Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje známé problémy, o kterých je potřeba vědět při práci se zřizováním aplikací nebo synchronizací mezi tenanty. Pokud chcete poskytnout zpětnou vazbu ke službě zřizování aplikací na UserVoice, navštivte stránku Microsoft Entra Application Provisioning UserVoice. Pozorně sledujeme UserVoice, abychom mohli službu vylepšit.
Poznámka:
Tento článek není úplný seznam známých problémů. Pokud víte o problému, který tu není uvedený, poskytněte zpětnou vazbu v dolní části stránky.
Synchronizace mezi tenanty
Nepodporované scénáře synchronizace
- Synchronizace skupin, zařízení a kontaktů do jiného tenanta
- Synchronizace fotek mezi tenanty
- Synchronizace kontaktů a převod kontaktů na uživatele B2B
- Synchronizace zasedacích místností napříč nájemci
Aktualizace atributů Exchange, jako jsou proxyAddresses a HiddenFromAddressListEnabled
Synchronizace mezi tenanty může spravovat vlastnosti uživatelů v Entra. Nepřímo nespravuje atributy Exchange. Například:
- ProxyAddresses je vlastnost read-only v Microsoft Graph. Může být součástí mapování jako zdrojový atribut, ale nelze ho nastavit jako cílový atribut.
- Synchronizace mezi tenanty může aktualizovat atribut ShowInAddressList v Entra, ale nemůže přímo aktualizovat HiddenFromAddressListEnabled v Exchangi.
- TargetAddress, která se mapuje na vlastnost ExternalEmailAddress v Microsoft Exchange Online, není k dispozici jako atribut, který můžete zvolit. Pokud potřebujete změnit tento atribut, musíte ho provést ručně přes požadovaný objekt.
Uživatelé s povoleným přihlašováním přes SMS jsou přeskočeni
Externí uživatel ze zdrojového (domovského) tenanta nelze přidat do jiného tenanta. Interní hostující uživatele ze zdrojového tenanta nejde převést do jiného tenanta. Do cílového tenanta je možné zřídit pouze interní uživatele z zdrojového tenanta. Další informace najdete v tématu Vlastnosti uživatele pro spolupráci B2B v Microsoft Entra.
Kromě toho není možné synchronizovat uživatele s povoleným přihlášením přes SMS prostřednictvím synchronizace mezi tenanty.
Aktualizace vlastnosti showInAddressList selže
U stávajících uživatelů spolupráce B2B se atribut showInAddressList aktualizuje, pokud uživatel spolupráce B2B nemá v cílovém tenantovi povolenou poštovní schránku. Pokud je poštovní schránka povolena v cílovém tenantovi, pomocí rutiny Set-MailUser PowerShell nastavte HiddenFromAddressListsEnabled vlastnost na hodnotu $false.
Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false
Kde [GuestUserUPN] je vypočítané uživatelské jméno UserPrincipalName. Příklad:
Set-MailUser guestuser1_contoso.com#EXT#@fabrikam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false
Další informace najdete v tématu O tomto modulu Exchange Online PowerShell.
Atribut Mail není aktualizován.
Pokud je uživateli v cílovém tenantovi přiřazena licence exchange, synchronizace mezi tenanty nebude moct aktualizovat atribut pošty. Pokud chcete tento problém obejít, odeberte licenci exchange pro uživatele, aktualizujte atribut pošty a znovu mu přiřaďte licenci.
Konfigurace synchronizace z cílového tenanta
Konfigurace synchronizace z cílového tenanta se nepodporuje. Všechny konfigurace musí být provedeny ve zdrojovém tenantovi. Cílový správce může synchronizaci mezi tenanty kdykoli vypnout.
Dva uživatelé ve zdrojovém tenantovi se shodovali se stejným uživatelem v cílovém tenantovi.
