Um ou mais objetos não são sincronizados ao usar a Ferramenta de Sincronização do Microsoft Azure Active Directory

  • Artigo

Este artigo resolve um problema que um ou mais atributos de objeto Active Directory Domain Services do AD DS (AD DS) não sincronizam com Microsoft Entra ID por meio da ferramenta Sincronização do Azure Active Directory.

Versão do produto original: Serviços de Nuvem (funções da Web/funções de Trabalho), Microsoft Entra ID, Microsoft Intune, Backup do Azure, Gerenciamento de Identidades do Office 365
Número de KB original: 2643629

Observação

Esse artigo foi útil? Sua opinião é importante para nós. Use o botão Comentários nesta página para nos informar o quão bem este artigo funcionou para você ou como podemos melhorá-lo.

Sintomas

Um ou mais objetos ou atributos do AD DS não são sincronizados com Microsoft Entra ID conforme o esperado. Quando a sincronização do Active Directory é executada, um objeto não é sincronizado e você experimenta um dos seguintes sintomas:

  • Você recebe uma mensagem de erro que afirma que um atributo tem um valor duplicado.
  • Você recebe uma mensagem de erro que afirma que um ou mais atributos violam requisitos de formatação, como conjunto de caracteres ou comprimento do caractere.
  • Você não recebe uma mensagem de erro e a sincronização de diretório parece estar concluída. No entanto, alguns objetos ou atributos não são atualizados conforme o esperado.

Alguns exemplos da mensagem de erro que você pode receber:

Um objeto sincronizado com o mesmo endereço proxy já existe no diretório dos Serviços Online da Microsoft.

Não é possível atualizar esse objeto porque a ID do usuário não foi encontrada.

Não é possível atualizar esse objeto no Microsoft Online Services porque os seguintes atributos associados a esse objeto têm valores que podem já estar associados a outro objeto em seu diretório local.

Motivo

Este problema ocorre por um dos seguintes motivos:

  • O valor de domínio usado pelos atributos do AD DS não foi verificado.

  • Um ou mais atributos de objeto que exigem um valor exclusivo têm um valor de atributo duplicado (como o atributo proxyAddresses ou o atributo U serPrincipalName) em uma conta de usuário existente.

  • Um ou mais atributos de objeto violam os requisitos de formatação que restringem os caracteres e o comprimento do caractere dos valores de atributo.

  • Um ou mais atributos de objeto correspondem às regras de exclusão para sincronização de diretório.

    A tabela a seguir mostra as regras de escopo de sincronização padrão:

    Tipo de objeto Nome do atributo Condição de atributo quando a sincronização falha
    Contato DisplayName Contém "MSOL"
    msExchHideFromAddressLists Está definido como "True"
    Grupo habilitado para segurança isCriticalSystemObject Está definido como "True"
    Grupos habilitados para email
    (grupo de segurança ou lista de distribuição)    		 proxyAddresses

    e

    Email    		 Não tem nenhuma entrada de endereço "SMTP:"

    e

    não está presente
    Contatos habilitados para email proxyAddresses

    e

    Email    		 Não tem nenhuma entrada de endereço "SMTP:"

    e

    não está presente
    Inetorgperson Samaccountname Não está presente
    isCriticalSystemObject Está presente
    Usuário Mailnickname Começa com "SystemMailbox"
    Mailnickname Começa com "CAS_"

    e

    contém "}"
    Samaccountname Começa com "CAS_"

    e

    contém "}"
    Samaccountname É igual a "SUPPORT_388945a0"
    Samaccountname É igual a "MSOL_AD_Sync"
    Samaccountname Não está presente
    isCriticalSystemObject Está definido como "True"

  • O UPN (nome da entidade de usuário) foi alterado após a sincronização inicial e deve ser atualizado manualmente.

  • Exchange Online endereços SMTP (Simple Mail Transfer Protocol) de usuários sincronizados não são preenchidos adequadamente no esquema Active Directory local.

Solução

Para resolver esse problema, use um dos seguintes métodos, conforme apropriado para sua situação.

Executar idFix para marcar para duplicatas, atributos ausentes e violações de regra

Use a Ferramenta de Correção de Erro DirSync IdFix para localizar objetos e erros que impedem a sincronização para Microsoft Entra ID.

