none
Doppelte Einträge im Azure AD vermeiden bei Upgrade auf Azure AD Connect?

    Frage

  • Guten Tag,

    folgendes Szenario: Wir haben versucht auf dem System, auf dem DirSync läuft, ein Upgrade auf Azure AD Connect durchzuführen. Dieses leider ohne Erfolg. Die Installation der Synchronisierungsdienste brach immer wieder ab. Nach probieren von etlichen Lösungsansätzen aus dem Internet haben wir eine neue VM erstellt und dort Azure AD Connect installiert bekommen. Nach der Konfiguration begann der Synchronisierungsdienst im Stagemodus eine Synchronisierung durchzuführen. Im nächsten Schritt würden wir den Server mit DirSync ausschalten und den Server mit Azure AD Connect aus dem Stagingmodus rausnehmen, sodass dieser in die Cloud synchronisiert. Nun würden wir gerne sicher sein, dass dadurch keine doppelten Benutzer etc. im Azure AD angelegt werden. Kann mir dazu jemand genaueres sagen oder auf was wir achten müssen, damit es keine doppelten Einträge im Azure AD gibt?

    Vielen Dank und viele Grüße

    Montag, 24. April 2017 09:08

Antworten

  • Hallo,

    die Erstellung duplizierter Einträge wird in Azure AD durch das s.g. Duplicate Attribute Resilency geregelt, d.h. die Objekte, für die der Regel zutreffend ist, werden unter Quarantäne gestellt:

    Hier mehr zum Thema:

    Identity synchronization and duplicate attribute resiliency

    Aus dem Artikel:

    "Instead of completely failing to provision or update an object with a duplicate attribute, Azure Active Directory “quarantines” the duplicate attribute which would violate the uniqueness constraint."

    Da diese Feature in mehreren Schritten für die Kunden aktiviert wid, würde ich Ihnen empfehlen, zuerst mit dem cmdlet zu prüfen, ob es in Ihrer Umgebung bereits aktviert wurde:

    Hier die Befehle für beide Attribute:

    Get-MsolDirSyncFeatures -Feature DuplicateUPNResiliency
    
    Get-MsolDirSyncFeatures -Feature DuplicateProxyAddressResiliency

    Falls das Feature nicht aktiv ist, dann brauchen Sie sich auch keine Sorgen darum machen, da das alte Verhalten die Erstellung der duplizierten Objekte komplett verhindert:

    "Current behavior

    If there is an attempt to provision a new object with a UPN or ProxyAddress value that violates this uniqueness constraint, Azure Active Directory blocks that object from being created."

    Gruss,

    Stoyan


    Stoyan (Please take a moment to "Vote as Helpful" and/or "Mark as Answer" where applicable. This helps the community, keeps the forums tidy, and recognizes useful contributions. Thanks!)

    Dienstag, 25. April 2017 12:47

Alle Antworten

  • Hallo,

    die Erstellung duplizierter Einträge wird in Azure AD durch das s.g. Duplicate Attribute Resilency geregelt, d.h. die Objekte, für die der Regel zutreffend ist, werden unter Quarantäne gestellt:

    Hier mehr zum Thema:

    Identity synchronization and duplicate attribute resiliency

    Aus dem Artikel:

    "Instead of completely failing to provision or update an object with a duplicate attribute, Azure Active Directory “quarantines” the duplicate attribute which would violate the uniqueness constraint."

    Da diese Feature in mehreren Schritten für die Kunden aktiviert wid, würde ich Ihnen empfehlen, zuerst mit dem cmdlet zu prüfen, ob es in Ihrer Umgebung bereits aktviert wurde:

    Hier die Befehle für beide Attribute:

    Get-MsolDirSyncFeatures -Feature DuplicateUPNResiliency
    
    Get-MsolDirSyncFeatures -Feature DuplicateProxyAddressResiliency

    Falls das Feature nicht aktiv ist, dann brauchen Sie sich auch keine Sorgen darum machen, da das alte Verhalten die Erstellung der duplizierten Objekte komplett verhindert:

    "Current behavior

    If there is an attempt to provision a new object with a UPN or ProxyAddress value that violates this uniqueness constraint, Azure Active Directory blocks that object from being created."

    Gruss,

    Stoyan


    Stoyan (Please take a moment to "Vote as Helpful" and/or "Mark as Answer" where applicable. This helps the community, keeps the forums tidy, and recognizes useful contributions. Thanks!)

    Dienstag, 25. April 2017 12:47
  • Hallo Stoyan,

    bei mir stehen beide Features auf enabled, dementsprechend sind die wohl aktiviert. Wenn ich das richtig verstanden habe, werden keine doppelten Einträge für Benutzer o.ä. erstellt, sobald ich Azure AD Connect aus dem Stagingmodus herausnehme, wenn UserPrincipalName als Connector verwendet wird? So ganz verstehen tue ich den Vorgang noch nicht so recht. Wenn du da ein bisschen mehr ins Detail gehen könntest, wäre das sehr hilfreich.

    Danke und viele Grüße

    Mittwoch, 3. Mai 2017 13:11