Problèmes connus pour le provisionnement dans Microsoft Entra ID

  • Article

Cet article décrit les problèmes connus à prendre en compte lorsque vous utilisez le provisionnement d’applications ou la synchronisation interlocataire. Pour fournir des commentaires sur le service de provisionnement d’applications sur UserVoice, consultez Mise à disposition d’applications Microsoft Entra UserVoice. Nous surveillons le service UserVoice de près pour améliorer le service.

Notes

Cet article ne constitue pas une liste exhaustive des problèmes connus. Si vous découvrez un problème qui ne figure pas dans la liste, partagez vos commentaires en bas de la page.

Synchronisation entre clients

Scénarios de synchronisation non pris en charge

  • Synchronisation de groupes, d’appareils et de contacts dans un autre locataire
  • Synchronisation des utilisateurs entre plusieurs clouds
  • Synchronisation des photos entre plusieurs locataires
  • Synchronisation des contacts et conversion des contacts en utilisateurs B2B
  • Synchronisation des salles de réunion entre les différents locataires

Microsoft Teams

Les utilisateurs externes/B2B de type member créé par synchronisation entre locataires peuvent être ajoutés à un canal partagé dans Microsoft Teams. Toutefois, les utilisateurs membres externes créés en dehors de la synchronisation entre locataires ne peuvent pas être ajoutés à un canal partagé Teams.

Provisionnement des utilisateurs

Un utilisateur externe du locataire source ne peut pas être provisionné dans un autre locataire. Les utilisateurs invités internes du locataire source ne peuvent pas être provisionnés dans un autre locataire. Seuls les utilisateurs membres internes du locataire source peuvent être provisionnés dans le locataire cible. Pour plus d’informations, consultez l’article Propriétés d’un utilisateur de collaboration Microsoft Entra B2B.

Par ailleurs, les utilisateurs qui ont activé la connexion par SMS ne peuvent pas être synchronisés avec la synchronisation entre locataires.

Échec de la mise à jour de la propriété showInAddressList

Pour les utilisateurs de collaboration B2B existants, l’attribut showInAddressList sera mis à jour tant que l’utilisateur de collaboration B2B n’a pas de boîte aux lettres activée dans le locataire cible. Si la boîte aux lettres est activée dans le locataire cible, utilisez l’applet de commande PowerShell Set-MailUser pour définir la propriété HiddenFromAddressListsEnabled sur une valeur $false.

Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false

Où [GuestUserUPN] est le UserPrincipalName calculé. Exemple :

Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false

Pour plus d’informations, consultez À propos du module Exchange Online PowerShell.

Configuration de la synchronisation à partir du locataire cible

La configuration de la synchronisation à partir du locataire cible n’est pas prise en charge. Toutes les configurations doivent être effectuées dans le locataire source. Notez que l’administrateur cible peut désactiver la synchronisation interlocataire à tout moment.

Deux utilisateurs dans le locataire source mis en correspondance avec le même utilisateur dans le locataire cible

Lorsque deux utilisateurs du locataire source ont le même courrier et qu’ils doivent tous les deux être créés dans le locataire cible, un utilisateur est créé dans la cible et lié aux deux utilisateurs dans la source. Vérifiez que l’attribut de messagerie n’est pas partagé entre les utilisateurs du locataire source. En outre, vérifiez que le courrier de l’utilisateur dans le locataire source provient d’un domaine vérifié. L’utilisateur externe ne sera pas créé correctement si le courrier provient d’un domaine non vérifié.

Utilisation de la collaboration Microsoft Entra B2B pour l'accès entre locataires

Autorisation

Impossible de rétablir le mode d’approvisionnement manuel

Une fois que vous avez configuré l’approvisionnement pour la première fois, vous remarquerez que le mode de configuration est passé de manuel à automatique. Vous ne pouvez pas le repasser sur manuel. Toutefois, vous pouvez désactiver l’approvisionnement par le biais de l’interface utilisateur. La désactivation de l’approvisionnement dans l’interface utilisateur a le même effet la définition de la liste déroulante sur le mode manuel.

Mappages d’attributs

L’attribut SamAccountName ou userType n’est pas disponible en tant qu’attribut source

Les attributs SamAccountName et userType ne sont pas disponibles par défaut en tant qu’attributs sources. Développez votre schéma pour ajouter les attributs. Vous pouvez ajouter les attributs à la liste des attributs sources disponibles en développant votre schéma. Pour plus d’informations, consultez Attribut source manquant.

Liste déroulante d’attributs sources manquante pour l’extension de schéma

Les extensions de votre schéma peuvent parfois être absentes dans la liste déroulante d’attributs sources de l’interface utilisateur. Accédez aux paramètres avancés de vos mappages d’attributs et ajoutez manuellement les attributs. Pour plus d’informations, consultez Personnalisation des mappages d’attributs.

