Nessun utente è sottoposto a provisioning
Nota
A partire dal 16/04/2020, il comportamento per gli utenti a cui è stato assegnato il ruolo di accesso predefinito è stato modificato. Per informazioni dettagliate, vedere la sezione seguente.
Dopo aver configurato il provisioning automatico per un'applicazione (e dopo aver verificato la validità delle credenziali fornite a Microsoft Entra ID per connettersi all'app), viene effettuato il provisioning degli utenti e/o dei gruppi all'app. Il provisioning viene determinato dagli elementi seguenti:
- Utenti e gruppi assegnati all'applicazione. Il provisioning dei gruppi annidati non è supportato. Per altre informazioni sull'assegnazione, vedere Assegnare un utente o un gruppo a un'app aziendale di Microsoft Entra ID.
- Abilitazione o meno dei mapping degli attributi ed eventuale configurazione per la sincronizzazione degli attributi validi da Microsoft Entra ID all'app. Per altre informazioni sui mapping degli attributi, vedere Personalizzazione dei mapping degli attributi del provisioning degli utenti per le applicazioni SaaS in Microsoft Entra ID.
- Indica se è presente un filtro di ambito che filtra gli utenti in base a valori di attributo specifici. Per altre informazioni sui filtri di ambito, vedere Provisioning dell'applicazione basato su attributi con filtri per la definizione dell'ambito.
Se si osserva che gli utenti non vengono sottoposti a provisioning, consultare i log di provisioning in Microsoft Entra ID. Cercare un utente specifico nelle voci dei log.
È possibile accedere ai log di provisioning nell'interfaccia di amministrazione di Microsoft Entra passando a Identità>Applicazioni>Applicazioni aziendali>Log di provisioning. È anche possibile selezionare un'applicazione specifica e quindi selezionare Log di provisioning nella sezione Attività. È possibile eseguire ricerche nei dati di provisioning in base al nome dell'utente o all'identificatore nel sistema di origine o nel sistema di destinazione. Per informazioni dettagliate, vedere Log di provisioning.
I log di provisioning registrano tutte le operazioni eseguite dal servizio di provisioning, ad esempio l'esecuzione in Microsoft Entra ID di query sugli utenti assegnati che rientrano nell'ambito del provisioning, l'esecuzione nell'app di destinazione di query sull'esistenza di tali utenti, il confronto degli oggetti utente tra i sistemi. e quindi l'aggiunta, l'aggiornamento o la disabilitazione dell'account utente nel sistema di destinazione in base al confronto.
Aree problematiche generali con provisioning da considerare
Di seguito è riportato un elenco delle aree problematiche generali che è possibile analizzare se si ha un'idea del punto da cui iniziare.
- Avvio non riuscito del servizio di provisioning
- I log di provisioning indicano che gli utenti vengono ignorati e non sottoposti a provisioning, anche se assegnati
Avvio non riuscito del servizio di provisioning
Se si imposta lo Stato del provisioning su Sì nella sezione Applicazioni aziendali> [Nome dell'applicazione] >Provisioning dell'interfaccia di amministrazione di Microsoft Entra, Tuttavia, non vengono visualizzati altri dettagli sullo stato in tale pagina dopo i ricaricamenti successivi, è probabile che il servizio sia in esecuzione ma non abbia ancora completato un ciclo iniziale. Controllare i log di provisioning descritti in precedenza per determinare le operazioni eseguite dal servizio e in caso di errori.
Nota
Un ciclo iniziale può richiedere da 20 minuti a diverse ore, a seconda delle dimensioni della directory di Microsoft Entra e del numero di utenti inclusi nell'ambito del provisioning. Le sincronizzazioni successive al ciclo iniziale risultano più veloci, poiché il servizio di provisioning archivia i limiti che rappresentano lo stato di entrambi i sistemi dopo il ciclo iniziale, che migliora le prestazioni delle sincronizzazioni successive.
I log di provisioning indicano che gli utenti vengono ignorati e non sottoposti a provisioning, anche se assegnati.
Quando un utente viene visualizzato come "ignorato" nei log di provisioning, è importante esaminare la scheda Passaggi del log per determinare il motivo. Di seguito sono elencati i motivi e le risoluzioni comuni:
- È stato configurato un filtro di ambito che filtra l'utente in base a un valore di attributo. Per altre informazioni sui filtri di definizione dell'ambito, vedere Filtri per la definizione dell'ambito.
- L'utente "non è autorizzato in modo efficiente". Se viene visualizzato questo messaggio di errore specifico, si tratta di un problema con il record di assegnazione utente archiviato in Microsoft Entra ID. Per risolvere il problema, annullare l'assegnazione dell'utente (o del gruppo) dall'app e riassegnarla. Per altre informazioni sull'assegnazione, vedere Assegnare l'accesso utente o gruppo.
- Attributo obbligatorio mancante o non popolato per un utente. Un aspetto importante da considerare quando si configura il provisioning è quello di esaminare e configurare il mapping degli attributi e i flussi di lavoro che definiscono il tipo di flusso di proprietà utente (o gruppo) da Microsoft Entra ID all'applicazione. Questa configurazione include l'impostazione della "proprietà corrispondente" che viene usata per identificare e abbinare in modo univoco utenti/gruppi tra i due sistemi. Per altre informazioni su questo importante processo, vedere Personalizzazione dei mapping degli attributi del provisioning degli utenti per le applicazioni SaaS in Microsoft Entra ID.
- Mapping degli attributi per gruppi: provisioning dei dettagli del gruppo e del nome del gruppo, oltre ai membri, se supportato per alcune applicazioni. È possibile abilitare o disabilitare questa funzionalità abilitando o disabilitando il mapping per gli oggetti di gruppo visualizzati nella scheda Provisioning. Se il provisioning di gruppi è abilitato, verificare di controllare i mapping degli attributi per garantire che venga usato un campo appropriato per l'ID di abbinamento. L'ID di abbinamento può essere il nome visualizzato o l'alias di posta elettronica. Il provisioning di questo gruppo e dei relativi membri non viene effettuato se la proprietà corrispondente è vuota o non popolata per un gruppo in Microsoft Entra ID.
Provisioning degli utenti assegnati al ruolo di accesso predefinito
Il ruolo predefinito in un'applicazione dalla raccolta è denominato ruolo di "accesso predefinito". In passato, gli utenti assegnati a questo ruolo non vengono sottoposti a provisioning e vengono contrassegnati come ignorati nei log di provisioning a causa del fatto che non sono effettivamente autorizzati.
Comportamento per le configurazioni di provisioning create dopo il 16/04/2020: gli utenti assegnati al ruolo di accesso predefinito verranno valutati come tutti gli altri ruoli. Un utente a cui è assegnato l'accesso predefinito non verrà ignorato come "non effettivamente autorizzato".
Comportamento per le configurazioni di provisioning create prima del 16/04/2020: per i prossimi 3 mesi, il comportamento continuerà così come è oggi. Gli utenti con il ruolo di accesso predefinito verranno ignorati poiché non autorizzati in modo efficiente. Dopo luglio 2020, il comportamento sarà uniforme per tutte le applicazioni. Non verrà ignorato il provisioning degli utenti con il ruolo di accesso predefinito a causa del fatto che "non è effettivamente autorizzato". Questa modifica verrà apportata da Microsoft, senza che sia richiesta alcuna azione da parte del cliente. Se si vuole assicurarsi che questi utenti continuino a essere ignorati, anche dopo questa modifica, applicare i filtri di ambito appropriati o annullare l'assegnazione dell'utente dall'applicazione per assicurarsi che non siano inclusi nell'ambito.
Passaggi successivi
Microsoft Entra Connect Sync: informazioni sul provisioning dichiarativo