Det går inte att hantera eller ta bort objekt som synkroniserats via Azure Active Directory Sync-verktyget
I den här artikeln beskrivs ett problem som du inte kan hantera eller ta bort objekt som har skapats via katalogsynkronisering från Microsoft Entra ID. Den innehåller två lösningar för det här problemet av olika skäl.
Ursprunglig produktversion: Cloud Services (webbroller/arbetsroller), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Ursprungligt KB-nummer: 2619062
Symptom
Du försöker hantera eller ta bort objekt som har skapats via katalogsynkronisering manuellt från Microsoft Entra ID:
Du vill till exempel ta bort ett överblivet användarkonto som har synkroniserats till Microsoft Entra ID från din lokal Active Directory Domain Services (AD DS).
I det här scenariot kan du inte ta bort det överblivna användarkontot med hjälp av Microsofts molntjänstportal i Office 365, Azure eller Microsoft Intune eller med hjälp av Windows PowerShell.
Orsak
Det här problemet kan inträffa om ett eller flera av följande villkor är uppfyllda:
- Den lokala AD DS är inte längre tillgänglig. Så du kan inte hantera eller ta bort objektet från den lokala miljön.
- Du har tagit bort ett objekt från den lokala AD DS. Objektet togs dock inte bort från molntjänstorganisationen. Det här beteendet är oväntat.
Åtgärd
Den lokala AD DS är inte längre tillgänglig. Därför kan du inte hantera eller ta bort objektet från den lokala miljön
Du vill hantera objekt i Office 365, Azure eller Intune och du vill inte längre använda katalogsynkronisering.
Obs!
Azure AD- och MSOnline PowerShell-modulerna är inaktuella från och med den 30 mars 2024. Mer information finns i utfasningsuppdateringen. Efter det här datumet är stödet för dessa moduler begränsat till migreringshjälp till Microsoft Graph PowerShell SDK och säkerhetskorrigeringar. De inaktuella modulerna fortsätter att fungera till och med den 30 mars 2025.
Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra ID (tidigare Azure AD). Vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering. Observera: Version 1.0.x av MSOnline kan uppleva störningar efter den 30 juni 2024.
Om du inte kör Windows 10, installera 64-bitarsversionen av Inloggningsassistenten för Microsoft Online Services: Inloggningsassistenten för Microsoft Online Services för IT-experter RTW.
Installera modulen Microsoft Azure Active Directory för Windows PowerShell:
- Öppna en upphöjd PowerShell-kommandotolk i Windows (kör Windows PowerShell som administratör).
- Kör kommandot
Install-Module MSOnline.
Inaktivera katalogsynkronisering genom att köra följande kommando:
Set-MsolDirSyncEnabled -EnableDirSync $falseKontrollera att katalogsynkroniseringen har inaktiverats fullständigt med hjälp av Windows PowerShell. Det gör du genom att köra följande kommando med jämna mellanrum:
(Get-MSOLCompanyInformation).DirectorySynchronizationEnabledDet här kommandot returnerar Sant eller Falskt. Fortsätt att köra det här kommandot regelbundet tills det returnerar False och gå sedan till nästa steg.
Det kan ta 72 timmar innan inaktivering har slutförts. Tiden beror på antalet objekt som finns i ditt molntjänstprenumerationskonto.
Försök att uppdatera ett objekt med hjälp av Windows PowerShell eller med hjälp av molntjänstportalen.
Steg 4 kan ta en stund att slutföra. Det finns en process i molntjänstmiljön som beräknar attributvärden. Processen måste slutföras innan objekten kan ändras med hjälp av Windows PowerShell eller med hjälp av molntjänstportalen.
Du tar bort ett objekt från en lokal AD DS. Objektet tas dock inte bort från ditt molntjänstprenumerationskonto
Framtvinga katalogsynkronisering med hjälp av stegen i den här artikeln: Starta Scheduler
Om vissa uppdateringar och borttagningar sprids, men vissa borttagningar inte synkroniseras till molntjänsten, följer du vanliga felsökningsprocedurer för katalogsynkronisering.
Om alla uppdateringar och borttagningar inte synkroniseras med molntjänsten kontaktar du supporten.
Obs!
Som en alternativ lösning för det här scenariot kan ett objekt tas bort manuellt i molntjänsten. Objektet kan dock inte uppdateras i molntjänsten. Mer information om hur du löser det här problemet finns i följande Microsoft Knowledge Base-artikel: Objektborttagningar synkroniseras inte med Microsoft Entra ID när du använder Azure Active Directory Sync-verktyget.
Mer information
Om du vill återaktivera katalogsynkronisering kör du följande kommando:
Set-MsolDirSyncEnabled -EnableDirSync $true
Det är viktigt att planera noggrant när du återaktiverar katalogsynkronisering. Om du använde molntjänstportalen eller Windows PowerShell för att göra ändringar direkt i de objekt som ursprungligen synkroniserades från lokal AD DS, skrivs ändringarna över av lokala attribut och inställningar första gången som synkroniseringen sker efter att katalogsynkroniseringen har återaktiverats.
Kontakta oss för att få hjälp
Om du har frågor eller behöver hjälp skapar du en supportförfrågan eller frågar Azure community support. Du kan också skicka produktfeedback till Azure-feedbackcommunityn.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för