Известные проблемы для подготовки в идентификаторе Microsoft Entra
В этой статье рассматриваются известные проблемы, которые следует учитывать при работе с подготовкой приложений или синхронизацией между клиентами. Чтобы предоставить отзыв о службе подготовки приложений в UserVoice, см. статью о подготовке приложений Microsoft Entra UserVoice. Мы внимательно следим за отзывами на UserVoice, чтобы улучшить службу.
Примечание.
В этой статье приведен не полный список известных проблем. Если вы знаете о проблеме, которой нет в списке, оставьте отзыв, нажав соответствующую кнопку в нижней части страницы.
Синхронизация клиентов
Неподдерживаемые сценарии синхронизации
- Синхронизация групп, устройств и контактов с другим клиентом
- Синхронизация пользователей в облаках
- Синхронизация фотографий между клиентами
- Синхронизация контактов и преобразование контактов в пользователей B2B
- Синхронизация комнат собраний между клиентами
Обновление proxyAddresses
ProxyAddresses — это свойство только для чтения в Microsoft Graph. Его можно включить в качестве исходного атрибута в сопоставления, но его нельзя задать в качестве целевого атрибута.
Подготовка пользователей
Внешний пользователь из исходного (домашнего) клиента не может быть подготовлен в другой клиент. Внутренние гостевые пользователи из исходного клиента не могут быть подготовлены в другой клиент. В целевой клиент можно подготовить только внутренних пользователей из исходного клиента. Дополнительные сведения см. в разделе "Свойства пользователя совместной работы Microsoft Entra B2B".
Кроме того, пользователи, которые включены для входа в SMS, не могут быть синхронизированы с помощью синхронизации между клиентами.
Обновление свойства showInAddressList завершается ошибкой
Для существующих пользователей совместной работы B2B атрибут showInAddressList обновляется, если у пользователя совместной работы B2B нет почтового ящика в целевом клиенте. Если почтовый ящик включен в целевом клиенте, используйте командлет Set-MailUser PowerShell, чтобы задать для свойства HiddenFromAddressListsEnabled значение $false.
Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false
Здесь [GuestUserUPN] — это вычисляемое значение UserPrincipalName. Пример:
Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false
Дополнительные сведения см. в разделе "Сведения о модуле Exchange Online PowerShell".
Настройка синхронизации из целевого клиента
Настройка синхронизации из целевого клиента не поддерживается. Все конфигурации должны выполняться в исходном клиенте. Целевой администратор может отключить синхронизацию между клиентами в любое время.
Два пользователя в исходном клиенте, сопоставленные с тем же пользователем в целевом клиенте
Если два пользователя в исходном клиенте имеют одинаковую почту, и они оба должны быть созданы в целевом клиенте, один пользователь создается в целевом объекте и связан с двумя пользователями в источнике. Убедитесь, что атрибут почты не предоставлен пользователям в исходном клиенте. Кроме того, убедитесь, что почта пользователя в исходном клиенте находится из проверенного домена. Внешний пользователь не будет успешно создан, если почта находится из непроверенного домена.
Использование совместной работы Microsoft Entra B2B для доступа между клиентами
- Пользователи B2B не могут управлять определенными службами Microsoft 365 в удаленных клиентах (например, Exchange Online), так как нет средства выбора каталогов.
- Дополнительные сведения о поддержке виртуального рабочего стола Azure для пользователей B2B см. в статье "Предварительные требования для виртуального рабочего стола Azure".
- Сведения о последнем состоянии поддержки Power BI для внешних пользователей-участников см. в статье Распространение содержимого Power BI внешним гостевым пользователям с помощью Microsoft Entra B2B
Авторизация
Не удается изменить режим подготовки на ручной
При первом настройке подготовки вы заметите, что режим подготовки переключился с ручного на автоматический. И изменить его обратно на ручной нельзя. Вы можете отключить подготовку через пользовательский интерфейс. Это позволит успешно включить ручной режим для подготовки.
Сопоставления атрибутов
Атрибут SamAccountName или userType недоступен в качестве исходного атрибута
Атрибуты SamAccountName и userType недоступны в качестве исходных атрибутов. Вместо этого можно использовать атрибут расширения каталога в качестве обходного решения. Дополнительные сведения см. в статье Отсутствующий исходный атрибут.
В раскрывающемся списке исходных атрибутов нет расширения схемы
Иногда расширения схемы могут отсутствовать в раскрывающемся списке исходных атрибутов в пользовательском интерфейсе. Перейдите в раздел дополнительных параметров сопоставления атрибутов и вручную добавьте атрибуты. Дополнительные сведения см. в статье Настройка сопоставлений атрибутов.
