У меня странная ошибка ADSync, в которой говорится, что мой локальный активный каталог содержит два объекта с одинаковым свойством ProxyAddress. Один из аккаунтов имя пользователя@ domain.tld (что правильно), а второй - имя пользователя@ domain.onmicrosoft.com (который, на мой взгляд, отсутствует в AD) - и, согласно отчету об ошибках DirSync, оба они содержат один и тот же конфликтующий ProxyAddress имя пользователя@ domain.tld. AzureAD показывает, что обе учетные записи исходят из локальной Active Directory. Дело в том, что кто-то мог создать * учетную запись onmicrosoft.com несколько лет назад для тестирования office365.
Пока я проверил две вещи:
Get-ADUser -Filter * -Properties proxyAddresses | foreach {
foreach($address in $_.proxyAddresses) {
if ($address -eq 'smtp:username@domain.tld') {
Write-Host $address
}
}
}
$user = Get-ADUser legit_account
$immutableid = [System.Convert]::ToBase64String($user.ObjectGUID.tobytearray())
$immutableid #shows the same as legit account in DirSync report
$badImmutableID = 'base64 copied from bad account DirSync error report=='
$users = get-aduser -Filter *
foreach ($usr in $users) {
$currImmutableID = [System.Convert]::ToBase64String($usr.ObjectGUID.tobytearray())
if ($currImmutableID -eq $badImmutableID) {
$usr
}
}
Этот сценарий не обеспечивает вывода с плохим immutableID (но работает с другими).
Я фактически застрял на этом этапе - AzureAD не позволяет мне удалить плохую учетную запись для разрешения конфликта, говоря, что я должен решить его в локальной AD, пока такой учетной записи нет. Любые идеи будут высоко оценены.
Вам нужно отключить синхронизацию AD перед удалением этой плохой учетной записи,
Шаг 1 - Установите модуль Azure Active Directory для Windows PowerShell.
Install-Module -Name MSOnline
Install-Module -Name AzureAD
Шаг 2 - Подключиться к Azure AD
Connect-MsolService
Шаг 3 - Отключить синхронизацию каталогов
Set-MsolDirSyncEnabled –EnableDirSync $false
Шаг 4 - Проверить статус синхронизации каталогов
(Get-MSOLCompanyInformation).DirectorySynchronizationEnabled
Продолжайте периодически запускать этот командлет, пока он не вернет значение False, а затем переходите к следующему шагу. Обратите внимание, что в этот период нельзя будет использовать Azure AD.
Шаг 5 - Удалить потерянный объект
Remove-MsolUser -UserPrincipalName user@domain.onmicrosoft.com
Шаг 6 - Включить синхронизацию каталогов
Set-MsolDirSyncEnabled -EnableDirSync $true
Больше информации здесь: Вы не можете управлять или удалять объекты, которые были синхронизированы с помощью инструмента Azure Active Directory Sync.
Изменить: - ВНИМАНИЕ: Как указал Cyrill U, повторное включение синхронизации может занять до 72 часов, так что это необходимо учитывать перед этой процедурой.
Больше информации: Синхронизацию каталогов для Office 365, Azure или Intune нельзя активировать или деактивировать