Znane problemy z aprowizowaniem w identyfikatorze Entra firmy Microsoft
W tym artykule omówiono znane problemy, które należy wziąć pod uwagę podczas pracy z aprowizowaniem aplikacji lub synchronizacją między dzierżawami. Aby przekazać opinię na temat usługi aprowizacji aplikacji w usłudze UserVoice, zobacz Microsoft Entra application provision UserVoice (Aprowizowanie aplikacji w usłudze UserVoice firmy Microsoft). Uważnie obserwujemy usługę UserVoice, abyśmy mogli ulepszyć usługę.
Uwaga
Ten artykuł nie jest kompleksową listą znanych problemów. Jeśli znasz problem, który nie znajduje się na liście, prześlij opinię w dolnej części strony.
Synchronizacja między dzierżawami
Nieobsługiwane scenariusze synchronizacji
- Synchronizowanie grup, urządzeń i kontaktów z inną dzierżawą
- Synchronizowanie użytkowników w chmurach
- Synchronizowanie zdjęć między dzierżawami
- Synchronizowanie kontaktów i konwertowanie kontaktów na użytkowników B2B
- Synchronizowanie sal konferencyjnych między dzierżawami
Aktualizowanie adresów proxy
ProxyAddresses to właściwość tylko do odczytu w programie Microsoft Graph. Można go dołączyć jako atrybut źródłowy w mapowaniach, ale nie można go ustawić jako atrybut docelowy.
Użytkownicy z obsługą logowania sms są pomijani
Nie można aprowizować użytkownika zewnętrznego ze źródłowej dzierżawy (macierzystej) w innej dzierżawie. Wewnętrzni użytkownicy-goście z dzierżawy źródłowej nie mogą być aprowizowani w innej dzierżawie. Do dzierżawy docelowej można aprowizować tylko użytkowników wewnętrznych z dzierżawy źródłowej. Aby uzyskać więcej informacji, zobacz Właściwości użytkownika współpracy B2B firmy Microsoft.
Ponadto nie można zsynchronizować użytkowników z włączoną obsługą logowania sms za pośrednictwem synchronizacji między dzierżawami.
Aktualizowanie właściwości showInAddressList kończy się niepowodzeniem
W przypadku istniejących użytkowników współpracy B2B atrybut showInAddressList jest aktualizowany tak długo, jak użytkownik współpracy B2B nie ma włączonej skrzynki pocztowej w dzierżawie docelowej. Jeśli skrzynka pocztowa jest włączona w dzierżawie docelowej, użyj polecenia cmdlet Set-MailUser programu PowerShell, aby ustawić właściwość HiddenFromAddressListsEnabled na wartość $false.
Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false
Gdzie [GuestUserUPN] to obliczona nazwa UserPrincipalName. Przykład:
Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false
Aby uzyskać więcej informacji, zobacz Artykuł About the Exchange Online PowerShell module (Informacje o module programu PowerShell usługi Exchange Online).
Atrybut poczty nie został zaktualizowany
Jeśli użytkownik w dzierżawie docelowej ma przypisaną licencję wymiany, synchronizacja między dzierżawami nie będzie mogła zaktualizować atrybutu poczty. Aby obejść ten proces, usuń licencję wymiany dla użytkownika, zaktualizuj atrybut poczty i ponownie przypisz licencję do użytkownika.
Konfigurowanie synchronizacji z dzierżawy docelowej
Konfigurowanie synchronizacji z dzierżawy docelowej nie jest obsługiwane. Wszystkie konfiguracje należy wykonać w dzierżawie źródłowej. Administrator docelowy może w dowolnym momencie wyłączyć synchronizację między dzierżawami.
Dwóch użytkowników w dzierżawie źródłowej jest dopasowanych do tego samego użytkownika w dzierżawie docelowej
Gdy dwóch użytkowników w dzierżawie źródłowej ma tę samą pocztę i obaj muszą zostać utworzeni w dzierżawie docelowej, jeden użytkownik zostanie utworzony w elemecie docelowym i połączony z dwoma użytkownikami w źródle. Upewnij się, że atrybut poczty nie jest współużytkowany przez użytkowników w dzierżawie źródłowej. Ponadto upewnij się, że poczta użytkownika w dzierżawie źródłowej pochodzi z zweryfikowanej domeny. Użytkownik zewnętrzny nie zostanie pomyślnie utworzony, jeśli wiadomość e-mail pochodzi z domeny niezweryfikowanej.
