Compartir vía


Problemas conocidos para el aprovisionamiento en Microsoft Entra ID

En este artículo se abordan problemas conocidos que deben tenerse en cuenta al trabajar con el aprovisionamiento de aplicaciones o la sincronización entre inquilinos. Para proporcionar comentarios sobre el servicio de aprovisionamiento de aplicaciones en UserVoice; consulte Aprovisionamiento de aplicaciones de Microsoft Entra en UserVoice. Supervisamos UserVoice muy de cerca para poder mejorar el servicio.

Nota

Este artículo no proporciona una lista completa de problemas conocidos. Si sabe que hay un problema que no aparece en la lista, proporcione comentarios en la parte inferior de la página.

Sincronización entre inquilinos

Escenarios de sincronización no compatibles

  • Sincronización de grupos, dispositivos y contactos en otro inquilino
  • Sincronización de usuarios entre nubes
  • Sincronización de fotos entre inquilinos
  • Sincronización de contactos y conversión de estos a usuarios B2B
  • Sincronización de salas de reuniones entre inquilinos

Actualización de proxyAddresses

ProxyAddresses es una propiedad de solo lectura en Microsoft Graph. Se puede incluir como atributo de origen en las asignaciones, pero no se puede establecer como atributo de destino.

Aprovisionamiento de usuarios

Un usuario externo del inquilino de origen (inicio) no se puede aprovisionar en otro inquilino. Los usuarios invitados internos del inquilino de origen no se pueden aprovisionar en otro inquilino. Solo los usuarios miembros internos del inquilino de origen se pueden aprovisionar en el inquilino de destino. Para más información consulte Propiedades de un usuario de colaboración B2B de Microsoft Entra.

Además, los usuarios habilitados para el inicio de sesión por SMS no se pueden sincronizar mediante la sincronización entre inquilinos.

Error al actualizar la propiedad showInAddressList

En el caso de los usuarios de colaboración B2B existentes, el atributo showInAddressList se actualizará siempre que el usuario de colaboración B2B no tenga habilitado un buzón en el inquilino de destino. Si el buzón está habilitado en el inquilino de destino, use el cmdlet Set-MailUser de PowerShell para establecer la propiedad HiddenFromAddressListsEnabled con un valor de $false.

Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false

Donde [GuestUserUPN] es el valor calculado de UserPrincipalName. Ejemplo:

Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false

Para obtener más información, vea Acerca del módulo PowerShell de Exchange Online.

Configuración de la sincronización desde el inquilino de destino

La configuración de la sincronización desde el inquilino de destino no es compatible. Todas las configuraciones se deben realizar en el inquilino de origen. El administrador de destino puede desactivar la sincronización entre inquilinos en cualquier momento.

Dos usuarios del inquilino de origen coinciden con el mismo usuario en el inquilino de destino

Cuando dos usuarios del inquilino de origen tienen el mismo correo electrónico y ambos deben crearse en el inquilino de destino, se creará un usuario en el destino y se vinculará a los dos usuarios del origen. Asegúrate de que el atributo de correo electrónico no se comparte entre los usuarios del inquilino de origen. Además, asegúrese de que el correo del usuario en el inquilino de origen procede de un dominio comprobado. El usuario externo no se creará correctamente si el correo procede de un dominio no comprobado.

Uso de la colaboración B2B de Microsoft Entra para el acceso entre inquilinos

Authorization

No se puede volver a cambiar el modo de aprovisionamiento a manual

Tras configurar el aprovisionamiento por primera vez, observarás que el modo de aprovisionamiento cambia de manual a automático. No se puede volver a cambiar a manual. Sin embargo, puede desactivar el aprovisionamiento en la interfaz de usuario. Desactivar el aprovisionamiento en la interfaz de usuario tiene el mismo efecto que establecer la configuración en manual en el menú desplegable.

Asignaciones de atributos

Atributo SamAccountName o userType no disponible como un atributo de origen

Los atributos SamAccountName y userType no están disponibles como atributos de origen. En su lugar, puedes usar un atributo de extensión de directorio como solución alternativa. Para obtener más información, consulta Falta atributo de origen.

Faltan atributos de origen en la lista desplegable para la extensión del esquema

A veces, pueden faltar extensiones en la lista desplegable de atributos de origen de la interfaz de usuario. Ve a la configuración avanzada de las asignaciones de atributos y agrega manualmente los atributos. Para obtener más información, consulta Personalización de asignaciones de atributos.

No se puede aprovisionar el atributo NULL

Microsoft Entra ID actualmente no puede aprovisionar atributos NULL. Si un atributo es “null” en el objeto de usuario, se omitirá.

No se admiten caracteres especiales en las propiedades de unión

Actualmente, Microsoft Entra ID no puede realizar consultas de filtro en valores que contengan caracteres especiales. Por lo tanto, se produce un error en el intento de aprovisionamiento de un recurso (usuario o grupo) con un carácter especial en los atributos de filtro. Por ejemplo, un grupo con un carácter especial en el nombre puede crearse en Microsoft Entra ID pero no puede sincronizarse con un sistema de destino.

Caracteres máximos para las expresiones de asignación de atributos

Las expresiones de asignación de atributos pueden tener un máximo de 10 000 caracteres.

Filtros de ámbito no admitidos

Los atributos appRoleAssignments, userType, manager y date-type (por ejemplo, StatusHireDate, startDate, endDate, StatusTerminationDate, accountExpires) no se admiten como filtros de ámbito.

OtherMails no se debe incluir como atributo de destino en las asignaciones de atributos

La propiedad otherMails se procesa automáticamente en el inquilino de destino. Los cambios realizados directamente en el objeto de usuario en el inquilino de destino podrían dar lugar a que se actualice la propiedad otherMails e invalide el valor establecido por la sincronización entre inquilinos. Como resultado, otherMails no debe incluirse en las asignaciones de atributos de sincronización entre inquilinos como atributo de destino.

Extensiones de directorio de varios valores

Las extensiones de directorio de varios valores no se pueden usar en asignaciones de atributos ni filtros de ámbito.

Destino de targetAddress no disponible para seleccionar

El atributo targetAddress (que se asigna a la propiedad ExternalEmailAddress en Microsoft Exchange Online) no está disponible como atributo que puede elegir. Si necesitas cambiar este atributo, debes hacerlo manualmente sobre el objeto necesario.

Problemas de servicio

Escenarios no admitidos

  • No se admite el aprovisionamiento de contraseñas.
  • No se admite el aprovisionamiento de grupos anidados más allá del primer nivel.
  • El aprovisionamiento no se admite para los inquilinos de B2C, incluidos en o fuera del inquilino.
  • El aprovisionamiento no se admite para los inquilinos de Id. externo, incluidos en o fuera del inquilino.
  • No todas las aplicaciones de aprovisionamiento están disponibles en todas las nubes.

El aprovisionamiento automático no está disponible en mi aplicación basada en OIDC

Si creas un registro de aplicación, la entidad de servicio correspondiente en las aplicaciones empresariales no se habilitará para el aprovisionamiento automático de usuarios. Deberás solicitar que la aplicación se agregue a la galería, si está previsto que la usen varias organizaciones, o crear una segunda aplicación fuera de la galería para el aprovisionamiento.

El administrador no está aprovisionado

Si un usuario y su administrador están ambos en el ámbito para el aprovisionamiento, el servicio aprovisiona al usuario y luego actualiza el administrador. Si el primer día el usuario está en el ámbito y el administrador está fuera, se aprovisionará al usuario sin la referencia del administrador. Cuando el administrador entre en el ámbito, la referencia del administrador no se actualizará hasta que se reinicie el aprovisionamiento y que el servicio vuelva a evaluar a todos los usuarios.

El intervalo de aprovisionamiento es fijo

Actualmente, el tiempo entre los ciclos de aprovisionamiento no es configurable.

Cambios que no se mueven de la aplicación de destino a Microsoft Entra ID

El servicio de aprovisionamiento de aplicaciones no reconoce los cambios realizados en las aplicaciones externas. Por tanto, no se realiza ninguna acción para la reversión. El servicio de aprovisionamiento de aplicaciones se basa en los cambios realizados en Microsoft Entra ID.

El cambio de sincronizar todo a sincronizar asignados no funciona

Después de cambiar el ámbito de Sincronizar todo a Sincronizar asignados, asegúrese también de reiniciar para asegurarse de que el cambio surta efecto. Puede realizar el reinicio desde la interfaz de usuario.

El ciclo de aprovisionamiento continúa hasta la finalización

Al establecer el aprovisionamiento enabled = off, o al seleccionar la opción de Detención, el ciclo de aprovisionamiento actual continuará ejecutándose hasta que se complete. El servicio deja de ejecutar todos los ciclos futuros hasta que vuelva a activar el aprovisionamiento.

Miembro del grupo no aprovisionado

Cuando un grupo está dentro del ámbito y un miembro está fuera, se aprovisionará el grupo. El usuario que está fuera del ámbito no se aprovisionará. Si el miembro vuelve al ámbito, el servicio no detectará el cambio inmediatamente. Al reiniciar el aprovisionamiento, se soluciona el problema. Reinicie periódicamente el servicio para asegurarse de que todos los usuarios se hayan aprovisionado correctamente.

