Cet article est consacré à OneDrive for Business (compte d’organisation ou scolaire) et ne concerne pas OneDrive Personnel (compte Microsoft personnel).

En français, “PUID mismatch” pourrait être traduit par “discordance d’ID d’utilisateur principal” ou “non-concordance de PUID”. “PUID” fait référence à “Principal User ID”, qui est l’identifiant unique d’un utilisateur dans un système ou une base de données. Ainsi, une “discordance de PUID” ou “non-concordance de PUID” se réfère à une situation où il y a une incohérence ou un conflit entre l’identifiant attendu d’un utilisateur et celui qui est enregistré ou utilisé par le système.

Symptômes

Il peut arriver qu’un utilisateur légitime de votre organisation ne puisse plus accéder à son espace OneDrive originel.

Généralement, le nouveau site OneDrive indique un suffixe ajouté à l’URL attendue, https://domain-my.sharepoint.com/personal/UserA_Contoso_com1 par exemple (le suffixe peut être un nombre ou un GUID). Dans cet exemple un 1 a été ajouté à l’URL original. Cela est dû au fait que lorsque le nouvel utilisateur a été créé, le système n’a pu utilisé l’URL déjà existant.

L’accès au OneDrive par l’utilisateur provoque un accès refusé pour l’ancien URL. L’utilisateur ne peut pas accéder à son précédent site OneDrive. Lorsque l’utilisateur tentent d’accéder à son site OneDrive originel ou à une ressource SharePoint qui lui avait été partagée, à l’aide de son nouveau compte, il rencontre les symptômes suivants :

  1. Message d’erreur « Accès refusé ».
  2. Expérience utilisateur incohérente.
  3. La synchronisation via l’outil OneDrive ne fonctionne plus.
  4. Autre erreur telle que “Utilisateur introuvable dans l’annuaire” lors de l’accès à des fichiers partagés.

La cause réelle est que l’utilisateur bien que portant le nom d’un utilisateur précédent, est reconnu par le système comme un utilisateur différent. Ce problème est dû à une erreur de correspondance de l’ID utilisateur du site. Plusieurs scénarios ont pu causer ce type d’anomalie :

Ces problèmes se produisent généralement si un compte d’utilisateur est supprimé du Centre d’administration Microsoft 365, puis qu’un nouveau compte est créé à l’aide du nom d’utilisateur principal (UPN) utilisé par le compte supprimé. Une nouvelle valeur d’ID est affectée au nouveau compte, même si l’UPN est identique. Par conséquent, l’accès à la ressource leur est refusé.

Cause : Scénarios courants

  • Test avant déploiement
  • Test avant migration
  • Migration AD vers AAD ou passage d’un mode hybride à un mode Cloud
  • Passage d’un mode Cloud à un mode hybride
  • Un utilisateur est renommé pour prendre l’identité d’un précédent utilisateur.
  • Un utilisateur réintègre l’entreprise et son compte est recréé.

Ces problèmes peuvent également se produire lors de la synchronisation d’annuaires entre une unité d’organisation Active Directory et SharePoint. Si les utilisateurs se sont déjà connectés à SharePoint et sont déplacés ultérieurement vers une autre unité d’organisation, ils peuvent rencontrer ces problèmes lorsque l’unité d’organisation se synchronise avec SharePoint.

Articles de référence

(Voir Remédiation avancée, ci-dessous)

Remédiation

Remédiation simple

  1. Connectez-vous sur le tenant impacté en Administrateur Général ou SharePoint, par exemple via https://admin.microsoft.com.
  2. Dans le centre d’administration, accédez à Utilisateurs/Utilisateurs actifs.
  3. Repérez l’utilisateur impacté, puis en cliquant sur son nom, ouvrez le volet d’administration à droite.
  4. Repérez et sélectionnez l’onglet OneDrive à droite.
  5. Créez un lien vers les fichiers de l’utilisateur, puis sélectionnez ce lien.
  6. Cliquez sur paramètres (engrenage en haut à droite), puis Paramètres OneDrive.
  7. Sélectionnez Paramètres supplémentaires à gauche.
  8. Sélectionnez Administrateurs de la Collection de Sites.
  9. Supprimez l’utilisateur impacté, puis validez.
  10. Revenez sur ce paramètre et rajouter l’utilisateur.

Après quelques minutes, vérifiez si l’utilisateur peut accéder à ses fichiers en ligne, via la section Mes Fichiers de son portail OneDrive. Si cela n’est pas le cas, passez à la remédiation avancée.

