou ExceededAllowedLength

Revise as propriedades do usuário e remova os valores de atributo que podem não ser mais necessários. Os exemplos incluem certificados revogados ou expirados e endereços desatualizados ou desnecessários, como SMTP, X.400, X.500, MSMail e CcMail.

Conflito de Função de Administrador Existente

Description

Um erro de sincronização de conflito de função de administrador existente ocorre em um objeto de usuário durante a sincronização quando esse objeto de usuário tem:

  • Permissões administrativas.
  • O mesmo atributo userPrincipalName que um objeto existente do Microsoft Entra.

O Microsoft Entra Connect não tem permissão para fazer a correspondência suave de um objeto de usuário do AD local com um objeto de usuário na ID do Microsoft Entra que tenha uma função administrativa atribuída a ele. Para obter mais informações, consulte População userPrincipalName do Microsoft Entra.

Captura de ecrã que mostra o número de erros de sincronização de Conflito de Funções de Administrador Existentes.

Corrigir o erro de conflito de função de administrador existente

Para resolver este problema:

  1. Remova a conta do Microsoft Entra (proprietário) de todas as funções de administrador.
  2. Exclua o objeto em quarentena na nuvem.
  3. O próximo ciclo de sincronização cuidará da correspondência suave entre o usuário local e a conta de nuvem, porque o usuário de nuvem agora não é mais um Administrador de Identidade Híbrida.
  4. Restaure as associações de função para o proprietário.

Nota

Você pode atribuir a função administrativa ao objeto de usuário existente novamente após a correspondência flexível entre o objeto de usuário local e o objeto de usuário do Microsoft Entra ter terminado.