Pokud mají dva uživatelé ve zdrojovém tenantovi stejný e-mail a oba musí být vytvořeni v cílovém tenantovi, jeden uživatel je vytvořen v cílovém a je propojen se dvěma uživateli ve zdroji. Ujistěte se, že atribut pošty není sdílený mezi uživateli ve zdrojovém tenantovi. Kromě toho se ujistěte, že e-mail uživatele ve zdrojovém tenantovi pochází z ověřené domény. Pokud je pošta z neověřené domény, externí uživatel se úspěšně nevytvořil.
Použití spolupráce B2B Microsoft Entra pro mezitenantový přístup
- Uživatelé B2B nemohou spravovat určité služby Microsoft 365 v odštěpných tenantech (například Exchange Online), protože neexistuje možnost výběru adresáře.
- Další informace o podpoře Azure Virtual Desktop pro uživatele B2B najdete v tématu Prerequisites for Azure Virtual Desktop.
- Nejnovější stav podpory Power BI pro externí uživatele najdete v tématu Distribuce obsahu Power BI externím uživatelům typu host s Microsoft Entra B2B
Autorizace
Režim zřizování nejde změnit zpět na ruční
Při první konfiguraci zřizování si všimnete, že režim zřizování se přepnul z ručního na automatický. Režim není možné změnit zpět na ruční. Prostřednictvím uživatelského rozhraní však můžete vypnout zřizování. Vypnutím zřizování v uživatelském rozhraní ve skutečnosti dosáhnete stejného výsledku jako nastavením ručního režimu v rozevírací nabídce.
Mapování atributů
Atribut SamAccountName nebo userType není k dispozici jako zdrojový atribut
Atributy SamAccountName a userType nejsou k dispozici jako zdrojové atributy. Místo toho můžete jako alternativní řešení použít atribut rozšíření adresáře. Další informace najdete v tématu Chybějící atribut zdroje.
Chybí rozevírací seznam zdrojových atributů pro rozšíření schématu.
Rozšíření vašeho schématu mohou někdy chybět v rámci rozevíracího seznamu zdrojového atributu v uživatelském rozhraní. Přejděte do upřesňujícího nastavení mapování atributů a přidejte atributy ručně. Další informace najdete v tématu Přizpůsobení mapování atributů.
Atribut Null nelze zřídit.
Microsoft Entra ID momentálně nemůže zřídit atributy null. Pokud je atribut u objektu uživatele null, přeskočí se.
Speciální znaky nejsou při připojování vlastností podporovány.
Microsoft Entra ID momentálně nemůžou provádět filtrovací dotazy na hodnoty obsahující speciální znaky. Pokus o zřízení prostředku (uživatele nebo skupiny) se speciálním znakem atributů filtru se proto nezdaří. Příkladem je skupina se speciálním znakem názvu, která se dá vytvořit v Microsoft Entra ID, ale nedá se synchronizovat s cílovým systémem.
Maximální počet znaků pro výrazy mapování atributů
Výrazy mapování atributů můžou mít maximálně 10 000 znaků.
Nepodporované filtry vymezení
Atributy appRoleAssignments, userType, manager a date-type (například StatusHireDate, startDate, endDate, StatusTerminationDate, accountExpires) nejsou podporované jako filtry oborů.
OtherMails by neměly být zahrnuty do mapování atributů jako cílové atributy.
Vlastnost otherMails se automaticky vypočítá v cílovém tenantovi. Změny objektu uživatele provedené přímo v cílovém tenantovi mohou vést k aktualizaci vlastnosti `otherMails` a přepsání hodnoty nastavené synchronizací mezi tenanty. V důsledku toho by se otherMails neměly zahrnovat do mapování atributů synchronizace mezi tenanty jako cílový atribut.
Rozšíření adresářů s více hodnotovými položkami
Rozšíření adresářů s více hodnotami nelze použít v mapování atributů ani v oborových filtrech.
Problémy se službou
Nepodporované scénáře
- Zřizování hesel se nepodporuje.
- Zřizování vnořených skupin nad rámec první úrovně se nepodporuje.
