Bekannte Probleme bei der Bereitstellung in Microsoft Entra ID

In diesem Artikel werden bekannte Probleme erläutert, die Sie bei der App-Bereitstellung oder der mandantenübergreifenden Synchronisierung beachten sollten. Geben Sie Ihr Feedback zum Anwendungsbereitstellungsdienst über UserVoice ab. Weitere Informationen finden Sie auf der UserVoice-Seite zur Microsoft Entra-Anwendungsbereitstellung. Wir beobachten UserVoice genau, damit wir den Dienst verbessern können.

Hinweis

Dieser Artikel ist keine vollständige Liste bekannter Probleme. Wenn Sie ein Problem kennen, das hier nicht aufgeführt wird, teilen Sie Ihr Feedback unten auf der Seite mit.

Mandantenübergreifende Synchronisierung

Szenarien nicht unterstützter Synchronisierung

• Synchronisieren von Gruppen, Geräten und Kontakten mit einem anderen Mandanten
• Cloudübergreifendes Synchronisieren von Benutzern
• Mandantenübergreifendes Synchronisieren von Fotos
• Synchronisieren von Kontakten und Konvertieren von Kontakten in B2B-Benutzer
• Synchronisieren von Meetingräumen über Mandanten hinweg

ProxyAddresses werden aktualisiert

ProxyAddresses ist eine schreibgeschützte Eigenschaft in Microsoft Graph. Sie kann als Quellattribute in Ihre Zuordnungen eingeschlossen werden, kann aber nicht als Zielattribute festgelegt werden.

Bereitstellen von Benutzern

Ein externer Benutzer aus dem Quellmandanten (Home) kann nicht in einem anderen Mandanten bereitgestellt werden. Interne Gastbenutzer aus dem Quellmandanten können nicht in einem anderen Mandanten bereitgestellt werden. Nur interne Mitgliedsbenutzer aus dem Quellmandanten können im Zielmandanten bereitgestellt werden. Weitere Informationen finden Sie unter Eigenschaften von Microsoft Entra B2B  Collaboration-Benutzer*innen.

Darüber hinaus können Benutzer, für die SMS-Anmeldung aktiviert ist, nicht über die mandantenübergreifende Synchronisierung synchronisiert werden.

Das Aktualisieren der showInAddressList-Eigenschaft ist fehlgeschlagen

Bei bestehenden Benutzenden von B2B Collaboration wird das Attribut showInAddressList aktualisiert, solange die Benutzenden kein Postfach im Zielmandanten aktiviert haben. Wenn das Postfach im Zielmandanten aktiviert ist, verwenden Sie das PowerShell-Cmdlet Set-MailUser, um die Eigenschaft HiddenFromAddressListsEnabled auf den Wert $false festzulegen.

Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false

Dabei entspricht [GuestUserUPN] dem berechneten UserPrincipalName. Beispiel:

Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false

Weitere Informationen finden Sie unter Informationen zum Exchange Online PowerShell-Modul.

Konfigurieren der Synchronisierung über den Zielmandanten

Das Konfigurieren der Synchronisierung über den Zielmandanten wird nicht unterstützt. Alle Konfigurationen müssen im Quellmandanten ausgeführt werden. Der Zieladministrierende kann die mandantenübergreifende Synchronisierung jederzeit deaktivieren.

Zwei Benutzer im Quellmandanten, die mit demselben Benutzer im Zielmandanten übereinstimmen

Wenn zwei Benutzende im Quellmandanten die gleiche E-Mail haben und beide im Zielmandanten angelegt werden müssen, wird ein Benutzender im Ziel angelegt und mit den beiden Benutzenden im Quellmandanten verknüpft. Stellen Sie sicher, dass das E-Mail-Attribut nicht von Benutzenden im Quellmandanten gemeinsam genutzt wird. Bitte stellen Sie außerdem sicher, dass die E-Mail-Adresse des Benutzers im Quellmandanten von einer überprüften Domäne stammt. Der externe Benutzer wird nicht erfolgreich erstellt, wenn die E-Mail-Adresse von einer nicht überprüften Domäne stammt.

Nutzung der Microsoft Entra B2B-Zusammenarbeit für den mandantenübergreifenden Zugriff

• B2B-Benutzer können bestimmte Microsoft 365-Dienste in Remotemandanten (wie z. B. in Exchange Online) nicht verwalten, da es keine Verzeichnisauswahl gibt.
• Weitere Informationen zur Azure Virtual Desktop-Unterstützung für B2B-Benutzer*innen finden Sie unter Voraussetzungen für Azure Virtual Desktop.
• Den neuesten Status der Power BI-Unterstützung für externe Mitgliedsbenutzer*innen finden Sie unter Verteilen von Power BI-Inhalten an externe Gastbenutzer mit Microsoft Entra B2B-.

