Udostępnij za pośrednictwem


Znane problemy z aprowizowaniem w identyfikatorze Entra firmy Microsoft

W tym artykule omówiono znane problemy, które należy wziąć pod uwagę podczas pracy z aprowizowaniem aplikacji lub synchronizacją między dzierżawami. Aby przekazać opinię na temat usługi aprowizacji aplikacji w usłudze UserVoice, zobacz Microsoft Entra application provision UserVoice (Aprowizowanie aplikacji w usłudze UserVoice firmy Microsoft). Uważnie obserwujemy usługę UserVoice, abyśmy mogli ulepszyć usługę.

Uwaga

Ten artykuł nie jest kompleksową listą znanych problemów. Jeśli znasz problem, który nie znajduje się na liście, prześlij opinię w dolnej części strony.

Synchronizacja między dzierżawami

Nieobsługiwane scenariusze synchronizacji

  • Synchronizowanie grup, urządzeń i kontaktów z inną dzierżawą
  • Synchronizowanie użytkowników w chmurach
  • Synchronizowanie zdjęć między dzierżawami
  • Synchronizowanie kontaktów i konwertowanie kontaktów na użytkowników B2B
  • Synchronizowanie sal konferencyjnych między dzierżawami

Aktualizowanie adresów proxy

ProxyAddresses to właściwość tylko do odczytu w programie Microsoft Graph. Można go dołączyć jako atrybut źródłowy w mapowaniach, ale nie można go ustawić jako atrybut docelowy.

Aprowizowanie użytkowników

Nie można aprowizować użytkownika zewnętrznego ze źródłowej dzierżawy (macierzystej) w innej dzierżawie. Wewnętrzni użytkownicy-goście z dzierżawy źródłowej nie mogą być aprowizowani w innej dzierżawie. Do dzierżawy docelowej można aprowizować tylko użytkowników wewnętrznych z dzierżawy źródłowej. Aby uzyskać więcej informacji, zobacz Właściwości użytkownika współpracy B2B firmy Microsoft.

Ponadto nie można zsynchronizować użytkowników z włączoną obsługą logowania sms za pośrednictwem synchronizacji między dzierżawami.

Aktualizowanie właściwości showInAddressList kończy się niepowodzeniem

W przypadku istniejących użytkowników współpracy B2B atrybut showInAddressList zostanie zaktualizowany tak długo, jak użytkownik współpracy B2B nie ma włączonej skrzynki pocztowej w dzierżawie docelowej. Jeśli skrzynka pocztowa jest włączona w dzierżawie docelowej, użyj polecenia cmdlet Set-MailUser programu PowerShell, aby ustawić właściwość HiddenFromAddressListsEnabled na wartość $false.

Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false

Gdzie [GuestUserUPN] to obliczona nazwa UserPrincipalName. Przykład:

Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false

Aby uzyskać więcej informacji, zobacz Artykuł About the Exchange Online PowerShell module (Informacje o module programu PowerShell usługi Exchange Online).

Konfigurowanie synchronizacji z dzierżawy docelowej

Konfigurowanie synchronizacji z dzierżawy docelowej nie jest obsługiwane. Wszystkie konfiguracje należy wykonać w dzierżawie źródłowej. Należy pamiętać, że administrator docelowy może w dowolnym momencie wyłączyć synchronizację między dzierżawami.

Dwóch użytkowników w dzierżawie źródłowej jest dopasowanych do tego samego użytkownika w dzierżawie docelowej

Gdy dwóch użytkowników w dzierżawie źródłowej ma tę samą pocztę i obaj muszą zostać utworzeni w dzierżawie docelowej, jeden użytkownik zostanie utworzony w obiekcie docelowym i połączony z dwoma użytkownikami w źródle. Upewnij się, że atrybut poczty nie jest udostępniany użytkownikom w dzierżawie źródłowej. Ponadto upewnij się, że poczta użytkownika w dzierżawie źródłowej pochodzi z zweryfikowanej domeny. Użytkownik zewnętrzny nie zostanie pomyślnie utworzony, jeśli wiadomość e-mail pochodzi z domeny niezweryfikowanej.

Użycie współpracy między dzierżawami firmy Microsoft Entra B2B

Autoryzacja

Nie można zmienić trybu aprowizacji z powrotem do ręcznego

Po skonfigurowaniu aprowizacji po raz pierwszy zauważysz, że tryb aprowizacji został przełączony z ręcznego na automatyczny. Nie możesz co z powrotem zmienić na ręczną. Możesz natomiast wyłączyć aprowizowanie za pomocą interfejsu użytkownika. Wyłączenie aprowizowania w interfejsie użytkownika działa tak samo jak wybranie aprowizowania ręcznego na liście rozwijanej.

Mapowania atrybutów

Atrybut SamAccountName lub userType nie jest dostępny jako atrybut źródłowy

Atrybuty SamAccountName i userType nie są domyślnie dostępne jako atrybut źródłowy. Rozszerz schemat, aby dodać atrybuty. Atrybuty można dodać do listy dostępnych atrybutów źródłowych, rozszerzając schemat. Aby dowiedzieć się więcej, zobacz Brak atrybutu źródłowego.

Brak listy rozwijanej atrybutu źródłowego dla rozszerzenia schematu

Czasami brakuje rozszerzeń schematu z listy rozwijanej atrybutu źródłowego w interfejsie użytkownika. Przejdź do ustawień zaawansowanych mapowań atrybutów i ręcznie dodaj atrybuty. Aby dowiedzieć się więcej, zobacz Dostosowywanie mapowań atrybutów.

Nie można aprowizować atrybutu o wartości null

Identyfikator Entra firmy Microsoft obecnie nie może aprowizować atrybutów null. Jeśli atrybut ma wartość null w obiekcie użytkownika, zostanie pominięty.

Maksymalna liczba znaków w wyrażeniach mapowania atrybutów

Wyrażenia mapowania atrybutów mogą mieć maksymalnie 10 000 znaków.

Nieobsługiwane filtry określania zakresu

Atrybuty appRoleAssignments, userType, manager i date-type (na przykład StatusHireDate, startDate, endDate, StatusTerminationDate, accountExpires) nie są obsługiwane jako filtry określania zakresu.

Atrybuty OtherMails nie powinny być uwzględniane w mapowaniach atrybutów jako atrybut docelowy

Właściwość otherMails jest automatycznie obliczana w dzierżawie docelowej. Zmiany obiektu użytkownika wprowadzone bezpośrednio w dzierżawie docelowej mogą spowodować zaktualizowanie właściwości otherMails i zastąpienie wartości ustawionej przez synchronizację między dzierżawami. W związku z tym inneMails nie powinny być uwzględniane w mapowaniach atrybutów synchronizacji między dzierżawami jako atrybut docelowy.

Rozszerzenia katalogów wielowartościowych

Rozszerzenia katalogów wielowartościowych nie mogą być używane w mapowaniach atrybutów ani filtrach określania zakresu.

Problemy z usługami

Nieobsługiwane scenariusze

  • Aprowizowanie haseł nie jest obsługiwane.
  • Aprowizowanie zagnieżdżonych grup nie jest obsługiwane.
  • Aprowizowanie dzierżaw B2C nie jest obsługiwane z powodu rozmiaru dzierżaw.
  • Nie wszystkie aplikacje aprowizacji są dostępne we wszystkich chmurach. Na przykład usługa Atlassian nie jest jeszcze dostępna w chmurze dla instytucji rządowych. Pracujemy z deweloperami aplikacji, aby dołączyć swoje aplikacje do wszystkich chmur.

Automatyczna aprowizacja nie jest dostępna w mojej aplikacji opartej na protokole OIDC

Jeśli tworzysz rejestrację aplikacji, odpowiednia jednostka usługi w aplikacjach dla przedsiębiorstw nie będzie włączona na potrzeby automatycznej aprowizacji użytkowników. Musisz zażądać dodania aplikacji do galerii, jeśli jest przeznaczona do użytku przez wiele organizacji, lub utworzyć drugą aplikację spoza galerii na potrzeby aprowizacji.

