Objekte, die über das Azure Active Directory-Synchronisierungstool synchronisiert wurden, können nicht verwaltet oder entfernt werden.

  • Artikel

In diesem Artikel wird ein Problem beschrieben, bei dem Sie Objekte, die über die Verzeichnissynchronisierung erstellt wurden, nicht aus Microsoft Entra ID verwalten oder entfernen können. Es bietet zwei Lösungen für dieses Problem aus unterschiedlichen Gründen.

Ursprüngliche Produktversion: Cloud-Dienste (Webrollen/Workerrollen), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Ursprüngliche KB-Nummer: 2619062

Problembeschreibung

Sie versuchen, Objekte, die über die Verzeichnissynchronisierung erstellt wurden, manuell aus Microsoft Entra ID zu verwalten oder zu entfernen:

Beispielsweise möchten Sie ein verwaistes Benutzerkonto, das mit Microsoft Entra ID synchronisiert wurde, aus Ihrem lokales Active Directory Domain Services (AD DS) entfernen.

In diesem Szenario können Sie das verwaiste Benutzerkonto nicht über das Microsoft-Clouddienstportal in Office 365, Azure oder Microsoft Intune oder mithilfe von Windows PowerShell entfernen.

Ursache

Dieses Problem kann auftreten, wenn mindestens eine der folgenden Bedingungen zutrifft:

  • Der lokale AD DS ist nicht mehr verfügbar. Daher können Sie das Objekt nicht in der lokalen Umgebung verwalten oder löschen.
  • Sie haben ein Objekt aus der lokalen AD DS gelöscht. Das Objekt wurde jedoch nicht aus Ihrem Clouddienst organization gelöscht. Dieses Verhalten ist unerwartet.

Lösung

Der lokale AD DS ist nicht mehr verfügbar. Daher können Sie das Objekt nicht in der lokalen Umgebung verwalten oder löschen.

Sie möchten Objekte in Office 365, Azure oder Intune verwalten und die Verzeichnissynchronisierung nicht mehr verwenden.

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zu Einstellungen. Nach diesem Datum beschränkt sich der Support für diese Module auf Unterstützung bei der Migration zum Microsoft Graph PowerShell SDK und auf Sicherheitskorrekturen. Die veralteten Module werden noch bis zum 30. März 2025 zur Verfügung stehen.

Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Allgemeine Fragen zur Migration finden Sie in den Häufig gestellten Fragen zur Migration. Hinweis: Bei den Versionen 1.0.x von MSOnline kann es nach dem 30. Juni 2024 zu Unterbrechungen kommen.

  1. Wenn Sie nicht Windows 10 ausführen, installieren Sie die 64-Bit-Version des Microsoft Online Services-Anmeldeassistenten: Microsoft Online Services-Anmeldeassistent für IT-Experten RTW.

  2. Installieren Sie das Microsoft Azure Active Directory-Modul für Windows PowerShell:

    1. Öffnen Sie eine Windows PowerShell-Eingabeaufforderung mit erhöhten Rechten (d. h., führen Sie Windows PowerShell als Administrator aus).
    2. Führen Sie den Befehl Install-Module MSOnline aus.

  3. Deaktivieren Sie die Verzeichnissynchronisierung, indem Sie den folgenden Befehl ausführen:

     Set-MsolDirSyncEnabled -EnableDirSync $false

  4. Überprüfen Sie mithilfe des Windows PowerShell, ob die Verzeichnissynchronisierung vollständig deaktiviert wurde. Führen Sie dazu in regelmäßigen Abständen den folgenden Befehl aus:

     (Get-MSOLCompanyInformation).DirectorySynchronizationEnabled

    Dieser Befehl gibt True oder False zurück. Führen Sie diesen Befehl in regelmäßigen Abständen aus, bis false zurückgegeben wird, und fahren Sie dann mit dem nächsten Schritt fort.

    Das Abschließen der Deaktivierung kann bis zu 72 Stunden dauern. Die Zeit hängt von der Anzahl der Objekte ab, die sich in Ihrem Clouddienst-Abonnementkonto befinden.

  5. Versuchen Sie, ein Objekt mithilfe von Windows PowerShell oder über das Clouddienstportal zu aktualisieren.

    Schritt 4 kann eine Weile dauern. In der Clouddienstumgebung gibt es einen Prozess, der Attributwerte berechnet. Der Prozess muss abgeschlossen werden, bevor die Objekte mithilfe von Windows PowerShell oder über das Clouddienstportal geändert werden können.

Sie löschen ein Objekt aus einer lokalen AD DS-Instanz. Das Objekt wird jedoch nicht aus Ihrem Clouddienst-Abonnementkonto gelöscht.

Erzwingen der Verzeichnissynchronisierung mithilfe der Schritte in diesem Artikel: Starten des Schedulers

  • Wenn einige Updates und Löschungen weitergegeben werden, aber einige Löschungen nicht mit dem Clouddienst synchronisiert werden, befolgen Sie die typischen Verfahren zur Problembehandlung bei der Verzeichnissynchronisierung.

  • Wenn nicht alle Updates und Löschungen mit dem Clouddienst synchronisiert werden, wenden Sie sich an den Support.

    Hinweis

    Als alternative Lösung für dieses Szenario kann ein Objekt manuell im Clouddienst gelöscht werden. Das Objekt kann jedoch nicht im Clouddienst aktualisiert werden. Weitere Informationen zum Beheben dieses Problems finden Sie im folgenden Microsoft Knowledge Base-Artikel: Objektlöschungen werden bei Verwendung des Azure Active Directory-Synchronisierungstools nicht mit Microsoft Entra ID synchronisiert.  

Weitere Informationen

Führen Sie den folgenden Befehl aus, um die Verzeichnissynchronisierung erneut zu aktivieren:

Set-MsolDirSyncEnabled -EnableDirSync $true

Es ist wichtig, sorgfältig zu planen, wenn Sie die Verzeichnissynchronisierung erneut aktivieren. Wenn Sie das Clouddienstportal oder Windows PowerShell verwendet haben, um Änderungen direkt an den Objekten vorzunehmen, die ursprünglich aus dem lokalen AD DS synchronisiert wurden, werden die Änderungen durch lokale Attribute und Einstellungen überschrieben, wenn die Synchronisierung zum ersten Mal erfolgt, nachdem die Verzeichnissynchronisierung wieder aktiviert wurde.

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.