Autorisierung

Bereitstellungsmodus kann nicht wieder in „manuell“ geändert werden

Wenn Sie die Bereitstellung zum ersten Mal konfigurieren, werden Sie feststellen, dass der Bereitstellungsmodus von manuell auf automatisch umgestellt wurde. Sie können ihn nicht wieder in „manuell“ ändern. Allerdings können Sie die Bereitstellung über die Benutzeroberfläche deaktivieren. Indem Sie die Bereitstellung über die Benutzeroberfläche deaktivieren, erzielen Sie dasselbe Ergebnis, wie durch das Festlegen der Dropdownoption auf „manuell“.

Attributzuordnungen

Das Attribut „SamAccountName“ oder „userType“ ist nicht als Quellattribut verfügbar

Die Attribute SamAccountName und userType sind nicht als Quellattribute verfügbar. Sie können stattdessen ein Verzeichniserweiterungsattribut als Problemumgehung verwenden. Weitere Informationen finden Sie unter Fehlendes Quellattribut.

Dropdownmenü für Quellattribute fehlt für die Schemaerweiterung

Erweiterungen an Ihrem Schema fehlen manchmal im Dropdownmenü für Quellattribute in der Benutzeroberfläche. Öffnen Sie die erweiterten Einstellungen Ihrer Attributzuordnungen, und fügen Sie die Attribute manuell hinzu. Weitere Informationen finden Sie unter Anpassen von Attributzuordnungen.

NULL-Attribut kann nicht bereitgestellt werden

Microsoft Entra ID kann derzeit keine NULL-Attribute bereitstellen. Wenn ein Attribut für das Benutzerobjekt NULL lautet, wird es übersprungen.

Sonderzeichen werden beim Verknüpfen von Eigenschaften nicht unterstützt.

Microsoft Entra ID kann derzeit keine Filterabfragen für Werte ausführen, die Sonderzeichen enthalten. Daher schlägt ein Bereitstellungsversuch für eine Ressource (Benutzende oder Gruppe) mit einem Sonderzeichen bei Filterattributen fehl. Ein Beispiel ist, dass eine Gruppe mit einem Sonderzeichen für den Namen in Microsoft Entra ID erstellt werden, aber nicht mit einem Zielsystem synchronisiert werden kann.

Maximale Zeichenanzahl für Ausdrücke für Attributzuordnungen

Ausdrücke für die Attributzuordnung können über maximal 10.000 Zeichen verfügen.

Nicht unterstützte Bereichsfilter

Die Attribute appRoleAssignments, userType, Manager und date-type (z. B. StatusHireDate, startDate, endDate, StatusTerminationDate, accountExpires) werden nicht als Bereichsfilter unterstützt.

OtherMails sollte nicht als Zielattribut in Ihren Attributzuordnungen als Zielattribut enthalten sein.

Die otherMails-Eigenschaft wird automatisch im Zielmandanten berechnet. Änderungen am Benutzerobjekt, die direkt im Zielmandanten vorgenommen wurden, können dazu führen, dass die otherMails-Eigenschaft aktualisiert wird, und den Wert überschreiben, der durch die mandantenübergreifende Synchronisierung festgelegt wurde. Daher sollte otherMails nicht in Ihre mandantenübergreifenden Synchronisierungsattributzuordnungen als Zielattribut eingeschlossen werden.

Mehrwertige Verzeichniserweiterungen

Mehrwertige Verzeichniserweiterungen können nicht in Attributzuordnungen oder Bereichsfiltern verwendet werden.

Attribut „targetAddress“ nicht zum Auswählen verfügbar

Das Attribut targetAddress, das der ExternalEmailAddress-Eigenschaft in Microsoft Exchange Online zugeordnet ist, ist nicht als Attribut zum Auswählen verfügbar. Wenn Sie dieses Attribut ändern müssen, müssen Sie dies manuell über das erforderliche Objekt ausführen.

Dienstprobleme

Nicht unterstützte Szenarien

• Das Bereitstellen von Kennwörtern wird nicht unterstützt.
• Die Bereitstellung geschachtelter Gruppen über die erste Ebene hinaus wird nicht unterstützt.
• Die Bereitstellung wird für B2C-Mandanten, einschließlich in oder aus den Mandanten, nicht unterstützt.
• Die Bereitstellung wird für externe Mandanten, einschließlich in oder aus den Mandanten, nicht unterstützt.
• Nicht alle Bereitstellungs-Apps sind in allen Clouds verfügbar.