Remédiation avancée

Nous utiliserons les opérations indiquées dans cet article de référence, qui est cependant INCOMPLET. Nous avons donc enrichi les indications et instructions de l’article https://learn.microsoft.com/fr-fr/sharepoint/troubleshoot/sharing-and-permissions/fix-site-user-id-mismatch.

Pour réaliser ces opérations, vous devrez disposer du mot de passe de l’utilisateur impacté, ou bien obtenir sa coopération directe. Idéalement, vous l’accompagnerez dans la réalisation des opérations.

  1. Promouvez l’utilisateur impacté en tant qu’Administrateur SharePoint. Vous lui retirerez ce rôle en fin d’opération.
  2. Exécuter des tests : Incompatibilité de l’ID utilisateur du site
  3. Lorsque vous y êtes invité, fournissez les informations suivantes :
    Le compte d’utilisateur affecté, tel que UserA@contoso.com
    URL du site d’origine, par exemple https://contoso-my.sharepoint.com/personal/UserA_Contoso_com sans le 1 à la fin de l’URL.
  4. Lorsque la question vous est posée, accepter le rétablissement d’accès.
  5. Vérifiez en fin d’opération si l’utilisateur a bien récupéré son accès en navigant avec lui depuis son portail https://office.com / OneDrive.
  6. Retirez lui le rôle Administrateur SharePoint.

Attention, l’impact de nos opérations peut prendre jusqu’à 24 heures. Tenez compte de ce facteur avant de prendre toute autre mesure !

Impact sur les accès à SharePoint

Une fois que l’utilisateur aura récupéré l’accès à son patrimoine OneDrive, il est plausible qu’il ne puisse toujours pas accéder à certaines ressources SharePoint. Toujours pour la raison que les accès ont été consenti à un utilisateur différent même s’il porte le même nom (UPN) ; en tout cas du point de vu technique.

La résolution est drastique :

Supprimez tous les partages réalisés envers cet utilisateur et repartager les ressources pertinentes. Tenez compte également ici aussi du délai probable qui peut atteindre jusqu’à 24 heures.

Si le nombre de ressources est conséquent, il peut être préférable de développer (ou utiliser des scripts PowerShell existants) pour automatiser la mise à jour des permissions ou la gestion des utilisateurs dans SharePoint, permettant de traiter rapidement les problèmes de permissions à grande échelle.

Cet article est consacré à OneDrive for Business (compte d’organisation ou scolaire) et ne concerne pas OneDrive Personnel (compte Microsoft personnel).

En français, “PUID mismatch” pourrait être traduit par “discordance d’ID d’utilisateur principal” ou “non-concordance de PUID”. “PUID” fait référence à “Principal User ID”, qui est l’identifiant unique d’un utilisateur dans un système ou une base de données. Ainsi, une “discordance de PUID” ou “non-concordance de PUID” se réfère à une situation où il y a une incohérence ou un conflit entre l’identifiant attendu d’un utilisateur et celui qui est enregistré ou utilisé par le système.

Symptômes

Il peut arriver qu’un utilisateur légitime de votre organisation ne puisse plus accéder à son espace OneDrive originel.

Généralement, le nouveau site OneDrive indique un suffixe ajouté à l’URL attendue, https://domain-my.sharepoint.com/personal/UserA_Contoso_com1 par exemple (le suffixe peut être un nombre ou un GUID). Dans cet exemple un 1 a été ajouté à l’URL original. Cela est dû au fait que lorsque le nouvel utilisateur a été créé, le système n’a pu utilisé l’URL déjà existant.

L’accès au OneDrive par l’utilisateur provoque un accès refusé pour l’ancien URL. L’utilisateur ne peut pas accéder à son précédent site OneDrive. Lorsque l’utilisateur tentent d’accéder à son site OneDrive originel ou à une ressource SharePoint qui lui avait été partagée, à l’aide de son nouveau compte, il rencontre les symptômes suivants :

  1. Message d’erreur « Accès refusé ».
  2. Expérience utilisateur incohérente.
  3. La synchronisation via l’outil OneDrive ne fonctionne plus.
  4. Autre erreur telle que “Utilisateur introuvable dans l’annuaire” lors de l’accès à des fichiers partagés.

La cause réelle est que l’utilisateur bien que portant le nom d’un utilisateur précédent, est reconnu par le système comme un utilisateur différent. Ce problème est dû à une erreur de correspondance de l’ID utilisateur du site. Plusieurs scénarios ont pu causer ce type d’anomalie :

Ces problèmes se produisent généralement si un compte d’utilisateur est supprimé du Centre d’administration Microsoft 365, puis qu’un nouveau compte est créé à l’aide du nom d’utilisateur principal (UPN) utilisé par le compte supprimé. Une nouvelle valeur d’ID est affectée au nouveau compte, même si l’UPN est identique. Par conséquent, l’accès à la ressource leur est refusé.

