Kimlik eşitleme ve yinelenen öznitelik dayanıklılığı

  • Makale

Yinelenen Öznitelik Dayanıklılığı, Microsoft'un eşitleme araçlarından birini çalıştırırken UserPrincipalName ve SMTP ProxyAddress çakışmalarının neden olduğu çakışmaları ortadan kaldıran Bir Microsoft Entra Kimliği özelliğidir.

Bu iki özniteliğin genellikle belirli bir Microsoft Entra kiracısında tüm Kullanıcı, Grup veya Kişi nesneleri arasında benzersiz olması gerekir.

Not

Yalnızca Kullanıcılar UPN'lere sahip olabilir.

Bu özelliğin etkinleştirmiş olduğu yeni davranış, eşitleme işlem hattının bulut bölümünde olduğundan istemciden bağımsızdır ve Microsoft Entra Bağlan, DirSync ve MIM + Bağlan or gibi tüm Microsoft eşitleme ürünleriyle ilgilidir. Bu belgede bu ürünlerden herhangi birini temsil etmek için genel "eşitleme istemcisi" terimi kullanılır.

Geçerli davranış

Bu benzersizlik kısıtlamasını ihlal eden bir UPN veya ProxyAddress değeriyle yeni bir nesne sağlama girişimi varsa, Microsoft Entra Id bu nesnenin oluşturulmasını engeller. Benzer şekilde, bir nesne benzersiz olmayan bir UPN veya ProxyAddress ile güncelleştirilirse, güncelleştirme başarısız olur. Sağlama denemesi veya güncelleştirme, eşitleme istemcisi tarafından her dışarı aktarma döngüsünde yeniden denenir ve çakışma çözülene kadar başarısız olur. Her denemede bir hata raporu e-postası oluşturulur ve eşitleme istemcisi tarafından bir hata günlüğe kaydedilir.

Yinelenen Öznitelik Dayanıklılığı ile Davranış

Microsoft Entra Id, bir nesneyi yinelenen bir öznitelikle tamamen sağlanmamak veya güncelleştirememek yerine benzersizlik kısıtlamasını ihlal edecek yinelenen özniteliği "karantinaya alır". Bu öznitelik UserPrincipalName gibi sağlama için gerekliyse, hizmet bir yer tutucu değeri atar. Bu geçici değerlerin biçimi
<OriginalPrefix>+<4DigitNumber>@<InitialTenantDomain.onmicrosoft.com>.

Öznitelik dayanıklılığı işlemi yalnızca UPN ve SMTP ProxyAddress değerlerini işler.

ProxyAddress gibi öznitelik gerekli değilse, Microsoft Entra Id yalnızca çakışma özniteliğini karantinaya alır ve nesne oluşturma veya güncelleştirme işlemine devam eder.

Özniteliğin tamamlanmasının ardından, çakışma hakkındaki bilgiler eski davranışta kullanılan hata raporu e-postasında gönderilir. Ancak, bu bilgiler yalnızca bir kez hata raporunda görünür; karantina gerçekleştiğinde, gelecekteki e-postalarda günlüğe kaydedilmeye devam etmez. Ayrıca, bu nesnenin dışarı aktarma işlemi başarılı olduğundan, eşitleme istemcisi bir hata günlüğe kaydetmez ve sonraki eşitleme döngülerinde oluşturma/güncelleştirme işlemini yeniden denemez.

Bu davranışı desteklemek için Kullanıcı, Grup ve Kişi nesne sınıflarına yeni bir öznitelik eklendi:
DirSyncProvisioningErrors

Bu, normal şekilde eklenmesi durumunda benzersizlik kısıtlamasını ihlal edecek çakışan öznitelikleri depolamak için kullanılan çok değerli bir özniteliktir. Bir arka plan zamanlayıcı görevi, çözülmüş yinelenen öznitelik çakışmalarını aramak için saatte bir çalışan ve söz konusu öznitelikleri karantinadan otomatik olarak kaldıran Microsoft Entra Kimliği'nde etkinleştirilmiştir.

Yinelenen Öznitelik Dayanıklılığını Etkinleştirme

Yinelenen Öznitelik Dayanıklılığı, tüm Microsoft Entra kiracılarında yeni varsayılan davranış olacaktır. 22 Ağustos 2016 veya sonraki bir tarihte eşitlemeyi ilk kez etkinleştiren tüm kiracılar için varsayılan olarak açıktır. Bu tarihten önce eşitlemeyi etkinleştiren kiracılar, özelliği toplu olarak etkinleştirecektir. Bu dağıtım Eylül 2016'da başlayacak ve her kiracının teknik bildirim kişisine özelliğin etkinleştirileceği tarihe ilişkin bir e-posta bildirimi gönderilecektir.

