Errore di Permessi di Azure AD Sync: codice errore 8344
Errore Azure AD Sync Export “Permissions-Issue”
Mettiamo il caso in cui stiamo lavorando sul troubleshooting dello strumento Azure AD Sync di uno dei nostri clienti poichè riscontra problemi con lo strumento.
Il client MIIS riportava errori di esportazione per tutti gli utenti dell’azienda e l’errore era il seguente: “Permissions-Issue”.
Errore Azure AD Sync Export
Ogni qualvolta AAD Sync effettua una sincronizzazione con Office 365, ci viene riportato il messaggio d’errore su “Export”.
Se guardiamo con attenzione al messaggio d’errore, questo dice “Permissions-issue” ma abbiamo già verificato che il nostro account on-premises e quello di Office 365 abbiano effettivamente tutti i permessi necessari per AAD Sync tool. Inizialmente potremmo pensare che si tratti di un falso errore ma così non è ed abbiamo la soluzione da fornirvi.
Qui sotto trovate lo screenshot del messaggio d’errore che ci si presenta.
Quando cliccate su permission-issue, vedrete comparire la seguente immagine che vi fornisce i dettagli del messaggio d’errore, assieme al codice errore.
Vediamo ora i singoli passaggi da eseguire per sistemare la problematica.
Resolve AAD Sync Export Error
Abbiamo visto che, cliccando su Permission-Issue per vederne i dettagli, l’errore della sorgente dati connessa è il nr 8344. Per risolvere l’errore, fate quanto segue.
1. Eseguite lo script Active Directory Inheritance per scaricare una lista di utenti su cui è stata bloccata l’ereditarietà. Una volta recuperata la lista, assicuratevi che per questi gruppi/utenti abbiate permesso l’ereditarietà.
Per permettere l’ereditarietà, assicuratevi che siano abilitate le funzionalità avanzate.
Recatevi in View -> user properties –> Security –> Advanced.
Da qui, selezionate la casella “to include inheritable permissions from this object’s parent”.
2. Assicuratevi di avere assegnato i permessi on-prem richiesti all’account di Azure AD Sync.
3. Una volta controllati i permessi richiesti e l’ereditarietà, assicuratevi che l’account sia parte del security group di AAD Sync in active directory. Il nome del gruppo di sicurezza è MSOL_AD_Sync_RichCoexistence. Dopo aver aggiunto l’account di servizio al gruppo, eseguite nuovamente la sincronizzazione completa e vedrete che tutti gli errori relativi ai permessi saranno scomparsi.
Piccolo dettaglio: nello scenario che abbiamo preso ad esempio, il cliente stava utilizzando l’AAD Sync assieme al password sync ed avevano configurato Exchange 2010 SP3 ibrido.