Question:無法刪除 Azure AD Connect 同步的物件?
簡單來說,因為在測試環境中建立 Azure AD Connect 同步機制後,完成測試後一時手滑快速把 Lab 環境包含那台 Azure AD Connect 同步的主機都刪除了。此時,同步至 Auzre AD 當中的相關「物件」(Objects),便因為 Azure AD Connect 同步機制未正確中斷就移除,導致即便採用 Azure AD 當中的 Global Administrator 登入,也無法刪除那些孤兒物件。從下圖可以看到,有三個使用者帳號是從地端 DC 網域控制站,透過 Azure AD Connect 同步機制至 Azure AD 當中,但因為未正確中斷所以無法執行「Delete User」的動作。
Answer:
簡單來說,這個狀態就是因為 Azure AD Connect 同步機制未正確中斷就移除所造成,所以只要能夠連線至 Azure AD 執行停止 Azure AD Connect 同步機制即可。詳細資訊請參考 Can't manage or remove objects that were synchronized through the Azure Active Directory Sync tool - Active Directory | Microsoft Docs 文章內容,下列將簡述如何解決:首先,請確保執行的 Windows 主機已經安裝 Azure AD PowerShell Cmdlet,倘若未安裝的話請執行「Install-Module MSOnline」指令進行安裝。
安裝完成後,依序執行 PowerShell 指令「連接至 Azure AD > 停用目錄同步機制 > 確認目錄同步機制已停用 (回傳 False)」
# Connect to Azure AD
$msolcred = get-credential
connect-msolservice -credential $msolcred
# Disable directory synchronization
Set-MsolDirSyncEnabled -EnableDirSync $false
# Check that directory synchronization was fully disabled
(Get-MSOLCompanyInformation).DirectorySynchronizationEnabled
確認 Azure AD Connect 同步機制停止後,可以到 Azure Portal 再次確認。
此時,先前透過同步機制到 Azure AD 當中的使用者帳號 (物件),在 Source 欄位會從原本的「Windows Server AD」轉變成「Azure Active Directory」,然後勾選後可以發現能夠選擇「Delete User」並順利執行刪除的動作。