診斷和補救重複的屬性同步錯誤
概觀
為了進一步醒目提示同步錯誤,Microsoft Entra Connect Health 會引進自助式補救。 它會針對重複的屬性同步錯誤進行疑難排解,並修正從 Microsoft Entra ID 孤立的物件。 診斷功能具有下列優點:
- 它提供可縮小重複屬性同步錯誤的診斷程序, 並提供特定修正。
- 它會為 Microsoft Entra ID 中的專用案例套用修正,並透過一個步驟解決錯誤。
- 啟用這項功能不需要升級或設定。 如需 Microsoft Entra ID 的詳細資訊,請參閱 身分識別同步處理和重複屬性復原 。
問題
常見案例
當 QuarantinedAttributeValueMustBeUnique 和 AttributeValueMustBeUnique 同步錯誤發生時,通常會在 Microsoft Entra ID 中看到 UserPrincipalName 或 Proxy 位址衝突。 您可以透過從內部部署端更新衝突的來源物件來解決同步錯誤。 同步處理錯誤將會在下一次同步處理之後解決。例如,此影像表示兩位使用者的 UserPrincipalName 發生衝突。 兩者都是 Joe.J@contoso.com。 衝突的物件會在 Microsoft Entra ID 中隔離。
孤立的物件案例
您偶爾可能會發現現有的使用者遺失來源錨點。 內部部署 Active Directory 中發生來源物件刪除事件。 但是刪除訊號的變更一律不會同步處理至 Microsoft Entra ID。 發生此遺失通常是因為同步引擎問題或網域移轉所致。 當相同的物件獲得復原或重新建立時,邏輯上,現有的使用者應該會是從來源錨點進行同步的使用者。
當現有的使用者是僅限雲端的物件時,您也可以看到同步處理至 Microsoft Entra ID 的衝突使用者。 使用者無法符合同步至現有的物件。 沒有直接重新對應來源錨點的方式。 深入瞭解 現有的知識庫 。
例如,Microsoft Entra ID 中的現有物件會保留 Joe 的授權。 具備不同來源錨點的新同步處理物件發生於 Microsoft Entra ID 中的重複屬性狀態。 內部部署 Active Directory 中 Joe 的變更不會套用至 Microsoft Entra ID 中 Joe 的原始使用者 (現有物件)。
Connect Health 中的診斷和疑難排解步驟
診斷功能支援具有下列重複屬性的使用者物件:
| 屬性名稱 | 同步處理錯誤類型 |
|---|---|
| UserPrincipalName | QuarantinedAttributeValueMustBeUnique 或 AttributeValueMustBeUnique |
| ProxyAddresses | QuarantinedAttributeValueMustBeUnique 或 AttributeValueMustBeUnique |
| SipProxyAddress | AttributeValueMustBeUnique |
| OnPremiseSecurityIdentifier | AttributeValueMustBeUnique |
重要
若要存取這項功能, 需要全域管理員istrator 許可權或 來自 Azure RBAC 的參與者 許可權。
請遵循 Microsoft Entra 系統管理中心 的步驟 ,縮小同步錯誤詳細資料的範圍,並提供更具體的解決方案:
從 Microsoft Entra 系統管理中心 ,採取幾個步驟來識別特定的可修正案例:
- 檢查 [診斷狀態] 資料行。 狀態會顯示是否有可直接從 Microsoft Entra ID 修正同步處理錯誤的方式。 換句話說,疑難排解流程可以縮小錯誤案例,並可能加以修正。
| 狀態 | 這代表什麼? |
|---|---|
| 未啟動 | 您尚未瀏覽此診斷流程。 根據診斷結果,有一種潛在解決方法可以直接從入口網站修正同步處理錯誤。 |
| 需要手動修正 | 錯誤不符合入口網站中可用修正的準則。 衝突的物件類型不是使用者,或者您已經完成診斷步驟,而且入口網站中沒有可用的修正解決方案。 在後者的情況下,來自內部部署端的修正仍然是其中一個解決方案。 深入瞭解內部部署修正 。 |
| 待同步 | 已套用修正。 入口網站正在等候下一個同步週期來清除錯誤。 |
重要
每個同步處理週期之後,診斷狀態資料行將會重設。
選取錯誤詳細資料底下的 [診斷] 按鈕。 您將回答幾個問題,並識別同步錯誤詳細資料。 解答有助於識別孤立的物件案例。
如果 [關閉] 按鈕出現在診斷結束時,入口網站不會對您的答案做快速修正。 請參閱最後一個步驟中顯示的解決方案。 來自內部部署的修正仍然是解決方案。 選取 [關閉] 按鈕。 目前同步處理錯誤的狀態會切換至 [需要手動修正]。 狀態會在目前的同步處理週期期間內保持。
識別孤立的物件案例之後,您可以直接從入口網站修正重複的屬性同步處理錯誤。 若要觸發程式,請選取 [套用修正] 按鈕。 目前同步處理錯誤的狀態更新至 [同步處理擱置中]。
在下一個同步處理週期之後,錯誤應該從清單中移除。
如何回答診斷問題
使用者是否存在於您的內部部署的 Active Directory中?