Die automatische Bereitstellung ist in meiner OICD-basierten Anwendung nicht verfügbar

Wenn Sie eine App-Registrierung erstellen, wird der entsprechende Dienstprinzipal in Unternehmens-Apps nicht für die automatische Benutzerbereitstellung aktiviert. Sie müssen entweder das Hinzufügen der App zum Katalog anfordern, wenn sie von mehreren Organisationen genutzt werden soll, oder eine zweite Nicht-Katalog-App für die Bereitstellung erstellen.

Verwalter wird nicht bereitgestellt

Wenn sich ein Benutzer und der entsprechende Verwalter im Gültigkeitsbereich für die Bereitstellung befinden, stellt der Dienst den Benutzer bereit und aktualisiert dann den Verwalter. Sollte sich jedoch am ersten Tag der Benutzer im Gültigkeitsbereich befinden, der Verwalter aber nicht, stellen wir den Benutzer ohne Verwalterverweis bereit. Wenn der Verwalter sich dann zu einem späteren Zeitpunkt im Gültigkeitsbereich befindet, wird der Verwalterverweis erst aktualisiert, wenn Sie die Bereitstellung neu starten und den Dienst veranlassen, alle Benutzer erneut zu bewerten.

Das Bereitstellungsintervall ist festgelegt

Die Zeit zwischen den Bereitstellungszyklen ist derzeit nicht konfigurierbar.

Änderungen werden nicht von der Ziel-App zu Microsoft Entra ID migriert

Der App-Bereitstellungsdienst erkennt keine Änderungen an externen Apps. Daher wird keine Rollbackaktion ausgeführt. Der App-Bereitstellungsdienst verlässt sich auf Änderungen, die in Microsoft Entra ID vorgenommen werden.

Wechsel von „Sync All“ (Alle synchronisieren) zu „Sync Assigned“ (Zugewiesene synchronisieren) nicht möglich

Nachdem Sie den Bereich von Sync All (Alle synchronisieren) in Sync Assigned (Zugewiesene synchronisieren) geändert haben, müssen Sie einen Neustart durchführen, damit die Änderung wirksam wird. Sie können den Neustart über die Benutzeroberfläche durchführen.

Bereitstellungszyklus wird bis zum Abschluss fortgesetzt

Wenn Sie für die Bereitstellung enabled = off festlegen oder Beenden auswählen, wird der aktuelle Bereitstellungszyklus bis zum Abschluss fortgesetzt. Der Dienst führt keine zukünftigen Zyklen aus, bis Sie die Bereitstellung wieder aktivieren.

Mitglied der Gruppe wird nicht bereitgestellt

Wenn sich eine Gruppe im Gültigkeitsbereich und ein Mitglied außerhalb des Gültigkeitsbereichs befindet, wird die Gruppe bereitgestellt. Der außerhalb des Gültigkeitsbereichs befindliche Benutzer wird nicht bereitgestellt. Wenn das Mitglied den Gültigkeitsbereich wieder betritt, erkennt der Dienst die Änderung nicht sofort. Dieses Problem wird durch einen Neustart der Bereitstellung behoben. Starten Sie den Dienst regelmäßig neu, um sicherzustellen, dass alle Benutzer ordnungsgemäß bereitgestellt werden.

Globaler Leser

Die Rolle „Globaler Leser“ kann die Bereitstellungskonfiguration nicht lesen. Erstellen Sie eine benutzerdefinierte Rolle mit dermicrosoft.directory/applications/synchronization/standard/read-Berechtigung, um die Bereitstellungskonfiguration aus dem Microsoft Entra Admin Center zu lesen.

Microsoft Azure Government-Cloud

Für Anmeldeinformationen, einschließlich des geheimen Tokens, der Benachrichtigungs-E-Mail und der SSO-Zertifikatbenachrichtigungs-E-Mails, gilt zusammen in der Microsoft Azure Government Cloud ein Grenzwert von 1 KB.

Bereitstellung lokaler Anwendungen

Dies ist eine aktuelle Liste sämtlicher bekannter Einschränkungen für den Microsoft Entra ECMA-Connectorhost und für die Bereitstellung von lokalen Anwendungen.

Anwendungen und Verzeichnisse

Die folgenden Anwendungen und Verzeichnisse werden noch nicht unterstützt.

