Microsoft Entra ID 中布建的已知問題
本文討論使用應用程式布建或跨租使用者同步處理的已知問題。 若要提供有關 UserVoice 上應用程式布建服務的意見反應,請參閱 Microsoft Entra 應用程式佈建 UserVoice。 我們會密切監看 UserVoice,以便改善服務。
注意
本文不是已知問題的完整清單。 如果您知道未列出的問題,請在頁面底部提供意見反應。
跨租用戶同步處理
不支援的同步處理案例
- 將群組、裝置和聯繫人同步至另一個租使用者
- 跨雲端同步處理使用者
- 跨租使用者同步處理相片
- 同步處理連絡人並將聯繫人轉換為 B2B 使用者
- 跨租使用者同步處理會議室
更新 proxyAddresses
ProxyAddresses 是 Microsoft Graph 中的唯讀屬性。 它可以包含在對應中作為來源屬性,但無法設定為目標屬性。
Microsoft Teams
跨租使用者同步處理所建立類型的 member 外部 /B2B 使用者可以新增至 Microsoft Teams 中的共享頻道。 不過,在跨租使用者同步處理外部建立的外部成員用戶無法新增至Teams共用頻道。
佈建使用者
來源 (home) 租使用者的外部用戶無法布建到另一個租使用者。 來源租用戶的內部來賓用戶無法布建到另一個租使用者。 只有來自來源租用戶的內部成員使用者才能布建到目標租使用者中。 如需詳細資訊,請參閱 Microsoft Entra B2B 共同作業用戶的屬性。
此外,啟用SMS登入的用戶無法透過跨租使用者同步處理進行同步處理。
更新 showInAddressList 屬性失敗
對於現有的 B2B 共同作業使用者,只要 B2B 共同作業使用者未在目標租用戶中啟用信箱,showInAddressList 屬性就會更新。 如果目標租使用者中已啟用信箱,請使用 Set-MailUser PowerShell Cmdlet 將 HiddenFromAddressListsEnabled 屬性設定為 $false 的值。
Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false
其中 [GuestUserUPN] 是導出的 UserPrincipalName。 範例:
Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false
如需詳細資訊,請參閱 關於 Exchange Online PowerShell 模組。
從目標租用戶設定同步處理
不支援從目標租用戶設定同步處理。 所有設定都必須在來源租使用者中完成。 請注意,目標系統管理員可以隨時關閉跨租使用者同步處理。
來源租使用者中的兩個使用者與目標租使用者中的相同使用者相符
當來源租使用者中的兩個使用者有相同的郵件,而且兩者都需要在目標租使用者中建立時,就會在目標中建立一個使用者,並連結到來源中的兩個使用者。 請確定郵件屬性不會在來源租使用者中的用戶之間共用。 此外,請確定來源租用戶中使用者的郵件來自已驗證的網域。 如果郵件來自未驗證的網域,將不會成功建立外部使用者。
使用 Microsoft Entra B2B 共同作業進行跨租使用者存取
- B2B 使用者無法管理遠端租使用者中的特定 Microsoft 365 服務(例如 Exchange Online),因為沒有目錄選擇器。
- 若要瞭解 B2B 使用者的 Azure 虛擬桌面支援,請參閱 Azure 虛擬桌面的必要條件。
- 如需外部成員使用者Power BI支援的最新狀態,請參閱 使用 Microsoft Entra B2B 將 Power BI 內容散發給外部來賓使用者
授權
無法將布建模式變更回手動
第一次設定布建之後,您會發現布建模式已從手動切換為自動。 您無法將其變更回手動。 但是您可以透過 UI 關閉佈建。 在 UI 中關閉佈建實際上與將下拉式清單設定為手動相同。
屬性對應
屬性 SamAccountName 或 userType 無法作為來源屬性使用
根據預設,SamAccountName 和 userType 屬性無法使用作為來源屬性。 擴充架構以新增屬性。 您可以藉由擴充架構,將屬性新增至可用來源屬性的清單。 若要深入瞭解,請參閱 遺漏來源屬性。
架構延伸模組遺漏的來源屬性下拉式清單
有時候,UI 中的來源屬性下拉式清單中可能會遺漏架構的延伸模組。 移至屬性對應的進階設定,並手動新增屬性。 若要深入瞭解,請參閱 自定義屬性對應。
無法布建 Null 屬性
Microsoft Entra ID 目前無法布建 Null 屬性。 如果用戶物件上的屬性為 null,則會略過它。
屬性對應表達式的最大字元數
屬性對應表達式最多可以有 10,000 個字元。
不支援的範圍篩選
不支援 appRoleAssignments、userType 和 accountExpires 屬性作為範圍篩選。
OtherMails 不應包含在屬性對應中作為目標屬性
otherMails 屬性會自動在目標租用戶中計算。 直接在目標租使用者中對用戶物件所做的變更可能會導致其他Mails 屬性更新,並覆寫跨租使用者同步處理所設定的值。 因此,其他郵件不應包含在跨租使用者同步處理屬性對應中作為目標屬性。
多重值目錄延伸模組
多重值目錄延伸模組不能用於屬性對應或範圍篩選器。
服務問題
不支援的情節
- 不支援布建密碼。
- 不支援布建巢狀群組。
- 由於租使用者的大小,不支援布建至 B2C 租使用者。
- 並非所有布建應用程式都可在所有雲端中使用。 例如,政府雲端尚未提供 Atlassian。 我們正與應用程式開發人員合作,將其應用程式上線至所有雲端。
