Masalah umum untuk provisi di ID Microsoft Entra
Artikel ini membahas masalah umum yang perlu diperhatikan saat Anda bekerja dengan provisi aplikasi atau sinkronisasi lintas penyewa. Untuk memberikan umpan balik tentang layanan provisi aplikasi di UserVoice, lihat Provisi aplikasi Microsoft Entra UserVoice. Kami memperhatikan UserVoice dengan cermat sehingga kami dapat meningkatkan layanan.
Catatan
Artikel ini bukan daftar lengkap masalah yang diketahui. Jika Anda mengetahui masalah yang tidak tercantum, berikan umpan balik di bagian bawah halaman.
Sinkronisasi lintas penyewa
Skenario sinkronisasi yang tidak didukung
- Menyinkronkan grup, perangkat, dan kontak ke penyewa lain
- Menyinkronkan pengguna di seluruh cloud
- Menyinkronkan foto di seluruh penyewa
- Menyinkronkan kontak dan mengonversi kontak ke pengguna B2B
- Menyinkronkan ruang rapat di seluruh penyewa
Memperbarui proxyAddresses
ProxyAddresses adalah properti baca-saja di Microsoft Graph. Ini dapat disertakan sebagai atribut sumber dalam pemetaan Anda, tetapi tidak dapat ditetapkan sebagai atribut target.
Memprovisikan pengguna
Pengguna eksternal dari penyewa sumber (rumah) tidak dapat disediakan ke penyewa lain. Pengguna tamu internal dari penyewa sumber tidak dapat diprovisikan ke penyewa lain. Hanya pengguna anggota internal dari penyewa sumber yang dapat diprovisikan ke penyewa target. Untuk informasi selengkapnya, lihat Properti pengguna kolaborasi Microsoft Entra B2B.
Selain itu, pengguna yang diaktifkan untuk masuk SMS tidak dapat disinkronkan melalui sinkronisasi lintas penyewa.
Memperbarui properti showInAddressList gagal
Untuk pengguna kolaborasi B2B yang ada, atribut showInAddressList akan diperbarui selama pengguna kolaborasi B2B tidak memiliki kotak surat yang diaktifkan di penyewa target. Jika kotak surat diaktifkan di penyewa target, gunakan cmdlet PowerShell Set-MailUser untuk mengatur properti HiddenFromAddressListsEnabled ke nilai $false.
Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false
Di mana [GuestUserUPN] adalah UserPrincipalName yang dihitung. Contoh:
Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false
Untuk informasi selengkapnya, lihat Tentang modul Exchange Online PowerShell.
Mengonfigurasi sinkronisasi dari penyewa target
Mengonfigurasi sinkronisasi dari penyewa target tidak didukung. Semua konfigurasi harus dilakukan di penyewa sumber. Perhatikan bahwa administrator target dapat menonaktifkan sinkronisasi lintas penyewa kapan saja.
Dua pengguna di penyewa sumber cocok dengan pengguna yang sama di penyewa target
Ketika dua pengguna di penyewa sumber memiliki email yang sama, dan mereka berdua perlu dibuat di penyewa target, satu pengguna akan dibuat di target dan ditautkan ke dua pengguna di sumbernya. Pastikan bahwa atribut email tidak dibagikan di antara pengguna di penyewa sumber. Selain itu, pastikan bahwa email pengguna di penyewa sumber berasal dari domain terverifikasi. Pengguna eksternal tidak akan berhasil dibuat jika email berasal dari domain yang belum diverifikasi.
Penggunaan kolaborasi Microsoft Entra B2B untuk akses lintas penyewa
- Pengguna B2B tidak dapat mengelola layanan Microsoft 365 tertentu di penyewa jarak jauh (seperti Exchange Online), karena tidak ada pemilih direktori.
- Untuk mempelajari tentang dukungan Azure Virtual Desktop untuk pengguna B2B, lihat Prasyarat untuk Azure Virtual Desktop.
- Untuk status terbaru tentang dukungan Power BI untuk pengguna anggota eksternal, lihat Mendistribusikan konten Power BI ke pengguna tamu eksternal dengan Microsoft Entra B2B
Authorization
Tidak dapat mengubah mode provisi kembali ke manual
Setelah Anda mengonfigurasi provisi untuk pertama kalinya, Anda akan melihat bahwa mode provisi telah beralih dari manual ke otomatis. Anda tidak dapat mengubahnya kembali ke manual. Tetapi Anda dapat menonaktifkan provisi melalui UI. Menonaktifkan provisi di UI secara efektif melakukan hal yang sama seperti mengatur drop-down ke manual.
Pemetaan atribut
Atribut SamAccountName atau userType tidak tersedia sebagai atribut sumber
Atribut SamAccountName dan userType tidak tersedia sebagai atribut sumber secara default. Perluas skema Anda untuk menambahkan atribut. Anda dapat menambahkan atribut ke daftar atribut sumber yang tersedia dengan memperluas skema. Untuk mempelajari lebih lanjut, lihat Atribut sumber tidak ada.
