条件访问 MFA 中断 Azure AD Connect 同步

Azure AD Connect 同步服务已经一周多没有工作了。当我们使用 PowerShell 运行手动 AD 同步时，它会显示错误。为什么会发生这种情况，以及为什么在实施 Azure AD 多重身份验证 (MFA) 后会发生这种情况？最重要的是，Azure AD Connect 同步失败的解决方案是什么？

检查 Azure AD Connect 同步

让我们看看如何验证 Azure AD Connect 是否不起作用。

同步服务管理器

登录 Azure AD Connect 服务器。启动应用程序同步服务管理器。查看开始时间和结束时间。

在下面的屏幕截图中，开始时间和结束时间为 4/11/2021。今天是 2021 年 4 月 19 日。 Azure AD Connect 同步已经一个多星期了。

Microsoft 365 管理中心

登录 Microsoft 365 管理中心。检查用户管理卡。

我们可以确认 Azure AD Connect 上次同步状态是在三天前，并且最近没有发生密码同步。

Azure AD Connect 同步错误

以管理员身份运行 Windows PowerShell。使用 PowerShell 运行强制同步 Azure AD Connect。它将显示以下错误。

PS C:\> Import-Module ADSync
PS C:\> Start-ADSyncSyncCycle -PolicyType Delta
Start-ADSyncSyncCycle : System.Management.Automation.CmdletInvocationException: System.InvalidOperationException: Showing a modal dialog box or form when the application is 
not running in UserInteractive mode is not a valid operation. Specify the ServiceNotification or DefaultDesktopOnly style to display a notification from a service 
application.

Start-ADSyncSyncCycle ：System.Management.Automation.CmdletInitationException：System.InvalidOperationException：当应用程序未在 UserInteractive 模式下运行时显示模式对话框或表单不是有效操作。指定 ServiceNotification 或 DefaultDesktopOnly 样式以显示来自服务
应用程序的通知。

下面的屏幕显示了运行 AD Sync 命令后的外观。

事件查看器应用程序事件

启动事件查看器。转至Windows 日志> 应用程序。显示以下错误事件：

• 事件 662，目录同步

• 事件 6900，ADSync

• 事件 655，目录同步

• 事件 ID 906，目录同步

单击事件 ID 906。

事件 906，目录同步
GetSecurityToken：无法检索预配 Web 服务 (AWS) 的安全令牌。不允许 ADSync 服务与桌面交互以验证 [email protected]。如果意外为同步帐户启用多因素或其他交互式身份验证策略，则可能会出现此错误。

AD Connect同步失败的解决方法

实施 Azure AD MFA 后 AD Connect 同步中断的解决方案是从 Azure AD MFA 中排除 Azure AD Connect 同步帐户。

服务帐户（例如 Azure AD Connect 同步帐户）是不与任何特定用户绑定的非交互式帐户。它们通常由后端服务使用，允许以编程方式访问应用程序，但也用于出于管理目的登录系统。应排除此类服务帐户，因为 MFA 无法以编程方式完成。

查找 Azure AD 同步帐户

在我们在上一步中查看的事件日志错误中，您可以复制需要从 Azure MFA 中排除的帐户。

如果您想在同步服务管理器中检查帐户，请单击连接器。单击类型Windows Azure Active Directory (Microsoft)。单击属性。

单击连接并找到用户名。

了解更多：查找 Azure AD Connect 帐户 »

排除 Azure AD Connect 同步帐户的 MFA

登录 Microsoft Azure。打开菜单并浏览到 Azure Active Directory > 安全 > 条件访问。编辑对用户帐户实施 MFA 的条件访问策略。

在此示例中，它是策略MFA 所有用户。

了解更多：配置 Azure AD 多重身份验证 »

在分配下，点击用户和组，然后选择排除。选中用户和组复选框。找到您在上一步中复制的同步帐户。确保该策略处于开启状态，然后单击保存。

验证 Azure AD Connect 同步状态

您最多可以等待 30 分钟，或者如果您不想等待那么长时间，请强制将 Azure AD Connect 与 PowerShell 同步。

PS C:\> Import-Module ADSync
PS C:\> Start-ADSyncSyncCycle -PolicyType Delta

开始时间和结束时间更改为2021年4月19日。

绿色检查 Microsoft 365 管理中心中的 Azure AD Connect 同步。

这是否可以帮助您在配置条件访问 MFA 后修复损坏的 Azure AD Connect 同步？

继续阅读：使用 PowerShell 将用户添加到组 »

结论

您了解了为什么 Azure AD Connect 同步服务在实施 Azure AD 多重身份验证后停止同步。这是因为 Azure AD Connect 同步帐户启用了 MFA。从 Azure 条件访问策略中排除 Azure AD Connect 同步帐户，它将开始同步。

更好的方法是创建一个名为Non-MFA的安全组，并将 Azure AD Connect 同步帐户添加为成员。这样，如果您将来需要添加其他服务帐户，您就可以保持井井有条。

您喜欢这篇文章吗？您可能还喜欢使用 PowerShell 连接到 Azure AD。不要忘记关注我们并分享这篇文章。