Error Type: AttributeValueMustBeUnique

Bij het opzetten van een adsync van een on-premise active directory naar een bestaande Microsoft 365 tenant met mailboxen liep ik tegen het probleem aan dat enkele accounts niet wilden matchen.

Mijn sync van accounts en de matching of pairing of hoe je het wil noemen had ik op basis van het “mail” attribuut opgezet. Dit attribuut kwam namelijk overeen met de Microsoft 365 UPN van de mailbox van de betreffende gebruikers.

Binnen de Azure Active Directory Connect Health werd gemeld: Error Type: AttributeValueMustBeUnique

Unable to update this object because the null value null associated with this object may already be associated with another object in your local directory services. To resolve this conflict, first determine which object should be using the conflicting value. Then, update or remove the conflicting value from the other object(s).

Binnen de Synchonization Service Manager op de on-premise server was de volgende melding zichtbaar:

Dit wil ik verhelpen door een harde match te maken via powershell. Ik begin met het opvragen van het ObjectGUID. Via get-aduser -Identity “voornaam achternaam” krijg je die:

Het hierboven gevonden ObjectGUID converteer je via powershell naar een B64 waarde.

$guid = "fa155ae2-cf43-43f2-bdb9-6d6bb5042077"
$base64 = [system.convert]::ToBase64String(([GUID]$guid).ToByteArray())
$base64

Deze verkregen B64 waarde hebben we nodig nadat we Powershell met Microsoft 365 verbonden hebben: 4loV+kPP8kO9uW1rtQQgdw==

Begin met:

Install-Module MSOnline
Import-Module MSOnline
Connect-MSOLService

Log vervolgens in door in de pop-up je Microsoft 365 admin accountgegevens in te voeren. Daarna kun je de koppeling leggen door de betreffende Microsoft 365 gebruiker (UserPrincipalName) het eerder verkregen B64 riedeltje als ImmutableId toe te kennen.

Set-MsolUser -UserPrincipalName gebruiker@jouwdomein.nl -ImmutableId 4loV+kPP8kO9uW1rtQQgdw==

Bij een foutmelding, controleer dan of er een eerder verwijderd account is dat je in de weg zit…

Get-MsolUser -ReturnDeletedUsers
Remove-MsolUser -UserPrincipalName jsmith@contoso.com -RemoveFromRecycleBin