Známé problémy se zřizováním v Microsoft Entra ID
Tento článek popisuje známé problémy, o kterých je potřeba vědět při práci se zřizováním aplikací nebo synchronizací mezi tenanty. Pokud chcete poskytnout zpětnou vazbu ke službě zřizování aplikací na UserVoice, přečtěte si článek o zřizování aplikace Microsoft Entra UserVoice. Pozorně sledujeme UserVoice, abychom mohli službu vylepšit.
Poznámka:
Tento článek není úplný seznam známých problémů. Pokud víte o problému, který tu není uvedený, poskytněte zpětnou vazbu v dolní části stránky.
Synchronizace mezi tenanty
Nepodporované scénáře synchronizace
- Synchronizace skupin, zařízení a kontaktů do jiného tenanta
- Synchronizace uživatelů napříč cloudy
- Synchronizace fotek mezi tenanty
- Synchronizace kontaktů a převod kontaktů na uživatele B2B
- Synchronizace zasedacích místností napříč tenanty
Aktualizace proxyAddresses
ProxyAddresses je vlastnost jen pro čtení v Microsoft Graphu. Může být součástí mapování jako zdrojový atribut, ale nelze ho nastavit jako cílový atribut.
Uživatelé s povoleným přihlašováním přes SMS jsou přeskočeni
Externí uživatel ze zdrojového (domovského) tenanta nejde zřídit do jiného tenanta. Interní uživatele typu host ze zdrojového tenanta nejde zřídit do jiného tenanta. Do cílového tenanta je možné zřídit pouze interní uživatele z zdrojového tenanta. Další informace naleznete v tématu Vlastnosti uživatele spolupráce Microsoft Entra B2B.
Kromě toho není možné synchronizovat uživatele s povoleným přihlášením přes SMS prostřednictvím synchronizace mezi tenanty.
Aktualizace vlastnosti showInAddressList selže
U stávajících uživatelů spolupráce B2B se atribut showInAddressList aktualizuje, pokud uživatel spolupráce B2B nemá v cílovém tenantovi povolenou poštovní schránku. Pokud je poštovní schránka povolena v cílovém tenantovi, pomocí rutiny Set-MailUser PowerShell nastavte HiddenFromAddressListsEnabled vlastnost na hodnotu $false.
Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false
Kde [GuestUserUPN] je počítaná hodnota UserPrincipalName. Příklad:
Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false
Další informace najdete v tématu o modulu Exchange Online PowerShell.
Atribut Mail není aktualizován.
Pokud je uživateli v cílovém tenantovi přiřazena licence exchange, synchronizace mezi tenanty nebude moct aktualizovat atribut pošty. Pokud chcete tento problém obejít, odeberte licenci exchange pro uživatele, aktualizujte atribut pošty a znovu mu přiřaďte licenci.
Konfigurace synchronizace z cílového tenanta
Konfigurace synchronizace z cílového tenanta se nepodporuje. Všechny konfigurace musí být provedeny ve zdrojovém tenantovi. Cílový správce může synchronizaci mezi tenanty kdykoli vypnout.
Dva uživatelé ve zdrojovém tenantovi se shodovali se stejným uživatelem v cílovém tenantovi.
Pokud mají dva uživatelé ve zdrojovém tenantovi stejnou poštu a obě musí být vytvořeny v cílovém tenantovi, jeden uživatel se vytvoří v cíli a propojil se se dvěma uživateli ve zdroji. Ujistěte se, že atribut pošty není sdílený mezi uživateli ve zdrojovém tenantovi. Kromě toho se ujistěte, že e-mail uživatele ve zdrojovém tenantovi pochází z ověřené domény. Pokud je pošta z neověřené domény, externí uživatel se úspěšně nevytvořil.
Využití spolupráce Microsoft Entra B2B pro přístup mezi tenanty
- Uživatelé B2B nemůžou spravovat určité služby Microsoftu 365 ve vzdálených tenantech (například Exchange Online), protože neexistuje žádný výběr adresáře.
- Další informace o podpoře služby Azure Virtual Desktop pro uživatele B2B najdete v tématu Požadavky pro Azure Virtual Desktop.
- Nejnovější stav podpory Power BI pro externí uživatele členů najdete v tématu Distribuce obsahu Power BI externím uživatelům typu host pomocí Microsoft Entra B2B.
Autorizace
Režim zřizování nejde změnit zpět na ruční
Při první konfiguraci zřizování si všimnete, že režim zřizování se přepnul z ručního na automatický. Režim není možné změnit zpět na ruční. Prostřednictvím uživatelského rozhraní však můžete vypnout zřizování. Vypnutím zřizování v uživatelském rozhraní ve skutečnosti dosáhnete stejného výsledku jako nastavením ručního režimu v rozevírací nabídce.
Mapování atributů
Atribut SamAccountName nebo userType není k dispozici jako zdrojový atribut
Atributy SamAccountName a userType nejsou k dispozici jako zdrojové atributy. Místo toho můžete jako alternativní řešení použít atribut rozšíření adresáře. Další informace najdete v tématu Chybějící atribut zdroje.
Chybí rozevírací seznam zdrojových atributů pro rozšíření schématu.
Rozšíření schématu můžou někdy chybět v rozevíracím seznamu zdrojového atributu v uživatelském rozhraní. Přejděte do upřesňujícího nastavení mapování atributů a přidejte atributy ručně. Další informace najdete v tématu Přizpůsobení mapování atributů.
Atribut Null nelze zřídit.
ID Microsoft Entra momentálně nemůže zřizovat atributy null. Pokud je atribut u objektu uživatele null, přeskočí se.
Při připojování vlastností nejsou podporovány speciální znaky.
ID Microsoft Entra v současné době nemůže provádět filtrovací dotazy na hodnoty obsahující speciální znaky. Pokus o zřízení prostředku (uživatele nebo skupiny) se speciálním znakem atributů filtru se proto nezdaří. Příkladem může být skupina se speciálním znakem názvu v ID Microsoft Entra, ale nedá se synchronizovat s cílovým systémem.
Maximální počet znaků pro výrazy mapování atributů
Výrazy mapování atributů můžou mít maximálně 10 000 znaků.
Nepodporované filtry oborů
Atributy appRoleAssignments, userType, manager a date-type (například StatusHireDate, startDate, endDate, StatusTerminationDate, accountExpires) nejsou podporované jako filtry oborů.
Ostatnímaily by neměly být zahrnuty do mapování atributů jako cílový atribut.
Vlastnost otherMails se automaticky vypočítá v cílovém tenantovi. Změny objektu uživatele provedené přímo v cílovém tenantovi můžou vést k aktualizaci jiné vlastnostiMails a přepsání hodnoty nastavené synchronizací mezi tenanty. V důsledku toho by ostatnímaily neměly být zahrnuty do mapování atributů synchronizace mezi tenanty jako cílový atribut.
Rozšíření adresářů s více hodnotami
Rozšíření adresářů s více hodnotami se nedají použít v mapování atributů ani filtrech oborů.
Atribut targetAddress není k dispozici pro výběr
Atribut targetAddress (který se mapuje na vlastnost ExternalEmailAddress v Microsoft Exchange Online) není k dispozici jako atribut, který můžete zvolit. Pokud potřebujete změnit tento atribut, musíte ho provést ručně přes požadovaný objekt.
Potíže se službou
Nepodporované scénáře
- Zřizování hesel se nepodporuje.
- Zřizování vnořených skupin nad rámec první úrovně se nepodporuje.
- Zřizování není podporováno pro tenanty B2C, včetně tenantů nebo mimo tenanta.
- Zřizování není podporováno pro tenanty externích ID, včetně tenantů mimo tenanta nebo z tohoto tenanta.
- Ne všechny zřizovací aplikace jsou dostupné ve všech cloudech.
Automatické zřizování není dostupné v aplikaci založené na OIDC
Pokud vytvoříte registraci aplikace, odpovídající instanční objekt v podnikových aplikacích nebude povolený pro automatické zřizování uživatelů. Budete muset buď požádat o přidání aplikace do galerie, pokud je určená pro použití více organizací, nebo vytvořit druhou aplikaci mimo galerii pro zřizování.
Správce není zřízený
Pokud má uživatel i jeho nadřízený obor zřizování, služba zřídí uživatele a pak aktualizuje správce. Pokud je den, kdy je uživatel v oboru a nadřízený je mimo rozsah, zřídíme uživatele bez odkazu správce. Jakmile správce přejde do oboru, odkaz na správce se neaktualizuje, dokud nerestartujete zřizování a služba znovu vyhodnotí všechny uživatele.
Interval zřizování je pevný.
Doba mezi cykly zřizování se momentálně nedá konfigurovat.
Změny, které se nepřecházejí z cílové aplikace na ID Microsoft Entra
Služba zřizování aplikací neví o změnách provedených v externích aplikacích. Takže není nutné provádět žádnou akci, která by se vrátila zpět. Služba zřizování aplikací spoléhá na změny provedené v ID Microsoft Entra.
Přechod z možnosti Synchronizovat vše na přiřazenou synchronizaci nefunguje
Po změně rozsahu z možnosti Synchronizovat vše na Přiřazené synchronizace nezapomeňte provést také restartování, aby se zajistilo, že se změna projeví. Restartování můžete provést z uživatelského rozhraní.
Cyklus zřizování pokračuje až do dokončení.
Když nastavíte zřizování enabled = off
nebo vyberete Zastavit, bude aktuální cyklus zřizování pokračovat až do dokončení. Služba přestane spouštějí všechny budoucí cykly, dokud znovu nezapnete zřizování.
Člen skupiny není zřízen
Pokud je skupina v oboru a člen je mimo rozsah, skupina se zřídí. Uživatel mimo rozsah se nezřídí. Pokud se člen vrátí do oboru, služba změnu okamžitě nezjistí. Problém řeší restartování zřizování. Pravidelně restartujte službu, abyste měli jistotu, že jsou všichni uživatelé správně zřízeni.
Globální čtenář
Role Globální čtenář nemůže přečíst konfiguraci zřizování. Vytvořte vlastní roli s oprávněním microsoft.directory/applications/synchronization/standard/read
, abyste mohli číst konfiguraci zřizování z Centra pro správu Microsoft Entra.
Microsoft Azure Government Cloud
Přihlašovací údaje, včetně tokenu tajného klíče, e-mailu s oznámením o oznámeních o jednotném přihlašování, mají v cloudu Microsoft Azure Government limit 1 kB.
Zřizování místních aplikací
Toto je aktuální seznam známých omezení u hostitele konektoru Microsoft Entra ECMA a zřizování místních aplikací.
Aplikace a adresáře
Následující aplikace a adresáře se zatím nepodporují.
Doména služby Active Directory Services (zpětný zápis uživatele nebo skupiny z ID Microsoft Entra pomocí místního zřizování ve verzi Preview)
- Pokud je uživatel spravovaný službou Microsoft Entra Connect, zdroj autority je místní Active Directory Domain Services. V MICROSOFT Entra ID se proto atributy uživatelů nedají změnit. Tato verze Preview nemění zdroj autority pro uživatele spravované službou Microsoft Entra Connect.
- Při pokusu o použití služby Microsoft Entra Connect a místního zřizování pro zřizování skupin nebo uživatelů do služby Doména služby Active Directory Services může dojít k vytvoření smyčky, kdy Microsoft Entra Connect může přepsat změnu provedenou službou zřizování v cloudu. Microsoft pracuje na vyhrazené funkci pro zpětný zápis skupiny nebo uživatele. Pokud chcete sledovat stav náhledu, zvete svůj názor na UserVoice na tomto webu . Alternativně můžete použít Microsoft Identity Manager pro zpětný zápis uživatele nebo skupiny z Microsoft Entra ID do Active Directory.
Microsoft Entra ID
Pomocí místního zřizování můžete převzít uživatele, který už je v Microsoft Entra ID, a zřídit ho do aplikace třetí strany. Uživatele nemůžete přenést do adresáře z aplikace třetí strany. Zákazníci se budou muset spolehnout na naše nativní integrace lidských zdrojů, Microsoft Entra Connect, Microsoft Identity Manager nebo Microsoft Graph, aby uživatele přenesli do adresáře.
Atributy a objekty
Následující atributy a objekty nejsou podporovány:
- Vícehodnotové atributy.
- Referenční atributy (například správce).
- Skupiny
- Komplexní ukotvení (například ObjectTypeName+UserName).
- Atributy, které mají znaky, například "." nebo "[".
- Binární atributy.
- Místní aplikace se někdy nefederují s ID Microsoft Entra a vyžadují místní hesla. Místní zřizování verze Preview nepodporuje synchronizaci hesel. Podporuje se zřizování počátečních jednorázových hesel. Ujistěte se, že k redakci hesel z protokolů používáte funkci Redact . V konektorech SQL a LDAP se hesla neexportují při počátečním volání aplikace, ale při druhém volání s nastaveným heslem.
Certifikáty SSL
Hostitel konektoru Microsoft Entra ECMA v současné době vyžaduje, aby azure nebo agent zřizování důvěřoval certifikátu SSL. Předmět certifikátu se musí shodovat s názvem hostitele, na který je nainstalovaný hostitel konektoru Microsoft Entra ECMA.
Ukotvení atributů
Hostitel konektoru Microsoft Entra ECMA v současné době nepodporuje změny atributů ukotvení (přejmenování) ani cílové systémy, které k vytvoření ukotvení vyžadují více atributů.
Zjišťování a mapování atributů
Atributy, které cílová aplikace podporuje, se zjistí a objeví v Centru pro správu Microsoft Entra v mapování atributů. Nově přidané atributy budou nadále zjištěny. Pokud se typ atributu změnil, například řetězec na logickou hodnotu a atribut je součástí mapování, typ se v Centru pro správu Microsoft Entra automaticky nezmění. Zákazníci budou muset přejít do upřesňujícího nastavení v mapováních a ručně aktualizovat typ atributu.
Agent zřizování
- Agent v současné době nepodporuje automatickou aktualizaci pro místní scénář zřizování aplikací. Aktivně pracujeme na tom, abychom tuto mezeru zavřeli a zajistili, že je ve výchozím nastavení povolená automatická aktualizace a vyžaduje se pro všechny zákazníky.
- Stejný agent zřizování se nedá použít pro zřizování místních aplikací a synchronizaci cloudu nebo zřizování řízené hrou.