症状
在 Azure Active Directory (Azure AD) Connect 中不会创建或更新 Exchange Online 对象(如用户、联系人或组)。
解决方案
有两个 Windows Azure Active Directory 模块可通过 PowerShell 管理 Azure AD。 两者目前都支持。
-
若要使用 MSOL 模块,请安装以下模块(一次在以管理员身份运行的 PowerShell 窗口中)。 有关详细信息,请参阅 Azure ActiveDirectory (import-module msonline)。 Install-Module MSOnline 然后,每次连接时,运行以下命令以访问 MSOL 命令。 Connect-MsolService
-
若要使用 AzureAD 模块,请安装以下模块(一次在以管理员身份运行的 PowerShell 窗口中)。 有关详细信息,请参阅 Azure Active Directory PowerShell。 Install-Module AzureAD 然后,每次连接时,运行以下命令以访问 AzureAD 命令。 Connect-AzureAD
若要解决此问题,请执行以下步骤:
-
通过使用 Azure AD PowerShell 模块确认该对象存在于 Azure AD 中。 例如,运行以下 cmdlet。 注意 如果用户需要邮箱,则 UsageLocation 参数是必需的,并且必须填充。
MSOL 模块
Get-MsolUser -SearchString <UserPrinicipalName or DisplayName>
Get-MsolContact -SearchString <EmailAddress or DisplayName>
Get-MsolGroup -SearchString <EmailAddress or DisplayName>
AzureAD 模块
Get-AzureADUser -SearchString <UserPrinicipalName or DisplayName>
Get-AzureADContact
Get-AzureADGroup -SearchString <EmailAddress or DisplayName>
-
如果 Azure AD 中不存在对象,请确保该对象在 Azure AD Connect 范围内。
-
如果该对象存在于 Azure AD 中,请使用 " 获取用户 cmdlet" 确认该对象是否存在于 Exchange 中。 如果没有结果,请让 Microsoft 提交对象,以便将 Azure AD 中的转发同步到 Exchange Online。 必须使用 ObjectId 参数发出此请求。 可以在 Azure AD 中找到 ObjectId 参数值(它将采用 xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx形式)。)。 例如: MSOL 模块
Get-MsolUser -UserPrincipalName <UserPrinicipalName or DisplayName> | fl ObjectId
Get-MsolContact -SearchString <UserPrinicipalName or DisplayName> | fl ObjectId
Get-MsolGroup -SearchString <EmailAddress or DisplayName> | fl ObjectId
AzureAD 模块
Get-AzureADUser -SearchString <UserPrinicipalName or DisplayName> | fl ObjectId
Get-AzureADContact | fl Mail,ObjectId
Get-AzureADGroup -SearchString <EmailAddress or DisplayName> | fl ObjectId
-
检查 DirSync 错误。 若要执行此操作,请参阅以下支持文章: 识别 office 365 中的目录同步错误标识 office 365 中的 DirSync 预配错误 有关如何进行故障排除的详细信息,请参阅以下文章: 同步过程中的错误疑难解答未同步到 Azure AD 的对象
-
如果存在与另一个对象的冲突,但在本地 Active Directory 中找不到该对象,请确认没有仅限云的对象导致该问题。 你可以通过多种方式执行此操作。 例如,选择 " 用户 -在管理门户中 > 来宾用户 或在管理门户中查看同步错误详细信息中的属性"。 如果它显示 源锚点为空白,并且 颁发机构来源 为 Cloud,则这是来宾用户而不是成员。 应删除或更新对象,以减少与同步对象的冲突。 最后,你也可以使用 PowerShell 中的以下 cmdlet 检查此情况。 例如:
Get-MsolUser -SearchString <UserPrinicipalName or DisplayName> | fl UserType,ImmutableId
Get-AzureADUser -SearchString <UserPrinicipalName or DisplayName> | fl UserType,ImmutableId
-
如果这是用户或组对象,请确认用户主体名称(UPN)后缀是已接受的域。 如果不是,请将 SMTP 后缀添加到 " 接受域"。
-
如果你进行更改以更正同步错误,但仍未解决问题,请使用 UserPrincipalName 属性让 Microsoft 提交对象,以便将 Azure AD 中的转发到 Exchange Online。 请提供此值,因为它可能不同于你的 PrimarySMTPAddress 属性值。 提供 Azure ObjectID 参数,该参数现在需要运行转发同步。 Get-MsolUser -SearchString <UserPrinicipalName or DisplayName> | fl ObjectID