Cause : Scénarios courants

  • Test avant déploiement
  • Test avant migration
  • Migration AD vers AAD ou passage d’un mode hybride à un mode Cloud
  • Passage d’un mode Cloud à un mode hybride
  • Un utilisateur est renommé pour prendre l’identité d’un précédent utilisateur.
  • Un utilisateur réintègre l’entreprise et son compte est recréé.

Ces problèmes peuvent également se produire lors de la synchronisation d’annuaires entre une unité d’organisation Active Directory et SharePoint. Si les utilisateurs se sont déjà connectés à SharePoint et sont déplacés ultérieurement vers une autre unité d’organisation, ils peuvent rencontrer ces problèmes lorsque l’unité d’organisation se synchronise avec SharePoint.

Articles de référence

(Voir Remédiation avancée, ci-dessous)

Remédiation

Remédiation simple

  1. Connectez-vous sur le tenant impacté en Administrateur Général ou SharePoint, par exemple via https://admin.microsoft.com.
  2. Dans le centre d’administration, accédez à Utilisateurs/Utilisateurs actifs.
  3. Repérez l’utilisateur impacté, puis en cliquant sur son nom, ouvrez le volet d’administration à droite.
  4. Repérez et sélectionnez l’onglet OneDrive à droite.
  5. Créez un lien vers les fichiers de l’utilisateur, puis sélectionnez ce lien.
  6. Cliquez sur paramètres (engrenage en haut à droite), puis Paramètres OneDrive.
  7. Sélectionnez Paramètres supplémentaires à gauche.
  8. Sélectionnez Administrateurs de la Collection de Sites.
  9. Supprimez l’utilisateur impacté, puis validez.
  10. Revenez sur ce paramètre et rajouter l’utilisateur.

Après quelques minutes, vérifiez si l’utilisateur peut accéder à ses fichiers en ligne, via la section Mes Fichiers de son portail OneDrive. Si cela n’est pas le cas, passez à la remédiation avancée.

Remédiation avancée

Nous utiliserons les opérations indiquées dans cet article de référence, qui est cependant INCOMPLET. Nous avons donc enrichi les indications et instructions de l’article https://learn.microsoft.com/fr-fr/sharepoint/troubleshoot/sharing-and-permissions/fix-site-user-id-mismatch.

Pour réaliser ces opérations, vous devrez disposer du mot de passe de l’utilisateur impacté, ou bien obtenir sa coopération directe. Idéalement, vous l’accompagnerez dans la réalisation des opérations.

  1. Promouvez l’utilisateur impacté en tant qu’Administrateur SharePoint. Vous lui retirerez ce rôle en fin d’opération.
  2. Exécuter des tests : Incompatibilité de l’ID utilisateur du site
  3. Lorsque vous y êtes invité, fournissez les informations suivantes :
    Le compte d’utilisateur affecté, tel que UserA@contoso.com
    URL du site d’origine, par exemple https://contoso-my.sharepoint.com/personal/UserA_Contoso_com sans le 1 à la fin de l’URL.
  4. Lorsque la question vous est posée, accepter le rétablissement d’accès.
  5. Vérifiez en fin d’opération si l’utilisateur a bien récupéré son accès en navigant avec lui depuis son portail https://office.com / OneDrive.
  6. Retirez lui le rôle Administrateur SharePoint.

Attention, l’impact de nos opérations peut prendre jusqu’à 24 heures. Tenez compte de ce facteur avant de prendre toute autre mesure !

Impact sur les accès à SharePoint

Une fois que l’utilisateur aura récupéré l’accès à son patrimoine OneDrive, il est plausible qu’il ne puisse toujours pas accéder à certaines ressources SharePoint. Toujours pour la raison que les accès ont été consenti à un utilisateur différent même s’il porte le même nom (UPN) ; en tout cas du point de vu technique.

La résolution est drastique :

Supprimez tous les partages réalisés envers cet utilisateur et repartager les ressources pertinentes. Tenez compte également ici aussi du délai probable qui peut atteindre jusqu’à 24 heures.

Si le nombre de ressources est conséquent, il peut être préférable de développer (ou utiliser des scripts PowerShell existants) pour automatiser la mise à jour des permissions ou la gestion des utilisateurs dans SharePoint, permettant de traiter rapidement les problèmes de permissions à grande échelle.

Tags:

error: Content is protected !!