Un ou plusieurs objets ne sont pas synchronisés lors de l’utilisation de l’outil de synchronisation Azure Active Directory

  • Article

Cet article résout un problème lié au fait qu’un ou plusieurs attributs d’objet services de domaine Active Directory (AD DS) ne se synchronisent pas avec Microsoft Entra ID via l’outil de synchronisation Azure Active Directory.

Version du produit d’origine : Services cloud (rôles web/de travail), Microsoft Entra ID, Microsoft Intune, Sauvegarde Azure, Gestion des identités Office 365
Numéro de la base de connaissances d’origine : 2643629

Remarque

Cet article vous a-t-il été utile ? Votre avis est important à nos yeux. Utilisez le bouton Commentaires sur cette page pour nous faire savoir dans quelle mesure cet article vous a été utile ou comment nous pouvons l’améliorer.

Symptômes

Un ou plusieurs objets ou attributs AD DS ne se synchronisent pas avec Microsoft Entra ID comme prévu. Lorsque la synchronisation Active Directory s’exécute, un objet ne se synchronise pas et vous rencontrez l’un des symptômes suivants :

  • Vous recevez un message d’erreur indiquant qu’un attribut a une valeur dupliquée.
  • Vous recevez un message d’erreur indiquant qu’un ou plusieurs attributs violent les exigences de mise en forme telles que le jeu de caractères ou la longueur de caractères.
  • Vous ne recevez pas de message d’erreur et la synchronisation d’annuaires semble terminée. Toutefois, certains objets ou attributs ne sont pas mis à jour comme prévu.

Voici quelques exemples de message d’erreur que vous pouvez recevoir :

Un objet synchronisé avec la même adresse proxy existe déjà dans votre répertoire Microsoft Online Services.

Impossible de mettre à jour cet objet, car l’ID utilisateur est introuvable.

Impossible de mettre à jour cet objet dans Microsoft Online Services, car les attributs suivants associés à cet objet ont des valeurs qui peuvent déjà être associées à un autre objet dans votre répertoire local.

Cause

Ce problème se produit pour l’une des raisons suivantes :

  • La valeur de domaine utilisée par les attributs AD DS n’a pas été vérifiée.

  • Un ou plusieurs attributs d’objet qui nécessitent une valeur unique ont une valeur d’attribut en double (par exemple, l’attribut proxyAddresses ou l’attribut U serPrincipalName) dans un compte d’utilisateur existant.

  • Un ou plusieurs attributs d’objet ne respectent pas les exigences de mise en forme qui limitent les caractères et la longueur des caractères des valeurs d’attribut.

  • Un ou plusieurs attributs d’objet correspondent aux règles d’exclusion pour la synchronisation d’annuaires.

    Le tableau suivant présente les règles d’étendue de synchronisation par défaut :

    Type d’objet Nom de l’attribut Condition de l’attribut en cas d’échec de la synchronisation
    Contact DisplayName Contient « MSOL »
    msExchHideFromAddressLists Est défini sur « True »
    Groupe prenant en charge la sécurité isCriticalSystemObject Est défini sur « True »
    Groupes à extension messagerie
    (groupe de sécurité ou liste de distribution)    		 proxyAddresses

    et

    mail    		 N’a pas d’entrée d’adresse « SMTP : »

    et

    n’est pas présent
    Contacts à extension messagerie proxyAddresses

    et

    mail    		 N’a pas d’entrée d’adresse « SMTP : »

    et

    n’est pas présent
    Inetorgperson Samaccountname N’est pas présent
    isCriticalSystemObject Est présent
    Utilisateur mailNickName Commence par « SystemMailbox »
    mailNickName Commence par « CAS_ »

    et

    contient « } »
    Samaccountname Commence par « CAS_ »

    et

    contient « } »
    Samaccountname Est égal à « SUPPORT_388945a0 »
    Samaccountname Est égal à « MSOL_AD_Sync »
    Samaccountname N’est pas présent
    isCriticalSystemObject Est défini sur « True »

  • Le nom d’utilisateur principal (UPN) a été modifié après la synchronisation initiale et doit être mis à jour manuellement.

  • Exchange Online adresses SMTP (Simple Mail Transfer Protocol) des utilisateurs synchronisés ne sont pas renseignées de manière appropriée dans le schéma Active Directory local.

Résolution

Pour résoudre ce problème, utilisez l’une des méthodes suivantes, en fonction de votre situation.

Exécuter IdFix pour case activée des doublons, des attributs manquants et des violations de règle

Utilisez l’outil de correction des erreurs IdFix DirSync pour rechercher des objets et des erreurs qui empêchent la synchronisation de Microsoft Entra ID.

