Problemi noti per il provisioning in Microsoft Entra ID
Questo articolo illustra i problemi noti da tenere in considerazione quando si usa il provisioning delle app o la sincronizzazione tra tenant. Per fornire feedback sul servizio di provisioning delle applicazioni in UserVoice, vedere Provisioning delle applicazioni Microsoft Entra in UserVoice. È possibile osservare UserVoice da vicino in modo da poter contribuire al miglioramento del servizio.
Nota
Questo articolo non rappresenta un elenco completo dei problemi noti. Se si è a conoscenza di un problema non elencato, inviare un feedback tramite la parte inferiore della pagina.
Sincronizzazione tra tenant
Scenari di sincronizzazione non supportati
- Sincronizzazione di gruppi, dispositivi e contatti in un altro tenant
- Sincronizzazione degli utenti tra cloud
- Sincronizzazione delle foto tra tenant
- Sincronizzazione dei contatti e conversione dei contatti in utenti B2B
- Sincronizzazione delle sale riunioni tra tenant
Aggiornamento di proxyAddresses
ProxyAddresses è una proprietà di sola lettura in Microsoft Graph. Può essere incluso come attributo di origine nei mapping, ma non può essere impostato come attributo di destinazione.
Provisioning di utenti
Non è possibile effettuare il provisioning di un utente esterno del tenant di origine (principale) in un altro tenant. Non è possibile effettuare il provisioning degli utenti guest interni del tenant di origine in un altro tenant. Il provisioning nel tenant di destinazione può essere effettuato solo per gli utenti membri interni del tenant di origine. Per altre informazioni, vedere Proprietà di un utente di Collaborazione B2B Microsoft Entra.
Inoltre, gli utenti abilitati per l'accesso tramite SMS non possono essere sincronizzati tramite la sincronizzazione tra tenant.
L'aggiornamento della proprietà showInAddressList non riesce
Per gli utenti di Collaborazione B2B esistenti, l'attributo showInAddressList viene aggiornato purché l'utente di Collaborazione B2B non abbia una cassetta postale abilitata nel tenant di destinazione. Se la cassetta postale è abilitata nel tenant di destinazione, usare il cmdlet di PowerShell Set-MailUser per impostare la proprietà HiddenFromAddressListsEnabled su un valore di $false.
Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false
Dove [GuestUserUPN] è l'elemento UserPrincipalName calcolato. Esempio:
Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false
Per altre informazioni, vedere Informazioni sul modulo PowerShell di Exchange Online.
Configurazione della sincronizzazione dal tenant di destinazione
La configurazione della sincronizzazione dal tenant di destinazione non è supportata. Tutte le configurazioni devono essere eseguite nel tenant di origine. L'amministratore di destinazione è in grado di disabilitare la sincronizzazione tra tenant in qualsiasi momento.
Due utenti nel tenant di origine corrispondono allo stesso utente nel tenant di destinazione
Quando due utenti nel tenant di origine hanno la stessa posta elettronica e devono entrambi essere creati nel tenant di destinazione, un utente viene creato nella destinazione e collegato ai due utenti nell'origine. Assicurarsi che l'attributo di posta elettronica non sia condiviso tra gli utenti nel tenant di origine. Assicurarsi inoltre che la posta elettronica dell'utente nel tenant di origine provenga da un dominio verificato. L'utente esterno non verrà creato correttamente se la posta elettronica proviene da un dominio non verificato.
Utilizzo di Collaborazione B2B di Microsoft Entra per l'accesso tra tenant
- Gli utenti B2B non sono in grado di gestire determinati servizi di Microsoft 365 nei tenant remoti (ad esempio Exchange Online), perché non è disponibile alcuna selezione directory.
- Per informazioni sul supporto di Desktop virtuale Azure per gli utenti B2B, vedere Prerequisiti per Desktop virtuale Azure.
- Per lo stato più recente del supporto di Power BI per gli utenti membri esterni, vedere Distribuire il contenuto di Power BI agli utenti guest esterni con Microsoft Entra B2B
Autorizzazione
Non è possibile reimpostare la modalità di provisioning su manuale
Quando si configura il provisioning per la prima volta, si noterà che la modalità di provisioning passa da manuale ad automatica. Non è possibile reimpostarla su manuale. È tuttavia possibile disattivare il provisioning tramite l'interfaccia utente. La disattivazione del provisioning nell'interfaccia utente ha lo stesso effetto dell'impostazione dell'elenco a discesa su manuale.
Mapping degli attributi
Attributi SamAccountName o userType non disponibili come attributi di origine
Gli attributi SamAccountName e userType non sono disponibili come attributi di origine. È invece possibile usare un attributo di estensione della directory come soluzione alternativa. Per altre informazioni, vedere Attributo di origine mancante.
Nell'elenco a discesa degli attributi di origine non è presente l'estensione dello schema
Le estensioni allo schema possono talvolta non essere presenti nell'elenco a discesa degli attributi di origine nell'interfaccia utente. Passare alle impostazioni avanzate di mapping degli attributi e aggiungere manualmente gli attributi. Per altre informazioni, vedere Personalizzare il mapping degli attributi.