  • Se você vir "Blank" na coluna ERROR depois de executar o IdFix, o atributo displayName do objeto não será definido. Para resolve esse problema, especifique um valor para o atributo displayName do objeto usando estas etapas:
  1. Na coluna UPDATE do objeto, digite o nome do atributo displayName.
  2. Na coluna ACTION, clique em EDITar e clique em Aplicar.
  3. Repita as etapas 1 e 2 para cada objeto que tenha uma entrada "em branco" na coluna ERROR.
  4. Execute idFix novamente para procurar mais erros de objeto.
  • Se você vir "Duplicar" na coluna ERROR depois de executar o IdFix, dois ou mais objetos terão o mesmo endereço de email. Para resolve esse problema, especifique um endereço de email exclusivo para o objeto usando estas etapas:
  1. Na coluna UPDATE do objeto, digite um endereço de email que ainda não foi usado.
  2. Na coluna ACTION, clique em EDITar e clique em Aplicar.
  3. Execute idFix novamente para procurar mais erros de objeto.

Determinar conflitos de atributo causados por objetos que não foram criados em Microsoft Entra ID por meio da sincronização de diretório

Para determinar conflitos de atributo causados por objetos de usuário criados usando ferramentas de gerenciamento (e que não foram criados em Microsoft Entra ID por meio da sincronização de diretório), siga estas etapas:

  1. Determine os atributos exclusivos da conta de usuário do AD DS local. Para fazer isso, em um computador que tenha as Ferramentas de Suporte do Windows instaladas, siga estas etapas:

    1. Selecione Iniciar, selecione Executar, digite ldp.exe e selecione OK.

    2. Selecione Conexão, selecione Conectar, digite o nome do computador de um controlador de domínio do AD DS e selecione OK.

    3. Selecione Conexão, selecione Associar e, em seguida, selecione OK.

    4. Selecione Exibir, selecione Exibição de Árvore, selecione o domínio AD DS na lista suspensa BaseDN e selecione OK.

    5. No painel de navegação, localize e clique duas vezes no objeto que não está sincronizando corretamente. O painel Detalhes no lado direito da janela lista todos os atributos de objeto. O exemplo a seguir mostra os atributos do objeto:

      Captura de tela do painel de navegação e detalhes das Ferramentas de Suporte do Windows que listaram todos os atributos de objeto.

    6. Registre os valores do atributo userPrincipalName e cada endereço SMTP no atributo proxyAddresses multivalue. Você precisará desses valores mais tarde.

      Nome do atributo Exemplo Observações
      proxyAddresses proxyAddresses (3): x500:/o=Exchange/ou=Grupo Administrativo do Exchange (FYDIBOHF23SPDLT)/cn=Destinatários/cn=1ae75fca0d3a4303802cea9ca50fcd4f-7628376; smtp:7628376@service.contoso.com; SMTP:7628376@contoso.com;
      1. O número exibido em parênteses ao lado do rótulo de atributo indica o número de valores de endereço proxy no atributo multivalue.

      2. Cada valor de endereço proxy distinto é indicado por um ponto e vírgula (;).

      3. O valor do endereço proxy SMTP primário é indicado pela maiúscula "SMTP:"
      userPrincipalName 7628376@contoso.com

      Observação

      Ldp.exe está incluído no Windows Server 2008 e nas Ferramentas de Suporte do Windows Server 2003. As Ferramentas de Suporte do Windows Server 2003 estão incluídas na mídia de instalação do Windows Server 2003. Ou, para obter as Ferramentas de Suporte, acesse o seguinte site da Microsoft: Ferramentas de Suporte do Service Pack 2003 do Windows Server 2 32 bits

  2. Conecte-se ao Microsoft Entra ID usando o módulo do Azure Active Directory para Windows PowerShell. Para obter mais informações, acesse Gerenciar Microsoft Entra ID usando Windows PowerShell.

    Deixe a janela do console aberta. Você precisará usá-lo na próxima etapa.