Not

Yinelenen Öznitelik Dayanıklılığı açıldıktan sonra devre dışı bırakılamaz.

Özelliğin kiracınızda etkinleştirilip etkinleştirilmediğini denetlemek için Azure Active Directory PowerShell modülünün en son sürümünü indirip çalıştırarak bunu yapabilirsiniz:

Get-MsolDirSyncFeatures -Feature DuplicateUPNResiliency

Get-MsolDirSyncFeatures -Feature DuplicateProxyAddressResiliency

Not

Kiracınız için etkinleştirilmeden önce Yinelenen Öznitelik Dayanıklılığı özelliğini proaktif olarak etkinleştirmek için Set-MsolDirSyncFeature cmdlet'ini artık kullanamazsınız. Özelliği test edebilmek için yeni bir Microsoft Entra kiracısı oluşturmanız gerekir.

Not

Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.

Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş yapmanızı öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş hakkında SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.

DirSyncProvisioningErrors ile Nesneleri Tanımlama

Şu anda yinelenen özellik çakışmaları nedeniyle bu hatalara sahip nesneleri tanımlamak için iki yöntem vardır: Azure Active Directory PowerShell ve Microsoft 365 yönetim merkezi. Gelecekte ek portal tabanlı raporlamaya genişletme planları vardır.

Azure Active Directory PowerShell

Bu konudaki PowerShell cmdlet'leri için aşağıdakiler doğrudur:

  • Aşağıdaki cmdlet'lerin tümü büyük/küçük harfe duyarlıdır.
  • –ErrorCategory PropertyConflict her zaman dahil edilmelidir. Şu anda başka bir ErrorCategory türü yoktur, ancak bu gelecekte uzatılabilir.

İlk olarak, Bağlan-MsolService'i çalıştırarak ve kiracı yöneticisi için kimlik bilgilerini girerek başlayın.

Ardından, hataları farklı şekillerde görüntülemek için aşağıdaki cmdlet'leri ve işleçleri kullanın:

  1. Tümünü Gör
  2. Özellik Türüne Göre
  3. Çakışan Değere Göre
  4. Dize Araması Kullanma
  5. Sorted
  6. Sınırlı Miktarda veya Tümünde

Tümünü göster

Bağlandıktan sonra, kiracı çalıştırmasında öznitelik sağlama hatalarının genel listesini görmek için:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict

Bu, aşağıdakine benzer bir sonuç verir:
Get-MsolDirSyncProvisioningError

Özellik türüne göre

Özellik türüne göre hataları görmek için UserPrincipalName veya ProxyAddresses bağımsız değişkeniyle -PropertyName bayrağını ekleyin:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName UserPrincipalName

Or

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName ProxyAddresses

Çakışan değerle

Belirli bir özellikle ilgili hataları görmek için bu bayrak eklenirken -PropertyValue bayrağını (-PropertyName de kullanılmalıdır) ekleyin:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyValue User@domain.com -PropertyName UserPrincipalName

Geniş bir dize araması yapmak için -SearchString bayrağını kullanın. Bu, her zaman gerekli olan -ErrorCategory PropertyConflict dışında yukarıdaki tüm bayraklardan bağımsız olarak kullanılabilir:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -SearchString User

Sınırlı miktarda veya tümü

  1. MaxResults <Int> , sorguyu belirli sayıda değerle sınırlamak için kullanılabilir.
  2. Tümü , çok sayıda hata olması durumunda tüm sonuçların alındığından emin olmak için kullanılabilir.

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -MaxResults 5

Microsoft 365 yönetim merkezi

Dizin eşitlemesi hatalarını Microsoft 365 yönetim merkezinde görüntüleyebilirsiniz. Microsoft 365 yönetim merkezi rapor yalnızca bu hataları içeren Kullanıcı nesnelerini görüntüler. Gruplar ve Kişiler arasındaki çakışmalar hakkında bilgi göstermez.

Microsoft 365 yönetim merkezi dizin eşitleme hatalarını gösteren ekran görüntüsü.

Microsoft 365 yönetim merkezi dizin eşitleme hatalarını görüntüleme yönergeleri için bkz. Microsoft 365'te dizin eşitleme hatalarını tanımlama.

