Znane problemy z aprowizowaniem w identyfikatorze Entra firmy Microsoft
W tym artykule omówiono znane problemy, które należy wziąć pod uwagę podczas pracy z aprowizowaniem aplikacji lub synchronizacją między dzierżawami. Aby przekazać opinię na temat usługi aprowizacji aplikacji w usłudze UserVoice, zobacz Microsoft Entra application provision UserVoice (Aprowizowanie aplikacji w usłudze UserVoice firmy Microsoft). Uważnie obserwujemy usługę UserVoice, abyśmy mogli ulepszyć usługę.
Uwaga
Ten artykuł nie jest kompleksową listą znanych problemów. Jeśli znasz problem, który nie znajduje się na liście, prześlij opinię w dolnej części strony.
Synchronizacja między dzierżawami
Nieobsługiwane scenariusze synchronizacji
- Synchronizowanie grup, urządzeń i kontaktów z inną dzierżawą
- Synchronizowanie użytkowników w chmurach
- Synchronizowanie zdjęć między dzierżawami
- Synchronizowanie kontaktów i konwertowanie kontaktów na użytkowników B2B
- Synchronizowanie sal konferencyjnych między dzierżawami
Aktualizowanie adresów proxy
ProxyAddresses to właściwość tylko do odczytu w programie Microsoft Graph. Można go dołączyć jako atrybut źródłowy w mapowaniach, ale nie można go ustawić jako atrybut docelowy.
Microsoft Teams
Użytkownicy member
zewnętrzni/B2B typu utworzone przez synchronizację między dzierżawami mogą zostać dodani do udostępnionego kanału w usłudze Microsoft Teams. Nie można jednak dodać użytkowników zewnętrznych utworzonych poza synchronizacją między dzierżawami do udostępnionego kanału usługi Teams.
Aprowizowanie użytkowników
Nie można aprowizować użytkownika zewnętrznego ze źródłowej dzierżawy (macierzystej) w innej dzierżawie. Wewnętrzni użytkownicy-goście z dzierżawy źródłowej nie mogą być aprowizowani w innej dzierżawie. Do dzierżawy docelowej można aprowizować tylko użytkowników wewnętrznych z dzierżawy źródłowej. Aby uzyskać więcej informacji, zobacz Właściwości użytkownika współpracy B2B firmy Microsoft.
Ponadto nie można zsynchronizować użytkowników z włączoną obsługą logowania sms za pośrednictwem synchronizacji między dzierżawami.
Aktualizowanie właściwości showInAddressList kończy się niepowodzeniem
W przypadku istniejących użytkowników współpracy B2B atrybut showInAddressList zostanie zaktualizowany tak długo, jak użytkownik współpracy B2B nie ma włączonej skrzynki pocztowej w dzierżawie docelowej. Jeśli skrzynka pocztowa jest włączona w dzierżawie docelowej, użyj polecenia cmdlet Set-MailUser programu PowerShell, aby ustawić właściwość HiddenFromAddressListsEnabled na wartość $false.
Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false
Gdzie [GuestUserUPN] to obliczona nazwa UserPrincipalName. Przykład:
Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false
Aby uzyskać więcej informacji, zobacz Artykuł About the Exchange Online PowerShell module (Informacje o module programu PowerShell usługi Exchange Online).
Konfigurowanie synchronizacji z dzierżawy docelowej
Konfigurowanie synchronizacji z dzierżawy docelowej nie jest obsługiwane. Wszystkie konfiguracje należy wykonać w dzierżawie źródłowej. Należy pamiętać, że administrator docelowy może w dowolnym momencie wyłączyć synchronizację między dzierżawami.
Dwóch użytkowników w dzierżawie źródłowej jest dopasowanych do tego samego użytkownika w dzierżawie docelowej
Gdy dwóch użytkowników w dzierżawie źródłowej ma tę samą pocztę i obaj muszą zostać utworzeni w dzierżawie docelowej, jeden użytkownik zostanie utworzony w obiekcie docelowym i połączony z dwoma użytkownikami w źródle. Upewnij się, że atrybut poczty nie jest udostępniany użytkownikom w dzierżawie źródłowej. Ponadto upewnij się, że poczta użytkownika w dzierżawie źródłowej pochodzi z zweryfikowanej domeny. Użytkownik zewnętrzny nie zostanie pomyślnie utworzony, jeśli wiadomość e-mail pochodzi z domeny niezweryfikowanej.
Użycie współpracy między dzierżawami firmy Microsoft Entra B2B
- Użytkownicy B2B nie mogą zarządzać niektórymi usługami Platformy Microsoft 365 w dzierżawach zdalnych (takich jak Usługa Exchange Online), ponieważ nie ma selektora katalogów.
- Aby dowiedzieć się więcej o obsłudze usługi Azure Virtual Desktop dla użytkowników B2B, zobacz Wymagania wstępne dotyczące usługi Azure Virtual Desktop.
- Aby uzyskać najnowszy stan obsługi usługi Power BI dla użytkowników zewnętrznych, zobacz Dystrybucja zawartości usługi Power BI do zewnętrznych użytkowników-gości za pomocą usługi Microsoft Entra B2B
Autoryzacja
Nie można zmienić trybu aprowizacji z powrotem do ręcznego
Po skonfigurowaniu aprowizacji po raz pierwszy zauważysz, że tryb aprowizacji został przełączony z ręcznego na automatyczny. Nie możesz co z powrotem zmienić na ręczną. Możesz natomiast wyłączyć aprowizowanie za pomocą interfejsu użytkownika. Wyłączenie aprowizowania w interfejsie użytkownika działa tak samo jak wybranie aprowizowania ręcznego na liście rozwijanej.
Mapowania atrybutów
Atrybut SamAccountName lub userType nie jest dostępny jako atrybut źródłowy
Atrybuty SamAccountName i userType nie są domyślnie dostępne jako atrybut źródłowy. Rozszerz schemat, aby dodać atrybuty. Atrybuty można dodać do listy dostępnych atrybutów źródłowych, rozszerzając schemat. Aby dowiedzieć się więcej, zobacz Brak atrybutu źródłowego.
Brak listy rozwijanej atrybutu źródłowego dla rozszerzenia schematu
Czasami brakuje rozszerzeń schematu z listy rozwijanej atrybutu źródłowego w interfejsie użytkownika. Przejdź do ustawień zaawansowanych mapowań atrybutów i ręcznie dodaj atrybuty. Aby dowiedzieć się więcej, zobacz Dostosowywanie mapowań atrybutów.
Nie można aprowizować atrybutu o wartości null
Identyfikator Entra firmy Microsoft obecnie nie może aprowizować atrybutów null. Jeśli atrybut ma wartość null w obiekcie użytkownika, zostanie pominięty.
Maksymalna liczba znaków w wyrażeniach mapowania atrybutów
Wyrażenia mapowania atrybutów mogą mieć maksymalnie 10 000 znaków.
Nieobsługiwane filtry określania zakresu
Atrybuty appRoleAssignments, userType i accountExpires nie są obsługiwane jako filtry określania zakresu.
Atrybuty OtherMails nie powinny być uwzględniane w mapowaniach atrybutów jako atrybut docelowy
Właściwość otherMails jest automatycznie obliczana w dzierżawie docelowej. Zmiany obiektu użytkownika wprowadzone bezpośrednio w dzierżawie docelowej mogą spowodować zaktualizowanie właściwości otherMails i zastąpienie wartości ustawionej przez synchronizację między dzierżawami. W związku z tym inneMails nie powinny być uwzględniane w mapowaniach atrybutów synchronizacji między dzierżawami jako atrybut docelowy.
Rozszerzenia katalogów wielowartościowych
Rozszerzenia katalogów wielowartościowych nie mogą być używane w mapowaniach atrybutów ani filtrach określania zakresu.
Problemy z usługami
Nieobsługiwane scenariusze
- Aprowizowanie haseł nie jest obsługiwane.
- Aprowizowanie zagnieżdżonych grup nie jest obsługiwane.
- Aprowizowanie dzierżaw B2C nie jest obsługiwane z powodu rozmiaru dzierżaw.
- Nie wszystkie aplikacje aprowizacji są dostępne we wszystkich chmurach. Na przykład usługa Atlassian nie jest jeszcze dostępna w chmurze dla instytucji rządowych. Pracujemy z deweloperami aplikacji, aby dołączyć swoje aplikacje do wszystkich chmur.
Automatyczna aprowizacja nie jest dostępna w mojej aplikacji opartej na protokole OIDC
Jeśli tworzysz rejestrację aplikacji, odpowiednia jednostka usługi w aplikacjach dla przedsiębiorstw nie będzie włączona na potrzeby automatycznej aprowizacji użytkowników. Musisz zażądać dodania aplikacji do galerii, jeśli jest przeznaczona do użytku przez wiele organizacji, lub utworzyć drugą aplikację spoza galerii na potrzeby aprowizacji.
Menedżer nie jest aprowizowany
Jeśli użytkownik i ich menedżer znajdują się w zakresie aprowizacji, usługa aprowizuje użytkownika, a następnie aktualizuje menedżera. Jeśli pierwszego dnia użytkownik znajduje się w zakresie, a menedżer jest poza zakresem, aprowizujemy użytkownika bez odwołania do menedżera. Gdy menedżer wejdzie w zakres, odwołanie do menedżera nie zostanie zaktualizowane do momentu ponownego uruchomienia aprowizacji i ponownego oceny usługi wszystkich użytkowników.
Interwał aprowizacji jest stały
Czas między cyklami aprowizacji nie jest obecnie konfigurowalny.
Zmiany nie są przenoszone z aplikacji docelowej do identyfikatora Entra firmy Microsoft
Usługa aprowizacji aplikacji nie jest świadoma zmian wprowadzonych w aplikacjach zewnętrznych. Dlatego żadne działania nie są podejmowane w celu wycofania. Usługa aprowizacji aplikacji opiera się na zmianach wprowadzonych w identyfikatorze Entra firmy Microsoft.
Przełączanie z synchronizacji wszystkie do przypisanej synchronizacji nie działa
Po zmianie zakresu z Synchronizuj wszystkie na Przypisano synchronizację upewnij się, że wykonasz również ponowne uruchomienie, aby upewnić się, że zmiana zostanie w życie. Ponowne uruchomienie można wykonać z poziomu interfejsu użytkownika.
Cykl aprowizacji będzie kontynuowany do momentu ukończenia
Po ustawieniu aprowizacji na enabled = off
lub wybraniu pozycji Zatrzymaj bieżący cykl aprowizacji będzie kontynuowany do momentu ukończenia. Usługa przestaje wykonywać wszystkie przyszłe cykle do momentu ponownego włączenia aprowizacji.
Członek grupy, który nie jest aprowizacji
Gdy grupa znajduje się w zakresie i element członkowski jest poza zakresem, grupa zostanie aprowizowana. Użytkownik poza zakresem nie zostanie aprowizowany. Jeśli członek wróci do zakresu, usługa nie wykryje natychmiast zmiany. Ponowne uruchamianie aprowizacji rozwiązuje ten problem. Okresowo ponownie uruchamiaj usługę, aby upewnić się, że wszyscy użytkownicy są prawidłowo aprowizowani.
Czytelnik globalny
Rola Czytelnik globalny nie może odczytać konfiguracji aprowizacji. Utwórz rolę niestandardową z microsoft.directory/applications/synchronization/standard/read
uprawnieniem, aby odczytać konfigurację aprowizacji z centrum administracyjnego firmy Microsoft Entra.
Microsoft Azure Government Cloud
Poświadczenia, w tym token tajny, wiadomość e-mail z powiadomieniem i wiadomości e-mail z powiadomieniem o certyfikacie logowania jednokrotnego, mają limit 1 KB w chmurze Microsoft Azure Government Cloud.
Aprowizowanie aplikacji lokalnych
Poniższe informacje to bieżąca lista znanych ograniczeń dotyczących hostów Połączenie or firmy Microsoft i aprowizacji aplikacji lokalnych.
Aplikacje i katalogi
Następujące aplikacje i katalogi nie są jeszcze obsługiwane.
domena usługi Active Directory Services (zapisywanie zwrotne użytkowników lub grup z usługi Microsoft Entra ID przy użyciu lokalnej wersji zapoznawczej aprowizacji)
- Gdy użytkownik jest zarządzany przez firmę Microsoft Entra Połączenie, źródłem urzędu jest lokalna usługa Active Directory usługi Domain Services. Nie można więc zmienić atrybutów użytkownika w identyfikatorze Entra firmy Microsoft. Ta wersja zapoznawcza nie zmienia źródła urzędu dla użytkowników zarządzanych przez firmę Microsoft Entra Połączenie.
- Próba użycia usługi Microsoft Entra Połączenie i lokalnej aprowizacji grup lub użytkowników w usługach domena usługi Active Directory może prowadzić do utworzenia pętli, w której firma Microsoft Entra Połączenie może zastąpić zmianę wprowadzoną przez usługę aprowizacji w chmurze. Firma Microsoft pracuje nad dedykowaną funkcją zapisywania zwrotnego grup lub użytkowników. Prześlij opinię na temat usługi UserVoice w tej witrynie internetowej , aby śledzić stan wersji zapoznawczej. Alternatywnie możesz użyć programu Microsoft Identity Manager do zapisywania zwrotnego użytkowników lub grup z identyfikatora Entra firmy Microsoft do usługi Active Directory.
Microsoft Entra ID
Korzystając z lokalnej aprowizacji, możesz pobrać użytkownika już w usłudze Microsoft Entra ID i aprowizować je w aplikacji innej firmy. Nie można przenieść użytkownika do katalogu z aplikacji innej firmy. Klienci będą musieli polegać na naszych natywnych integracjach kadrowych, Microsoft Entra Połączenie, Microsoft Identity Manager lub Microsoft Graph, aby umożliwić użytkownikom przejście do katalogu.
Atrybuty i obiekty
Następujące atrybuty i obiekty nie są obsługiwane:
- Atrybuty wielowartościowe.
- Atrybuty odwołania (na przykład menedżer).
- Grupy.
- Złożone kotwice (na przykład ObjectTypeName+UserName).
- Atrybuty, które mają znaki, takie jak "." lub "["
- Atrybuty binarne.
- Aplikacje lokalne czasami nie są sfederowane z identyfikatorem Entra firmy Microsoft i wymagają haseł lokalnych. Lokalna wersja zapoznawcza aprowizacji nie obsługuje synchronizacji haseł. Obsługiwana jest aprowizacja początkowych haseł jednorazowych. Upewnij się, że używasz funkcji Redact do redagowania haseł z dzienników. W łącznikach SQL i LDAP hasła nie są eksportowane podczas początkowego wywołania aplikacji, ale raczej drugie wywołanie z ustawionym hasłem.
certyfikaty SSL
Host usługi Microsoft Entra ECMA Połączenie or obecnie wymaga, aby certyfikat SSL był zaufany przez platformę Azure lub agenta aprowizacji do użycia. Podmiot certyfikatu musi być zgodny z nazwą hosta, na którym jest zainstalowany host usługi Microsoft Entra ECMA Połączenie or.
Atrybuty kotwicy
Host usługi Microsoft Entra ECMA Połączenie or obecnie nie obsługuje zmian atrybutów kotwicy (zmian nazw) ani systemów docelowych, które wymagają wielu atrybutów do utworzenia kotwicy.
Odnajdywanie i mapowanie atrybutów
Atrybuty obsługiwane przez aplikację docelową są odnajdywane i udostępniane w centrum administracyjnym firmy Microsoft Entra w obszarze Mapowania atrybutów. Nowo dodane atrybuty będą nadal odnajdywane. Jeśli typ atrybutu uległ zmianie, na przykład ciąg na wartość logiczną, a atrybut jest częścią mapowań, typ nie zmieni się automatycznie w centrum administracyjnym firmy Microsoft Entra. Klienci będą musieli przejść do ustawień zaawansowanych w mapowaniach i ręcznie zaktualizować typ atrybutu.
Agent aprowizacji
- Agent nie obsługuje obecnie automatycznej aktualizacji scenariusza aprowizacji aplikacji lokalnych. Aktywnie pracujemy nad zamknięciem tej luki i upewnieniem się, że automatyczna aktualizacja jest domyślnie włączona i wymagana dla wszystkich klientów.
- Tego samego agenta aprowizacji nie można używać do aprowizacji aplikacji lokalnych i synchronizacji w chmurze/aprowizacji opartej na hr.