Lector global

El rol de lector global no puede leer la configuración de aprovisionamiento. Cree un rol personalizado con el permiso microsoft.directory/applications/synchronization/standard/read para leer la configuración de aprovisionamiento desde el Centro de administración de Microsoft Entra.

Microsoft Azure Government Cloud

Las credenciales, incluido el token secreto, el correo electrónico de notificación y los correos electrónicos de notificación de certificado SSO, tienen un límite de 1 KB en Microsoft Azure Government Cloud.

Aprovisionamiento de aplicaciones locales

Esta es una lista actual de limitaciones conocidas con el host del conector ECMA de Microsoft Entra y el aprovisionamiento de aplicaciones locales.

Aplicación y directorios

Todavía no se admiten las siguientes aplicaciones y directorios.

Active Directory Domain Services (escritura diferida de usuarios o grupos desde Microsoft Entra ID mediante la versión preliminar de aprovisionamiento local)

  • Cuando un usuario se administra mediante Microsoft Entra Connect, el origen de autoridad es Active Directory Domain Services local. Por lo tanto, los atributos de usuario no se pueden cambiar en Microsoft Entra ID. Esta versión preliminar no cambia el origen de autoridad de los usuarios administrados por Microsoft Entra Connect.
  • El intento de usar Microsoft Entra Connect y el aprovisionamiento local para aprovisionar grupos o usuarios en Active Directory Domain Services puede dar lugar a la creación de un bucle, donde Microsoft Entra Connect puede sobrescribir un cambio realizado por el servicio de aprovisionamiento en la nube. Microsoft trabaja en una funcionalidad dedicada para la escritura diferida de grupos o usuarios. Vote a favor de los comentarios de UserVoice en este sitio web para realizar un seguimiento del estado de la versión preliminar. Como alternativa, puede usar Microsoft Identity Manager para la escritura diferida de grupos o usuarios de Microsoft Entra ID a Active Directory.

Microsoft Entra ID

Con el uso del aprovisionamiento local puede tomar un usuario que ya está Microsoft Entra ID y aprovisionarlo en una aplicación de terceros. No puede llevar a un usuario al directorio desde una aplicación de terceros. Los clientes tendrán que confiar en nuestras integraciones nativas de RR. HH., Microsoft Entra Connect, Microsoft Identity Manager o Microsoft Graph, para llevar a los usuarios al directorio.

Atributos y objetos

No se admiten los siguientes atributos y objetos:

  • Atributos con varios valores
  • Atributos de referencia (por ejemplo, administrador).
  • Grupos.
  • Delimitadores complejos (por ejemplo, ObjectTypeName+UserName).
  • Atributos que tienen caracteres como "." o "["
  • Atributos binarios.
  • A veces, las aplicaciones locales no están federadas con Microsoft Entra ID y requieren contraseñas locales. La versión preliminar del aprovisionamiento local no admite la sincronización de contraseñas. Se admite el aprovisionamiento de contraseñas iniciales únicas. Asegúrese de que usa la función Redact para ocultar las contraseñas de los registros. En los conectores SQL y LDAP, las contraseñas no se exportan en la llamada inicial a la aplicación, sino en una segunda llamada con la contraseña establecida.

Certificados SSL

El host del conector ECMA de Microsoft Entra requiere actualmente que el certificado SSL sea de confianza para Azure o que el agente de aprovisionamiento se use. El asunto del certificado debe coincidir con el nombre de host en el que está instalado el host del conector ECMA de Microsoft Entra.

Atributos de delimitador

El host del conector ECMA de Microsoft Entra no admite actualmente cambios de atributo de delimitador (cambios de nombre) ni sistemas de destino, que requieren varios atributos para formar un delimitador.

Detección y asignación de atributos

Los atributos que admite la aplicación de destino se detectan y exponen en el Centro de administración de Microsoft Entra en Asignaciones de atributos. Los atributos recién agregados se seguirán detectando. Si un tipo de atributo ha cambiado, por ejemplo, de cadena a booleano, y el atributo forma parte de las asignaciones, el tipo no cambiará automáticamente en el Centro de administración de Microsoft Entra. Los clientes tendrán que adoptar la configuración avanzada en las asignaciones y actualizar manualmente el tipo de atributo.

Agente del aprovisionamiento

  • Actualmente, el agente no admite la actualización automática para el escenario de aprovisionamiento de aplicaciones en el entorno local. Estamos trabajando activamente a fin de cerrar esta brecha y asegurarnos de que la actualización automática esté habilitada de manera predeterminada y sea necesaria para todos los clientes.
  • No se puede usar el mismo agente de aprovisionamiento para el aprovisionamiento de aplicaciones en el entorno local y el aprovisionamiento controlado por RR. HH. o sincronización en la nube.

Pasos siguientes

Funcionamiento del aprovisionamiento