Active Directory Domain Services (Benutzer- oder Gruppenrückschreiben von Microsoft Entra ID mithilfe der lokalen Bereitstellung in der Vorschau)

• Wenn ein Benutzer von Microsoft Entra Connect verwaltet wird, sind die zugehörige Autoritätsquelle die lokalen Active Directory Domain Services. Deshalb können Benutzerattribute in Microsoft Entra ID nicht geändert werden. Diese Vorschau kann die von Microsoft Entra Connect verwaltete Autoritätsquelle für Benutzer nicht ändern.
• Der Versuch, Microsoft Entra Connect und die lokale Bereitstellung zu nutzen, um Gruppen oder Benutzer in Active Directory Domain Services bereitzustellen, kann zur Entstehung einer Schleife führen, bei der Microsoft Entra Connect Änderungen überschreibt, die vom Cloud-Bereitstellungsdienst vorgenommen wurden. Microsoft arbeitet an der Entwicklung einer dedizierten Funktion für das Gruppen- oder Benutzerrückschreiben. Stimmen Sie auf dieser Website über das UserVoice-Feedback ab, um den Status der Vorschau zu verfolgen. Alternativ können Sie Microsoft Identity Manager für das Benutzer- oder Gruppenrückschreiben von Microsoft Entra ID zu Active Directory verwenden.

Microsoft Entra ID

Mit der lokalen Bereitstellung können Sie einen Benutzer aus Microsoft Entra ID in einer Drittanbieteranwendung bereitstellen. Sie können jedoch keinen Benutzer aus einer Drittanbieteranwendung in das Verzeichnis verschieben. Kunden müssen sich auf unsere nativen HR-Integrationen, Microsoft Entra Connect, Microsoft Identity Manager oder Microsoft Graph verlassen, um Benutzer in das Verzeichnis zu integrieren.

Attribute und Objekte

Die folgenden Attribute und Objekte werden nicht unterstützt:

• Mehrwertige Attribute.
• Verweisattribute (z. B. manager).
• Gruppen.
• Komplexe Anker (z. B. ObjectTypeName+UserName).
• Attribute mit Zeichen wie „.“ oder „[“.
• Binäre Attribute.
• Lokale Anwendungen befinden sich manchmal nicht im Verbund mit Microsoft Entra ID und benötigen deshalb lokale Kennwörter. Die Vorschau der lokalen Bereitstellung unterstützt keine Kennwortsynchronisierung. Die Bereitstellung anfänglicher Einmalkennwörter wird unterstützt. Sie müssen die Funktion Redact verwenden, um die Kennwörter aus den Protokollen zu bearbeiten. In den SQL- und LDAP-Connectors werden die Kennwörter nicht beim ersten Aufruf der Anwendung exportiert, sondern bei einem zweiten Aufruf bei festgelegtem Kennwort.

SSL-Zertifikate

Für den Microsoft Entra ECMA-Connectorhost muss derzeit entweder ein SSL-Zertifikat von Azure als vertrauenswürdig eingestuft oder der Bereitstellungs-Agent verwendet werden. Das Subjekt des Zertifikats muss mit dem Namen des Hosts übereinstimmen, auf dem der Microsoft Entra ECMA-Connectorhost installiert ist.

Ankerattribute

Der Microsoft Entra ECMA-Connectorhost unterstützt derzeit keine Änderungen von Ankerattributen (Umbenennungen) oder Zielsysteme, die mehrere Attribute erfordern, um einen Anker zu bilden.

Attributermittlung und -zuordnung

Die von der Zielanwendung unterstützten Attribute werden zunächst ermittelt und anschließend im Microsoft Entra Admin Center im Bereich Attributzuordnungen angezeigt. Auch neu hinzugefügte Attribute werden ermittelt. Wenn sich der Typ eines Attributs geändert hat, das bereits Teil der Zuordnung ist, z. B. eine Zeichenfolge in einen booleschen Wert, dann wird dieser Typ nicht automatisch im Microsoft Entra Admin Center geändert. Kunden müssen im Bereich Zuordnungen die erweiterten Einstellungen aufrufen und den Attributtyp manuell aktualisieren.

Bereitstellungs-Agent

• Der Agent unterstützt derzeit keine automatische Aktualisierung für das Bereitstellungsszenario einer lokalen Anwendung. Wir arbeiten aktiv daran, diese Lücke zu schließen und sicherzustellen, dass die automatische Aktualisierung standardmäßig aktiviert und für alle Kunden erforderlich ist.
• Es ist nicht möglich, denselben Bereitstellungs-Agent für die lokale App-Bereitstellung und die Cloudsynchronisierung/HR-gesteuerte Bereitstellung zu verwenden.

Nächste Schritte

Funktionsweise der Bereitstellung