Drop-down atribut sumber tidak ada untuk ekstensi skema
Ekstensi ke skema Anda terkadang bisa hilang dari drop-down atribut sumber di UI. Masuk ke pengaturan tingkat lanjut pemetaan atribut Anda dan tambahkan atribut secara manual. Untuk mempelajari lebih lanjut, lihat Menyesuaikan pemetaan atribut.
Atribut null tidak dapat diprovisikan
ID Microsoft Entra saat ini tidak dapat menyediakan atribut null. Jika atribut bernilai null di objek pengguna, atribut akan dilewati.
Karakter maksimum untuk ekspresi pemetaan atribut
Ekspresi pemetaan atribut dapat memiliki maksimum 10.000 karakter.
Filter cakupan tidak didukung
Atribut appRoleAssignments, userType, manager, dan date-type (misalnya, StatusHireDate, startDate, endDate, StatusTerminationDate, accountExpires) tidak didukung sebagai filter cakupan.
OtherMails tidak boleh disertakan dalam pemetaan atribut Anda sebagai atribut target
Properti otherMails secara otomatis dihitung di penyewa target. Perubahan pada objek pengguna yang dibuat langsung di penyewa target dapat mengakibatkan properti otherMails diperbarui dan mengambil alih nilai yang ditetapkan oleh sinkronisasi lintas penyewa. Akibatnya, otherMails tidak boleh disertakan dalam pemetaan atribut sinkronisasi lintas penyewa Anda sebagai atribut target.
Ekstensi direktori multinilai
Ekstensi direktori multinilai tidak dapat digunakan dalam pemetaan atribut atau filter cakupan.
Target atributAddress tidak tersedia untuk dipilih
Target AtributAddress (yang memetakan ke properti ExternalEmailAddress di Microsoft Exchange Online) tidak tersedia sebagai atribut yang dapat Anda pilih. Jika Anda perlu mengubah atribut ini, Anda harus melakukannya secara manual di atas objek yang diperlukan.
Masalah layanan
Skenario yang tidak didukung
- Provisi kata sandi tidak didukung.
- Provisi grup berlapis di luar tingkat pertama tidak didukung.
- Provisi ke penyewa B2C tidak didukung karena ukuran penyewa.
- Tidak semua aplikasi provisi tersedia di semua cloud. Misalnya, Atlassian belum tersedia di cloud Pemerintah. Kami bekerja sama dengan pengembang aplikasi untuk memasukkan aplikasi mereka ke semua cloud.
Provisi otomatis tidak tersedia di aplikasi berbasis OIDC saya
Jika Anda membuat pendaftaran aplikasi, perwakilan layanan yang sesuai di aplikasi perusahaan tidak akan diaktifkan untuk provisi pengguna otomatis. Anda harus meminta aplikasi ditambahkan ke galeri, jika dimaksudkan untuk digunakan oleh beberapa organisasi, atau membuat aplikasi non-galeri kedua untuk provisi.
Manajer tidak tersedia
Jika pengguna dan manajer mereka sama-sama berada dalam cakupan provisi, layanan menyediakan pengguna dan kemudian memperbarui manajer. Jika pada hari pertama pengguna berada dalam cakupan dan pengelola berada di luar cakupan, kami akan menyediakan pengguna tanpa referensi pengelola. Saat pengelola masuk ke dalam cakupan, referensi pengelola tidak akan diperbarui hingga Anda memulai ulang provisi dan menyebabkan layanan mengevaluasi ulang semua pengguna lagi.
Interval provisi diperbaiki
Waktu antara siklus provisi saat ini tidak dapat dikonfigurasi.
Perubahan tidak berpindah dari aplikasi target ke ID Microsoft Entra
Layanan provisi aplikasi tidak mengetahui perubahan yang dilakukan di aplikasi eksternal. Jadi, tidak ada tindakan yang diambil untuk memulihkan. Layanan provisi aplikasi bergantung pada perubahan yang dibuat di ID Microsoft Entra.
Beralih dari Sinkronkan Semua ke Sinkronisasi yang Ditetapkan tidak berfungsi
Setelah Anda mengubah cakupan dari Sinkronkan Semua ke Sinkronkan yang Ditetapkan, pastikan juga untuk memulai ulang untuk memastikan bahwa perubahan disebarkan. Anda dapat menghidupkan ulang dari UI.
Siklus provisi berlanjut hingga selesai
Saat Anda menyetel provisi ke enabled = off
atau memilih Berhenti, siklus provisi saat ini terus berjalan hingga selesai. Layanan berhenti menjalankan siklus berikutnya hingga Anda mengaktifkan provisi lagi.
Anggota grup tidak diprovisikan
Saat grup berada dalam cakupan dan anggota berada di luar cakupan, grup akan diprovisikan. Pengguna di luar cakupan tidak akan tersedia. Jika anggota kembali ke cakupan, layanan tidak akan segera mendeteksi perubahan. Hidupkan ulang provisi mengatasi masalah tersebut. Mulai ulang layanan secara berkala untuk memastikan bahwa semua pengguna tersedia dengan benar.