Non è possibile effettuare il provisioning dell'attributo Null
Microsoft Entra ID attualmente non è in grado di effettuare il provisioning di attributi Null. Se un attributo è Null nell'oggetto utente, viene ignorato.
I caratteri speciali non sono supportati nelle proprietà di abbinamento
Microsoft Entra ID attualmente non può eseguire query di filtro sui valori contenenti caratteri speciali. Di conseguenza, un tentativo di provisioning su una risorsa (utente o gruppo) con un carattere speciale sugli attributi di filtro ha esito negativo. Ad esempio, è possibile creare un gruppo con un carattere speciale nel nome in Microsoft Entra ID, ma non è possibile sincronizzarlo con un sistema di destinazione.
Numero massimo di caratteri per le espressioni di mapping degli attributi
Le espressioni di mapping degli attributi possono avere un massimo di 10.000 caratteri.
Filtri di ambito non supportati
Gli attributi appRoleAssignments, userType, manager e date-type (ad esempio, StatusHireDate, startDate, endDate, StatusTerminationDate, accountExpires) non sono supportati come filtri di ambito.
OtherMails non deve essere incluso come attributo di destinazione nel mapping degli attributi.
La proprietà otherMails viene calcolata automaticamente nel tenant di destinazione. Le modifiche apportate all'oggetto utente direttamente nel tenant di destinazione potrebbero comportare l'aggiornamento della proprietà otherMails e la sostituzione del valore impostato dalla sincronizzazione tra tenant. Di conseguenza, otherMails non deve essere incluso come attributo di destinazione nel mapping degli attributi di sincronizzazione tra tenant.
Estensioni di directory multivalore
Le estensioni di directory multivalore non possono essere usate nel mapping degli attributi o nei filtri di ambito.
L'attributo TargetAddress non è disponibile per la selezione
L'attributo TargetAddress (che esegue il mapping alla proprietà ExternalEmailAddress in Microsoft Exchange Online) non è disponibile come attributo che è possibile scegliere. Se occorre modificare questo attributo, è necessario farlo manualmente sull'oggetto richiesto.
Problemi relativi al servizio
Scenari non supportati
- Il provisioning delle password non è supportato.
- Il provisioning di gruppi annidati oltre il primo livello non è supportato.
- Il provisioning non è supportato per i tenant B2C, sia internamente che esternamente al tenant.
- Il provisioning non è supportato per i tenant con ID esterno, sia internamente che esternamente al tenant.
- Non tutte le app di provisioning sono disponibili in tutti i cloud.
Il provisioning automatico non è disponibile nell'applicazione personale basata su OIDC
Se si crea una registrazione dell'app, l'entità servizio corrispondente nelle app aziendali non verrà abilitata per il provisioning utenti automatico. Sarà necessario richiedere l'aggiunta dell'app alla raccolta, se questa è destinata all'uso da parte di più organizzazioni, oppure creare una seconda app non nella raccolta per il provisioning.
Il provisioning del manager non è stato effettuato
Se un utente e il relativo manager sono entrambi nell'ambito del provisioning, il servizio effettua il provisioning dell'utente e quindi aggiorna il manager. Se il primo giorno l'utente è nell'ambito e il manager non rientra nell'ambito, verrà effettuato il provisioning dell'utente senza la referenza del manager. Quando il manager entra nell'ambito, la referenza del manager non verrà aggiornata fino al riavvio del provisioning e alla conseguente rivalutazione di tutti gli utenti da parte del servizio.
L'intervallo di provisioning è fisso
Il tempo tra i cicli di provisioning non è attualmente configurabile.
Le modifiche non passano dall'app di destinazione a Microsoft Entra ID
Il servizio di provisioning dell'app non riconosce le modifiche apportate nelle app esterne. Quindi, non viene eseguita alcuna azione per eseguire il rollback. Il servizio di provisioning dell'app si basa sulle modifiche apportate in Microsoft Entra ID.
Il passaggio da Sincronizza tutto a Sincronizza assegnati non funziona
Dopo aver modificato l'ambito da Sincronizza tutto a Sincronizza assegnati, assicurarsi di eseguire anche un riavvio per assicurarsi che la modifica abbia effetto. È possibile eseguire il riavvio dall'interfaccia utente.
Il ciclo di provisioning continua fino al completamento
Quando si imposta il provisioning su enabled = off o si seleziona Arresta, il ciclo di provisioning corrente continua fino al completamento. Il servizio interrompe l'esecuzione di cicli futuri fino a quando non si attiva nuovamente il provisioning.
Membro del gruppo non sottoposto a provisioning
Quando un gruppo rientra nell'ambito e un membro non vi rientra, viene effettuato il provisioning del gruppo. Il provisioning dell'utente esterno all'ambito non viene effettuato. Se il membro rientra nuovamente nell'ambito, il servizio non rileva immediatamente la modifica. Il riavvio del provisioning risolve il problema. Riavviare periodicamente il servizio per assicurarsi che venga eseguito correttamente il provisioning di tutti gli utenti.
