Известные проблемы для подготовки в идентификаторе Microsoft Entra

В этой статье рассматриваются известные проблемы, которые следует учитывать при работе с подготовкой приложений или синхронизацией между клиентами. Чтобы предоставить отзыв о службе подготовки приложений в UserVoice, см. статью о подготовке приложений Microsoft Entra UserVoice. Мы внимательно следим за отзывами на UserVoice, чтобы улучшить службу.

Примечание.

В этой статье приведен не полный список известных проблем. Если вы знаете о проблеме, которой нет в списке, оставьте отзыв, нажав соответствующую кнопку в нижней части страницы.

Синхронизация клиентов

Неподдерживаемые сценарии синхронизации

• Синхронизация групп, устройств и контактов с другим клиентом
• Синхронизация пользователей в облаках
• Синхронизация фотографий между клиентами
• Синхронизация контактов и преобразование контактов в пользователей B2B
• Синхронизация комнат собраний между клиентами

Обновление proxyAddresses

ProxyAddresses — это свойство только для чтения в Microsoft Graph. Его можно включить в качестве исходного атрибута в сопоставления, но его нельзя задать в качестве целевого атрибута.

Подготовка пользователей

Внешний пользователь из исходного (домашнего) клиента не может быть подготовлен в другой клиент. Внутренние гостевые пользователи из исходного клиента не могут быть подготовлены в другой клиент. В целевой клиент можно подготовить только внутренних пользователей из исходного клиента. Дополнительные сведения см. в разделе "Свойства пользователя совместной работы Microsoft Entra B2B".

Кроме того, пользователи, которые включены для входа в SMS, не могут быть синхронизированы с помощью синхронизации между клиентами.

Обновление свойства showInAddressList завершается ошибкой

Для существующих пользователей совместной работы B2B атрибут showInAddressList будет обновлен, если у пользователя совместной работы B2B нет почтового ящика в целевом клиенте. Если почтовый ящик включен в целевом клиенте, используйте командлет Set-MailUser PowerShell, чтобы задать для свойства HiddenFromAddressListsEnabled значение $false.

Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false

Здесь [GuestUserUPN] — это вычисляемое значение UserPrincipalName. Пример:

Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false

Дополнительные сведения см. в разделе "Сведения о модуле Exchange Online PowerShell".

Настройка синхронизации из целевого клиента

Настройка синхронизации из целевого клиента не поддерживается. Все конфигурации должны выполняться в исходном клиенте. Обратите внимание, что целевой администратор может отключить синхронизацию между клиентами в любое время.

Два пользователя в исходном клиенте, сопоставленные с тем же пользователем в целевом клиенте

Если два пользователя в исходном клиенте имеют одинаковую почту, и они оба должны быть созданы в целевом клиенте, один пользователь будет создан в целевом объекте и связан с двумя пользователями в источнике. Убедитесь, что атрибут почты не является общим для пользователей в исходном клиенте. Кроме того, убедитесь, что почта пользователя в исходном клиенте находится из проверенного домена. Внешний пользователь не будет успешно создан, если почта находится из непроверенного домена.

Использование совместной работы Microsoft Entra B2B для доступа между клиентами

• Пользователи B2B не могут управлять определенными службами Microsoft 365 в удаленных клиентах (например, Exchange Online), так как нет средства выбора каталогов.
• Дополнительные сведения о поддержке виртуального рабочего стола Azure для пользователей B2B см. в статье "Предварительные требования для виртуального рабочего стола Azure".
• Сведения о последнем состоянии поддержки Power BI для внешних пользователей-участников см. в статье Распространение содержимого Power BI внешним гостевым пользователям с помощью Microsoft Entra B2B

Авторизация

Не удается изменить режим подготовки на ручной

После первой настройки подготовки вы заметите, что режим подготовки был переключен с ручного на автоматический. И изменить его обратно на ручной нельзя. Вы можете отключить подготовку через пользовательский интерфейс. Это позволит успешно включить ручной режим для подготовки.

Сопоставления атрибутов

Атрибут SamAccountName или userType недоступен в качестве исходного атрибута

Атрибуты SamAccountName и userType недоступны в качестве исходных по умолчанию. Расширьте схему, чтобы добавить атрибуты. Это позволит добавлять атрибуты в список доступных исходных атрибутов. Дополнительные сведения см. в статье Отсутствующий исходный атрибут.