  • Si vous voyez « Vide » dans la colonne ERROR après avoir exécuté IdFix, l’attribut displayName de l’objet n’est pas défini. Pour résoudre ce problème, spécifiez une valeur pour l’attribut displayName de l’objet en procédant comme suit :
  1. Dans la colonne UPDATE de l’objet, tapez le nom de son attribut displayName.
  2. Dans la colonne ACTION, cliquez sur MODIFIER, puis sur Appliquer.
  3. Répétez les étapes 1 et 2 pour chaque objet qui a une entrée « vide » dans la colonne ERROR.
  4. Réexécutez IdFix pour rechercher d’autres erreurs d’objet.
  • Si vous voyez « Dupliquer » dans la colonne ERROR après avoir exécuté IdFix, deux objets ou plus ont la même adresse e-mail. Pour résoudre ce problème, spécifiez une adresse e-mail unique pour l’objet en procédant comme suit :
  1. Dans la colonne UPDATE de l’objet, tapez une adresse e-mail qui n’est pas déjà utilisée.
  2. Dans la colonne ACTION, cliquez sur MODIFIER, puis sur Appliquer.
  3. Réexécutez IdFix pour rechercher d’autres erreurs d’objet.

Déterminer les conflits d’attributs causés par des objets qui n’ont pas été créés dans Microsoft Entra ID via la synchronisation d’annuaires

Pour déterminer les conflits d’attributs causés par des objets utilisateur créés à l’aide d’outils de gestion (et qui n’ont pas été créés dans Microsoft Entra ID par le biais de la synchronisation d’annuaires), procédez comme suit :

  1. Déterminez les attributs uniques du compte d’utilisateur AD DS local. Pour ce faire, sur un ordinateur sur lequel les outils de support Windows sont installés, procédez comme suit :

    1. Sélectionnez Démarrer, Exécuter, tapez ldp.exe, puis sélectionnez OK.

    2. Sélectionnez Connexion, Se connecter, tapez le nom d’ordinateur d’un contrôleur de domaine AD DS, puis sélectionnez OK.

    3. Sélectionnez Connexion, Lier, puis OK.

    4. Sélectionnez Affichage, Arborescence, le domaine AD DS dans la liste déroulante BaseDN, puis ok.

    5. Dans le volet de navigation, recherchez et double-cliquez sur l’objet qui ne se synchronise pas correctement. Le volet Détails situé à droite de la fenêtre répertorie tous les attributs de l’objet. L’exemple suivant montre les attributs de l’objet :

      Capture d’écran du volet de navigation et d’informations des outils de support Windows qui répertorie tous les attributs d’objet.

    6. Enregistrez les valeurs de l’attribut userPrincipalName et de chaque adresse SMTP dans l’attribut proxyAddresses à valeurs multiples. Vous aurez besoin de ces valeurs ultérieurement.

      Nom de l’attribut Exemple Remarques
      proxyAddresses proxyAddresses (3) : x500 :/o=Exchange/ou=Groupe d’administration Exchange (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae75fca0d3a4303802cea9ca50fcd4f-7628376 ; smtp :7628376@service.contoso.com; SMTP :7628376@contoso.com;
      1. Le nombre affiché entre parenthèses en regard de l’étiquette d’attribut indique le nombre de valeurs d’adresse proxy dans l’attribut à valeurs multiples.

      2. Chaque valeur d’adresse proxy distincte est indiquée par un point-virgule (;).

      3. La valeur de l’adresse proxy SMTP principale est indiquée par « SMTP : » en majuscules
      userPrincipalName 7628376@contoso.com

      Remarque

      Ldp.exe est inclus dans Windows Server 2008 et dans les outils de support de Windows Server 2003. Les outils de support windows Server 2003 sont inclus dans le support d’installation de Windows Server 2003. Ou, pour obtenir les outils de support, accédez au site web Microsoft suivant : Outils de support Windows Server 2003 Service Pack 2 32 bits

  2. Connectez-vous à Microsoft Entra ID à l’aide du module Azure Active Directory pour Windows PowerShell. Pour plus d’informations, consultez Gérer les Microsoft Entra ID à l’aide de Windows PowerShell.

    Laissez la fenêtre de console ouverte. Vous devrez l’utiliser à l’étape suivante.

  3. Recherchez les attributs userPrincipalName en double.

    Dans la connexion de console que vous avez ouverte à l’étape 2, tapez les commandes suivantes dans l’ordre dans lequel elles sont présentées. Appuyez sur Entrée après chaque commande :

    $userUPN = "<search UPN>"

    Remarque

    Dans cette commande, l’espace réservé «< search UPN> » représente l’attribut UserPrincipalName que vous avez enregistré à l’étape 1f.

    Get-MSOLUser -UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}

    Remarque

    Les modules PowerShell Azure AD et MSOnline sont déconseillés à compter du 30 mars 2024. Pour en savoir plus, lisez la mise à jour déconseillée. Après cette date, la prise en charge de ces modules est limitée à l’assistance à la migration vers le Kit de développement logiciel (SDK) Microsoft Graph PowerShell et aux correctifs de sécurité. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.

    Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour les questions courantes sur la migration, reportez-vous au FAQ sur la migration. Note: Les versions 1.0.x de MSOnline peuvent être interrompues après le 30 juin 2024.

    Laissez la fenêtre de console ouverte. Vous l’utiliserez à nouveau à l’étape suivante.

  4. Recherchez les attributs proxyAddresses en double. Dans la connexion de console que vous avez ouverte à l’étape 2, exécutez la commande suivante :

    Import-Module ExchangeOnlineManagement

  5. Pour chaque entrée d’adresse proxy que vous avez enregistrée à l’étape 1f, tapez les commandes suivantes dans l’ordre dans lequel elles sont présentées. Appuyez sur Entrée après chaque commande :

    $proxyAddress = "<search proxyAddress>"

    Remarque

    Dans cette commande, l’espace réservé «< search proxyAddress> » représente la valeur d’un attribut proxyAddresses que vous avez enregistré à l’étape 1f.

    Get-EXOMailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)}}

Les éléments retournés après l’exécution des commandes à l’étape 3 et 4 représentent des objets utilisateur qui n’ont pas été créés via la synchronisation d’annuaires et qui ont des attributs en conflit avec l’objet qui ne se synchronise pas correctement.

Mettre à jour les attributs AD DS pour supprimer les doublons, les violations de règles et les exclusions ciblées

Identifiez les attributs spécifiques qui empêchent la synchronisation en fonction des informations suivantes :

  • Messages électroniques d’administration
  • Rapport de la sortie de l’outil de préparation au déploiement Office 365
  • Règles d’étendue de synchronisation d’annuaires par défaut et règles personnalisées

Une fois qu’une valeur d’attribut spécifique est identifiée, modifiez la valeur de l’attribut à l’aide de l’une des méthodes suivantes :

  • Utilisez l’outil Utilisateurs et ordinateurs Active Directory pour modifier la valeur de l’attribut.
  1. Ouvrez Utilisateurs et ordinateurs Active Directory, puis sélectionnez le nœud racine du domaine AD DS.
  2. Sélectionnez Affichage, puis vérifiez que l’option Fonctionnalités avancées est sélectionnée.
  3. Dans le volet de navigation gauche, recherchez l’objet utilisateur, cliquez dessus avec le bouton droit, puis sélectionnez Propriétés.
  4. Sous l’onglet Rédacteur d’objet, recherchez l’attribut souhaité. Sélectionnez Modifier, puis remplacez la valeur de l’attribut par la valeur souhaitée.
  5. Sélectionnez deux fois OK.
  • Utilisez Active Directory Service Interfaces (ADSI) Modifier pour mettre à jour les attributs d’objet dans AD DS. Vous pouvez télécharger et installer ADSI Edit dans le cadre du Kit de ressources Windows Server. Pour utiliser ADSI Edit pour modifier les attributs, procédez comme suit.

Avertissement

Cette procédure nécessite la modification ADSI. L’utilisation incorrecte d’ADSI Edit peut entraîner de graves problèmes qui peuvent nécessiter la réinstallation de votre système d’exploitation. Microsoft ne peut pas garantir que les problèmes résultant d’une utilisation incorrecte d’ADSI Edit peuvent être résolus. Utilisez ADSI Edit à vos propres risques.

  1. Sélectionnez Démarrer, Exécuter, tapez ADSIEdit.msc, puis sélectionnez OK.
  2. Cliquez avec le bouton droit sur ADSI Modifier dans le volet de navigation, sélectionnez Se connecter à, puis sélectionnez OK pour charger la partition de domaine.
  3. Recherchez l’objet utilisateur, cliquez dessus avec le bouton droit, puis sélectionnez Propriétés.
  4. Dans la liste Attributs , recherchez l’attribut souhaité. Sélectionnez Modifier, puis remplacez la valeur de l’attribut par la valeur souhaitée.
  5. Sélectionnez OK deux fois, puis quittez ADSI Edit.

Créer un groupe et l’ajouter au groupe intégré qui n’est pas synchronisé

Pour résoudre le problème dans le scénario où certains groupes intégrés (tels que le groupe Utilisateurs du domaine) ne sont pas synchronisés, créez un groupe qui contient tous les membres applicables et les autorisations appropriées du groupe intégré. Ensuite, ajoutez ce groupe en tant que membre au groupe intégré qui n’est pas synchronisé. Utilisez le nouveau groupe au lieu du groupe intégré pour gérer les membres. En utilisant cette méthode, vous ne gérez toujours qu’un seul groupe.

