Problemi noti per il provisioning in Microsoft Entra ID

  • Articolo

Questo articolo illustra i problemi noti da tenere presenti quando si usa il provisioning delle app o la sincronizzazione tra tenant. Per fornire commenti e suggerimenti sul servizio di provisioning delle applicazioni in UserVoice, vedere Provisioning dell'applicazione Microsoft Entra UserVoice. È possibile osservare attentamente UserVoice in modo da poter migliorare il servizio.

Nota

Questo articolo non è un elenco completo di problemi noti. Se si conosce un problema non elencato, inviare commenti e suggerimenti nella parte inferiore della pagina.

Sincronizzazione tra tenant

Scenari di sincronizzazione non supportati

  • Sincronizzazione di gruppi, dispositivi e contatti in un altro tenant
  • Sincronizzazione degli utenti tra cloud
  • Sincronizzazione delle foto tra tenant
  • Sincronizzazione dei contatti e conversione dei contatti in utenti B2B
  • Sincronizzazione delle sale riunioni tra tenant

Aggiornamento di proxyAddresses

ProxyAddresses è una proprietà di sola lettura in Microsoft Graph. Può essere incluso come attributo di origine nei mapping, ma non può essere impostato come attributo di destinazione.

Microsoft Teams

Gli utenti esterni/B2B di tipo member creati dalla sincronizzazione tra tenant possono essere aggiunti a un canale condiviso in Microsoft Teams. Tuttavia, gli utenti membri esterni creati all'esterno della sincronizzazione tra tenant non possono essere aggiunti a un canale condiviso di Teams.

Provisioning di utenti

Non è possibile effettuare il provisioning di un utente esterno dal tenant di origine (home) in un altro tenant. Non è possibile effettuare il provisioning degli utenti guest interni del tenant di origine in un altro tenant. È possibile effettuare il provisioning solo degli utenti membri interni del tenant di origine nel tenant di destinazione. Per altre informazioni, vedere Proprietà di un utente di Collaborazione B2B di Microsoft Entra.

Inoltre, gli utenti abilitati per l'accesso TRAMITE SMS non possono essere sincronizzati tramite la sincronizzazione tra tenant.

L'aggiornamento della proprietà showInAddressList non riesce

Per gli utenti di Collaborazione B2B esistenti, l'attributo showInAddressList verrà aggiornato purché l'utente di Collaborazione B2B non abbia una cassetta postale abilitata nel tenant di destinazione. Se la cassetta postale è abilitata nel tenant di destinazione, usare il cmdlet Di PowerShell Set-MailUser per impostare la proprietà HiddenFromAddressListsEnabled su un valore di $false.

Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false

Dove [GuestUserUPN] è l'elemento UserPrincipalName calcolato. Esempio:

Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false

Per altre informazioni, vedere Informazioni sul modulo PowerShell di Exchange Online.

Configurazione della sincronizzazione dal tenant di destinazione

La configurazione della sincronizzazione dal tenant di destinazione non è supportata. Tutte le configurazioni devono essere eseguite nel tenant di origine. Si noti che l'amministratore di destinazione è in grado di disattivare la sincronizzazione tra tenant in qualsiasi momento.

Due utenti nel tenant di origine corrispondono allo stesso utente nel tenant di destinazione

Quando due utenti nel tenant di origine hanno la stessa posta e devono entrambi essere creati nel tenant di destinazione, un utente verrà creato nella destinazione e collegato ai due utenti nell'origine. Assicurarsi che l'attributo di posta elettronica non sia condiviso tra gli utenti nel tenant di origine. Assicurarsi inoltre che la posta elettronica dell'utente nel tenant di origine proveni da un dominio verificato. L'utente esterno non verrà creato correttamente se la posta proviene da un dominio non verificato.

Utilizzo della collaborazione B2B di Microsoft Entra per l'accesso tra tenant

Autorizzazione

Non è possibile modificare la modalità di provisioning su manuale

Dopo aver configurato il provisioning per la prima volta, si noterà che la modalità di provisioning è passata da manuale a automatica. Non è possibile reimpostarla su manuale. È tuttavia possibile disattivare il provisioning tramite l'interfaccia utente. La disattivazione del provisioning nell'interfaccia utente ha lo stesso effetto dell'impostazione dell'elenco a discesa su manuale.

Mapping degli attributi

Attributo SamAccountName o userType non disponibile come attributo di origine

Gli attributi SamAccountName e userType non sono disponibili come attributo di origine per impostazione predefinita. Estendere lo schema per aggiungere gli attributi. È possibile aggiungere gli attributi all'elenco degli attributi di origine disponibili estendendo lo schema. Per altre informazioni, vedere Attributo di origine mancante.