Ruolo con autorizzazioni di lettura globali
Il ruolo Lettore globale non è in grado di leggere la configurazione del provisioning. Creare un ruolo personalizzato con l'autorizzazione microsoft.directory/applications/synchronization/standard/read per leggere la configurazione del provisioning dall'interfaccia di amministrazione di Microsoft Entra.
Cloud di Microsoft Azure per enti pubblici
Le credenziali, inclusi il token segreto, la posta elettronica di notifica e i messaggi di posta elettronica di notifica dei certificati SSO, hanno un limite di 1 KB nel cloud di Microsoft Azure per enti pubblici.
Provisioning delle applicazioni locali
Questo è un elenco corrente delle limitazioni note con l'host del connettore Microsoft Entra ECMA e il provisioning delle applicazioni locali.
Directory e applicazioni
Le applicazioni e le directory seguenti non sono ancora supportate.
Active Directory Domain Services (writeback di utenti o gruppi da Microsoft Entra ID usando l'anteprima del provisioning locale)
- Quando un utente viene gestito da Microsoft Entra Connect, l'origine dell'autorità è Active Directory Domain Services locale. Pertanto, gli attributi utente non possono essere modificati in Microsoft Entra ID. Questa anteprima non modifica l'origine dell'autorità per gli utenti gestiti da Microsoft Entra Connect.
- Il tentativo di usare Microsoft Entra Connect e il provisioning locale per effettuare il provisioning di gruppi o utenti in Active Directory Domain Services può causare la creazione di un ciclo, in cui Microsoft Entra Connect può sovrascrivere una modifica apportata dal servizio di provisioning nel cloud. Microsoft sta lavorando a una funzionalità dedicata per il writeback di gruppi o utenti. Richiamare il feedback di UserVoice su questo sito Web per tenere traccia dello stato dell'anteprima. In alternativa, è possibile usare Microsoft Identity Manager per il writeback di utenti o gruppi da Microsoft Entra ID ad Active Directory.
Microsoft Entra ID
Usando il provisioning locale, è possibile prendere un utente già presente in Microsoft Entra ID ed eseguirne il provisioning in un'applicazione di terze parti. Non è possibile inserire un utente nella directory da un'applicazione di terze parti. I clienti dovranno affidarsi alle integrazioni native di Microsoft per le risorse umane: Microsoft Entra Connect, Microsoft Identity Manager o Microsoft Graph, per inserire gli utenti nella directory.
Attributi e oggetti
Gli attributi e oggetti seguenti non sono supportati:
- Attributi multivalore.
- Attributi di riferimento (ad esempio manager).
- Gruppi.
- Ancoraggi complessi (ad esempio ObjectTypeName+UserName).
- Attributi con caratteri come "." o "["
- Attributi binari.
- Le applicazioni locali a volte non sono federate con Microsoft Entra ID e richiedono password locali. L'anteprima del provisioning locale non supporta la sincronizzazione delle password. Il provisioning delle password iniziali una tantum è supportato. Assicurarsi di usare la funzione Redact per redigere le password dai log. Nei connettori SQL e LDAP le password non vengono esportate nella chiamata iniziale all'applicazione, ma piuttosto in una seconda chiamata con la password impostata.
certificati SSL
L'host del connettore Microsoft Entra ECMA richiede attualmente un certificato SSL considerato attendibile da Azure o l'utilizzo dell'agente di provisioning. L'oggetto del certificato deve corrispondere al nome host in cui è installato l'host del connettore Microsoft Entra ECMA.
Attributi di ancoraggio
L'host del connettore Microsoft Entra ECMA attualmente non supporta le modifiche dell'attributo di ancoraggio (rinomina) o i sistemi di destinazione, che richiedono più attributi per formare un ancoraggio.
Individuazione e mapping degli attributi
Gli attributi supportati dall'applicazione di destinazione vengono individuati e rilevati nell'interfaccia di amministrazione di Microsoft Entra in Mapping degli attributi. Gli attributi appena aggiunti continueranno a essere individuati. Se un tipo di attributo è stato modificato, ad esempio da stringa a booleano, e l'attributo fa parte dei mapping, il tipo non cambierà automaticamente nell'interfaccia di amministrazione di Microsoft Entra. I clienti dovranno accedere alle impostazioni avanzate nei mapping e aggiornare manualmente il tipo di attributo.
Agente di provisioning
- L'agente attualmente non supporta l'aggiornamento automatico per lo scenario di provisioning delle applicazioni locali. Microsoft sta lavorando attivamente per chiudere questo divario e assicurarsi che l'aggiornamento automatico sia abilitato per impostazione predefinita e obbligatorio per tutti i clienti.
- Lo stesso agente di provisioning non può essere usato per il provisioning delle app locali e la sincronizzazione cloud / il provisioning basato su risorse umane.