以 OIDC 為基礎的應用程式無法使用自動布建
如果您建立應用程式註冊,則企業應用程式中的對應服務主體將不會啟用自動使用者布建。 如果需要供多個組織使用,則您必須要求將應用程式新增至資源庫,或建立第二個用於布建的非資源庫應用程式。
未布建管理員
如果使用者及其管理員都在布建範圍內,服務會布建用戶,然後更新管理員。 如果用戶在範圍中的第一天,且管理員範圍不足,我們會在沒有管理員參考的情況下布建使用者。 當管理員進入範圍時,在您重新啟動布建並導致服務重新評估所有使用者之前,管理員參考將不會更新。
已修正布建間隔
布 建週期之間的時間 目前無法設定。
從目標應用程式移至 Microsoft Entra 識別碼的變更
應用程式布建服務不知道外部應用程式中所做的變更。 因此,不會採取任何動作來復原。 應用程式布建服務依賴 Microsoft Entra 識別碼所做的變更。
從 [全部同步處理] 切換為 [已指派同步處理] 無法運作
將範圍從 [全部 同步處理] 變更為 [已指派同步] 之後,請務必同時執行重新啟動以確保變更生效。 您可以從 UI 執行重新啟動。
布建周期會持續到完成
當您將布建設定為 enabled = off 或選取 [停止] 時,目前的布建週期會繼續執行,直到完成為止。 服務會停止執行任何未來的週期,直到您再次開啟布建為止。
未布建群組的成員
當群組在範圍中且成員超過範圍時,將會布建群組。 不會布建範圍外的使用者。 如果成員回到範圍中,服務將不會立即偵測變更。 重新啟動布建可解決問題。 定期重新啟動服務,以確保所有使用者都已正確布建。
全域讀者
全域讀取者角色無法讀取布建組態。 使用 microsoft.directory/applications/synchronization/standard/read 許可權建立自定義角色,以便從 Microsoft Entra 系統管理中心讀取布建組態。
Microsoft Azure Government Cloud
認證,包括秘密令牌、通知電子郵件和 SSO 憑證通知電子郵件在 Microsoft Azure Government Cloud 中都有 1KB 的限制。
內部部署應用程式佈建
下列資訊是 Microsoft Entra ECMA 連線 or Host 和內部部署應用程式佈建的已知限制清單。
應用程式和目錄
尚不支援下列應用程式和目錄。
Active Directory 網域服務 (使用內部部署布建預覽從 Microsoft Entra ID 回寫的使用者或群組回寫)
- 當使用者由 Microsoft Entra 連線 管理時,授權來源會 內部部署的 Active Directory Domain Services。 因此,無法在 Microsoft Entra ID 中變更用戶屬性。 此預覽不會變更 Microsoft Entra 連線 所管理使用者的授權來源。
- 嘗試使用 Microsoft Entra 連線 和內部部署布建將群組或使用者布建到 Active Directory 網域服務 可能會導致建立迴圈,其中 Microsoft Entra 連線 可以覆寫雲端布建服務所做的變更。 Microsoft 正在處理群組或用戶回寫的專用功能。 啟動此網站上的 UserVoice 意見反應,以追蹤預覽的狀態。 或者,您可以使用 Microsoft Identity Manager 從 Microsoft Entra ID 回寫至 Active Directory 的使用者或群組回寫。
Microsoft Entra ID
藉由使用內部部署布建,您可以採用已經在 Microsoft Entra ID 中的使用者,並將其布建到第三方應用程式中。 您無法從第三方應用程式將使用者帶入目錄。 客戶必須依賴我們的原生 HR 整合、Microsoft Entra 連線、Microsoft Identity Manager 或 Microsoft Graph,將使用者帶入目錄。
屬性和物件
不支援下列屬性和物件:
- 多重值屬性。
- 參考屬性(例如管理員)。
- 群組。
- 複雜錨點(例如 ObjectTypeName+UserName)。
- 具有 “.” 或 “[” 等字元的屬性
- 二進位屬性。
- 內部部署應用程式有時不會與 Microsoft Entra ID 同盟,而且需要本機密碼。 內部部署布建預覽不支援密碼同步處理。 支援布建初始一次性密碼。 請確定您使用 Redact 函式來從記錄中修訂密碼。 在 SQL 和 LDAP 連接器中,密碼不會在應用程式的初始呼叫上匯出,而是使用設定密碼進行第二次呼叫。
SSL 憑證
Microsoft Entra ECMA 連線 or Host 目前需要 Azure 信任 SSL 憑證或布建代理程式才能使用。 憑證主體必須符合已安裝 Microsoft Entra ECMA 連線 or Host 的主機名。
錨點屬性
Microsoft Entra ECMA 連線 or Host 目前不支援錨點屬性變更(重新命名)或目標系統,這需要多個屬性才能形成錨點。
屬性探索和對應
目標應用程式支援的屬性會在屬性對應中的 Microsoft Entra 系統管理中心中探索並呈現。 新新增的屬性將會繼續探索。 例如,如果屬性類型已變更為 Boolean,而且屬性是對應的一部分,則類型不會在 Microsoft Entra 系統管理中心內自動變更。 客戶必須在對應中進入進階設定,並手動更新屬性類型。
布建代理程式
- 代理程式目前不支援內部部署應用程式布建案例的自動更新。 我們正積極努力縮小此差距,並確保預設會啟用自動更新,並要求所有客戶使用。
- 相同的布建代理程式無法用於內部部署應用程式布建和雲端同步/HR 驅動布建。