为 Microsoft Entra 库应用程序配置用户预配时遇到的问题

排查应用程序预配的配置问题。 有关详细信息,请参阅自动用户预配

首先查找应用程序的设置教程。 然后根据步骤配置应用和 Microsoft Entra ID 以创建预配连接。 如需教程列表,请参阅有关如何将 SaaS 应用与 Microsoft Entra ID 集成的教程列表

检查预配是否正常工作

配置完服务后,可通过两个地方获取服务操作的大多数见解。

  • 预配日志(预览版) - 预配日志记录了预配服务执行的所有操作。 日志包含查询 Microsoft Entra ID 以找到预配范围内分配的用户。 查询目标应用以验证是否存在这些用户以及比较系统之间的用户对象。 然后根据比较结果在目标系统中添加、更新或禁用用户帐户。 通过在“活动”部分中选择“标识”>“应用程序”>“企业应用程序”>“预配日志”来访问 Microsoft Entra 管理中心中的预配日志。

  • “当前状态” - 在屏幕底部服务设置下的“标识”>“应用程序”>“企业应用程序”>[Application Name]>“预配”部分中,可以看到为给定应用最后一次运行的预配的摘要。 “当前状态”部分显示预配周期是否开始预配用户帐户。 监视周期的进度,查看已预配的用户和组的数量,以及已创建的角色数。 如果遇到错误,可在[预配日志] (~/identity/monitoring-health/concept-provisioning-logs.md?context=azure/active-directory/manage-apps/context/manage-apps-context) 中找到详细信息。

预配服务似乎未启动

在 Microsoft Entra 管理中心的“标识”>“应用程序”>“企业应用程序”>[Application Name]>“预配”部分中将“预配状态”设置为“开”。 但是在后续重新加载后该页面未显示其他状态详细信息。 服务可能正在运行,但初始周期未完成。 检查“预配日志”以确定服务正在执行哪些操作,以及是否出现任何错误。

注意

初始周期需要 20 分钟到几个小时。 时间取决于 Microsoft Entra 目录的大小,以及预配范围内的用户数。 后续的同步速度会变快,因为在初始周期后,预配服务将存储代表两个系统状态的水印。 水印可提高后续同步的性能。

因应用凭据不工作而无法保存配置

Microsoft Entra ID 需要有效的凭据进行预配。 凭据连接到应用提供的用户管理 API。 如果凭据无效,或者你不知道凭据是什么,请查看有关设置应用的教程。

即使用户已被分配,预配日志还是显示他们已被跳过且未预配

阅读日志消息中的扩展详细信息,以确定用户为何在预配日志中显示为被跳过。 常见原因和解决方法包括:

  • 已配置范围筛选器,它根据属性值筛选用户。 有关详细信息,请参阅通过作用域筛选器基于属性预配应用程序

  • 该用户“未得到有效授权”。 Microsoft Entra ID 中存储的用户分配记录出现问题。 要解决此问题,请从应用中取消分配用户(或组),并重新分配。 有关详细信息,请参阅向企业应用分配用户或组

  • 所需的属性丢失或未替用户填写。 查看并配置定义哪些用户(或组)属性从 Microsoft Entra ID 流向应用程序的属性映射和工作流。 检查用于唯一标识和匹配两个系统之间的用户/组的设置 matching property。 有关详细信息,请参阅自定义用户预配属性映射

  • 适用于组的属性映射:除预配成员的名称和详细信息外,还预配组名称和组的详细信息(前提是某些应用程序支持这样做)。 对“预配”选项卡中显示的组对象使用“映射”来启用或禁用该功能。如果启用了预配组,请查看属性映射,以确保为 matching ID 使用适当的字段。 该字段是显示名称或电子邮件别名。 如果匹配属性为空,或没有为 Microsoft Entra ID 中的某个组进行填充,则该组及其成员未预配。

后续步骤