Не удается управлять объектами, синхронизированными с помощью средства синхронизации Azure Active Directory, или удалять их

В этой статье описывается проблема, из-за которую невозможно управлять объектами, созданными с помощью синхронизации каталогов, или удалять их из Microsoft Entra ID. Он предоставляет два решения этой проблемы в зависимости от разных причин.

Исходная версия продукта: Облачные службы (веб-роли или рабочие роли), Microsoft Entra ID, Microsoft Intune, Azure Backup, управление удостоверениями Office 365
Исходный номер базы знаний: 2619062

Симптомы

Вы пытаетесь вручную управлять объектами, созданными с помощью синхронизации каталогов, или удалять их из Microsoft Entra ID:

Например, необходимо удалить потерянную учетную запись пользователя, синхронизированную с Microsoft Entra ID из локальная служба Active Directory Доменные службы (AD DS).

В этом сценарии вы не можете удалить потерянную учетную запись пользователя с помощью портала облачных служб Майкрософт в Office 365, Azure или Microsoft Intune или с помощью Windows PowerShell.

Причина

Эта проблема может возникнуть, если выполняются одно или несколько из следующих условий:

  • Локальные доменные службы Active Directory больше не доступны. Таким образом, вы не можете управлять объектом или удалять его из локальной среды.
  • Вы удалили объект из локальных доменных служб Active Directory. Однако объект не был удален из организации облачной службы. Это непредвиденное поведение.

Разрешение

Локальные доменные службы Active Directory больше не доступны. Таким образом, вы не можете управлять объектом или удалять его из локальной среды.

Вы хотите управлять объектами в Office 365, Azure или Intune и больше не хотите использовать синхронизацию каталогов.

Примечание.

Azure AD PowerShell планируется устареть 30 марта 2024 г. Дополнительные сведения см. в статье Обновление для прекращения поддержки.

Мы рекомендуем выполнить миграцию в Microsoft Graph PowerShell для взаимодействия с Microsoft Entra ID (ранее Azure AD). Microsoft Graph PowerShell предоставляет доступ ко всем API Microsoft Graph и доступен в PowerShell 7. Ответы на распространенные запросы миграции см. в разделе Вопросы и ответы о миграции.

  1. Если вы не используете операционную систему Windows 10, установите 64-разрядную версию помощника по входу в Microsoft Online Services. См. статью Помощник по входу в Microsoft Online Services для ИТ-специалистов, RTW.

  2. Установите модуль Microsoft Azure Active Directory для Windows PowerShell:

    1. Откройте командную строку Windows PowerShell с повышенными привилегиями (запустите Windows PowerShell от имени администратора).
    2. Выполните команду Install-Module MSOnline.
  3. Отключите синхронизацию каталогов, выполнив следующую команду:

     Set-MsolDirSyncEnabled -EnableDirSync $false
    
  4. Убедитесь, что синхронизация каталогов полностью отключена с помощью Windows PowerShell. Для этого периодически выполняйте следующую команду:

     (Get-MSOLCompanyInformation).DirectorySynchronizationEnabled
    

    Эта команда возвращает значение True или False. Продолжайте периодически выполнять эту команду, пока она не вернет значение False, а затем перейдите к следующему шагу.

    Для завершения отключения может потребоваться до 72 часов. Время зависит от количества объектов, которые находятся в учетной записи подписки на облачную службу.

  5. Попробуйте обновить объект с помощью Windows PowerShell или портала облачной службы.

    Выполнение шага 4 может занять некоторое время. В среде облачной службы существует процесс, который вычисляет значения атрибутов. Процесс должен быть завершен, прежде чем объекты можно будет изменить с помощью Windows PowerShell или с помощью портала облачной службы.

Вы удаляете объект из локальной службы AD DS. Однако объект не удаляется из учетной записи подписки на облачную службу.

Принудительная синхронизация каталогов с помощью действий, описанных в этой статье : Запуск планировщика

  • Если некоторые обновления и удаления распространяются, но некоторые удаления не синхронизируются с облачной службой, выполните стандартные процедуры устранения неполадок синхронизации каталогов.

  • Если все обновления и удаления не синхронизированы с облачной службой, обратитесь в службу поддержки.

    Примечание.

    В качестве альтернативного решения для этого сценария объект можно удалить вручную в облачной службе. Однако объект не может быть обновлен в облачной службе. Дополнительные сведения об устранении этой проблемы см. в следующей статье базы знаний Майкрософт: Удаление объектов не синхронизируется с Microsoft Entra ID при использовании средства синхронизации Azure Active Directory.  

Дополнительная информация

Чтобы повторно включить синхронизацию каталогов, выполните следующую команду:

Set-MsolDirSyncEnabled -EnableDirSync $true

При повторном включении синхронизации каталогов важно тщательно планировать. Если вы использовали портал облачной службы или Windows PowerShell для внесения изменений непосредственно в объекты, которые были первоначально синхронизированы из локальных доменных служб Active Directory, изменения будут перезаписаны локальными атрибутами и параметрами при первой синхронизации после повторного включения синхронизации каталогов.

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.