Durch Anpassungen am Conditional Access innerhalb von Entra ID kann es vorkommen, dass der Azure AD Connector nicht mehr synchronisiert.
Dies macht sich wie folgt bemerkbar:
Schaut man im Synchronization Service Manager auf dem AD Connector findet der Sync nicht mehr statt.
Schauen wir noch detaillierter und versuchen z.B. den Sync zur Forcieren mit dem Befehl „Start-ADSyncSyncCycle -PolicyType Initial“ wird ein entsprechender Fehler zurückgegeben.
Start-ADSyncSyncCycle : System.Management.Automation.CmdletInvocationException: System.InvalidOperationException:
There was an issue obtaining cloud sync intervals ---> Microsoft.Identity.Client.MsalUiRequiredException: AADSTS50079:
Due to a configuration change made by your administrator, or because you moved to a new location, you must enroll in
multi-factor authentication to access '00000002-0000-0000-c000-000000000000'.Hier weist uns dann die Fehlermeldung daraufhin, dass ein MFA Token erforderlich ist.
Im Eventlog sind zudem Einträge mit der Event ID 6900 sichtbar.
MFA für Sync Account deaktivieren
Um die Synchronisation wieder zu ermöglichen, ist es erforderlich, dass wir den Sync Account aus der MFA CA Policy exkludieren.
Wir schauen also in den Eigenschaften im Synchronization Service Manager und finden hier auch noch einmal den Benutzernamen unseres verwendeten Accounts.
Nun gehen wir ins Entra ID und schließen hier den Sync Benutzer aus der MFA CA Policy aus.
Nach kurzer Zeit sollte die Synchronisation nun wieder wie gewohnt funktionieren.