Użycie współpracy między dzierżawami firmy Microsoft Entra B2B
- Użytkownicy B2B nie mogą zarządzać niektórymi usługami Platformy Microsoft 365 w dzierżawach zdalnych (takich jak Usługa Exchange Online), ponieważ nie ma selektora katalogów.
- Aby dowiedzieć się więcej o obsłudze usługi Azure Virtual Desktop dla użytkowników B2B, zobacz Wymagania wstępne dotyczące usługi Azure Virtual Desktop.
- Aby uzyskać najnowszy stan obsługi usługi Power BI dla użytkowników zewnętrznych, zobacz Dystrybucja zawartości usługi Power BI do zewnętrznych użytkowników-gości za pomocą usługi Microsoft Entra B2B
Autoryzacja
Nie można zmienić trybu aprowizacji z powrotem do ręcznego
Podczas konfigurowania aprowizacji po raz pierwszy zauważysz, że tryb aprowizacji został przełączony z ręcznego na automatyczny. Nie możesz co z powrotem zmienić na ręczną. Możesz natomiast wyłączyć aprowizowanie za pomocą interfejsu użytkownika. Wyłączenie aprowizowania w interfejsie użytkownika działa tak samo jak wybranie aprowizowania ręcznego na liście rozwijanej.
Mapowania atrybutów
Atrybut SamAccountName lub userType nie jest dostępny jako atrybut źródłowy
Atrybuty SamAccountName i userType nie są dostępne jako atrybuty źródłowe. Zamiast tego można użyć atrybutu rozszerzenia katalogu jako obejścia. Aby dowiedzieć się więcej, zobacz Brak atrybutu źródłowego.
Brak listy rozwijanej atrybutu źródłowego dla rozszerzenia schematu
Czasami brakuje rozszerzeń schematu z listy rozwijanej atrybutu źródłowego w interfejsie użytkownika. Przejdź do ustawień zaawansowanych mapowań atrybutów i ręcznie dodaj atrybuty. Aby dowiedzieć się więcej, zobacz Dostosowywanie mapowań atrybutów.
Nie można aprowizować atrybutu o wartości null
Identyfikator Entra firmy Microsoft obecnie nie może aprowizować atrybutów null. Jeśli atrybut ma wartość null w obiekcie użytkownika, zostanie pominięty.
Znaki specjalne nie są obsługiwane we właściwościach dołączania
Identyfikator Entra firmy Microsoft obecnie nie może wykonywać zapytań filtrów dotyczących wartości zawierających znaki specjalne. W związku z tym próba aprowizacji zasobu (użytkownika lub grupy) ze specjalnym znakiem atrybutów filtru kończy się niepowodzeniem. Przykładem może być grupa ze specjalnym znakiem nazwy w identyfikatorze Entra firmy Microsoft, ale nie można jej zsynchronizować z systemem docelowym.
Maksymalna liczba znaków w wyrażeniach mapowania atrybutów
Wyrażenia mapowania atrybutów mogą mieć maksymalnie 10 000 znaków.
Nieobsługiwane filtry określania zakresu
Atrybuty appRoleAssignments, userType, manager i date-type (na przykład StatusHireDate, startDate, endDate, StatusTerminationDate, accountExpires) nie są obsługiwane jako filtry określania zakresu.
Atrybuty OtherMails nie powinny być uwzględniane w mapowaniach atrybutów jako atrybut docelowy
Właściwość otherMails jest automatycznie obliczana w dzierżawie docelowej. Zmiany obiektu użytkownika wprowadzone bezpośrednio w dzierżawie docelowej mogą spowodować zaktualizowanie właściwości otherMails i zastąpienie wartości ustawionej przez synchronizację między dzierżawami. W związku z tym inneMails nie powinny być uwzględniane w mapowaniach atrybutów synchronizacji między dzierżawami jako atrybut docelowy.
Rozszerzenia katalogów wielowartościowych
Rozszerzenia katalogów wielowartościowych nie mogą być używane w mapowaniach atrybutów ani filtrach określania zakresu.
Atrybut targetAddress nie jest dostępny do wybrania
Atrybut targetAddress (który mapuje na właściwość ExternalEmailAddress w usłudze Microsoft Exchange Online) nie jest dostępny jako atrybut, który można wybrać. Jeśli musisz zmienić ten atrybut, musisz to zrobić ręcznie w wymaganym obiekcie.
Problemy z usługami
Nieobsługiwane scenariusze
- Aprowizowanie haseł nie jest obsługiwane.
- Aprowizowanie zagnieżdżonych grup poza pierwszym poziomem nie jest obsługiwane.
- Aprowizowanie nie jest obsługiwane w przypadku dzierżaw B2C, w tym w dzierżawie lub poza dzierżawą.
- Aprowizacja nie jest obsługiwana w przypadku dzierżaw identyfikatorów zewnętrznych, w tym dzierżawy lub z niego.
- Nie wszystkie aplikacje aprowizacji są dostępne we wszystkich chmurach.
Automatyczna aprowizacja nie jest dostępna w mojej aplikacji opartej na protokole OIDC
Jeśli tworzysz rejestrację aplikacji, odpowiednia jednostka usługi w aplikacjach dla przedsiębiorstw nie będzie włączona na potrzeby automatycznej aprowizacji użytkowników. Musisz zażądać dodania aplikacji do galerii, jeśli jest przeznaczona do użytku przez wiele organizacji, lub utworzyć drugą aplikację spoza galerii na potrzeby aprowizacji.
Menedżer nie jest aprowizowany
Jeśli użytkownik i ich menedżer znajdują się w zakresie aprowizacji, usługa aprowizuje użytkownika, a następnie aktualizuje menedżera. Jeśli pierwszego dnia użytkownik znajduje się w zakresie, a menedżer jest poza zakresem, aprowizujemy użytkownika bez odwołania do menedżera. Gdy menedżer wejdzie w zakres, odwołanie do menedżera nie zostanie zaktualizowane do momentu ponownego uruchomienia aprowizacji i ponownego oceny usługi wszystkich użytkowników.
Interwał aprowizacji jest stały
Czas między cyklami aprowizacji nie jest obecnie konfigurowalny.
Zmiany nie są przenoszone z aplikacji docelowej do identyfikatora Entra firmy Microsoft
Usługa aprowizacji aplikacji nie jest świadoma zmian wprowadzonych w aplikacjach zewnętrznych. Dlatego żadne działania nie są podejmowane w celu wycofania. Usługa aprowizacji aplikacji opiera się na zmianach wprowadzonych w identyfikatorze Entra firmy Microsoft.
Przełączanie z synchronizacji wszystkie do przypisanej synchronizacji nie działa
Po zmianie zakresu z Synchronizuj wszystkie na Przypisano synchronizację upewnij się, że wykonasz również ponowne uruchomienie, aby upewnić się, że zmiana zostanie w życie. Ponowne uruchomienie można wykonać z poziomu interfejsu użytkownika.
Cykl aprowizacji będzie kontynuowany do momentu ukończenia
Po ustawieniu aprowizacji na enabled = off
lub wybraniu pozycji Zatrzymaj bieżący cykl aprowizacji będzie kontynuowany do momentu ukończenia. Usługa przestaje wykonywać wszystkie przyszłe cykle do momentu ponownego włączenia aprowizacji.
Członek grupy, który nie jest aprowizacji
Gdy grupa znajduje się w zakresie i element członkowski jest poza zakresem, grupa zostanie aprowizowana. Użytkownik poza zakresem nie zostanie aprowizowany. Jeśli członek wróci do zakresu, usługa nie wykryje natychmiast zmiany. Ponowne uruchamianie aprowizacji rozwiązuje ten problem. Okresowo ponownie uruchamiaj usługę, aby upewnić się, że wszyscy użytkownicy są prawidłowo aprowizowani.
Czytelnik globalny
Rola Czytelnik globalny nie może odczytać konfiguracji aprowizacji. Utwórz rolę niestandardową z microsoft.directory/applications/synchronization/standard/read
uprawnieniem, aby odczytać konfigurację aprowizacji z centrum administracyjnego firmy Microsoft Entra.
Microsoft Azure Government Cloud
Poświadczenia, w tym token tajny, wiadomość e-mail z powiadomieniem i wiadomości e-mail z powiadomieniem o certyfikacie logowania jednokrotnego, mają limit 1 KB w chmurze Microsoft Azure Government Cloud.
Aprowizowanie aplikacji lokalnych
Jest to bieżąca lista znanych ograniczeń dotyczących hosta łącznika EcMA firmy Microsoft i aprowizacji aplikacji lokalnych.
Aplikacje i katalogi
Następujące aplikacje i katalogi nie są jeszcze obsługiwane.
domena usługi Active Directory Services (zapisywanie zwrotne użytkowników lub grup z usługi Microsoft Entra ID przy użyciu lokalnej wersji zapoznawczej aprowizacji)
- Gdy użytkownik jest zarządzany przez program Microsoft Entra Connect, źródłem urzędu jest lokalna usługa Active Directory Usług domenowych. Nie można więc zmienić atrybutów użytkownika w identyfikatorze Entra firmy Microsoft. Ta wersja zapoznawcza nie zmienia źródła urzędu dla użytkowników zarządzanych przez program Microsoft Entra Connect.
- Próba użycia programu Microsoft Entra Connect i lokalnej aprowizacji w celu aprowizacji grup lub użytkowników w usługach domena usługi Active Directory może prowadzić do utworzenia pętli, w której program Microsoft Entra Connect może zastąpić zmianę wprowadzoną przez usługę aprowizacji w chmurze. Firma Microsoft pracuje nad dedykowaną funkcją zapisywania zwrotnego grup lub użytkowników. Prześlij opinię na temat usługi UserVoice w tej witrynie internetowej , aby śledzić stan wersji zapoznawczej. Alternatywnie możesz użyć programu Microsoft Identity Manager do zapisywania zwrotnego użytkowników lub grup z identyfikatora Entra firmy Microsoft do usługi Active Directory.
Microsoft Entra ID
Korzystając z lokalnej aprowizacji, możesz pobrać użytkownika już w usłudze Microsoft Entra ID i aprowizować je w aplikacji innej firmy. Nie można przenieść użytkownika do katalogu z aplikacji innej firmy. Klienci będą musieli polegać na naszych natywnych integracji kadr, Microsoft Entra Connect, Microsoft Identity Manager lub Microsoft Graph, aby umożliwić użytkownikom przejście do katalogu.
Atrybuty i obiekty
Następujące atrybuty i obiekty nie są obsługiwane:
- Atrybuty wielowartościowe.
- Atrybuty odwołania (na przykład menedżer).
- Grupy.
- Złożone kotwice (na przykład ObjectTypeName+UserName).
- Atrybuty, które mają znaki, takie jak "." lub "["
- Atrybuty binarne.
- Aplikacje lokalne czasami nie są sfederowane z identyfikatorem Entra firmy Microsoft i wymagają haseł lokalnych. Lokalna wersja zapoznawcza aprowizacji nie obsługuje synchronizacji haseł. Obsługiwana jest aprowizacja początkowych haseł jednorazowych. Upewnij się, że używasz funkcji Redact do redagowania haseł z dzienników. W łącznikach SQL i LDAP hasła nie są eksportowane podczas początkowego wywołania aplikacji, ale raczej drugie wywołanie z ustawionym hasłem.
certyfikaty SSL
Host łącznika Microsoft Entra ECMA obecnie wymaga, aby certyfikat SSL był zaufany przez platformę Azure lub agent aprowizacji, który ma być używany. Podmiot certyfikatu musi być zgodny z nazwą hosta, na którym jest zainstalowany host łącznika ECMA firmy Microsoft.
Atrybuty kotwicy
Host łącznika ECMA firmy Microsoft obecnie nie obsługuje zmian atrybutów kotwicy (nazw) ani systemów docelowych, które wymagają wielu atrybutów w celu utworzenia kotwicy.
Odnajdywanie i mapowanie atrybutów
Atrybuty obsługiwane przez aplikację docelową są odnajdywane i udostępniane w centrum administracyjnym firmy Microsoft Entra w obszarze Mapowania atrybutów. Nowo dodane atrybuty będą nadal odnajdywane. Jeśli typ atrybutu uległ zmianie, na przykład ciąg na wartość logiczną, a atrybut jest częścią mapowań, typ nie zmieni się automatycznie w centrum administracyjnym firmy Microsoft Entra. Klienci będą musieli przejść do ustawień zaawansowanych w mapowaniach i ręcznie zaktualizować typ atrybutu.
Agent aprowizacji
- Agent nie obsługuje obecnie automatycznej aktualizacji scenariusza aprowizacji aplikacji lokalnych. Aktywnie pracujemy nad zamknięciem tej luki i upewnieniem się, że automatyczna aktualizacja jest domyślnie włączona i wymagana dla wszystkich klientów.
- Tego samego agenta aprowizacji nie można używać do aprowizacji aplikacji lokalnych i synchronizacji w chmurze/aprowizacji opartej na hr.