Подготовка пользователей не выполняется
Примечание.
С 16.04.2020 мы изменили поведение пользователей, которым назначена роль доступа по умолчанию. Дополнительные сведения см. в разделе ниже.
После настройки автоматической подготовки для приложения (включая проверку того, что учетные данные приложения, предоставленные идентификатору Microsoft Entra для подключения к приложению, действительны), пользователи и (или) группы подготавливаются к приложению. Подготовка определяется следующими данными:
- Какие пользователи и группы были назначены приложению. Подготовка вложенных групп не поддерживается. Дополнительные сведения о назначении см. в разделе "Назначение пользователя или группы корпоративному приложению" в идентификаторе Microsoft Entra.
- Включены ли сопоставления атрибутов и настроены для синхронизации допустимых атрибутов из идентификатора Microsoft Entra в приложение. Дополнительные сведения о сопоставлениях атрибутов см. в разделе "Настройка сопоставления атрибутов подготовки пользователей" для приложений SaaS в идентификаторе Microsoft Entra ID.
- Существует ли фильтр области, который фильтрует пользователей на основе определенных значений атрибутов. Дополнительные сведения о фильтрах области см. в статье Подготовка приложений на основе атрибутов с использованием фильтров области.
Если вы видите, что пользователи не подготовлены, обратитесь к журналам подготовки в идентификаторе Microsoft Entra. и найдите в них записи по конкретному пользователю.
Вы можете получить доступ к журналам подготовки в Центре администрирования Microsoft Entra, перейдя в журналы подготовки приложений>Identity>Applications>Enterprise. Вы также можете выбрать определенное приложение, а затем выбрать журналы подготовки в разделе "Действие ". Вы можете произвести поиск данных о предоставлении услуг по имени пользователя или идентификатору в исходной или целевой системе. Дополнительные сведения приведены в статье Журналы подготовки.
Журналы подготовки записывают все операции, выполняемые службой подготовки, включая запрос идентификатора Microsoft Entra для назначенных пользователей, которые находятся в области подготовки, запрашивая целевое приложение для существования этих пользователей, сравнивая объекты пользователей между системой. Затем добавьте, измените или отключите учетную запись пользователя в целевой системе на основе сравнения.
Общие проблемные области при подготовке, которые необходимо учитывать
Ниже приведен список общих проблемных областей, в которые можно углубиться, если у вас есть какие-то идеи.
- Служба подготовки не запускается
- Журналы подготовки свидетельствуют о том, что пользователи пропускаются и не инициализируются, даже если они назначены
Служба подготовки не запускается
Если вы задаете состояние подготовки в разделе подготовки корпоративных приложений > [имя приложения] >подготовки центра администрирования Microsoft Entra. Однако на этой странице нет других сведений о состоянии после последующих перезагрузок, скорее всего, служба запущена, но еще не завершила начальный цикл. Проверьте журналы подготовки, как описано выше, чтобы определить, какие операции выполняет служба и не возникают ли ошибки.
Примечание.
Начальный цикл может занять от 20 минут до нескольких часов в зависимости от размера каталога Microsoft Entra и количества пользователей в области подготовки. Последующие синхронизации после начального цикла выполняются быстрее, поскольку служба подготовки хранит водяные знаки, которые представляют состояние обеих систем после начального цикла. Первоначальный цикл улучшает производительность последующих синхронизаций.
Журналы подготовки свидетельствуют о том, что пользователи пропускаются и не инициализируются, даже если они назначены
Когда пользователь отображается как "пропущенный" в журналах подготовки, важно просмотреть вкладку "Шаги " журнала, чтобы определить причину. Ниже приведены распространенные причины и способы устранения ошибок:
- Фильтр области настроен, который фильтрует пользователя на основе значения атрибута. Дополнительные сведения о фильтрах области см. в этой статье.
- Пользователь "не имеет фактических прав". Если вы видите это конкретное сообщение об ошибке, это связано с проблемой с записью назначения пользователя, хранящейся в идентификаторе Microsoft Entra. Чтобы устранить эту проблему, отмените назначение пользователя (или группы) для приложения и повторно назначьте пользователя (или группу). Дополнительные сведения о назначении доступа пользователю или группе см. в этой статье.
- Обязательный атрибут для пользователя отсутствует или его значение не указано. Важно учитывать, что при настройке подготовки необходимо проверить и настроить сопоставления атрибутов и рабочие процессы, определяющие поток свойств пользователя (или группы) из идентификатора Microsoft Entra в приложение. К ним относится "свойство сопоставления", используемое для уникальной идентификации и сопоставления пользователей или групп между двумя системами. Дополнительные сведения об этом важном процессе см. в разделе "Настройка сопоставлений атрибутов подготовки пользователей" для приложений SaaS в идентификаторе Microsoft Entra ID.
- Сопоставление атрибутов для групп: подготовка имени группы и сведений о группе наряду с ее участниками (если поддерживается для некоторых приложений). Вы можете включить или отключить эту функцию, включив или отключив параметр Сопоставление для объектов группы, отображаемых на вкладке Подготовка. Если включены группы подготовки, обязательно проверьте сопоставления атрибутов, чтобы убедиться, что для идентификатора сопоставления используется соответствующее поле. Соответствующим идентификатором может быть отображаемое имя или псевдоним электронной почты. Группа и ее члены не подготавливаются, если соответствующее свойство пусто или не заполнено для группы в идентификаторе Microsoft Entra.
Подготовка пользователей, которым назначена роль доступа по умолчанию
Роль по умолчанию для приложения из галереи называется ролью «доступа по умолчанию». Исторически пользователи, назначенные этой роли, не подготовлены и помечены как пропущенные в журналах подготовки из-за того, что они "не имеют права на эффективное право".
Алгоритм действий для конфигураций обеспечения, созданных после 16.04.2020: Пользователи, которым назначена роль доступа по умолчанию, будут оцениваться так же, как и все другие роли. Пользователь, которому назначен доступ по умолчанию, не будет пропущен как "фактически не имеет права".
Поведение конфигураций подготовки, созданных до 04.16.2020: в течение следующих 3 месяцев поведение будет продолжаться, как сейчас. Пользователи с ролью доступа по умолчанию будут пропущены как не имеющие соответствующих прав. После июля 2020 года поведение всех приложений будет единым. Мы не будем пропускать подготовку пользователей с ролью доступа по умолчанию из-за того, что "фактически не имеет права". Это изменение будет сделано корпорацией Майкрософт без каких-либо действий клиента. Если вы хотите убедиться, что эти пользователи продолжают пропускаться, даже после этого изменения, примените соответствующие фильтры области или отмените назначение пользователя из приложения, чтобы убедиться, что они не входят в область действия.
Следующие шаги
Служба синхронизации Microsoft Entra Connect: общие сведения о декларативной подготовке