這個問題會嘗試從內部部署的 Active Directory識別現有使用者的來源物件。
- 檢查 Microsoft Entra ID 是否具有具有所提供 UserPrincipalName 的物件。 如果沒有,請回答 [否 ]。
- 如果是,請檢查物件是否仍在同步處理範圍內。
- 使用 DN 在 Microsoft Entra 連接器空間中搜尋。
- 如果物件在 [擱置新增 ] 狀態中找到 ,請回答 [否 ]。 Microsoft Entra 連線無法將物件連接到正確的 Microsoft Entra 物件。
- 如果找不到物件,請回答 [是 ]。
在這些範例中,問題會嘗試識別 Joe Jackson 是否存在 于內部部署的 Active Directory中。 針對常見的 案例 ,Joe Johnson 和 Joe Jackson 兩位使用者 都出現在內部部署的 Active Directory中。 隔離的物件是兩個不同的使用者。
針對孤立的物件案例 ,只有單一使用者 Joe Johnson 會出現在內部部署的 Active Directory:
這兩個帳戶是否屬於相同的使用者?
這個問題會檢查 Microsoft Entra ID 中的傳入衝突使用者和現有的使用者物件,以查看他們是否屬於同一位使用者。
- 衝突的物件會新同步至 Microsoft Entra ID。 比較物件的屬性:
- 顯示名稱
- UserPrincipalName 或 SignInName
- ObjectID
- 如果 Microsoft Entra ID 無法比較它們,請檢查 Active Directory 是否有物件與提供的 UserPrincipalNames 。 如果您找到這兩者,請回答 [否 ]。
在下列範例中,這兩個物件屬於相同的使用者 Joe Johnson 。
在孤立物件案例中套用修正之後會發生什麼事
根據上述問題的解答,您會在 Microsoft Entra ID 提供修正時看到 [ 套用修正] 按鈕。 在此情況下,內部部署物件會與非預期的 Microsoft Entra 物件同步處理。 這兩個物件會使用 Source Anchor 進行對應。 套 用修正 變更會採用下列或類似步驟:
- 更新 來源錨點 至 Microsoft Entra ID 中正確的物件。
- 如果存在,則會刪除 Microsoft Entra 識別碼中的衝突物件。
重要
[ 套用修正] 變更僅適用于孤立的物件案例。
在上述步驟之後,使用者可以存取原始資源,這是現有物件的連結。 清單檢視中的 [ 診斷狀態 ] 值會更新為 [擱置同步 ]。下次同步處理之後,將會解決同步處理錯誤。連線健康情況將不再顯示清單檢視中已解決的同步處理錯誤。
失敗和錯誤訊息
具有衝突屬性的使用者會在 Microsoft Entra 識別碼中虛刪除。 請確定使用者會在重試前進行硬式刪除。
您應該先清除 Microsoft Entra ID 中具有衝突屬性的使用者,才能套用修正程式。 在重試修正之前,請參閱 如何在 Microsoft Entra ID 中永久刪除使用者。 在虛刪除狀態的 30 天后,使用者也會自動永久刪除。
不支援將來源錨點更新至租使用者中的雲端式使用者。
Microsoft Entra ID 中的雲端式使用者不應該有來源錨點。 在此情況下,不支援更新來源錨點。 需要內部部署的手動修正。
修正程式無法更新值。 不支援 Microsoft Entra 連線 中的 UserWriteback 等 特定設定。 請在設定中停用。
常見問題集
問: 如果套用修正 程式執行 失敗,會發生什麼事?
A. 如果執行失敗,Microsoft Entra 連線可能會執行匯出錯誤。 重新整理入口網站頁面,並在下一次同步處理之後重試。預設同步處理週期為 30 分鐘。
問: 如果 現有的物件 應該是要刪除的物件,該怎麼辦?
A. 如果應該刪除現有的物件 ,程式不會涉及來源錨點 的 變更。 通常,您可以從內部部署的 Active Directory加以修正。
問: 使用者需要套用修正程式的許可權為何?
A. 來自 Azure RBAC 的全域管理員istrator 或 參與者 具有存取診斷和疑難排解程式的許可權。
問: 我是否必須設定 Microsoft Entra 連線或更新此功能的 Microsoft Entra 連線 Health 代理程式?
A. 否,診斷程式是完整的雲端式功能。
問: 如果現有的物件遭到虛刪除,診斷程式是否會讓物件再次作用中?
A. 否,修正程式不會更新來源錨點 以外的 物件屬性。