Nie można zarządzać obiektami, które zostały zsynchronizowane za pomocą narzędzia synchronizacji usługi Azure Active Directory, ani ich usunąć
W tym artykule opisano problem, który nie może zarządzać ani usuwać obiektów utworzonych w ramach synchronizacji katalogów z Tożsamość Microsoft Entra. Zapewnia ona dwa rozwiązania tego problemu z różnych powodów.
Oryginalna wersja produktu: Cloud Services (role sieci Web/role procesu roboczego), Tożsamość Microsoft Entra, Microsoft Intune, Azure Backup, Office 365 Identity Management
Oryginalny numer KB: 2619062
Symptomy
Próbujesz ręcznie zarządzać obiektami utworzonymi za pomocą synchronizacji katalogów lub usuwać je z Tożsamość Microsoft Entra:
Na przykład chcesz usunąć oddzielone konto użytkownika, które zostało zsynchronizowane z Tożsamość Microsoft Entra z lokalna usługa Active Directory Domain Services (AD DS).
W tym scenariuszu nie można usunąć oddzielonego konta użytkownika przy użyciu portalu usługi w chmurze firmy Microsoft w Office 365, na platformie Azure, w Microsoft Intune lub przy użyciu Windows PowerShell.
Przyczyna
Ten problem może wystąpić, jeśli spełniony jest co najmniej jeden z następujących warunków:
- Lokalne usługi AD DS nie są już dostępne. Nie można więc zarządzać obiektem ani usuwać go ze środowiska lokalnego.
- Usunięto obiekt z lokalnych usług AD DS. Obiekt nie został jednak usunięty z organizacji usługi w chmurze. To zachowanie jest nieoczekiwane.
Rozwiązanie
Lokalne usługi AD DS nie są już dostępne. W związku z tym nie można zarządzać obiektem ani usuwać go ze środowiska lokalnego
Chcesz zarządzać obiektami w Office 365, na platformie Azure lub w Intune i nie chcesz już używać synchronizacji katalogów.
Uwaga
Moduły programu PowerShell Azure AD i MSOnline są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację wycofania. Po tej dacie obsługa tych modułów jest ograniczona do pomocy w migracji do zestawu Microsoft Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.
Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z Tożsamość Microsoft Entra (dawniej Azure AD). Aby uzyskać typowe pytania dotyczące migracji, zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: W wersjach 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.
Jeśli nie używasz Windows 10, zainstaluj 64-bitową wersję asystenta logowania usług online firmy Microsoft: Asystent logowania usług online firmy Microsoft dla specjalistów IT RTW.
Zainstaluj moduł Microsoft Azure Active Directory dla Windows PowerShell:
- Otwórz wiersz polecenia Windows PowerShell z podwyższonym poziomem uprawnień (uruchom polecenie Windows PowerShell jako administrator).
- Uruchom polecenie
Install-Module MSOnline.
Wyłącz synchronizację katalogów, uruchamiając następujące polecenie:
Set-MsolDirSyncEnabled -EnableDirSync $falseSprawdź, czy synchronizacja katalogów została w pełni wyłączona przy użyciu Windows PowerShell. Aby to zrobić, uruchom następujące polecenie okresowo:
(Get-MSOLCompanyInformation).DirectorySynchronizationEnabledTo polecenie zwróci wartość True lub False. Kontynuuj okresowe uruchamianie tego polecenia do momentu zwrócenia wartości False, a następnie przejdź do następnego kroku.
Dezaktywacja może potrwać 72 godziny. Czas zależy od liczby obiektów znajdujących się na koncie subskrypcji usługi w chmurze.
Spróbuj zaktualizować obiekt przy użyciu Windows PowerShell lub przy użyciu portalu usługi w chmurze.
Wykonanie kroku 4 może trochę potrwać. W środowisku usługi w chmurze istnieje proces, który oblicza wartości atrybutów. Proces musi zostać ukończony, aby można było zmienić obiekty przy użyciu Windows PowerShell lub portalu usługi w chmurze.
Usuwasz obiekt z lokalnych usług AD DS. Obiekt nie jest jednak usuwany z konta subskrypcji usługi w chmurze
Wymuś synchronizację katalogów, wykonując kroki opisane w tym artykule: Uruchamianie harmonogramu
Jeśli niektóre aktualizacje i usunięcia są propagowane, ale niektóre usunięcia nie są synchronizowane z usługą w chmurze, postępuj zgodnie z typowymi procedurami rozwiązywania problemów z synchronizacją katalogów.
Jeśli wszystkie aktualizacje i usunięcia nie są synchronizowane z usługą w chmurze, skontaktuj się z pomocą techniczną.
Uwaga
Alternatywnym rozwiązaniem tego scenariusza jest ręczne usunięcie obiektu w usłudze w chmurze. Nie można jednak zaktualizować obiektu w usłudze w chmurze. Aby uzyskać więcej informacji na temat sposobu rozwiązania tego problemu, zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base: Usuwanie obiektów nie jest synchronizowane z Tożsamość Microsoft Entra podczas korzystania z narzędzia do synchronizacji usługi Azure Active Directory.
Więcej informacji
Aby ponownie włączyć synchronizację katalogów, uruchom następujące polecenie:
Set-MsolDirSyncEnabled -EnableDirSync $true
Ważne jest, aby dokładnie zaplanować ponowne włączanie synchronizacji katalogów. Jeśli użyto portalu usługi w chmurze lub Windows PowerShell w celu wprowadzenia jakichkolwiek zmian bezpośrednio do obiektów, które zostały pierwotnie zsynchronizowane z lokalnych usług AD DS, zmiany zostaną zastąpione przez atrybuty lokalne i ustawienia po pierwszym wystąpieniu synchronizacji po ponownym włączeniu synchronizacji katalogów.
Skontaktuj się z nami, aby uzyskać pomoc
Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii platformy Azure.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla