分享方式:

佈建 Microsoft Entra ID 中的已知問題

  • 文章

本文討論當您使用應用程式佈建或跨租用戶同步處理時要注意的已知問題。 若要提供關於 UserVoice 上應用程式佈建服務的意見反應,請參閱 Microsoft Entra 應用程式佈建 UserVoice。 我們會密切關注 UserVoice,以便可以改善服務。

注意

本文並非已知問題的完整清單。 如果您知道未列出的問題,請在頁面底部提供意見反應。

跨租用戶同步處理

不支援同步處理的案例

  • 將群組、裝置和連絡人同步至另一個租用戶
  • 跨雲端使用者同步處理
  • 跨租用戶相片同步處理
  • 同步處理連絡人並將連絡人轉換為 B2B 使用者
  • 跨租用戶會議室同步處理

更新 proxyAddresses

ProxyAddresses 在 Microsoft Graph 中是唯讀屬性。 它可以包含在對應中作為來源屬性,但無法設定為目標屬性。

佈建使用者

來源 (home) 租用戶的外部使用者無法佈建到另一個租用戶。 來源租用戶的內部訪客使用者無法佈建到另一個租用戶。 只有來源租用戶的內部成員使用者才能佈建到目標租用戶中。 如需詳細資訊,請參閱 Microsoft Entra B2B 共同作業使用者的屬性

此外,啟用 SMS 登入的使用者無法透過跨租用戶同步處理進行同步。

更新 showInAddressList 屬性失敗

對於現有的 B2B 共同作業使用者,只要 B2B 共同作業使用者未在目標租用戶中啟用信箱,showInAddressList 屬性就會更新。 如果信箱已在目標租用戶內啟用,您可以使用 Set-MailUser PowerShell Cmdlet 將 HiddenFromAddressListsEnabled 屬性設定為 $false 的值。

Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false

‎其中 [GuestUserUPN] 是計算的 UserPrincipalName。 範例:

Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false

如需詳細資訊,請參閱 關於 Exchange Online PowerShell 模組

從目標租用戶設定同步處理

從不支援的目標租用戶設定同步處理。 所有設定都必須在來源租用戶中完成。 請注意,目標管理員可以隨時關閉跨租用戶同步處理。

來源租用戶中的兩個使用者與目標租用戶中的相同使用者相符

當來源租用戶中的兩個使用者有相同的郵件,而且兩者都需要在目標租用戶中建立時,就會在目標中建立一個使用者,並連結到來源中的兩個使用者。 請確定郵件屬性不會在來源租用戶中的使用者之間共用。 此外,請確定來源租用戶中使用者的郵件來自已驗證的網域。 如果郵件來自未驗證的網域,將無法成功建立外部使用者。

使用 Microsoft Entra B2B 共同作業進行跨租用戶存取

授權

無法將佈建模式變更回手動

當您第一次設定佈建之後,會注意到佈建模式已從手動切換為自動。 您無法將其變更回手動。 但是您可以透過 UI 關閉佈建。 在 UI 中關閉佈建實際上與將下拉式清單設定為手動相同。

屬性對應

屬性 SamAccountName 或 userType 無法作為來源屬性使用

依預設,屬性 SamAccountNameuserType 無法作為來源屬性使用。 擴充您的結構描述以新增屬性。 您可以藉由擴充您的結構描述,將屬性新增至可用來源屬性的清單。 若要深入了解,請參閱遺失來源屬性

結構描述擴充遺漏來源屬性下拉式清單

在 UI 的 [來源屬性] 下拉式清單中,有時可能會遺漏結構描述的擴充。 移至屬性對應的進階設定,然後手動新增屬性。 若要深入了解,請參閱自訂屬性對應

無法佈建 Null 屬性

Microsoft Entra ID 目前無法佈建 Null 屬性。 如果使用者物件上的屬性為 Null,則會略過該屬性。

屬性對應運算式的最大字元數

屬性對應運算式最多可以有 10,000 個字元。

不支援的範圍設定篩選

appRoleAssignmentsuserTypemanagerdate-type 属性 (例如 StatusHireDate、startDate、endDate、StatusTerminationDate、accountExpires) 不支援範圍篩選。

otherMails 不應包含在屬性對應中作為目標屬性

otherMails 屬性會自動在目標租用戶中計算。 直接在目標租用戶中對使用者物件所做的變更可能會導致 otherMails 屬性更新,並覆寫跨租用戶同步處理所設定的值。 因此,otherMails 不應包含在跨租用戶同步屬性對應中作為目標屬性。

多重值目錄延伸

多重值目錄擴充無法在屬性對應或範圍設定篩選中使用。

屬性目標無法選取

屬性 targetAddress (對應至 Microsoft Exchange Online 中的 ExternalEmailAddress 屬性)無法做為您可以選擇的屬性。 如果您需要變更這個屬性,您必須透過必要的物件手動執行。

服務問題

不支援的情節

  • 不支援佈建密碼。
  • 不支援布建超過第一層的巢狀群組。
  • 因為租用戶的大小,不支援佈建至 B2C 租用戶。
  • 並非所有的佈建應用程式都可在所有雲端中使用。 例如,Atlassian 尚無法在政府雲端中使用。 我們正在與應用程式開發人員合作,將其應用程式上線至所有雲端。

我的 OIDC 型應用程式無法使用自動佈建

如果您建立應用程式註冊,則不會啟用企業應用程式中對應的服務主體以自動佈建使用者。 您必須要求將應用程式新增至資源庫 (如果預定供多個組織使用),或建立第二個非資源庫應用程式來進行佈建。

管理員未佈建

如果使用者及其管理員都在佈建範圍內,則服務會佈建使用者,然後更新管理員。 如果使用者第一天在範圍內,而管理員超出範圍,我們將會在不使用管理員參考的情況下佈建使用者。 當管理員進入範圍內時,除非您重新啟動佈建,並讓服務重新評估所有使用者,否則管理員參考將不會更新。

佈建間隔是固定的

佈建週期之間的時間目前無法設定。

變更不會從目標應用程式移至 Microsoft Entra ID

應用程式佈建服務不會感知在外部應用程式中所做的變更。 因此,不會採取任何動作來復原。 應用程式佈建服務依賴於 Microsoft Entra ID 中所做的變更。

從 [全部同步] 到 [同步已指派] 的切換無法運作

將範圍從 [全部同步] 變更為 [同步已指派] 之後,請務必一併執行重新開機,以確保變更生效。 您可以從 UI 重新開機。

佈建週期會持續到完成為止

當您將佈建設定為 enabled = off 或選取 [停止] 時,目前的佈建週期會持續執行,直到完成為止。 服務會停止執行任何未來的週期,直到您再次開啟佈建。

未佈建群組的成員

當群組在範圍內,且成員超出範圍時,系統將會佈建群組。 不會佈建超出範圍的使用者。 如果成員回到範圍內,則服務將不會立即偵測到變更。 重新啟動佈建可解決此問題。 定期重新啟動服務,以確保所有使用者都已正確佈建。

全域讀取者

[全域讀取者] 角色無法讀取佈建設定。 建立具有 microsoft.directory/applications/synchronization/standard/read 權限的自訂角色,以便從 Microsoft Entra 系統管理中心讀取佈建設定。

Microsoft Azure Government 雲端

包括秘密權杖、通知電子郵件和 SSO 憑證通知電子郵件在內的認證,在 Microsoft Azure Government Cloud 中有總共 1 KB 的限制。

內部部署應用程式佈建

這是目前 Microsoft Entra ECMA Connector 主機和內部部署應用程式佈建的已知限制清單。

應用程式和目錄

尚不支援下列應用程式和目錄。

Active Directory Domain Services (使用內部部署佈建預覽版從 Microsoft Entra ID 的使用者或群組回寫)

  • 當使用者由 Microsoft Entra Connect 管理時,授權來源是內部部署 Active Directory 網域服務。 因此,無法在 Microsoft Entra ID 中變更使用者屬性。 此預覽不會變更由 Microsoft Entra Connect 所管理使用者的授權來源。
  • 嘗試使用 Microsoft Entra Connect 和內部部署佈建,將群組或使用者佈建至 Active Directory Domain Services 時可能會導致建立迴圈,其中 Microsoft Entra Connect 可以覆寫雲端中佈建服務所做的變更。 Microsoft 致力於開發群組或使用者回寫的專用功能。 附議此網站上的 UserVoice 意見反應,以追蹤預覽版狀態。 或者,您可以使用 Microsoft Identity Manager,將使用者或群組從 Microsoft Entra ID 回寫至 Active Directory。

Microsoft Entra ID

藉由使用內部部署佈建,您可以選取已在 Microsoft Entra ID 中的使用者,並將其佈建至協力廠商應用程式。 您無法將使用者移至協力廠商應用程式的目錄中。 客戶將必須依賴我們的原生 HR 整合、Microsoft Entra Connect、Microsoft Identity Manager 或 Microsoft Graph,才能將使用者移至目錄。

屬性和物件

不支援下列屬性和物件:

  • 多重值屬性。
  • 參考屬性 (例如管理員)。
  • 群組。
  • 複雜錨點 (例如 ObjectTypeName+UserName)。
  • 具有「.」或「[」等字元的屬性
  • 二進位屬性。
  • 內部部署應用程式有時不會與 Microsoft Entra ID 同盟,且需要本機密碼。 內部部署佈建預覽版不支援密碼同步化。 支援佈建初始的單次密碼。 確保您使用 Redact 函數來修訂記錄中的密碼。 在 SQL 和 LDAP 連接器中,系統不會在對應用程式的初始呼叫中匯出密碼,而會使用設定密碼進行第二次呼叫。

SSL 憑證

Microsoft Entra ECMA 連接器主機目前需要 Azure 所信任的 SSL 憑證,或是要使用的佈建代理程式。 憑證主體必須符合安裝 Microsoft Entra ECMA 連接器主機所在的主機名稱。

錨點屬性

Microsoft Entra ECMA 連接器主機目前不支援錨點屬性變更 (重新命名) 或目標系統,需要多個屬性才能形成錨點。

屬性探索和對應

系統會探索目標應用程式支援的屬性,並在 Microsoft Entra 系統管理中心的 [屬性對應] 中呈現。 系統將繼續探索新增的屬性。 如果屬性類型已變更 (例如字串變更為布林值),且屬性是對應的一部分,則此類型不會在 Microsoft Entra 系統管理中心中自動變更。 客戶必須移至對應的進階設定,並手動更新屬性類型。

佈建代理程式

  • 代理程式目前不支援內部部署應用程式佈建案例的自動更新。 我們正積極地彌補此缺口,並確保依預設會啟用自動更新,且所有客戶都必須啟用此功能。
  • 相同的佈建代理程式無法用於進行內部內部部署應用程式佈建和雲端同步/HR 導向的佈建。

下一步

佈建運作方式