Menedżer nie jest aprowizowany

Jeśli użytkownik i ich menedżer znajdują się w zakresie aprowizacji, usługa aprowizuje użytkownika, a następnie aktualizuje menedżera. Jeśli pierwszego dnia użytkownik znajduje się w zakresie, a menedżer jest poza zakresem, aprowizujemy użytkownika bez odwołania do menedżera. Gdy menedżer wejdzie w zakres, odwołanie do menedżera nie zostanie zaktualizowane do momentu ponownego uruchomienia aprowizacji i ponownego oceny usługi wszystkich użytkowników.

Interwał aprowizacji jest stały

Czas między cyklami aprowizacji nie jest obecnie konfigurowalny.

Zmiany nie są przenoszone z aplikacji docelowej do identyfikatora Entra firmy Microsoft

Usługa aprowizacji aplikacji nie jest świadoma zmian wprowadzonych w aplikacjach zewnętrznych. Dlatego żadne działania nie są podejmowane w celu wycofania. Usługa aprowizacji aplikacji opiera się na zmianach wprowadzonych w identyfikatorze Entra firmy Microsoft.

Przełączanie z synchronizacji wszystkie do przypisanej synchronizacji nie działa

Po zmianie zakresu z Synchronizuj wszystkie na Przypisano synchronizację upewnij się, że wykonasz również ponowne uruchomienie, aby upewnić się, że zmiana zostanie w życie. Ponowne uruchomienie można wykonać z poziomu interfejsu użytkownika.

Cykl aprowizacji będzie kontynuowany do momentu ukończenia

Po ustawieniu aprowizacji na enabled = off lub wybraniu pozycji Zatrzymaj bieżący cykl aprowizacji będzie kontynuowany do momentu ukończenia. Usługa przestaje wykonywać wszystkie przyszłe cykle do momentu ponownego włączenia aprowizacji.

Członek grupy, który nie jest aprowizacji

Gdy grupa znajduje się w zakresie i element członkowski jest poza zakresem, grupa zostanie aprowizowana. Użytkownik poza zakresem nie zostanie aprowizowany. Jeśli członek wróci do zakresu, usługa nie wykryje natychmiast zmiany. Ponowne uruchamianie aprowizacji rozwiązuje ten problem. Okresowo ponownie uruchamiaj usługę, aby upewnić się, że wszyscy użytkownicy są prawidłowo aprowizowani.

Czytelnik globalny

Rola Czytelnik globalny nie może odczytać konfiguracji aprowizacji. Utwórz rolę niestandardową z microsoft.directory/applications/synchronization/standard/read uprawnieniem, aby odczytać konfigurację aprowizacji z centrum administracyjnego firmy Microsoft Entra.

Microsoft Azure Government Cloud

Poświadczenia, w tym token tajny, wiadomość e-mail z powiadomieniem i wiadomości e-mail z powiadomieniem o certyfikacie logowania jednokrotnego, mają limit 1 KB w chmurze Microsoft Azure Government Cloud.

Aprowizowanie aplikacji lokalnych

Jest to bieżąca lista znanych ograniczeń dotyczących hostów Połączenie or firmy Microsoft i aprowizacji aplikacji lokalnych firmy Microsoft w usłudze Entra ECMA.

Aplikacje i katalogi

Następujące aplikacje i katalogi nie są jeszcze obsługiwane.

domena usługi Active Directory Services (zapisywanie zwrotne użytkowników lub grup z usługi Microsoft Entra ID przy użyciu lokalnej wersji zapoznawczej aprowizacji)

  • Gdy użytkownik jest zarządzany przez firmę Microsoft Entra Połączenie, źródłem urzędu jest lokalna usługa Active Directory usługi Domain Services. Nie można więc zmienić atrybutów użytkownika w identyfikatorze Entra firmy Microsoft. Ta wersja zapoznawcza nie zmienia źródła urzędu dla użytkowników zarządzanych przez firmę Microsoft Entra Połączenie.
  • Próba użycia usługi Microsoft Entra Połączenie i lokalnej aprowizacji grup lub użytkowników w usługach domena usługi Active Directory może prowadzić do utworzenia pętli, w której firma Microsoft Entra Połączenie może zastąpić zmianę wprowadzoną przez usługę aprowizacji w chmurze. Firma Microsoft pracuje nad dedykowaną funkcją zapisywania zwrotnego grup lub użytkowników. Prześlij opinię na temat usługi UserVoice w tej witrynie internetowej , aby śledzić stan wersji zapoznawczej. Alternatywnie możesz użyć programu Microsoft Identity Manager do zapisywania zwrotnego użytkowników lub grup z identyfikatora Entra firmy Microsoft do usługi Active Directory.

Microsoft Entra ID

Korzystając z lokalnej aprowizacji, możesz pobrać użytkownika już w usłudze Microsoft Entra ID i aprowizować je w aplikacji innej firmy. Nie można przenieść użytkownika do katalogu z aplikacji innej firmy. Klienci będą musieli polegać na naszych natywnych integracjach kadrowych, Microsoft Entra Połączenie, Microsoft Identity Manager lub Microsoft Graph, aby umożliwić użytkownikom przejście do katalogu.

Atrybuty i obiekty

Następujące atrybuty i obiekty nie są obsługiwane:

  • Atrybuty wielowartościowe.
  • Atrybuty odwołania (na przykład menedżer).
  • Grupy.
  • Złożone kotwice (na przykład ObjectTypeName+UserName).
  • Atrybuty, które mają znaki, takie jak "." lub "["
  • Atrybuty binarne.
  • Aplikacje lokalne czasami nie są sfederowane z identyfikatorem Entra firmy Microsoft i wymagają haseł lokalnych. Lokalna wersja zapoznawcza aprowizacji nie obsługuje synchronizacji haseł. Obsługiwana jest aprowizacja początkowych haseł jednorazowych. Upewnij się, że używasz funkcji Redact do redagowania haseł z dzienników. W łącznikach SQL i LDAP hasła nie są eksportowane podczas początkowego wywołania aplikacji, ale raczej drugie wywołanie z ustawionym hasłem.

certyfikaty SSL

Host usługi Microsoft Entra ECMA Połączenie or obecnie wymaga, aby certyfikat SSL był zaufany przez platformę Azure lub agenta aprowizacji do użycia. Podmiot certyfikatu musi być zgodny z nazwą hosta, na którym jest zainstalowany host usługi Microsoft Entra ECMA Połączenie or.

Atrybuty kotwicy

Host usługi Microsoft Entra ECMA Połączenie or obecnie nie obsługuje zmian atrybutów kotwicy (zmian nazw) ani systemów docelowych, które wymagają wielu atrybutów do utworzenia kotwicy.

Odnajdywanie i mapowanie atrybutów

Atrybuty obsługiwane przez aplikację docelową są odnajdywane i udostępniane w centrum administracyjnym firmy Microsoft Entra w obszarze Mapowania atrybutów. Nowo dodane atrybuty będą nadal odnajdywane. Jeśli typ atrybutu uległ zmianie, na przykład ciąg na wartość logiczną, a atrybut jest częścią mapowań, typ nie zmieni się automatycznie w centrum administracyjnym firmy Microsoft Entra. Klienci będą musieli przejść do ustawień zaawansowanych w mapowaniach i ręcznie zaktualizować typ atrybutu.

Agent aprowizacji

  • Agent nie obsługuje obecnie automatycznej aktualizacji scenariusza aprowizacji aplikacji lokalnych. Aktywnie pracujemy nad zamknięciem tej luki i upewnieniem się, że automatyczna aktualizacja jest domyślnie włączona i wymagana dla wszystkich klientów.
  • Tego samego agenta aprowizacji nie można używać do aprowizacji aplikacji lokalnych i synchronizacji w chmurze/aprowizacji opartej na hr.

Następne kroki

Jak działa aprowizacja