- Zřizování není podporováno pro tenanty B2C, včetně vstupu do tenanta nebo výstupu z tenanta.
- Příchozí zřizování pomocí systému pro správu identit mezi doménami (SCIM) není podporováno. Místo toho použijte Microsoft Graph a dávku Microsoft Graphu .
- Ne všechny zřizovací aplikace jsou dostupné ve všech cloudech.
Automatické zřizování není dostupné v aplikaci založené na OIDC
Pokud vytvoříte registraci aplikace, odpovídající služební objekt v podnikových aplikacích nebude umožněn pro automatické zřizování uživatelů. Budete muset buď požádat o přidání aplikace do galerie, pokud je určená pro použití více organizací, nebo vytvořit druhou aplikaci mimo galerii pro zřizování.
Správce není nastaven
Pokud jsou uživatel i jeho nadřízený v dosahu zřizování, služba nejprve zřídí uživatele a poté aktualizuje nadřízeného. Pokud je den, kdy je uživatel v oboru a nadřízený je mimo rozsah, zřídíme uživatele bez odkazu správce. Jakmile správce přejde do oboru, odkaz na správce se neaktualizuje, dokud nerestartujete zřizování a služba znovu vyhodnotí všechny uživatele.
Galerie nepodporuje zřizování v cloudech US Government ani 21Vianet (Čína)
Aplikace mimo galerii / vlastní aplikace a konektor ecma jsou k dispozici pro zřizování v cloudech US Government / 21Vianet (Čína). V těchto prostředích je k dispozici omezený počet aplikací galerie.
Interval zřizování je pevný.
Doba mezi cykly zřizování se momentálně nedá konfigurovat.
Změny se nepřenášejí z cílové aplikace do Microsoft Entra ID
Služba zřizování aplikací neví o změnách provedených v externích aplikacích. Takže není nutné provádět žádnou akci, která by se vrátila zpět. Služba zřizování aplikací spoléhá na změny provedené v Microsoft Entra ID.
Přechod z možnosti Synchronizovat vše na přiřazenou synchronizaci nefunguje
Po změně rozsahu z Synchronizovat vše na Synchronizovat přiřazené nezapomeňte také restartovat, aby se zajistilo, že se změna projeví. Restartování můžete provést z uživatelského rozhraní.
Cyklus zřizování pokračuje až do dokončení.
Když nastavíte zřizování na enabled = off nebo vyberete Zastavit, aktuální cyklus zřizování bude pokračovat až do svého dokončení. Služba přestane spouštět jakékoliv budoucí cykly, dokud znovu nezapnete provisioning.
Člen skupiny není nastaven
Pokud je skupina v oboru a člen je mimo rozsah, skupina se zřídí. Uživatel, který je mimo rozsah, nebude zřízen. Pokud se člen vrátí do oboru, služba změnu okamžitě nezjistí. Problém řeší restartování zřizování. Pravidelně restartujte službu, abyste měli jistotu, že jsou všichni uživatelé správně zřízeni.
Globální čtenář
Role Globální čtenář nemůže přečíst konfiguraci provisioningu. Vytvořte vlastní roli s oprávněním microsoft.directory/applications/synchronization/standard/read, abyste mohli číst konfiguraci zřizování z centra pro správu Microsoft Entra.
Microsoft Azure Government Cloud
Přihlašovací údaje, včetně tajného tokenu, e-mailu s oznámením, a oznámení o certifikátu jednotného přihlášení společně mají v Microsoft Azure Government Cloud limit 1 kB.
Zřizování místních aplikací
Toto je aktuální seznam známých omezení u hostitele konektoru ECMA a zřizování místních aplikací Microsoft Entra.
Připojení konektoru SQL
Konektor SQL očekává, že se soubor DSN zakóduje v UTF-8. Jiné kódování nemusí být správně přečtené a výsledkem je chyba "Název zdroje dat nebyl nalezen a nebyl zadán žádný výchozí ovladač".
Aplikace a adresáře
Následující aplikace a adresáře se zatím nepodporují.
Active Directory Domain Services (zpětný zápis uživatele nebo skupiny z Microsoft Entra ID pomocí lokálního náhledu zřizování)
- Když je uživatel spravovaný službou Microsoft Entra Connect, zdroj autority je místní Active Directory Domain Services. V Microsoft Entra ID se tedy nedají změnit atributy uživatele. Tato verze Preview nezmění zdroj autority pro uživatele spravované službou Microsoft Entra Connect.
- Pokus o použití Microsoft Entra Connect a místního zřizování pro zřizování skupin nebo uživatelů do Active Directory Domain Services může vést k vytvoření smyčky, kde Microsoft Entra Connect může přepsat změnu provedenou službou zřizování v cloudu. Microsoft pracuje na speciální funkci pro zápis zpět pro skupiny nebo uživatele. Podpořte zpětnou vazbu na UserVoice na tomto webu, abyste mohli sledovat stav náhledu. Alternativně můžete použít Microsoft Identity Manager pro zpětný zápis uživatele nebo skupiny z Microsoft Entra ID do Active Directory.
Microsoft Entra ID
Pomocí místního zřizování můžete uživatele vzít v Microsoft Entra ID a zřídit ho do aplikace třetí strany. Uživatele nemůžete přenést do adresáře z aplikace třetí strany. Zákazníci budou muset spoléhat na naše nativní integrace lidských zdrojů, Microsoft Entra Connect, Microsoft Identity Manager nebo Microsoft Graph, aby mohli uživatele přenést do adresáře.
Atributy a objekty
Následující atributy a objekty nejsou podporovány:
- Vícehodnotové atributy.
- Referenční atributy (například správce).
- Skupiny
- Komplexní kotvy (například ObjectTypeName+UserName).
- Atributy, které mají znaky, například "." nebo "[".
- Binární atributy.
- Místní aplikace se někdy nefederují s Microsoft Entra ID a vyžadují místní hesla. Místní zřizování verze Preview nepodporuje synchronizaci hesel. Podporuje se zřizování počátečních jednorázových hesel. Ujistěte se, že k redakci hesel z protokolů používáte funkci Redact . V konektorech SQL a LDAP se hesla neexportují při počátečním volání aplikace, ale při druhém volání s nastaveným heslem.
Certifikáty SSL
Hostitel konektoru MICROSOFT ENTRA ECMA v současné době vyžaduje, aby Azure nebo agent zřizování důvěřoval certifikátu SSL. Předmět certifikátu musí odpovídat názvu hostitele, na který je nainstalovaný Microsoft Entra hostitel konektoru ECMA.
Atributy pro ukotvení
Microsoft Entra Hostitel konektoru ECMA v současné době nepodporuje změny atributů kotvy (například přejmenování) ani cílové systémy, které vyžadují více atributů k vytvoření kotvy.
Zjišťování a mapování atributů
Atributy, které cílová aplikace podporuje, se zjistí a objeví v centru pro správu Microsoft Entra v Mapování atributů. Nově přidané atributy budou nadále zjištěny. Pokud se typ atributu změnil, například řetězec na logickou hodnotu a atribut je součástí mapování, typ se v centru pro správu Microsoft Entra automaticky nezmění. Zákazníci budou muset přejít do upřesňujícího nastavení v mapováních a ručně aktualizovat typ atributu.
Agent nasazování
- Agent v současné době nepodporuje automatickou aktualizaci pro místní scénář zřizování aplikací. Aktivně pracujeme na tom, abychom tuto mezeru zavřeli a zajistili, že je ve výchozím nastavení povolená automatická aktualizace a vyžaduje se pro všechny zákazníky.
- Stejný agent zřizování se nedá použít pro zřizování on-premises aplikací a synchronizaci cloudu nebo zřizování řízené personalistikou.