L’attribut null ne peut pas être approvisionné

Microsoft Entra ID ne peut actuellement pas fournir d’attributs nuls. Si un attribut est null sur l’objet utilisateur, il sera ignoré.

Nombre maximal de caractères pour les expressions de mappage d’attributs

Les expressions de mappage d’attributs peuvent avoir un maximum de 10 000 caractères.

Filtres d’étendue non pris en charge

Les attributs appRoleAssignments, userType et accountExpires ne sont pas pris en charge comme filtres d’étendue.

OtherMails ne doit pas être inclus dans vos mappages d'attributs en tant qu'attribut cible.

La propriété otherMails est automatiquement calculée dans le client cible. Les modifications apportées à l’objet utilisateur directement dans le client cible peuvent entraîner la mise à jour de la propriété otherMails et remplacer l’ensemble de valeurs par la synchronisation entre clients. Par conséquent, otherMails ne doit pas être inclus dans vos mappages d’attributs de synchronisation entre clients en tant qu’attribut cible.

Extensions de répertoire à valeurs multiples

Les extensions de répertoire à valeurs multiples ne peuvent pas être utilisées dans les mappages d’attributs ni les filtres d’étendue.

Problèmes liés aux services

Scénarios non pris en charge

  • L’approvisionnement de mots de passe n’est pas pris en charge.
  • L’approvisionnement de groupes imbriqués n’est pas pris en charge.
  • L’approvisionnement de locataires B2C n’est pas pris en charge en raison de la taille des locataires.
  • Toutes les applications d’approvisionnement ne sont pas disponibles dans tous les clouds. Par exemple, Atlassian n’est pas encore disponible dans le cloud Government. Nous travaillons en collaboration avec les développeurs d’applications pour intégrer leurs applications à tous les clouds.

Le provisionnement automatique n’est pas disponible sur mon application OIDC

Si vous créez une inscription d’application, le principal de service correspondant dans les applications d’entreprise n’est pas activé pour le provisionnement automatique d’utilisateurs. Vous devez soit demander l’ajout de l’application à la Galerie, si elle est destinée à être utilisée par plusieurs organisations, soit créer une deuxième application hors Galerie pour le provisionnement.

Le gestionnaire n’est pas approvisionné

Si un utilisateur et son gestionnaire se trouvent tous deux dans l’étendue d’approvisionnement, le service approvisionne l’utilisateur, puis met à jour le gestionnaire. Si, au premier jour, l’utilisateur se trouve dans l’étendue mais pas le gestionnaire, nous approvisionnons l’utilisateur sans référence au gestionnaire. Une fois le gestionnaire dans l’étendue, la référence au gestionnaire n’est pas mise à jour tant que vous ne redémarrez pas l’approvisionnement pour permettre au service de réévaluer tous les utilisateurs.

L’intervalle de provisionnement est fixe

Le temps entre les cycles de provisionnement n’est actuellement pas configurable.

Les modifications ne sont pas transférées de l’application cible vers Microsoft Entra ID

Le service d’approvisionnement d’application n’a pas connaissance des modifications apportées aux applications externes. Par conséquent, aucune action n’est effectuée pour la restauration. Le service de provisionnement d’applications s’appuie sur les modifications apportées à Microsoft Entra ID.

Le basculement de la synchronisation de tous les utilisateurs à la synchronisation des utilisateurs affectés ne fonctionne pas

Après avoir remplacé l’étendue Synchroniser tous les utilisateurs par Synchroniser les utilisateurs affectés, veillez à effectuer un redémarrage pour que le changement prenne effet. Vous pouvez effectuer le redémarrage à partir de l’interface utilisateur.

Le cycle d’approvisionnement continue jusqu’à la fin

Lorsque vous définissez l’approvisionnement sur enabled = off ou sélectionnez Arrêter, le cycle d’approvisionnement actuel continue à s’exécuter jusqu’à la fin. Le service arrête l’exécution des cycles futurs jusqu’à ce que vous réactiviez l’approvisionnement.

Membre du groupe non approvisionné

Lorsqu’un groupe est dans l’étendue et qu’un membre est hors de cette étendue, le groupe est approvisionné. L’utilisateur hors de l’étendue n’est pas approvisionné. Si le membre revient dans l’étendue, le service ne détecte pas immédiatement la modification. Le redémarrage de l’approvisionnement permet de résoudre le problème. Redémarrez régulièrement le service pour vous assurer que tous les utilisateurs sont correctement approvisionnés.

Lecteur général

Le rôle Lecteur général ne peut pas lire la configuration du provisionnement. Créez un rôle personnalisé avec l'autorisation microsoft.directory/applications/synchronization/standard/read afin de lire la configuration d'approvisionnement à partir du centre d'administration Microsoft Entra.