Не удается подготовить атрибут NULL
Идентификатор Microsoft Entra в настоящее время не может подготавливать пустые атрибуты. Если атрибут имеет значение NULL для объекта пользователя, он пропускается.
Специальные символы не поддерживаются при присоединении свойств
Идентификатор Microsoft Entra в настоящее время не может выполнять запросы фильтра по значениям, содержащим специальные символы. Поэтому попытка подготовки ресурса (пользователя или группы) с особым символом для атрибутов фильтра завершается сбоем. Например, группа с особым символом в имени может быть создана на идентификаторе Microsoft Entra ID, но не может быть синхронизирована с целевой системой.
Максимальное число символов для выражений сопоставления атрибутов
Выражение сопоставления атрибутов может содержать не более 10 000 символов.
Неподдерживаемые фильтры области
Атрибуты appRoleAssignments, userType, manager и date-type (например, StatusHireDate, startDate, endDate, StatusTerminationDate, accountExpires) не поддерживаются в качестве фильтров области.
OtherMails не следует включать в сопоставления атрибутов в качестве целевого атрибута.
Свойство otherMails автоматически вычисляется в целевом клиенте. Изменения пользовательского объекта, сделанные непосредственно в целевом клиенте, могут привести к обновлению и переопределении значения, заданного синхронизацией между клиентами. В результате другие почты не должны включаться в сопоставления атрибутов синхронизации между клиентами в качестве целевого атрибута.
Расширения каталогов с несколькими значениями
Расширения каталогов с несколькими значениями нельзя использовать в сопоставлениях атрибутов или фильтрах области.
Атрибут targetAddress недоступен для выбора
Атрибут targetAddress (который сопоставляется со свойством ExternalEmailAddress в Microsoft Exchange Online) недоступен в качестве атрибута, который можно выбрать. Если вам нужно изменить этот атрибут, его необходимо сделать вручную по требуемому объекту.
Проблемы службы
Неподдерживаемые сценарии
- Подготовка паролей не поддерживается.
- Подготовка вложенных групп за пределами первого уровня не поддерживается.
- Подготовка не поддерживается для клиентов B2C, включая в клиент или из него.
- Подготовка не поддерживается для клиентов внешнего идентификатора, включая в клиент или из него.
- Некоторые приложения подготовки недоступны в определенных облаках.
Автоматическая подготовка недоступна в моем приложении на основе OIDC
Если вы создали механизм регистрации приложений, соответствующий субъект-служба в корпоративных приложениях не будет доступен для автоматической подготовки пользователей. Необходимо либо запросить добавление приложения в коллекцию, если оно предназначено для использования несколькими организациями, либо создать второе приложение для подготовки без добавления в коллекцию.
Диспетчер не подготовлен
Если пользователь и его диспетчер находятся в области для подготовки, служба выполнит подготовку пользователя и обновит диспетчер. Однако, если пользователь находится в области, а диспетчер находится вне области, выполняется подготовка пользователя без ссылки на диспетчер. Когда диспетчер попадает в область, ссылка на него не обновляется, пока вы не перезапустите подготовку и не выполните повторную оценку всех пользователей с помощью службы.
Фиксированный интервал подготовки
Время между циклами подготовки в настоящее время настроить нельзя.
Изменения, не переходящие с целевого приложения на идентификатор Microsoft Entra
Служба подготовки приложений не учитывает изменения, внесенные во внешние приложения. Поэтому никакие действия для отката не выполняются. Служба подготовки приложений зависит от изменений, внесенных в идентификатор Microsoft Entra.
Переключение с "Синхронизировать все" на "Sync Assigned" (Синхронизировать назначенные) не выполняется
После изменения области с Синхронизировать все на Sync Assigned (Синхронизировать назначенные) необходимо также выполнить перезапуск, чтобы убедиться, что изменение вступило в силу. Перезапуск можно выполнить из пользовательского интерфейса.
Цикл подготовки продолжается до завершения
Если для подготовки указать параметр enabled = off
или нажать кнопку остановки, текущий цикл подготовки продолжит выполняться до завершения. Служба продолжит выполнение всех будущих циклов только после включения подготовки.
Член группы не подготовлен
Если группа находится в области действия, а член — за ее пределами, группа будет подготовлена. А пользователь вне области не будет подготовлен. При возвращении члена в область изменение не будет немедленно обнаружено. Для устранения проблемы необходимо перезапустить подготовку. Рекомендуется периодически перезапускать службу, чтобы обеспечить правильную подготовку всех пользователей.
Глобальный читатель
Роль глобального читателя не может считывать конфигурацию подготовки. Создайте пользовательскую роль с microsoft.directory/applications/synchronization/standard/read
разрешением для чтения конфигурации подготовки из Центра администрирования Microsoft Entra.
Microsoft Azure для государственных организаций Cloud
Учетные данные, включая секретный маркер, уведомление электронной почты и уведомления о сертификате единого входа вместе имеют ограничение в 1 КБ в Microsoft Azure для государственных организаций Cloud.
Локальная подготовка приложения
Это текущий список известных ограничений с узлом соединителя Microsoft Entra ECMA и локальной подготовкой приложений.
Приложения и каталоги
Следующие приложения и каталоги пока не поддерживаются.
службы домен Active Directory (обратная запись пользователей или групп из идентификатора Microsoft Entra с помощью предварительной версии локальной подготовки)
- Когда пользователь управляется Microsoft Entra Connect, источник центра локальная служба Active Directory доменных служб. Таким образом, атрибуты пользователей не могут быть изменены в идентификаторе Microsoft Entra. Эта предварительная версия не изменяет источник центра для пользователей, управляемых Microsoft Entra Connect.
- Попытка использовать Microsoft Entra Connect и локальную подготовку для подготовки групп или пользователей в службах домен Active Directory может привести к созданию цикла, в котором Microsoft Entra Connect может перезаписать изменения, внесенные службой подготовки в облаке. Корпорация Microsoft работает над созданием отдельной функции обратной записи групп или пользователей. Голосуйте за отзывы UserVoice на этом веб-сайте и отслеживайте статус предварительной версии. Кроме того, можно использовать Microsoft Identity Manager для обратной записи пользователей или групп из идентификатора Microsoft Entra в Active Directory.
Microsoft Entra ID
Используя локальную подготовку, вы можете принять пользователя в идентификаторе Microsoft Entra и подготовить их в стороннем приложении. Вы не можете добавить пользователя к каталогу из стороннего приложения. Клиентам потребуется полагаться на собственные интеграции кадров, Microsoft Entra Connect, Microsoft Identity Manager или Microsoft Graph, чтобы перенести пользователей в каталог.
Атрибуты и объекты
Следующие атрибуты и объекты не поддерживаются:
- Атрибуты с несколькими значениями.
- Ссылочные атрибуты (например, manager).
- Группы.
- Сложные привязки (например, ObjectTypeName+UserName).
- Атрибуты, имеющие такие символы, как "." или "["
- Двоичные атрибуты.
- Локальные приложения иногда не федеративны с идентификатором Microsoft Entra и требуют локальных паролей. Предварительная версия подготовки в локальной среде не поддерживает синхронизацию паролей. Поддерживается подготовка начальных одноразовых паролей. Убедитесь, что функция Redact используется для редактирования паролей из журналов. В соединителях SQL и LDAP пароли не экспортируются при первоначальном вызове приложения, а вместо второго вызова с заданным паролем.
Сертификаты SSL
В настоящее время узел соединителя MICROSOFT Entra ECMA требует, чтобы SSL-сертификат был доверенным в Azure или агентом подготовки. Субъект сертификата должен соответствовать имени узла, на котором установлен узел соединителя Microsoft Entra ECMA.
Атрибуты привязки
В настоящее время узел соединителя MICROSOFT Entra ECMA не поддерживает изменения атрибутов привязки (переименования) или целевых систем, для которых требуется несколько атрибутов для формирования привязки.
Обнаружение и сопоставление атрибутов
Атрибуты, поддерживаемые целевым приложением, обнаруживаются и отображаются в Центре администрирования Microsoft Entra в сопоставлениях атрибутов. Для вновь добавленных атрибутов по-прежнему будет выполняться обнаружение. Если тип атрибута изменился, например, строка на логическое значение, а атрибут является частью сопоставлений, тип не изменится автоматически в Центре администрирования Microsoft Entra. Клиентам потребуется перейти в раздел дополнительных параметров сопоставлений и вручную обновить тип атрибута.
Агент подготовки
- В настоящее время агент не поддерживает автоматическое обновление для сценария подготовки локальных приложений. Мы активно работаем над закрытием этого разрыва и убедитесь, что автоматическое обновление включено по умолчанию и требуется для всех клиентов.
- Тот же агент подготовки нельзя использовать для подготовки локальных приложений и облачной синхронизации или подготовки на основе кадров.