Elenco a discesa attributo di origine mancante per l'estensione dello schema

Le estensioni allo schema possono talvolta non essere presenti nell'elenco a discesa dell'attributo di origine nell'interfaccia utente. Passare alle impostazioni avanzate dei mapping degli attributi e aggiungere manualmente gli attributi. Per altre informazioni, vedere Personalizzare i mapping degli attributi.

Non è possibile effettuare il provisioning dell'attributo Null

Microsoft Entra ID attualmente non è in grado di effettuare il provisioning di attributi Null. Se un attributo è Null nell'oggetto utente, verrà ignorato.

Numero massimo di caratteri per le espressioni di mapping degli attributi

Le espressioni di mapping degli attributi possono avere un massimo di 10.000 caratteri.

Filtri di ambito non supportati

Gli attributi appRoleAssignments, userType e accountExpires non sono supportati come filtri di ambito.

OtherMails non deve essere incluso nei mapping degli attributi come attributo di destinazione

La proprietà otherMails viene calcolata automaticamente nel tenant di destinazione. Le modifiche apportate direttamente all'oggetto utente nel tenant di destinazione potrebbero comportare l'aggiornamento della proprietà otherMails e l'override del valore impostato dalla sincronizzazione tra tenant. Di conseguenza, gli altrimail non devono essere inclusi nei mapping degli attributi di sincronizzazione tra tenant come attributo di destinazione.

Estensioni di directory multivalore

Le estensioni di directory multivalore non possono essere usate nei mapping degli attributi o nei filtri di ambito.

Problemi relativi al servizio

Scenari non supportati

  • Il provisioning delle password non è supportato.
  • Il provisioning dei gruppi annidati non è supportato.
  • Il provisioning nei tenant B2C non è supportato a causa delle dimensioni dei tenant.
  • Non tutte le app di provisioning sono disponibili in tutti i cloud. Ad esempio, Atlassian non è ancora disponibile nel cloud per enti pubblici. Stiamo lavorando con gli sviluppatori di app per eseguire l'onboarding delle app in tutti i cloud.

Il provisioning automatico non è disponibile nell'applicazione basata su OIDC

Se si crea una registrazione dell'app, l'entità servizio corrispondente nelle app aziendali non verrà abilitata per il provisioning utenti automatico. Sarà necessario richiedere l'aggiunta dell'app alla raccolta, se destinata all'uso da parte di più organizzazioni o creare una seconda app non raccolta per il provisioning.

Il provisioning di Manager non è stato effettuato

Se un utente e il relativo manager sono entrambi nell'ambito del provisioning, il servizio effettua il provisioning dell'utente e quindi aggiorna il manager. Se il primo giorno l'utente è nell'ambito e il manager non rientra nell'ambito, verrà effettuato il provisioning dell'utente senza il riferimento del manager. Quando il manager entra nell'ambito, il riferimento del manager non verrà aggiornato fino al riavvio del provisioning e il servizio rivaluta nuovamente tutti gli utenti.

L'intervallo di provisioning è fisso

Il tempo tra i cicli di provisioning non è attualmente configurabile.

Modifiche non spostate dall'app di destinazione all'ID Microsoft Entra

Il servizio di provisioning delle app non riconosce le modifiche apportate nelle app esterne. Quindi, non viene eseguita alcuna azione per eseguire il rollback. Il servizio di provisioning delle app si basa sulle modifiche apportate in Microsoft Entra ID.

Passaggio da Sincronizza tutto a Sincronizzazione assegnata non funziona

Dopo aver modificato l'ambito da Sincronizza tutto a Sync Assigned( Assegnato), assicurarsi di eseguire anche un riavvio per assicurarsi che la modifica abbia effetto. È possibile eseguire il riavvio dall'interfaccia utente.

Il ciclo di provisioning continua fino al completamento

Quando si imposta il provisioning su enabled = off o si seleziona Arresta, il ciclo di provisioning corrente continua fino al completamento. Il servizio interrompe l'esecuzione di cicli futuri fino a quando non si attiva nuovamente il provisioning.

Membro del gruppo non sottoposto a provisioning

Quando un gruppo è nell'ambito e un membro non rientra nell'ambito, verrà effettuato il provisioning del gruppo. Non verrà effettuato il provisioning dell'utente esterno all'ambito. Se il membro torna all'ambito, il servizio non rileverà immediatamente la modifica. Il riavvio del provisioning risolve il problema. Riavviare periodicamente il servizio per assicurarsi che venga eseguito correttamente il provisioning di tutti gli utenti.

Lettore globale

Il ruolo Lettore globale non è in grado di leggere la configurazione del provisioning. Creare un ruolo personalizzato con l'autorizzazione microsoft.directory/applications/synchronization/standard/read per leggere la configurazione del provisioning dall'interfaccia di amministrazione di Microsoft Entra.