Pembaca Global
Peran Pembaca Global tidak dapat membaca konfigurasi provisi. Buat peran kustom dengan microsoft.directory/applications/synchronization/standard/read
izin untuk membaca konfigurasi provisi dari pusat admin Microsoft Entra.
Microsoft Azure Government Cloud
Kredensial, termasuk token rahasia, email pemberitahuan, dan email pemberitahuan sertifikat SSO bersama-sama memiliki batas 1KB di Microsoft Azure Government Cloud.
Penyediaan aplikasi lokal
Ini adalah daftar batasan yang diketahui saat ini dengan Host Konektor ECMA Microsoft Entra dan provisi aplikasi lokal.
Aplikasi dan direktori
Aplikasi dan direktori berikut belum didukung.
Active Directory Domain Services (tulis balik pengguna atau grup dari ID Microsoft Entra dengan menggunakan pratinjau provisi lokal)
- Saat pengguna dikelola oleh Microsoft Entra Connect, sumber otoritas Active Directory lokal Domain Services. Jadi, atribut pengguna tidak dapat diubah di MICROSOFT Entra ID. Pratinjau ini tidak mengubah sumber otoritas untuk pengguna yang dikelola oleh Microsoft Entra Connect.
- Mencoba menggunakan Microsoft Entra Connect dan provisi lokal untuk memprovisikan grup atau pengguna ke Layanan Domain Direktori Aktif dapat menyebabkan pembuatan perulangan, di mana Microsoft Entra Connect dapat menimpa perubahan yang dilakukan oleh layanan provisi di cloud. Microsoft sedang mengerjakan kemampuan khusus untuk tulis balik grup atau pengguna. Upvote umpan balik UserVoice di situs web ini untuk melacak status pratinjau. Atau, Anda dapat menggunakan Microsoft Identity Manager untuk tulis balik pengguna atau grup dari ID Microsoft Entra ke Direktori Aktif.
Microsoft Entra ID
Dengan menggunakan provisi lokal, Anda dapat mengambil pengguna yang sudah ada di ID Microsoft Entra dan menyediakannya ke dalam aplikasi pihak ketiga. Anda tidak dapat membawa pengguna ke direktori dari aplikasi pihak ketiga. Pelanggan harus mengandalkan integrasi SDM asli kami, Microsoft Entra Connect, Microsoft Identity Manager, atau Microsoft Graph, untuk membawa pengguna ke direktori.
Atribut dan objek
Atribut dan objek berikut tidak didukung:
- Atribut multinilai.
- Atribut referensi (misalnya, manajer).
- Grup.
- Jangkar kompleks (misalnya, ObjectTypeName+UserName).
- Atribut yang memiliki karakter seperti "." atau "["
- Atribut biner.
- Aplikasi lokal terkadang tidak digabungkan dengan ID Microsoft Entra dan memerlukan kata sandi lokal. Pratinjau provisi lokal tidak mendukung sinkronisasi kata sandi. Provisi kata sandi satu kali di awal didukung. Pastikan Anda menggunakan fungsi Redact untuk meredakan kata sandi dari log. Dalam konektor SQL dan LDAP, kata sandi tidak diekspor pada panggilan awal ke aplikasi, melainkan panggilan kedua dengan kata sandi yang ditetapkan.
Sertifikat SSL
Host Konektor MICROSOFT Entra ECMA saat ini mengharuskan sertifikat SSL dipercaya oleh Azure atau agen provisi untuk digunakan. Subjek sertifikat harus cocok dengan nama host tempat Host Konektor Microsoft Entra ECMA diinstal.
Atribut jangkar
Host Konektor MICROSOFT Entra ECMA saat ini tidak mendukung perubahan atribut jangkar (ganti nama) atau sistem target, yang memerlukan beberapa atribut untuk membentuk jangkar.
Penemuan dan pemetaan atribut
Atribut yang didukung aplikasi target ditemukan dan muncul di pusat admin Microsoft Entra di Pemetaan Atribut. Atribut yang baru ditambahkan akan terus ditemukan. Jika jenis atribut telah berubah, misalnya, string ke Boolean, dan atribut adalah bagian dari pemetaan, jenis tidak akan berubah secara otomatis di pusat admin Microsoft Entra. Pelanggan harus masuk ke pengaturan lanjutan dalam pemetaan dan memperbarui jenis atribut secara manual.
Agen provisi
- Agen saat ini tidak mendukung pembaruan otomatis untuk skenario provisi aplikasi lokal. Kami secara aktif berupaya menutup celah ini dan memastikan bahwa pembaruan otomatis diaktifkan secara default dan diperlukan untuk semua pelanggan.
- Agen provisi yang sama tidak dapat digunakan untuk provisi aplikasi lokal dan sinkronisasi cloud/ provisi berbasis SDM.
Langkah berikutnya
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk