Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra i problemi noti da tenere in considerazione quando si usa il provisioning delle app o la sincronizzazione tra tenant. Per fornire feedback sul servizio di provisioning delle applicazioni su UserVoice, vedere UserVoice per il provisioning delle applicazioni di Microsoft Entra. È possibile osservare UserVoice da vicino in modo da poter contribuire al miglioramento del servizio.
Nota
Questo articolo non rappresenta un elenco completo dei problemi noti. Se si è a conoscenza di un problema non elencato, inviare un feedback tramite la parte inferiore della pagina.
Sincronizzazione tra istanze
Scenari di sincronizzazione non supportati
- Sincronizzazione di gruppi, dispositivi e contatti in un altro tenant
- Sincronizzazione degli utenti tra cloud
- Sincronizzazione delle foto tra tenant
- Sincronizzazione dei contatti e conversione dei contatti in utenti B2B
- Sincronizzazione delle sale riunioni tra tenant
Aggiornamento di attributi di scambio, ad esempio proxyAddresses e HiddenFromAddressListEnabled
La sincronizzazione tra tenant può gestire le proprietà utente in Entra. Non gestisce direttamente gli attributi di scambio. Per esempio:
- ProxyAddresses è una proprietà di sola lettura in Microsoft Graph. Può essere incluso come attributo di origine nei mapping, ma non può essere impostato come attributo di destinazione.
- La sincronizzazione tra tenant può aggiornare l'attributo ShowInAddressList in Entra, ma non può aggiornare direttamente HiddenFromAddressListEnabled in Exchange.
- TargetAddress, che esegue il mapping alla proprietà ExternalEmailAddress in Microsoft Exchange Online, non è disponibile come attributo che è possibile scegliere. Se occorre modificare questo attributo, è necessario farlo manualmente sull'oggetto richiesto.
Gli utenti con accesso SMS vengono ignorati
Non è possibile effettuare il provisioning di un utente esterno del tenant di origine (principale) in un altro tenant. Non è possibile effettuare il provisioning degli utenti guest interni del tenant di origine in un altro tenant. Possono essere effettuate operazioni di provisioning nel tenant di destinazione solo per gli utenti membri interni del tenant di origine. Per altre informazioni, vedere Proprietà di un utente di Collaborazione B2B Microsoft Entra.
Inoltre, gli utenti abilitati per l'accesso tramite SMS non possono essere sincronizzati tramite la sincronizzazione tra tenant.
L'aggiornamento della proprietà showInAddressList non riesce
Per gli utenti di Collaborazione B2B esistenti, l'attributo showInAddressList viene aggiornato purché l'utente di Collaborazione B2B non abbia una cassetta postale abilitata nel tenant di destinazione. Se la cassetta postale è abilitata nel tenant di destinazione, usare il cmdlet di PowerShell Set-MailUser per impostare la proprietà HiddenFromAddressListsEnabled su un valore di $false.
Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false
Dove [GuestUserUPN] è il UserPrincipalName calcolato. Esempio:
Set-MailUser guestuser1_contoso.com#EXT#@fabrikam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false
Per altre informazioni, vedere Informazioni sul modulo PowerShell di Exchange Online.
L'attributo Mail non viene aggiornato
Se all'utente nel tenant di destinazione viene assegnata una licenza di Exchange, la sincronizzazione tra tenant non sarà in grado di aggiornare l'attributo di posta elettronica. Per risolvere questo problema, rimuovere la licenza di scambio per l'utente, aggiornare l'attributo di posta elettronica e assegnare nuovamente la licenza all'utente.
Configurazione della sincronizzazione dal tenant di destinazione
La configurazione della sincronizzazione dal tenant di destinazione non è supportata. Tutte le configurazioni devono essere eseguite nel tenant di origine. L'amministratore di destinazione è in grado di disabilitare la sincronizzazione tra tenant in qualsiasi momento.
Due utenti nel tenant di origine corrispondono allo stesso utente nel tenant di destinazione
Quando due utenti nel tenant di origine hanno la stessa posta elettronica e devono entrambi essere creati nel tenant di destinazione, un utente viene creato nella destinazione e collegato ai due utenti nell'origine. Assicurarsi che l'attributo di posta elettronica non sia condiviso tra gli utenti nel tenant di origine. Assicurarsi inoltre che la posta elettronica dell'utente nel tenant di origine provenga da un dominio verificato. L'utente esterno non verrà creato correttamente se la posta elettronica proviene da un dominio non verificato.
Utilizzo di Collaborazione B2B di Microsoft Entra per l'accesso tra tenant
- Gli utenti B2B non possono gestire alcuni servizi di Microsoft 365 nei tenant remoti (ad esempio Exchange Online), perché non è disponibile alcun selettore di directory.
- Per informazioni sul supporto di Desktop virtuale Azure per gli utenti B2B, vedere Prerequisiti per Desktop virtuale Azure.
- Per lo stato più recente del supporto di Power BI per gli utenti membri esterni, vedere Distribuire il contenuto di Power BI agli utenti guest esterni con Microsoft Entra B2B
Autorizzazione
Non è possibile reimpostare la modalità di provisioning su manuale
Quando si configura il provisioning per la prima volta, si noterà che la modalità di provisioning passa da manuale ad automatica. Non è possibile reimpostarla su manuale. È tuttavia possibile disattivare il provisioning tramite l'interfaccia utente. La disattivazione del provisioning nell'interfaccia utente ha lo stesso effetto dell'impostazione dell'elenco a discesa su manuale.
Mapping degli attributi
Attributi SamAccountName o userType non disponibili come attributi di origine
Gli attributi SamAccountName e userType non sono disponibili come attributi di origine. È invece possibile usare un attributo di estensione della directory come soluzione alternativa. Per altre informazioni, vedere Attributo di origine mancante.
Nel menu a discesa degli attributi della fonte, manca l'estensione dello schema.
Le estensioni allo schema possono talvolta non essere presenti nell'elenco a discesa degli attributi di origine nell'interfaccia utente. Passare alle impostazioni avanzate di mapping degli attributi e aggiungere manualmente gli attributi. Per altre informazioni, vedere Personalizzare il mapping degli attributi.
Non è possibile effettuare il provisioning dell'attributo Null
Microsoft Entra ID attualmente non può effettuare il provisioning di attributi null. Se un attributo è Null nell'oggetto utente, viene ignorato.
I caratteri speciali non sono supportati nelle proprietà di abbinamento
Microsoft Entra ID attualmente non può eseguire query di filtro sui valori contenenti caratteri speciali. Di conseguenza, un tentativo di provisioning su una risorsa (utente o gruppo) con un carattere speciale sugli attributi di filtro ha esito negativo. Ad esempio, è possibile creare un gruppo con un carattere speciale nel nome in Microsoft Entra ID, ma non è possibile sincronizzarlo con un sistema di destinazione.
Numero massimo di caratteri per le espressioni di mapping degli attributi
Le espressioni di mapping degli attributi possono avere un massimo di 10.000 caratteri.
Filtri di ambito non supportati
Gli attributi appRoleAssignments, userType, manager e date-type (ad esempio, StatusHireDate, startDate, endDate, StatusTerminationDate, accountExpires) non sono supportati come filtri di ambito.
OtherMails non deve essere incluso come attributo di destinazione nel mapping degli attributi.
La proprietà otherMails viene calcolata automaticamente nel tenant di destinazione. Le modifiche apportate all'oggetto utente direttamente nel tenant di destinazione potrebbero comportare l'aggiornamento della proprietà otherMails e la sostituzione del valore impostato dalla sincronizzazione tra tenant. Di conseguenza, otherMails non deve essere incluso come attributo di destinazione nel mapping degli attributi di sincronizzazione tra tenant.
Estensioni di directory multivalore
Le estensioni di directory multivalore non possono essere usate nelle mappature degli attributi o nei filtri di ambito.
Problemi relativi al servizio
Scenari non supportati
- Il provisioning delle password non è supportato.
- Il provisioning di gruppi annidati oltre il primo livello non è supportato.
- Il provisioning non è supportato per i tenant B2C, sia internamente che esternamente al tenant.
- Il provisioning non è supportato per i tenant con ID esterno, compreso l'ingresso o l'uscita dal tenant.
- Non tutte le app di provisioning sono disponibili in tutti i cloud.
Il provisioning automatico non è disponibile nella mia applicazione basata su OIDC
Se si crea una registrazione dell'app, l'entità servizio corrispondente nelle app aziendali non verrà abilitata per il provisioning utenti automatico. Sarà necessario richiedere che l'app sia aggiunta alla galleria, se destinata all'uso da parte di più organizzazioni, oppure creare una seconda app non-galleria per la fornitura.
Il manager non è stato configurato
Se un utente e il relativo manager sono entrambi nell'ambito del provisioning, il servizio effettua il provisioning dell'utente e quindi aggiorna il manager. Se il primo giorno l'utente è nell'ambito e il manager non rientra nell'ambito, verrà effettuato il provisioning dell'utente senza la referenza del manager. Quando il manager entra nell'ambito, la referenza del manager non verrà aggiornata fino al riavvio del provisioning e alla conseguente rivalutazione di tutti gli utenti da parte del servizio.
L'intervallo di provisioning è fisso
Il tempo tra i cicli di provisioning non è attualmente configurabile.
Le modifiche non passano dall'app di destinazione a Microsoft Entra ID
Il servizio di provisioning dell'app non riconosce le modifiche apportate nelle app esterne. Quindi, non viene eseguita alcuna azione per eseguire il rollback. Il servizio di provisioning dell'app si basa sulle modifiche apportate in Microsoft Entra ID.
Il passaggio da "Sincronizza tutto" a "Sincronizza assegnati" non funziona.
Dopo aver modificato l'ambito da Sincronizza tutto a Sincronizza assegnati, assicurarsi di eseguire anche un riavvio per assicurarsi che la modifica abbia effetto. È possibile eseguire il riavvio dall'interfaccia utente.
Il ciclo di provisioning continua fino al completamento
Quando si imposta il provisioning su enabled = off o si seleziona Arresta, il ciclo di provisioning corrente continua fino al completamento. Il servizio interrompe l'esecuzione di eventuali cicli futuri fino a quando non si riattiva nuovamente la funzione di provisioning.
Membro del gruppo non configurato
Quando un gruppo rientra nell'ambito e un membro non vi rientra, viene effettuato il provisioning del gruppo. La fornitura dell'utente fuori dall'ambito non verrà effettuata. Se il membro rientra nuovamente nell'ambito, il servizio non rileva immediatamente la modifica. Il riavvio del provisioning risolve il problema. Riavviare periodicamente il servizio per garantire che tutti gli utenti siano configurati correttamente.
Lettore Globale
Il ruolo Lettore globale non può leggere la configurazione del provisioning. Creare un ruolo personalizzato con l'autorizzazione microsoft.directory/applications/synchronization/standard/read per leggere la configurazione del provisioning dall'interfaccia di amministrazione di Microsoft Entra.
Cloud di Microsoft Azure per enti pubblici
Le credenziali, inclusi il token segreto, la posta elettronica di notifica e i messaggi di posta elettronica di notifica dei certificati SSO, hanno un limite di 1 KB nel cloud di Microsoft Azure per enti pubblici.
Provisioning delle applicazioni locali
Questo è un elenco aggiornato delle limitazioni note con l'host del connettore Microsoft Entra ECMA e il provisioning delle applicazioni on-premises.
Directory e applicazioni
Le applicazioni e le directory seguenti non sono ancora supportate.
Active Directory Domain Services (sincronizzazione inversa di utenti o gruppi da Microsoft Entra ID utilizzando l'anteprima del provisioning locale)
- Quando un utente viene gestito da Microsoft Entra Connect, l'origine dell'autorità è Active Directory Domain Services locale. Pertanto, gli attributi utente non possono essere modificati in Microsoft Entra ID. Questa anteprima non modifica l'origine dell'autorità per gli utenti gestiti da Microsoft Entra Connect.
- Il tentativo di usare Microsoft Entra Connect e il provisioning locale per effettuare il provisioning di gruppi o utenti in Active Directory Domain Services può causare la creazione di un ciclo, in cui Microsoft Entra Connect può sovrascrivere una modifica apportata dal servizio di provisioning nel cloud. Microsoft sta lavorando a una funzionalità dedicata per il writeback di gruppi o utenti. Metti un voto positivo al feedback di UserVoice su questo sito Web per monitorare lo stato dell'anteprima. In alternativa, è possibile usare Microsoft Identity Manager per il writeback di utenti o gruppi da Microsoft Entra ID ad Active Directory.
Microsoft Entra ID
Usando il provisioning locale, è possibile prendere un utente già presente in Microsoft Entra ID ed eseguirne il provisioning in un'applicazione di terze parti. Non è possibile inserire un utente nella directory da un'applicazione di terze parti. I clienti dovranno affidarsi alle integrazioni native di Microsoft per le risorse umane: Microsoft Entra Connect, Microsoft Identity Manager o Microsoft Graph, per inserire gli utenti nella directory.
Attributi e oggetti
Gli attributi e oggetti seguenti non sono supportati:
- Attributi multivalori.
- Attributi di riferimento (ad esempio manager).
- Gruppi.
- Ancoraggi complessi (ad esempio ObjectTypeName+UserName).
- Attributi con caratteri come "." o "["
- Attributi binari.
- Le applicazioni locali a volte non sono federate con Microsoft Entra ID e richiedono password locali. L'anteprima del provisioning locale non supporta la sincronizzazione delle password. Il provisioning delle password iniziali monouso è supportato. Assicurarsi di usare la funzione Redact per redigere le password dai log. Nei connettori SQL e LDAP le password non vengono esportate nella chiamata iniziale all'applicazione, ma piuttosto in una seconda chiamata con la password impostata.
certificati SSL
L'host del connettore Microsoft Entra ECMA richiede attualmente un certificato SSL considerato attendibile da Azure o l'utilizzo dell'agente di provisioning. L'oggetto del certificato deve corrispondere al nome host in cui è installato l'host del connettore Microsoft Entra ECMA.
Attributi di ancoraggio
L'host del connettore Microsoft Entra ECMA al momento non supporta le modifiche o i rinominazioni dell'attributo di ancoraggio, né i sistemi di destinazione che richiedono l'uso di più attributi per formare un ancoraggio.
Individuazione e mappatura degli attributi
Gli attributi supportati dall'applicazione di destinazione vengono visualizzati nell'interfaccia di amministrazione di Microsoft Entra in Mappatura degli attributi. Gli attributi appena aggiunti continueranno a essere individuati. Se un tipo di attributo è stato modificato, ad esempio da stringa a booleano, e l'attributo fa parte dei mapping, il tipo non cambierà automaticamente nell'interfaccia di amministrazione di Microsoft Entra. I clienti dovranno accedere alle impostazioni avanzate nei mapping e aggiornare manualmente il tipo di attributo.
Agente di provisioning
- L'agente attualmente non supporta l'aggiornamento automatico per lo scenario di provisioning delle applicazioni locali. Microsoft sta lavorando attivamente per chiudere questo divario e assicurarsi che l'aggiornamento automatico sia abilitato per impostazione predefinita e obbligatorio per tutti i clienti.
- Lo stesso agente di provisioning non può essere usato per il provisioning delle app locali e la sincronizzazione cloud / il provisioning basato su risorse umane.