  3. Verifique se há atributos de userPrincipalName duplicados.

    Na conexão de console que você abriu na etapa 2, digite os seguintes comandos na ordem em que eles são apresentados. Pressione Enter após cada comando:

    $userUPN = "<search UPN>"

    Observação

    Neste comando, o espaço reservado "<pesquisar UPN>" representa o atributo UserPrincipalName que você registrou na etapa 1f.

    Get-MSOLUser -UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}

    Observação

    os módulos Azure AD e MSOnline PowerShell são preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão funcionando até março de 2025.

    Recomendamos migrar para o Microsoft Graph PowerShell para interagir com Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

    Deixe a janela do console aberta. Você o usará novamente na próxima etapa.

  4. Verifique se há atributos de proxy duplicadosAddresses. Na conexão de console que você abriu na etapa 2, execute o seguinte comando:

    Import-Module ExchangeOnlineManagement

  5. Para cada entrada de endereço proxy que você gravou na etapa 1f, digite os comandos a seguir na ordem em que eles são apresentados. Pressione Enter após cada comando:

    $proxyAddress = "<search proxyAddress>"

    Observação

    Neste comando, o espaço reservado "<proxy de pesquisaAddress>" representa o valor de um atributo proxyAddresses que você registrou na etapa 1f.

    Get-EXOMailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)}}

Os itens retornados após a execução dos comandos nas etapas 3 e 4 representam objetos de usuário que não foram criados por meio da sincronização do diretório e que têm atributos que entram em conflito com o objeto que não está sincronizando corretamente.

Atualizar atributos do AD DS para remover duplicatas, violações de regras e exclusões de escopo

Identifique os atributos específicos que estão impedindo a sincronização com base nas seguintes informações:

  • Mensagens de email administrativas
  • O relatório da saída da Ferramenta de Preparação de Implantação Office 365
  • Regras de escopo de sincronização de diretório padrão e regras personalizadas

Depois que um valor de atributo específico for identificado, edite o valor do atributo usando um destes métodos:

  • Use a ferramenta Usuários e Computadores do Active Directory para editar o valor do atributo.
  1. Abra Usuários e Computadores do Active Directory e selecione o nó raiz do domínio do AD DS.
  2. Selecione Exibir e verifique se a opção Recursos Avançados está selecionada.
  3. No painel de navegação esquerdo, localize o objeto do usuário, clique com o botão direito do mouse nele e selecione Propriedades.
  4. Na guia Objeto Editor, localize o atributo desejado. Selecione Editar e edite o valor de atributo para o valor desejado.
  5. Selecione OK duas vezes.
  • Use o ADSI (Active Directory Service Interfaces) Editar para atualizar atributos de objeto no AD DS. Você pode baixar e instalar o ADSI Editar como parte do Kit de Ferramentas do Windows Server. Para usar o ADSI Editar para editar atributos, siga estas etapas.

Aviso

Esse procedimento requer a edição do ADSI. Usar o ADSI Editar incorretamente pode causar sérios problemas que podem exigir que você reinstale seu sistema operacional. A Microsoft não pode garantir que problemas resultantes do uso incorreto de Edição ADSI possam ser resolvidos. Use o ADSI Editar por sua conta e risco.

  1. Selecione Iniciar, selecione Executar, digite ADSIEdit.msc e selecione OK.
  2. Clique com o botão direito do mouse em ADSI Editar no painel de navegação, selecione Conectar e, em seguida, selecione OK para carregar a partição de domínio.
  3. Localize o objeto do usuário, clique com o botão direito do mouse nele e selecione Propriedades.
  4. Na lista Atributos , localize o atributo desejado. Selecione Editar e edite o valor de atributo para o valor desejado.
  5. Selecione OK duas vezes e saia do ADSI Editar.

Criar um novo grupo e adicioná-lo ao grupo interno que não está sendo sincronizado

Para resolve o problema no cenário em que alguns grupos internos (como o grupo Usuários de Domínio) não são sincronizados, crie um novo grupo que contenha todos os membros aplicáveis e as permissões apropriadas do grupo interno. Em seguida, adicione esse grupo como membro ao grupo interno que não está sincronizado. Use o novo grupo em vez do grupo interno para gerenciar membros. Usando esse método, você ainda gerencia apenas um grupo.

