Azure AD Connect for Office 365 中的组缺少用户

症状

Microsoft Office 365 的 Azure Active Directory （Azure AD）中的组缺少用户。

解决方案

有两个 Windows Azure Active Directory 模块可通过 PowerShell 管理 Azure AD。 两者目前都支持。 

• MSOL-有关 MSOL 模块的详细信息，请参阅以下文章： Install-Module Import-module msonlineConnect-MsolService

• AzureAD-有关 AzureAD 模块的详细信息，请参阅以下文章： Install-Module AzureADConnect-AzureAD

若要解决此问题，请执行以下步骤：

1. 通过使用 Azure AD PowerShell 模块确认该对象存在于 Azure AD 中。 例如，运行以下 cmdlet 之一：

   Get-MsolGroup -SearchString <EmailAddress or DisplayName>

   Get-AzureADGroup -SearchString <Mail or DisplayName>

2. 如果缺少用户对象出现在 Azure AD 中。 确认对象具有 UserPrincipalName、 TargetAddress 和 MailNickname 属性的值。

3. 确认缺少的用户存在于 Azure AD 中。 例如，运行以下 cmdlet 之一：

   Get-MsolUser -SearchString <UserPrinicipalName or DisplayName>

   Get-AzureADUser -SearchString <UserPrinicipalName or DisplayName>

4. 使用 "获取用户" Cmdlet 确认 Exchange Online中是否存在收件人对象。

   1. 如果 Exchange 中不存在收件人对象，请通过使用ObjectId参数（以格式为Xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx）让 Microsoft 提交对象，以便将 Azure AD 中的正向 Exchange Online进行向前同步。 若要获取 ObjectId 参数结果，请运行以下 cmdlet： Get-MsolUser -UserPrincipalName John@contoso.com | fl *object*

   2. 如果用户未显示为UserMailbox或MailUser的收件人类型，请使用UserPrincipalName属性让 Microsoft 提交对象，以便将 Azure AD 中的转发到 Exchange Online 。 请提供此值，因为它可能不同于你的 PrimarySMTPAddress 属性值。

5. 确认没有任何验证或同步错误。 例如，运行以下 cmdlet： Get-MsolGroup -SearchString <EmailAddress or DisplayName> | fl ValidationStatus,*error*

   注意 仅可通过使用 MsolUser Cmdlet 查看 ValidationStatus 参数。如果 ValidationStatus 不 正常，以下文章可能有助于显示有关错误的更详细信息。 在Office 365 门户或适用于 Windows PowerShell 的 Azure Active Directory 模块中，你将看到用户验证错误

6. 比较 Azure 与 Exchange Online 之间的成员身份计数。 必须具有组的 ObjectID 才能在 Azure AD 中运行命令。 可通过使用 MsolGroup 或AzureADGroup cmdlet 找到此项。 然后，可以在命令中使用此 ObjectId 参数获取成员。 例如：

   Get-MsolGroupMember -GroupObjectId ObjectID

   Get-AzureADGroupMember -ObjectId ObjectID

   比较 Exchange 中的信息。 例如： Get-DistributionGroupMember SMTPAddress

7. 如果某个用户在 Azure AD 中列出，但 Exchange Online中缺少该用户，请询问 Microsoft 是否将组对象从 Azure Ad 向 Exchange online 转发到 exchange online，然后确认同步是否已完成（如果添加了用户）。 提供 Azure ObjectID 参数，该参数现在需要运行转发同步。 Get-MsolUser -SearchString <UserPrinicipalName or DisplayName> | fl ObjectID