Aucun utilisateur n’est en cours d’approvisionnement

  • Article

Notes

À partir du 16/04/2020, nous avons modifié le comportement des utilisateurs assignés au rôle d’accès par défaut. Pour plus d’informations, consultez la section ci-dessous.

Une fois que l’approvisionnement automatique a été configuré pour une application (avec notamment la vérification des informations d’identification de l’application fournies à Microsoft Entra ID pour la connexion à l’application), les utilisateurs et/ou groupes sont approvisionnés sur l’application. L’approvisionnement est déterminé par les éléments suivants :

Si vous constatez que des utilisateurs ne sont pas approvisionnés, consultez les Journaux d’approvisionnement (préversion) dans Microsoft Entra ID. Recherchez les entrées de journal d’un utilisateur spécifique.

Vous pouvez accéder aux journaux de provisionnement dans le centre d'administration Microsoft Entra en accédant aux journaux de provisionnement>des applications>Identity>Applications Enterprise. Vous pouvez également sélectionner une application spécifique, puis sélectionner Journaux de provisionnement dans la section Activité. Vous pouvez rechercher les données de provisionnement en fonction du nom de l’utilisateur ou de l’identificateur dans le système source ou le système cible. Pour plus d’informations, consultez Journaux de provisionnement (préversion).

Les journaux de provisionnement enregistrent toutes les opérations effectuées par le service d’approvisionnement, y compris l’interrogation de Microsoft Entra ID concernant les utilisateurs attribués qui se trouvent dans l’étendue d’approvisionnement, l’interrogation de l’application cible concernant l’existence de ces utilisateurs, et la comparaison des objets utilisateur du système. Ajoutez ensuite, mettez à jour ou désactivez le compte d’utilisateur dans le système cible en fonction de cette comparaison.

Problèmes généraux d’approvisionnement à prendre en compte

Voici une liste des problèmes généraux que vous pouvez explorer si vous savez par où commencer.

Le service d’approvisionnement ne semble pas démarrer

Si vous définissez l'état d'approvisionnement sur Activé dans la section Approvisionnement des applications > d'>entreprise [Nom de l'application] du centre d'administration Microsoft Entra. Cependant, si aucune autre information d’état n’est affichée sur cette page après de nouveaux chargements, il est probable que le service est en cours d’exécution et qu’il n’a pas encore achevé le cycle initial. Vérifiez les Journaux de provisionnement (préversion) décrits ci-dessus pour déterminer les opérations effectuées par le service, et la présence éventuelle d’erreurs.

Remarque

Un cycle initial peut durer de 20 minutes à plusieurs heures, en fonction de la taille du répertoire Microsoft Entra et du nombre d'utilisateurs concernés par le provisionnement. Les synchronisations qui suivent le cycle initial sont plus rapides, car le service de provisionnement stocke les filigranes qui représentent l’état des deux systèmes après le cycle initial. Le cycle initial améliore les performances des synchronisations suivantes.

Les journaux de provisionnement indiquent que les utilisateurs sont ignorés et non provisionnés, bien qu’ils soient attribués

Lorsqu’un utilisateur apparaît comme « ignoré » dans les journaux de provisionnement, il est important d’examiner l’onglet Étapes du journal pour en déterminer la raison. Voici les raisons les plus courantes et les solutions correspondantes :

  • Un filtre d’étendue a été configuré,qui exclut l’utilisateur en fonction d’une valeur d’attribut. Pour plus d’informations sur les filtres d’étendue, consultez Filtres d’étendue.
  • L’utilisateur n’est pas « autorisé de manière effective ». Si vous voyez ce message d'erreur spécifique, c'est qu'il y a un problème avec l'enregistrement d'attribution d'utilisateur stocké dans Microsoft Entra ID. Pour résoudre ce problème, supprimez l’assignation de l’utilisateur (ou du groupe) de l’application, puis réassignez-le. Pour plus d’informations sur l’assignation, consultez Affecter un utilisateur ou un groupe à une application d’entreprise dans Azure Active Directory.
  • Un attribut requis manque ou n’est pas indiqué pour un utilisateur. Une chose importante à considérer lors de la configuration du provisionnement est d’examiner et de configurer les mappages d’attributs et les flux de travail qui définissent les propriétés d’utilisateur (ou de groupe) qui transitent de Microsoft Entra ID vers l’application. Cette configuration inclut la définition d’une « propriété correspondante » réservée à l’identification et à la mise en correspondance des utilisateurs/groupes entre les deux systèmes. Pour plus de détails sur ce processus important, consultez Personnalisation des mappages d’attributs d’approvisionnement d’utilisateurs pour les applications SaaS dans Microsoft Entra ID.
  • Mappage d’attributs pour les groupes : Approvisionnement du nom du groupe et des détails du groupe, en plus des membres, si la prise en charge est effective pour certaines applications. Vous pouvez activer ou désactiver cette fonctionnalité en activant ou désactivant le mappage pour les objets de groupe affichés dans l’onglet Approvisionnement. Si les groupes d’approvisionnement sont activés, veillez à passer en revue les mappages d’attributs afin de vous assurer qu’un champ approprié est utilisé pour l’« ID correspondant ». L’ID correspondant peut être le nom d’affichage ou l’alias de messagerie. Le groupe et ses membres ne sont pas approvisionnés si la propriété correspondante est vide ou n’est pas renseignée pour un groupe dans Microsoft Entra ID.

Approvisionnement des utilisateurs assignés au rôle d’accès par défaut

Le rôle par défaut sur une application de la galerie est appelé le rôle « accès par défaut ». Historiquement, les utilisateurs assignés à ce rôle ne sont pas approvisionnés et sont marqués comme étant ignorés dans les journaux d’approvisionnement parce qu’ils ont le statut « non autorisés de manière effective ».

Comportement pour l’approvisionnement des configurations créées après le 16/04/2020 : Les utilisateurs assignés au rôle d’accès par défaut sont évalués de la même façon que tous les autres rôles. Un utilisateur auquel est attribué l’accès par défaut n’est pas ignoré pour le motif « non autorisé de manière effective ».

Comportement pour l’approvisionnement des configurations créées avant le 16/04/2020 : Au cours des trois prochains mois, le comportement se poursuivra comme aujourd’hui. Les utilisateurs ayant le rôle d’accès par défaut seront ignorés, car non autorisés de manière effective. Après juillet 2020, le comportement sera uniforme pour toutes les applications. Nous n’allons pas ignorer le provisionnement des utilisateurs ayant le rôle d’accès par défaut pour le motif qu’ils sont « non autorisés de manière effective ». Cette modification sera effectuée par Microsoft, sans aucune intervention du client. Si vous souhaitez vous assurer que ces utilisateurs continuent d’être ignorés, même après cette modification, appliquez les filtres d’étendue appropriés ou supprimez l’attribution de l’utilisateur de l’application pour qu’ils ne sont pas inclus.

Pour toute question sur ces modifications, contactez provisioningfeedback@microsoft.com.

Étapes suivantes

Synchronisation Microsoft Entra Connect : présentation du provisionnement déclaratif