Kimlik eşitleme hata raporu

Yinelenen öznitelik çakışması olan bir nesne bu yeni davranışla işlendiğinde, kiracının Teknik Bildirim kişisine gönderilen standart Kimlik Eşitleme Hata Raporu e-postasına bir bildirim eklenir. Ancak, bu davranışta önemli bir değişiklik vardır. Geçmişte, çakışma çözülene kadar yinelenen öznitelik çakışması hakkındaki bilgiler sonraki tüm hata raporlarında yer alır. Bu yeni davranışla, belirli bir çakışma için hata bildirimi, çakışan öznitelik karantinaya alındığında yalnızca bir kez görünür.

ProxyAddress çakışması için e-posta bildiriminin nasıl göründüğüne ilişkin bir örnek aşağıda verilmiştir:
ProxyAddress çakışması için e-posta bildirimi örneğini gösteren ekran görüntüsü.

Çakışmaları çözme

Bu hatalar için sorun giderme stratejisi ve çözüm taktikleri, geçmişte yinelenen öznitelik hatalarının işlenme biçiminden farklı olmamalıdır. Tek fark, zamanlayıcı görevinin çakışma çözümlendiğinde söz konusu özniteliği uygun nesneye otomatik olarak eklemek için hizmet tarafındaki kiracıyı süpürür.

Aşağıdaki makalede çeşitli sorun giderme ve çözüm stratejileri özetlenmiştir: Yinelenen veya geçersiz öznitelikler Office 365'te dizin eşitlemesini engeller.

Bilinen sorunlar

Bu bilinen sorunların hiçbiri veri kaybına veya hizmette düşüşe neden olmadı. Bunların bazıları estetiktir, diğerleri çakışma özniteliğini değiştirmek yerine standart "ön dayanıklılık" yinelenen öznitelik hatalarının atılmasına neden olur ve bir diğeri de bazı hataların el ile ek düzeltme gerektirmesine neden olur.

Temel davranış:

  1. Belirli öznitelik yapılandırmalarına sahip nesneler, karantinaya alınan yinelenen özniteliklerin aksine dışarı aktarma hataları almaya devam eder.
    Örneğin:

    a. AD'de UPN ve ProxyAddress smtp'si Joe@contoso.com ile yeni kullanıcı oluşturulur:Joe@contoso.com

    b. Bu nesnenin özellikleri, ProxyAddress'in SMTP: Joe@contoso.comolduğu mevcut bir Grupla çakışıyor.

    c. Dışarı aktarma sırasında, çakışma özniteliklerinin karantinaya alınması yerine ProxyAddress çakışma hatası oluşturulur. İşlem, dayanıklılık özelliği etkinleştirilmeden önce olduğu gibi sonraki her eşitleme döngüsünde yeniden denenir.

  2. Şirket içinde aynı SMTP adresiyle iki Grup oluşturulursa, standart yinelenen ProxyAddress hatasıyla ilk denemede bir grup sağlayamaz. Ancak, yinelenen değer bir sonraki eşitleme döngüsünde düzgün bir şekilde karantinaya alınır.

Office Portalı Raporu:

  1. UPN çakışma kümesindeki iki nesne için ayrıntılı hata iletisi aynıdır. Bu, her ikisinin de UPN'lerinin değiştirildiğini / karantinaya alındığını, aslında yalnızca birinin veri değiştirdiğini gösterir.

  2. UPN çakışmasının ayrıntılı hata iletisi, UPN'sini değiştirmiş/karantinaya almış bir kullanıcı için yanlış displayName gösteriyor. Örneğin:

    a. A kullanıcısı ilk olarak UPN = User@contoso.comile eşitlenir.

    b. B kullanıcısı upn = User@contoso.comile eşitlenmeye çalışılır.

    c. Kullanıcı B'nin UPN değeri olarak değiştirilir User1234@contoso.onmicrosoft.com ve User@contoso.com DirSyncProvisioningErrors'a eklenir.

    d. Kullanıcı B'nin hata iletisi, A Kullanıcısının zaten UPN'ye sahip User@contoso.com olduğunu, ancak B Kullanıcısının kendi displayName değerini gösterdiğini göstermelidir.

Kimlik eşitleme hata raporu:

Bu sorunun nasıl çözüleceğini gösteren adımların bağlantısı yanlıştır:
Etkin Kullanıcılar

öğesini işaret https://aka.ms/duplicateattributeresiliencyetmelidir.

Ayrıca bkz.