Não é possível gerenciar ou remover objetos que foram sincronizados por meio da ferramenta sincronização do Azure Active Directory
Este artigo descreve um problema que você não pode gerenciar ou remover objetos criados por meio da sincronização de diretório de Microsoft Entra ID. Ele fornece duas resoluções para esse problema de acordo com razões diferentes.
Versão do produto original: Serviços de Nuvem (funções da Web/funções de Trabalho), Microsoft Entra ID, Microsoft Intune, Backup do Azure, Gerenciamento de Identidades do Office 365
Número de KB original: 2619062
Sintomas
Você tenta gerenciar ou remover manualmente objetos criados por meio da sincronização de diretório de Microsoft Entra ID:
Por exemplo, você deseja remover uma conta de usuário órfã sincronizada com Microsoft Entra ID do Active Directory local Domain Services (AD DS).
Nesse cenário, você não pode remover a conta de usuário órfã usando o portal de serviços de nuvem da Microsoft em Office 365, Azure ou Microsoft Intune ou usando Windows PowerShell.
Motivo
Esse problema poderá ocorrer se uma ou mais das seguintes condições forem verdadeiras:
- O AD DS local não está mais disponível. Portanto, você não pode gerenciar ou excluir o objeto do ambiente local.
- Você excluiu um objeto do AD DS local. No entanto, o objeto não foi excluído da sua organização de serviços de nuvem. Esse comportamento é inesperado.
Resolução
O AD DS local não está mais disponível. Portanto, você não pode gerenciar ou excluir o objeto do ambiente local
Você deseja gerenciar objetos em Office 365, Azure ou Intune e não deseja mais usar a sincronização de diretório.
Observação
Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização sobre substituição. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão funcionando até 30 de março de 2025.
Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para obter respostas para perguntas de migração comuns, consulte as perguntas frequentes sobre migração. Observação: as versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.
Se você não estiver executando o Windows 10, instale a versão de 64 bits do Assistente de Conexão do Microsoft Online Services: Assistente de Conexão do Microsoft Online Services para Profissionais de TI RTW.
Instale o módulo Microsoft Azure Active Directory para Windows PowerShell:
- Abra um prompt de comando privilegiado do Windows PowerShell (execute o Windows PowerShell como administrador).
- Execute o comando
Install-Module MSOnline.
Desabilite a sincronização de diretório executando o seguinte comando:
Set-MsolDirSyncEnabled -EnableDirSync $falseVerifique se a sincronização de diretório foi totalmente desabilitada usando o Windows PowerShell. Para fazer isso, execute o seguinte comando periodicamente:
(Get-MSOLCompanyInformation).DirectorySynchronizationEnabledEsse comando retornará True ou False. Continue executando esse comando periodicamente até que ele retorne False e, em seguida, vá para a próxima etapa.
Pode levar 72 para a desativação ser concluída. O tempo depende do número de objetos que estão em sua conta de assinatura do serviço de nuvem.
Tente atualizar um objeto usando Windows PowerShell ou usando o portal de serviço de nuvem.
A etapa 4 pode demorar um pouco para ser concluída. Há um processo no ambiente do serviço de nuvem que computa valores de atributo. O processo deve ser concluído antes que os objetos possam ser alterados usando Windows PowerShell ou usando o portal do serviço de nuvem.
Você exclui um objeto de um AD DS local. No entanto, o objeto não é excluído da sua conta de assinatura do serviço de nuvem
Forçar a sincronização do diretório usando as etapas deste artigo: Iniciar o Agendador
Se algumas atualizações e exclusões forem propagadas, mas algumas exclusões não forem sincronizadas com o serviço de nuvem, siga procedimentos típicos de solução de problemas de sincronização de diretório.
Se todas as atualizações e exclusões não forem sincronizadas com o serviço de nuvem, entre em contato com o Suporte.
Observação
Como uma resolução alternativa para esse cenário, um objeto pode ser excluído manualmente no serviço de nuvem. No entanto, o objeto não pode ser atualizado no serviço de nuvem. Para obter mais informações sobre como resolve esse problema, confira o seguinte artigo da Base de Dados de Conhecimento da Microsoft: as exclusões de objeto não são sincronizadas para Microsoft Entra ID ao usar a ferramenta sincronização do Azure Active Directory.
Mais informações
Para habilitar novamente a sincronização de diretório, execute o seguinte comando:
Set-MsolDirSyncEnabled -EnableDirSync $true
É importante planejar cuidadosamente quando você habilita novamente a sincronização de diretório. Se você usou o portal do serviço de nuvem ou Windows PowerShell para fazer alterações diretamente nos objetos que foram originalmente sincronizados do AD DS local, as alterações serão substituídas por atributos locais e configurações na primeira vez que a sincronização ocorrer após a sincronização do diretório ser reativada.
Entre em contato conosco para obter ajuda
Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários