Problemas conhecidos de provisionamento no Microsoft Entra ID

Este artigo discute problemas conhecidos a serem observados quando você trabalha com provisionamento de aplicativos ou sincronização entre locatários. Para fornecer comentários sobre o serviço de provisionamento de aplicativos no UserVoice, consulte Microsoft Entra application provision UserVoice. Observamos o UserVoice de perto para que possamos melhorar o serviço.

Nota

Este artigo não é uma lista abrangente de problemas conhecidos. Se souber de um problema que não está listado, forneça comentários na parte inferior da página.

Sincronização entre inquilinos

Cenários de sincronização sem suporte

• Sincronizando grupos, dispositivos e contatos em outro locatário
• Sincronizando usuários entre nuvens
• Sincronizando fotos entre locatários
• Sincronizando contatos e convertendo contatos em usuários B2B
• Sincronização de salas de reuniões entre inquilinos

Atualizando proxyAddresses

ProxyAddresses é uma propriedade somente leitura no Microsoft Graph. Ele pode ser incluído como um atributo de origem em seus mapeamentos, mas não pode ser definido como um atributo de destino.

Microsoft Stream

Usuários externos/B2B do tipo member criado pela sincronização entre locatários podem ser adicionados a um canal compartilhado no Microsoft Teams. No entanto, os usuários membros externos criados fora da sincronização entre locatários não podem ser adicionados a um canal compartilhado do Teams.

Provisionamento de usuários

Um usuário externo do locatário de origem (doméstico) não pode ser provisionado em outro locatário. Os usuários convidados internos do locatário de origem não podem ser provisionados em outro locatário. Somente os usuários membros internos do locatário de origem podem ser provisionados no locatário de destino. Para obter mais informações, consulte Propriedades de um usuário de colaboração B2B do Microsoft Entra.

Além disso, os usuários habilitados para entrada por SMS não podem ser sincronizados por meio da sincronização entre locatários.

Falha ao atualizar a propriedade showInAddressList

Para usuários de colaboração B2B existentes, o atributo showInAddressList será atualizado desde que o usuário de colaboração B2B não tenha uma caixa de correio habilitada no locatário de destino. Se a caixa de correio estiver habilitada no locatário de destino, use o cmdlet Set-MailUser PowerShell para definir a propriedade HiddenFromAddressListsEnabled como um valor de $false.

Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false

Onde [GuestUserUPN] é o UserPrincipalName calculado. Exemplo:

Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false

Para obter mais informações, consulte Sobre o módulo PowerShell do Exchange Online.

Configurando a sincronização do locatário de destino

Não há suporte para a configuração da sincronização a partir do locatário de destino. Todas as configurações devem ser feitas no locatário de origem. Observe que o administrador de destino pode desativar a sincronização entre locatários a qualquer momento.

Dois usuários no locatário de origem corresponderam ao mesmo usuário no locatário de destino

Quando dois usuários no locatário de origem tiverem o mesmo email e ambos precisarem ser criados no locatário de destino, um usuário será criado no destino e vinculado aos dois usuários na origem. Certifique-se de que o atributo mail não seja compartilhado entre usuários no locatário de origem. Além disso, certifique-se de que o e-mail do usuário no locatário de origem é de um domínio verificado. O usuário externo não será criado com êxito se o email for de um domínio não verificado.

Uso da colaboração B2B do Microsoft Entra para acesso entre locatários

• Os usuários B2B não conseguem gerenciar determinados serviços do Microsoft 365 em locatários remotos (como o Exchange Online), pois não há seletor de diretórios.
• Para saber mais sobre o suporte da Área de Trabalho Virtual do Azure para usuários B2B, consulte Pré-requisitos para a Área de Trabalho Virtual do Azure.
• Para obter o status mais recente sobre o suporte do Power BI para usuários membros externos, consulte Distribuir conteúdo do Power BI para usuários convidados externos com o Microsoft Entra B2B

Autorização

Não é possível alterar o modo de provisionamento de volta ao manual

Depois de configurar o provisionamento pela primeira vez, você notará que o modo de provisionamento mudou de manual para automático. Não pode mudá-lo de volta para manual. Contudo, pode desativar o aprovisionamento na IU. A desativação do aprovisionamento na IU tem efetivamente o mesmo resultado do que definir o menu pendente como manual.

Mapeamentos de atributos

Atributo SamAccountName ou userType não disponível como atributo de origem

Os atributos SamAccountName e userType não estão disponíveis como um atributo de origem por padrão. Estenda seu esquema para adicionar os atributos. Você pode adicionar os atributos à lista de atributos de origem disponíveis estendendo seu esquema. Para saber mais, consulte Atributo de origem ausente.

Lista suspensa de atributo de origem ausente para extensão de esquema

Às vezes, as extensões para seu esquema podem estar ausentes da lista suspensa de atributos de origem na interface do usuário. Vá para as configurações avançadas de seus mapeamentos de atributos e adicione manualmente os atributos. Para saber mais, consulte Personalizar mapeamentos de atributos.

O atributo nulo não pode ser provisionado

Microsoft Entra ID atualmente não pode provisionar atributos nulos. Se um atributo for nulo no objeto de usuário, ele será ignorado.

Máximo de caracteres para expressões de mapeamento de atributos

As expressões de mapeamento de atributos podem ter no máximo 10.000 caracteres.

Filtros de escopo não suportados

Os atributos appRoleAssignments, userType e accountExpires não são suportados como filtros de escopo.

OtherMails não deve ser incluído em seus mapeamentos de atributos como um atributo de destino

A propriedade otherMails é calculada automaticamente no locatário de destino. As alterações no objeto de usuário feitas diretamente no locatário de destino podem resultar na atualização da propriedade otherMails e substituir o valor definido pela sincronização entre locatários. Como resultado, otherMails não deve ser incluído em seus mapeamentos de atributo de sincronização entre locatários como um atributo de destino.

Extensões de diretório de vários valores

As extensões de diretório de vários valores não podem ser usadas em mapeamentos de atributos ou filtros de escopo.

Problemas do serviço

Cenários não suportados

• Não há suporte para o provisionamento de senhas.
• Não há suporte para o provisionamento de grupos aninhados.
• O provisionamento para locatários B2C não é suportado devido ao tamanho dos locatários.
• Nem todos os aplicativos de provisionamento estão disponíveis em todas as nuvens. Por exemplo, o Atlassian ainda não está disponível na nuvem do governo. Estamos a trabalhar com programadores de aplicações para integrar as suas aplicações em todas as nuvens.

O provisionamento automático não está disponível no meu aplicativo baseado em OIDC

Se você criar um registro de aplicativo, a entidade de serviço correspondente em aplicativos corporativos não será habilitada para provisionamento automático de usuários. Você precisará solicitar que o aplicativo seja adicionado à galeria, se destinado ao uso por várias organizações, ou criar um segundo aplicativo que não seja de galeria para provisionamento.

O Manager não está provisionado

Se um usuário e seu gerente estiverem ambos no escopo para provisionamento, o serviço provisionará o usuário e, em seguida, atualizará o gerente. Se no primeiro dia o usuário estiver no escopo e o gerente estiver fora do escopo, provisionaremos o usuário sem a referência do gerente. Quando o gerente entra no escopo, a referência do gerente não será atualizada até que você reinicie o provisionamento e faça com que o serviço reavalie todos os usuários novamente.

O intervalo de provisionamento é fixo

O tempo entre os ciclos de provisionamento não é configurável no momento.

Alterações que não são movidas do aplicativo de destino para o Microsoft Entra ID

O serviço de provisionamento de aplicativos não está ciente das alterações feitas em aplicativos externos. Portanto, nenhuma ação é tomada para reverter. O serviço de provisionamento de aplicativos depende de alterações feitas no Microsoft Entra ID.

Mudar de Sincronizar Tudo para Sincronizar Atribuído não está a funcionar

Depois de alterar o escopo de Sincronizar Tudo para Sincronizar Atribuído, certifique-se de também executar uma reinicialização para garantir que a alteração entre em vigor. Você pode fazer a reinicialização a partir da interface do usuário.

O ciclo de provisionamento continua até a conclusão

Quando você define o provisionamento como enabled = off ou seleciona Parar, o ciclo de provisionamento atual continua em execução até a conclusão. O serviço para de executar quaisquer ciclos futuros até que você ative o provisionamento novamente.

Membro do grupo não provisionado

Quando um grupo está no escopo e um membro está fora do escopo, o grupo será provisionado. O usuário fora do escopo não será provisionado. Se o membro voltar ao escopo, o serviço não detetará imediatamente a alteração. Reiniciar o provisionamento resolve o problema. Reinicie periodicamente o serviço para garantir que todos os usuários sejam provisionados corretamente.

Leitor Global

A função Leitor Global não consegue ler a configuração de provisionamento. Crie uma função personalizada com a microsoft.directory/applications/synchronization/standard/read permissão para ler a configuração de provisionamento do centro de administração do Microsoft Entra.

Nuvem governamental do Microsoft Azure

As credenciais, incluindo o token secreto, o email de notificação e os emails de notificação do certificado SSO juntos têm um limite de 1 KB na Nuvem Governamental do Microsoft Azure.

Provisionamento de aplicativos locais

As informações a seguir são uma lista atual de limitações conhecidas com o Microsoft Entra ECMA Connector Host e o provisionamento de aplicativos locais.

Aplicação e diretórios

Os seguintes aplicativos e diretórios ainda não são suportados.

Serviços de Domínio Ative Directory (write-back de usuário ou grupo da ID do Microsoft Entra usando a visualização de provisionamento local)

• Quando um usuário é gerenciado pelo Microsoft Entra Connect, a fonte de autoridade é os Serviços de Domínio Ative Directory locais. Portanto, os atributos de usuário não podem ser alterados no Microsoft Entra ID. Esta pré-visualização não altera a fonte de autoridade para os utilizadores geridos pelo Microsoft Entra Connect.
• A tentativa de usar o Microsoft Entra Connect e o provisionamento local para provisionar grupos ou usuários nos Serviços de Domínio Ative Directory pode levar à criação de um loop, no qual o Microsoft Entra Connect pode substituir uma alteração feita pelo serviço de provisionamento na nuvem. A Microsoft está trabalhando em um recurso dedicado para write-back de grupo ou usuário. Atualize o feedback do UserVoice neste site para acompanhar o status da visualização. Como alternativa, você pode usar o Microsoft Identity Manager para write-back de usuário ou grupo do Microsoft Entra ID para o Ative Directory.

Microsoft Entra ID

Usando o provisionamento local, você pode pegar um usuário já no Microsoft Entra ID e provisioná-lo em um aplicativo de terceiros. Não é possível trazer um usuário para o diretório a partir de um aplicativo de terceiros. Os clientes precisarão confiar em nossas integrações nativas de RH, Microsoft Entra Connect, Microsoft Identity Manager ou Microsoft Graph, para trazer os usuários para o diretório.

Atributos e objetos

Os seguintes atributos e objetos não são suportados:

• Atributos multivalorados.
• Atributos de referência (por exemplo, gerente).
• Grupos.
• Âncoras complexas (por exemplo, ObjectTypeName+UserName).
• Atributos que têm caracteres como "." ou "["
• Atributos binários.
• Às vezes, os aplicativos locais não são federados com o ID do Microsoft Entra e exigem senhas locais. A visualização de provisionamento local não oferece suporte à sincronização de senha. O provisionamento de senhas únicas iniciais é suportado. Certifique-se de que está a utilizar a função Redact para eliminar as palavras-passe dos registos. Nos conectores SQL e LDAP, as senhas não são exportadas na chamada inicial para o aplicativo, mas sim uma segunda chamada com senha definida.

certificados SSL

Atualmente, o Microsoft Entra ECMA Connector Host requer um certificado SSL confiável pelo Azure ou o agente de provisionamento a ser usado. O assunto do certificado deve corresponder ao nome do host no qual o Microsoft Entra ECMA Connector Host está instalado.

Atributos de âncora

O Microsoft Entra ECMA Connector Host atualmente não suporta alterações de atributo âncora (renomeações) ou sistemas de destino, que exigem vários atributos para formar uma âncora.

Descoberta e mapeamento de atributos

Os atributos suportados pelo aplicativo de destino são descobertos e exibidos no centro de administração do Microsoft Entra em Mapeamentos de Atributos. Os atributos recém-adicionados continuarão a ser descobertos. Se um tipo de atributo tiver sido alterado, por exemplo, string para Booleano, e o atributo fizer parte dos mapeamentos, o tipo não será alterado automaticamente no centro de administração do Microsoft Entra. Os clientes precisarão entrar em configurações avançadas em mapeamentos e atualizar manualmente o tipo de atributo.

Agente de provisionamento

• Atualmente, o agente não oferece suporte à atualização automática para o cenário de provisionamento de aplicativos locais. Estamos trabalhando ativamente para fechar essa lacuna e garantir que a atualização automática seja habilitada por padrão e necessária para todos os clientes.
• O mesmo agente de provisionamento não pode ser usado para provisionamento de aplicativos locais e sincronização na nuvem/provisionamento orientado por RH.

Próximos passos

Como funciona o provisionamento