Você não deseja alterar os atributos do grupo interno ou alterar as regras de escopo do dispositivo de sincronização de identidade para permitir que objetos críticos do sistema sejam sincronizados. Pode disparar outro comportamento inesperado.

Use a correspondência SMTP para fazer com que um objeto de usuário local seja sincronizado com um objeto de usuário existente

Para obter mais informações, consulte Como usar a correspondência SMTP para corresponder contas de usuário locais a Office 365 contas de usuário para sincronização de diretório.

Atualizar manualmente uma conta de usuário UPN

Para atualizar uma UPN da conta de usuário que foi licenciada após a sincronização inicial do diretório, siga estas etapas:

  1. Instale o Módulo do PowerShell do Azure Active Directory v2. Para obter mais informações, consulte Módulo do PowerShell do Azure Active Directory v2.

  2. Execute os seguintes cmdlets no prompt do Azure Active Directory v2 PowerShell:

    $cred = get-credential

    Observação

    Quando você for solicitado, insira suas credenciais de administrador.

    Connect-AzureAD

    Set-AzureADUser -ObjectId [CurrentUPN] -UserPrincipalName [NewUPN]

Atualizar endereços SMTP do usuário usando atributos Active Directory local

Quando os atributos SMTP não são sincronizados com Exchange Online de maneira esperada, talvez seja necessário atualizar os atributos Active Directory local. Para atualizar Active Directory local atributos para que o endereço de email correto seja exibido em Exchange Online, use a Resolução 2 para manipular os atributos na tabela a seguir.

Nome do atributo do Active Directory local Exemplo de valor de atributo do Active Directory local Exemplo Exchange Online endereços de email
proxyAddresses SMTP:user1@contoso.com SMTP primário: user1@contoso.com
SMTP secundário: user1@contoso.onmicrosoft.com
proxyAddresses Smtp:user1@contoso.com SMTP primário: user1@contoso.onmicrosoft.com SMTP secundário: user1@contoso.com
proxyAddresses SMTP:user1@contoso.com
Smtp:user1@sub.contoso.com		 SMTP primário: user1@contoso.com
SMTP secundário: user1@sub.contoso.com
SMTP secundário: user1@contoso.onmicrosoft.com
Email User1@contoso.com SMTP primário: user1@contoso.com
SMTP secundário: user1@contoso.onmicrosoft.com
UserPrincipalName User1@contoso.com SMTP primário: user1@contoso.com
SMTP secundário: user1@contoso.onmicrosoft.com

A entrada MOERA (Endereço Email de Roteamento) do Microsoft Online que está associada ao domínio padrão (como user1@contoso.onmicrosoft.com) é um valor interpretado com base no alias de uma conta de usuário. Esse endereço de email especializado está inextricavelmente vinculado a cada destinatário Exchange Online. Você não pode gerenciar, excluir ou criar endereços MOERA adicionais para qualquer destinatário. No entanto, o endereço MOERA pode ser sobrecarregado como o endereço SMTP primário usando os atributos no objeto Active Directory local usuário.

Observação

A presença de dados no atributo proxyAddresses mascara completamente os dados no atributo de email para Exchange Online população de endereços de email.

Observação

A presença de dados no atributo proxyAddresses, no atributo mail ou em ambos os atributos mascara completamente os dados UserPrincipalName para Exchange Online população de endereços de email. O UPN pode ser usado para gerenciar endereços de email. No entanto, um administrador pode decidir gerenciar o endereço de email e o UPN separadamente, preenchendo proxyAddresses ou atributos de email.

É altamente recomendável que um desses atributos seja usado consistentemente para gerenciar Exchange Online endereços de email para usuários sincronizados.

Mais informações

Os comandos Windows PowerShell mencionados neste artigo exigem o módulo do Azure Active Directory para Windows PowerShell. Para obter mais informações sobre o módulo do Azure Active Directory para Windows PowerShell, confira o seguinte artigo:
Gerenciar Microsoft Entra ID usando Windows PowerShell.

Para obter mais informações sobre a sincronização de diretório de filtragem por atributos, confira o seguinte artigo wiki do Microsoft TechNet:
Lista de atributos sincronizados pela Ferramenta de Sincronização do Azure Active Directory

Entre em contato conosco para obter ajuda

Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.