В раскрывающемся списке исходных атрибутов нет расширения схемы

Иногда расширения схемы могут отсутствовать в раскрывающемся списке исходных атрибутов в пользовательском интерфейсе. Перейдите в раздел дополнительных параметров сопоставления атрибутов и вручную добавьте атрибуты. Дополнительные сведения см. в статье Настройка сопоставлений атрибутов.

Не удается подготовить атрибут NULL

Идентификатор Microsoft Entra в настоящее время не может подготавливать пустые атрибуты. Если в объекте пользователя атрибут имеет значение NULL, он будет пропущен.

Максимальное число символов для выражений сопоставления атрибутов

Выражение сопоставления атрибутов может содержать не более 10 000 символов.

Неподдерживаемые фильтры области

Атрибуты appRoleAssignments, userType и accountExpires не поддерживаются в качестве фильтров области.

OtherMails не следует включать в сопоставления атрибутов в качестве целевого атрибута.

Свойство otherMails автоматически вычисляется в целевом клиенте. Изменения пользовательского объекта, сделанные непосредственно в целевом клиенте, могут привести к обновлению и переопределении значения, заданного синхронизацией между клиентами. В результате другие почты не должны включаться в сопоставления атрибутов синхронизации между клиентами в качестве целевого атрибута.

Расширения каталогов с несколькими значениями

Расширения каталогов с несколькими значениями нельзя использовать в сопоставлениях атрибутов или фильтрах области.

Проблемы службы

Неподдерживаемые сценарии

• Подготовка паролей не поддерживается.
• Подготовка вложенных групп не поддерживается.
• Подготовка для клиентов B2C не поддерживается из-за размера клиентов.
• Некоторые приложения подготовки недоступны в определенных облаках. Например, приложение Atlassian пока недоступно в облаке для государственных организаций. Мы работаем с разработчиками приложений над адаптацией их приложений ко всем облакам.

Автоматическая подготовка недоступна в моем приложении на основе OIDC

Если вы создали механизм регистрации приложений, соответствующий субъект-служба в корпоративных приложениях не будет доступен для автоматической подготовки пользователей. Необходимо либо запросить добавление приложения в коллекцию, если оно предназначено для использования несколькими организациями, либо создать второе приложение для подготовки без добавления в коллекцию.

Диспетчер не подготовлен

Если пользователь и его диспетчер находятся в области для подготовки, служба выполнит подготовку пользователя и обновит диспетчер. Однако, если пользователь находится в области, а диспетчер находится вне области, выполняется подготовка пользователя без ссылки на диспетчер. Когда диспетчер попадает в область, ссылка на него не обновляется, пока вы не перезапустите подготовку и не выполните повторную оценку всех пользователей с помощью службы.

Фиксированный интервал подготовки

Время между циклами подготовки в настоящее время настроить нельзя.

Изменения, не переходящие с целевого приложения на идентификатор Microsoft Entra

Служба подготовки приложений не учитывает изменения, внесенные во внешние приложения. Поэтому никакие действия для отката не выполняются. Служба подготовки приложений зависит от изменений, внесенных в идентификатор Microsoft Entra.

Переключение с "Синхронизировать все" на "Sync Assigned" (Синхронизировать назначенные) не выполняется

После изменения области с Синхронизировать все на Sync Assigned (Синхронизировать назначенные) необходимо также выполнить перезапуск, чтобы убедиться, что изменение вступило в силу. Перезапуск можно выполнить из пользовательского интерфейса.

Цикл подготовки продолжается до завершения

Если для подготовки указать параметр enabled = off или нажать кнопку остановки, текущий цикл подготовки продолжит выполняться до завершения. Служба продолжит выполнение всех будущих циклов только после включения подготовки.

Член группы не подготовлен

Если группа находится в области действия, а член — за ее пределами, группа будет подготовлена. А пользователь вне области не будет подготовлен. При возвращении члена в область изменение не будет немедленно обнаружено. Для устранения проблемы необходимо перезапустить подготовку. Рекомендуется периодически перезапускать службу, чтобы обеспечить правильную подготовку всех пользователей.

Глобальный читатель

Роль глобального читателя не может считывать конфигурацию подготовки. Создайте пользовательскую роль с microsoft.directory/applications/synchronization/standard/read разрешением для чтения конфигурации подготовки из Центра администрирования Microsoft Entra.