Microsoft Azure per enti pubblici Cloud

Le credenziali, inclusi il token segreto, la posta elettronica di notifica e i messaggi di posta elettronica di notifica dei certificati SSO, hanno un limite di 1 KB in Microsoft Azure per enti pubblici Cloud.

Provisioning di applicazioni locali

Le informazioni seguenti sono un elenco corrente delle limitazioni note con Microsoft Entra ECMA Connessione or Host e provisioning di applicazioni locali.

Directory e applicazioni

Le applicazioni e le directory seguenti non sono ancora supportate.

Dominio di Active Directory Services (writeback di utenti o gruppi da Microsoft Entra ID usando l'anteprima del provisioning locale)

  • Quando un utente viene gestito da Microsoft Entra Connessione, l'origine dell'autorità è Active Directory locale Domain Services. Pertanto, gli attributi utente non possono essere modificati in Microsoft Entra ID. Questa anteprima non modifica l'origine dell'autorità per gli utenti gestiti da Microsoft Entra Connessione.
  • Il tentativo di usare Microsoft Entra Connessione e il provisioning locale per effettuare il provisioning di gruppi o utenti nei servizi di Dominio di Active Directory può portare alla creazione di un ciclo, in cui Microsoft Entra Connessione può sovrascrivere una modifica apportata dal servizio di provisioning nel cloud. Microsoft sta lavorando a una funzionalità dedicata per il writeback di gruppi o utenti. Richiamare il feedback di UserVoice su questo sito Web per tenere traccia dello stato dell'anteprima. In alternativa, è possibile usare Microsoft Identity Manager per il writeback di utenti o gruppi da Microsoft Entra ID ad Active Directory.

Microsoft Entra ID

Usando il provisioning locale, è possibile portare un utente già in Microsoft Entra ID ed eseguirne il provisioning in un'applicazione di terze parti. Non è possibile inserire un utente nella directory da un'applicazione di terze parti. I clienti dovranno affidarsi alle integrazioni native delle risorse umane, Microsoft Entra Connessione, Microsoft Identity Manager o Microsoft Graph, per inserire gli utenti nella directory.

Attributi e oggetti

Gli attributi e gli oggetti seguenti non sono supportati:

  • Attributi multivalore.
  • Attributi di riferimento, ad esempio manager.
  • Gruppi.
  • Ancoraggi complessi, ad esempio ObjectTypeName+UserName.
  • Attributi con caratteri come "." o "["
  • Attributi binari.
  • Le applicazioni locali a volte non sono federate con l'ID Microsoft Entra e richiedono password locali. L'anteprima del provisioning locale non supporta la sincronizzazione delle password. Il provisioning delle password iniziali una tantum è supportato. Assicurarsi di usare la funzione Redact per redizionare le password dai log. Nei connettori SQL e LDAP le password non vengono esportate nella chiamata iniziale all'applicazione, ma piuttosto una seconda chiamata con la password impostata.

certificati SSL

Microsoft Entra ECMA Connessione or Host richiede attualmente che un certificato SSL sia considerato attendibile da Azure o dall'agente di provisioning da usare. L'oggetto del certificato deve corrispondere al nome host in cui è installato Microsoft Entra ECMA Connessione or Host.

Attributi di ancoraggio

Microsoft Entra ECMA Connessione or Host attualmente non supporta le modifiche all'attributo di ancoraggio (rinomina) o i sistemi di destinazione, che richiedono più attributi per formare un ancoraggio.

Individuazione e mapping degli attributi

Gli attributi supportati dall'applicazione di destinazione vengono individuati e visualizzati nell'interfaccia di amministrazione di Microsoft Entra in Mapping attributi. Gli attributi appena aggiunti continueranno a essere individuati. Se un tipo di attributo è stato modificato, ad esempio stringa in booleano e l'attributo fa parte dei mapping, il tipo non cambierà automaticamente nell'interfaccia di amministrazione di Microsoft Entra. I clienti dovranno accedere alle impostazioni avanzate nei mapping e aggiornare manualmente il tipo di attributo.

Agente di provisioning

  • L'agente attualmente non supporta l'aggiornamento automatico per lo scenario di provisioning delle applicazioni locale. Microsoft sta lavorando attivamente per chiudere questo divario e assicurarsi che l'aggiornamento automatico sia abilitato per impostazione predefinita e necessario per tutti i clienti.
  • Lo stesso agente di provisioning non può essere usato per il provisioning delle app locali e per il provisioning cloud/provisioning basato sulle risorse umane.

Passaggi successivi

Funzionamento del provisioning