Partekatu honen bidez:


No se está aprovisionando ningún usuario

Nota:

El 16/04/2020 cambiamos el comportamiento de los usuarios a los que se asigna el rol de acceso predeterminado. Consulte la sección a continuación para obtener más información.

Una vez que se ha configurado el aprovisionamiento automático de una aplicación (incluida la comprobación de que las credenciales de la aplicación proporcionadas a Microsoft Entra ID para conectarse a la aplicación son válidas), se aprovisionan los usuarios y los grupos en la aplicación. El aprovisionamiento se determina mediante lo siguiente:

Si observa que los usuarios no se están aprovisionando, consulte los registros de aprovisionamiento en Microsoft Entra ID. Busque las entradas del registro para un usuario específico.

Para acceder a los registros de aprovisionamiento en el centro de administración de Microsoft Entra, vaya a Identidad>Aplicaciones> Aplicaciones empresariales >Registros de aprovisionamiento. También puede seleccionar una aplicación específica y, a continuación, seleccionar Registros de aprovisionamiento en la sección Actividad. Puede buscar los datos de aprovisionamiento por el nombre del usuario o el identificador en el sistema de origen o en el sistema de destino. Para más información, consulte Registros de aprovisionamiento.

Los registros de aprovisionamiento registran todas las operaciones realizadas por el servicio de aprovisionamiento, lo que incluye consultar a Microsoft Entra ID sobre los usuarios asignados que están en el ámbito de aprovisionamiento, consultar en la aplicación de destino la existencia de esos usuarios y comparar los objetos de usuario entre el sistema. Después, agregue, actualice o deshabilite la cuenta de usuario en el sistema de destino en función de la comparación.

Áreas problemáticas generales con el aprovisionamiento que tener en cuenta

A continuación, se muestra una lista de las áreas problemáticas generales en las que puede profundizar si tiene idea de por dónde empezar.

No parece que el servicio de aprovisionamiento se inicie

Si establece Estado de aprovisionamiento en Activado en la sección Aplicaciones empresariales > [Nombre de la aplicación] >Aprovisionamiento del centro de administración Microsoft Entra. Sin embargo, no se muestran otros detalles de estado en esa página después de las recargas posteriores, es probable que el servicio se esté ejecutando pero aún no haya completado un ciclo inicial. Compruebe los registros de aprovisionamiento descritos antes para determinar qué operaciones está realizando el servicio y si se han producido errores.

Nota:

Un ciclo inicial puede tardar desde 20 minutos hasta varias horas, según el tamaño del directorio de Microsoft Entra y el número de usuarios en el ámbito de aprovisionamiento. Las sincronizaciones posteriores al ciclo inicial son más rápidas, ya que el servicio de aprovisionamiento almacena marcas de agua que representan el estado de ambos sistemas tras el ciclo inicial. El ciclo inicial mejora el rendimiento de las sincronizaciones posteriores.

Los registros de aprovisionamiento indican que hay usuarios omitidos y no aprovisionados, aunque estén asignados

Cuando un usuario aparece como "omitido" en los registros de aprovisionamiento, es importante revisar la pestaña Pasos del registro para determinar el motivo. Algunas razones y soluciones habituales son:

  • Se ha configurado un filtro de ámbito que está filtrando al usuario por un valor de atributo. Para más información sobre los filtros de ámbito, consulte los filtros de ámbito.
  • El usuario no está autorizado de forma efectiva. Si ve este mensaje de error específico, se debe a que hay un problema con el registro de asignación de usuario almacenado en el id. de Microsoft Entra. Para corregir este problema, desasigne el usuario (o grupo) de la aplicación y vuelva a asignarlo. Para más información sobre la asignación, consulte Asignación de acceso a usuarios o grupos.
  • Un atributo obligatorio falta o no se ha llenado para un usuario. Una cuestión importante que tener en cuenta al configurar el aprovisionamiento es revisar y configurar las asignaciones de atributos y los flujos de trabajo que definen qué propiedades de usuario (o de grupo) fluyen de Microsoft Entra ID a la aplicación. Esta configuración incluye la opción de "propiedad de coincidencia" que se usa para identificar de forma exclusiva y emparejar a usuarios y grupos entre ambos sistemas. Para más información sobre este importante proceso, consulte Personalización de asignaciones de atributos de aprovisionamiento de usuarios para aplicaciones SaaS en Microsoft Entra ID.
  • Asignación de atributos para grupos: Aprovisionamiento del nombre del grupo y los detalles del grupo, además de los miembros, si se admite para algunas aplicaciones. Puede habilitar o deshabilitar esta funcionalidad habilitando o deshabilitando el valor de Asignación para los objetos de grupo que se muestran en la pestaña Aprovisionamiento. Si los grupos de aprovisionamiento están habilitados, asegúrese de revisar las asignaciones de atributos para asegurarse de que se use un campo apropiado para el "identificador de coincidencia". El identificador de coincidencia puede ser el alias de correo electrónico o el nombre para mostrar. El grupo y sus miembros no se han aprovisionado si la propiedad de coincidencia está vacía o no se ha rellenado para un grupo en Microsoft Entra ID.

Aprovisionamiento de usuarios a los que se asigna el rol de acceso predeterminado

El rol predeterminado en una aplicación de la galería se denomina rol de "acceso predeterminado". Históricamente, los usuarios asignados a este rol no se aprovisionan y se marcan como omitidos en los registros de aprovisionamiento debido a que "no tienen derecho de forma eficaz".

Comportamiento de las configuraciones de aprovisionamiento creadas después del 16/04/2020: los usuarios a los que se asigne el rol de acceso predeterminado se evaluarán igual que los usuarios de los demás roles. No se omitirá un usuario que tenga asignado el acceso predeterminado como "no autorizado de forma eficaz".

Comportamiento de las configuraciones de aprovisionamiento creadas antes del 16/04/2020: Durante los próximos 3 meses, el comportamiento continuará como está actualmente. Los usuarios con el rol de acceso predeterminado se omitirán por no estar autorizados de forma efectiva. Después de julio de 2020, el comportamiento será uniforme para todas las aplicaciones. No omitiremos el aprovisionamiento de usuarios con el rol de acceso predeterminado debido a que "no tiene derecho de forma eficaz". Microsoft realizará este cambio, sin que se requiera ninguna acción del cliente. Si desea asegurarse de que estos usuarios siguen omitiéndose, incluso después de este cambio, aplique los filtros de ámbito adecuados o anólese la asignación del usuario de la aplicación para asegurarse de que están fuera del ámbito.

Pasos siguientes

Sincronización de Microsoft Entra Connect: descripción del aprovisionamiento declarativo