Microsoft Azure для государственных организаций Cloud

Учетные данные, включая секретный маркер, электронную почту уведомлений и уведомления о сертификате единого входа, вместе имеют ограничение 1 КБ в Microsoft Azure для государственных организаций Cloud.

Локальная подготовка приложения

Ниже приведен список известных ограничений с Подключение узла Подключение ора Microsoft Entra ECMA и подготовкой локальных приложений.

Приложения и каталоги

Следующие приложения и каталоги пока не поддерживаются.

службы домен Active Directory (обратная запись пользователей или групп из идентификатора Microsoft Entra с помощью предварительной версии локальной подготовки)

• Когда пользователь управляется Microsoft Entra Подключение, источник центра локальная служба Active Directory доменных служб. Таким образом, атрибуты пользователей не могут быть изменены в идентификаторе Microsoft Entra. Эта предварительная версия не изменяет источник центра для пользователей, управляемых Microsoft Entra Подключение.
• Попытка использования Microsoft Entra Подключение и локальной подготовки для подготовки групп или пользователей в службы домен Active Directory может привести к созданию цикла, в котором Microsoft Entra Подключение может перезаписать изменения, внесенные службой подготовки в облаке. Корпорация Microsoft работает над созданием отдельной функции обратной записи групп или пользователей. Голосуйте за отзывы UserVoice на этом веб-сайте и отслеживайте статус предварительной версии. Кроме того, можно использовать Microsoft Identity Manager для обратной записи пользователей или групп из идентификатора Microsoft Entra в Active Directory.

Microsoft Entra ID

Используя локальную подготовку, вы можете принять пользователя в идентификаторе Microsoft Entra и подготовить их в стороннем приложении. Вы не можете добавить пользователя к каталогу из стороннего приложения. Клиентам потребуется использовать собственные интеграции кадров, Microsoft Entra Подключение, Microsoft Identity Manager или Microsoft Graph, чтобы перенести пользователей в каталог.

Атрибуты и объекты

Следующие атрибуты и объекты не поддерживаются:

• Атрибуты с несколькими значениями.
• Ссылочные атрибуты (например, manager).
• Группы.
• Сложные привязки (например, ObjectTypeName+UserName).
• Атрибуты, имеющие такие символы, как "." или "["
• Двоичные атрибуты.
• Локальные приложения иногда не федеративны с идентификатором Microsoft Entra и требуют локальных паролей. Предварительная версия подготовки в локальной среде не поддерживает синхронизацию паролей. Поддерживается подготовка начальных одноразовых паролей. Убедитесь, что функция Redact используется для редактирования паролей из журналов. В соединителях SQL и LDAP пароли не экспортируются при первоначальном вызове приложения, а вместо второго вызова с заданным паролем.

Сертификаты SSL

В настоящее время узел ecma microsoft Entra ECMA Подключение or требует, чтобы ssl-сертификат был доверенным в Azure или агентом подготовки. Субъект сертификата должен соответствовать имени узла, на котором установлен узел microsoft Entra ECMA Подключение or Host.

Атрибуты привязки

В настоящее время узел Подключение or Host microsoft Entra ECMA не поддерживает изменения атрибутов привязки (переименования) или целевых систем, для которых требуется несколько атрибутов для формирования привязки.

Обнаружение и сопоставление атрибутов

Атрибуты, поддерживаемые целевым приложением, обнаруживаются и отображаются в Центре администрирования Microsoft Entra в сопоставлениях атрибутов. Для вновь добавленных атрибутов по-прежнему будет выполняться обнаружение. Если тип атрибута изменился, например, строка на логическое значение, а атрибут является частью сопоставлений, тип не изменится автоматически в Центре администрирования Microsoft Entra. Клиентам потребуется перейти в раздел дополнительных параметров сопоставлений и вручную обновить тип атрибута.

Агент подготовки

• В настоящее время агент не поддерживает автоматическое обновление для сценария подготовки локальных приложений. Мы активно работаем над закрытием этого разрыва и убедитесь, что автоматическое обновление включено по умолчанию и требуется для всех клиентов.
• Тот же агент подготовки нельзя использовать для подготовки локальных приложений и облачной синхронизации или подготовки на основе кадров.

Следующие шаги

Как работает подготовка