Vous ne souhaitez pas modifier les attributs du groupe intégré ou modifier les règles d’étendue de la synchronisation d’identité Appliance pour autoriser la synchronisation des objets système critiques. Il peut déclencher un autre comportement inattendu.

Utiliser la correspondance SMTP pour provoquer la synchronisation d’un objet utilisateur local avec un objet utilisateur existant

Pour plus d’informations, consultez How to use SMTP matching to match on-premises user accounts to Office 365 user accounts for directory synchronization.

Mettre à jour manuellement l’UPN d’un compte d’utilisateur

Pour mettre à jour un UPN de compte d’utilisateur qui a été concédé sous licence après la synchronisation d’annuaires initiale, procédez comme suit :

  1. Installez le module PowerShell Azure Active Directory v2. Pour plus d’informations, consultez Module PowerShell Azure Active Directory v2.

  2. Exécutez les applets de commande suivantes à l’invite Azure Active Directory v2 PowerShell :

    $cred = get-credential

    Remarque

    Lorsque vous y êtes invité, entrez vos informations d’identification d’administrateur.

    Connect-AzureAD

    Set-AzureADUser -ObjectId [CurrentUPN] -UserPrincipalName [NewUPN]

Mettre à jour les adresses SMTP des utilisateurs à l’aide des attributs Active Directory local

Lorsque les attributs SMTP ne sont pas synchronisés avec Exchange Online de manière attendue, vous devrez peut-être mettre à jour les attributs Active Directory local. Pour mettre à jour Active Directory local attributs afin que l’adresse e-mail correcte s’affiche dans Exchange Online, utilisez résolution 2 pour manipuler les attributs du tableau suivant.

Nom de l’attribut Active Directory local Exemple de valeur d’attribut Active Directory local Exemple Exchange Online adresses e-mail
proxyAddresses SMTP:user1@contoso.com SMTP principal : user1@contoso.com
SMTP secondaire : user1@contoso.onmicrosoft.com
proxyAddresses Smtp:user1@contoso.com SMTP principal : user1@contoso.onmicrosoft.com SMTP secondaire : user1@contoso.com
proxyAddresses SMTP:user1@contoso.com
Smtp:user1@sub.contoso.com		 SMTP principal : user1@contoso.com
SMTP secondaire : user1@sub.contoso.com
SMTP secondaire : user1@contoso.onmicrosoft.com
mail User1@contoso.com SMTP principal : user1@contoso.com
SMTP secondaire : user1@contoso.onmicrosoft.com
UserPrincipalName User1@contoso.com SMTP principal : user1@contoso.com
SMTP secondaire : user1@contoso.onmicrosoft.com

L’entrée MoERA (Microsoft Online Email Routing Address) associée au domaine par défaut (par user1@contoso.onmicrosoft.comexemple) est une valeur interprétée basée sur l’alias d’un compte d’utilisateur. Cette adresse e-mail spécialisée est intrinsèquement liée à chaque destinataire Exchange Online. Vous ne pouvez pas gérer, supprimer ou créer d’adresses MOERA supplémentaires pour un destinataire. Toutefois, l’adresse MOERA peut être surchargé en tant qu’adresse SMTP principale à l’aide des attributs de l’objet utilisateur Active Directory local.

Remarque

La présence de données dans l’attribut proxyAddresses masque complètement les données dans l’attribut de messagerie pour Exchange Online remplissage d’adresses e-mail.

Remarque

La présence de données dans l’attribut proxyAddresses, l’attribut mail ou les deux attributs masquent complètement les données UserPrincipalName pour Exchange Online remplissage d’adresses e-mail. L’UPN peut être utilisé pour gérer les adresses e-mail. Toutefois, un administrateur peut décider de gérer l’adresse e-mail et l’UPN séparément en remplissant les attributs proxyAddresses ou mail.

Nous vous recommandons vivement d’utiliser l’un de ces attributs de manière cohérente pour gérer Exchange Online adresses e-mail pour les utilisateurs synchronisés.

Informations supplémentaires

Les commandes Windows PowerShell mentionnées dans cet article nécessitent le module Azure Active Directory pour Windows PowerShell. Pour plus d’informations sur le module Azure Active Directory pour Windows PowerShell, consultez l’article suivant :
Gérer les Microsoft Entra ID à l’aide de Windows PowerShell.

Pour plus d’informations sur le filtrage de la synchronisation d’annuaires par attributs, consultez l’article wiki Microsoft TechNet suivant :
Liste des attributs synchronisés par l’outil de synchronisation Azure Active Directory

Contactez-nous pour obtenir de l’aide

Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.