Cloud Microsoft Azure Government

Les informations d’identification, y compris le jeton secret, l’e-mail de notification et les e-mails de notification de certificat d’authentification unique, ont une limite de 1 ko dans Microsoft Azure Government Cloud.

Approvisionnement d’application local

Les informations suivantes constituent une liste actuelle des limitations connues de l’hôte du connecteur Microsoft Entra ECMA et du provisionnement d’applications sur site.

Applications et annuaires

Les applications et annuaires suivants ne sont pas encore pris en charge.

Services de domaine Active Directory (réécriture d'utilisateur ou de groupe à partir de Microsoft Entra ID à l'aide de l'aperçu de provisionnement sur site)

  • Lorsqu'un utilisateur est géré par Microsoft Entra Connect, la source d'autorité est les services de domaine Active Directory sur site. Ainsi, les attributs utilisateur ne peuvent pas être modifiés dans Microsoft Entra ID. Cet aperçu ne modifie pas la source d'autorité pour les utilisateurs gérés par Microsoft Entra Connect.
  • Tenter d'utiliser Microsoft Entra Connect et le provisionnement sur site pour provisionner des groupes ou des utilisateurs dans les services de domaine Active Directory peut conduire à la création d'une boucle, dans laquelle Microsoft Entra Connect peut écraser une modification apportée par le service de provisionnement dans le cloud. Microsoft travaille sur une fonctionnalité dédiée à l’écriture différée de groupe ou d’utilisateur. Votez pour les commentaires UserVoice sur ce site web afin de suivre l’état de la préversion. Vous pouvez également utiliser Microsoft Identity Manager pour la réécriture d'un utilisateur ou d'un groupe depuis Microsoft Entra ID vers Active Directory.

Microsoft Entra ID

En utilisant le provisionnement sur site, vous pouvez prendre un utilisateur déjà dans Microsoft Entra ID et le provisionner dans une application tierce. Vous ne pouvez pas introduire un utilisateur dans l’annuaire à partir d’une application tierce. Les clients devront s'appuyer sur nos intégrations RH natives, Microsoft Entra Connect, Microsoft Identity Manager ou Microsoft Graph, pour amener les utilisateurs dans l'annuaire.

Attributs et objets

Les attributs et objets suivants ne sont pas pris en charge :

  • Attributs à valeurs multiples.
  • Attributs de référence (par exemple, manager).
  • Groupes.
  • Ancres complexes (par exemple, ObjectTypeName+UserName).
  • Attributs comportant des caractères tels que "." ou "["
  • Attributs binaires.
  • Les applications sur site ne sont parfois pas fédérées avec Microsoft Entra ID et nécessitent des mots de passe locaux. La préversion du provisionnement local ne prend pas en charge la synchronisation de mots de passe. La configuration des mots de passe à usage unique initiaux est pris en charge. Veillez à utiliser la fonction Redact pour expurger les mots de passe des journaux. Dans les connecteurs SQL et LDAP, les mots de passe ne sont pas exportés lors de l’appel initial à l’application, mais plutôt lors d’un deuxième appel avec mot de passe défini.

Certificats SSL

L’hôte du connecteur Microsoft Entra ECMA nécessite actuellement qu’Azure approuve un certificat SSL ou que l’agent de provisionnement soit utilisé. L'objet du certificat doit correspondre au nom d'hôte sur lequel l'hôte du connecteur Microsoft Entra ECMA est installé.

Attributs d’ancre

L’hôte du connecteur Microsoft Entra ECMA ne prend actuellement pas en charge les modifications d’attributs d’ancrage (renommages) ni les systèmes cibles, qui nécessitent plusieurs attributs pour former une ancre.

Détection et mappage des attributs

Les attributs pris en charge par l'application cible sont découverts et affichés dans le centre d'administration Microsoft Entra dans Mappages d'attributs. La découverte des attributs nouvellement ajoutés continuera. Si un type d’attribut a changé, par exemple une chaîne en booléen, et que l’attribut fait partie des mappages, le type ne changera pas automatiquement dans le centre d’administration Microsoft Entra. Les clients doivent alors accéder aux paramètres avancés des mappages pour mettre à jour le type d’attribut manuellement.

Agent d’approvisionnement

  • Actuellement, l’agent ne prend pas en charge la mise à jour automatique du scénario de provisionnement d’application local. Nous travaillons activement à combler cette lacune et à garantir que la mise à jour automatique est activée par défaut et requise pour tous les clients.
  • Le même agent de provisionnement ne peut pas être utilisé pour un provisionnement d’application local et un provisionnement piloté par les RH / avec la synchronisation cloud.

Étapes suivantes

Comment fonctionne le provisionnement