Troubleshooting Azure AD Connect
Zdroj: learn.microsoft.com
V případě již existujících účtů v Azure AD, po první instalace Azure AD Connect je potřeba spárovat on-prem účty a clodové účty. Spárování se nejprve provádí skrze soft-match, pokud tento způsob nezafunguje, je potřeba provést hard-mach.
Soft-mach
Spáruje účty na základě upn a primární emailové adresy (SMTP:) v atributu proxyAddresses. V on-prem i cloudové prostředí musí být tyto hodnoty shodné. Pokud nejsou, je potřeba pomocí Atribut Editoru v AD parametry upravit.
Pokud Soft-match nefubguje, nejprve zkontroluj, že není zakázaný na úrovni tenantu BlockSoftMatch
Hard-match
V případě, že soft-match nezafunguje a nespáruje uživatelské identity, je možné vygenerovat immutableid, který slouží jako jedinečný identifikátor a pomocí PowerShell tuto hodnotu nahrát do Azure AD k identitě, která má problémy se synchronizací.
Příkazy
Potřebné moduly jsou AzureAD a ActiveDirectory, ty v případě potřeby nainstaluj příkazy:
1
2
Install-Module -Name AzureAD
Add-WindowsCapability –online –Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0
Připojení do Azure AD
1
Connect-AzureAD
Vygenerování immutableid
1
2
$guid = (Get-ADUser -Filter 'UserPrincipalName -eq "<upn uživatele>"').ObjectGUID
$immutableid=[System.Convert]::ToBase64String($guid.tobytearray())
Uložení immutableid k objektu uživatele nebo mail enabled skupiny
1
Set-AzureADUser -ObjectID <upn uživatele> -ImmutableId $immutableid
Výpis immutableid konkrétního uživatele
1
Get-AzureADUser -ObjectID <upn uživatele> | Where-Object {$_.immutableid -eq $immutableid} | fl UserPrincipalName, immutableid
Výpis uživatele s immtableid
1
Get-AzureADUser | Where-Object {$_.immutableid -eq $immutableid} | fl UserPrincipalName, immutableid
Vymazání immutableid hodnoty
1
Get-AzureADUser -ObjectID <upn uživatele> | Where-Object {$_.immutableid -eq $immutableid} | Set-AzureADUser -ImmutableId $null