Udostępnij za pośrednictwem


Żadni użytkownicy nie są aprowizowani

Uwaga

Od 16.04.2020 r. zmieniliśmy zachowanie użytkowników, którym przypisano domyślną rolę dostępu. Aby uzyskać szczegółowe informacje, zobacz poniższą sekcję.

Po skonfigurowaniu automatycznej aprowizacji dla aplikacji (w tym sprawdzaniu, czy poświadczenia aplikacji dostarczone do identyfikatora Entra firmy Microsoft w celu nawiązania połączenia z aplikacją są prawidłowe), użytkownicy i/lub grupy są aprowizowani w aplikacji. Aprowizacja jest określana przez następujące kwestie:

Jeśli zauważysz, że użytkownicy nie są aprowizowani, zapoznaj się z dziennikami aprowizacji w identyfikatorze Entra firmy Microsoft. Wyszukaj wpisy dziennika dla określonego użytkownika.

Aby uzyskać dostęp do dzienników aprowizacji w centrum administracyjnym firmy Microsoft Entra, przejdź do obszaru Identity Applications Enterprise applications>Provisioning logs (Dzienniki aprowizacji aplikacji dla przedsiębiorstw aplikacji>tożsamości).> Możesz również wybrać określoną aplikację, a następnie wybrać pozycję Dzienniki aprowizacji w sekcji Działanie . Dane aprowizacji można przeszukiwać na podstawie nazwy użytkownika lub identyfikatora w systemie źródłowym lub systemie docelowym. Aby uzyskać szczegółowe informacje, zobacz Aprowizowanie dzienników.

Dzienniki aprowizacji rejestrują wszystkie operacje wykonywane przez usługę aprowizacji, w tym odpytywanie identyfikatora Entra firmy Microsoft dla przypisanych użytkowników, którzy mają zakres aprowizacji, odpytując aplikację docelową dla istnienia tych użytkowników, porównując obiekty użytkownika między systemem. Następnie dodaj, zaktualizuj lub wyłącz konto użytkownika w systemie docelowym na podstawie porównania.

Ogólne obszary problemów z aprowizowaniem, które należy wziąć pod uwagę

Poniżej znajduje się lista ogólnych obszarów problemów, które można przejść do szczegółów, jeśli masz pomysł, gdzie zacząć.

Nie można uruchomić usługi aprowizacji

Jeśli w sekcji Aprowizacja aplikacji [Application Name] >w centrum administracyjnym firmy Microsoft Entra ustawisz wartość . Stan aprowizacji dla aplikacji > dla przedsiębiorstw. Jednak żadne inne szczegóły stanu nie są wyświetlane na tej stronie po kolejnych ponownym załadowaniu, prawdopodobnie usługa jest uruchomiona, ale nie została jeszcze ukończona. Sprawdź opisane powyżej dzienniki aprowizacji, aby określić, jakie operacje wykonuje usługa i czy występują jakieś błędy.

Uwaga

Cykl początkowy może potrwać od 20 minut do kilku godzin, w zależności od rozmiaru katalogu Microsoft Entra i liczby użytkowników w zakresie aprowizacji. Kolejne synchronizacje po cyklu początkowym są szybsze, ponieważ usługa aprowizacji przechowuje znaki wodne reprezentujące stan obu systemów po cyklu początkowym. Cykl początkowy zwiększa wydajność kolejnych synchronizacji.

Dzienniki aprowizacji mówią, że użytkownicy są pomijani i nie są aprowizowani, mimo że są przypisani

Gdy użytkownik jest wyświetlany jako "pominięty" w dziennikach aprowizacji, należy przejrzeć kartę Kroki dziennika, aby określić przyczynę. Poniżej przedstawiono typowe przyczyny i rozwiązania:

  • Skonfigurowano filtr określania zakresu, który filtruje użytkownika na podstawie wartości atrybutu. Aby uzyskać więcej informacji na temat filtrów określania zakresu, zobacz Filtry określające zakres.
  • Użytkownik nie jest "skutecznie uprawniony". Jeśli widzisz ten konkretny komunikat o błędzie, przyczyną jest problem z rekordem przypisania użytkownika przechowywanym w identyfikatorze Entra firmy Microsoft. Aby rozwiązać ten problem, usuń przypisanie użytkownika (lub grupy) z aplikacji i ponowne przypisanie go ponownie. Aby uzyskać więcej informacji na temat przypisywania, zobacz Przypisywanie dostępu użytkowników lub grup.
  • Brak wymaganego atrybutu lub nie został on wypełniony dla użytkownika. Ważną kwestią, którą należy wziąć pod uwagę podczas konfigurowania aprowizacji, jest przejrzenie i skonfigurowanie mapowań atrybutów i przepływów pracy definiujących przepływ właściwości użytkownika (lub grupy) z identyfikatora Entra firmy Microsoft do aplikacji. Ta konfiguracja obejmuje ustawienie "pasującej właściwości", która służy do unikatowego identyfikowania i dopasowywania użytkowników/grup między dwoma systemami. Aby uzyskać więcej informacji na temat tego ważnego procesu, zobacz Dostosowywanie mapowań atrybutów aprowizacji użytkowników dla aplikacji SaaS w usłudze Microsoft Entra ID.
  • Mapowania atrybutów dla grup: aprowizowanie szczegółów nazwy grupy i grupy, oprócz elementów członkowskich, jeśli są obsługiwane w przypadku niektórych aplikacji. Tę funkcję można włączyć lub wyłączyć, włączając lub wyłączając mapowanie obiektów grupy wyświetlanych na karcie Aprowizowanie . Jeśli grupy aprowizacji są włączone, zapoznaj się z mapowaniami atrybutów, aby upewnić się, że odpowiednie pole jest używane dla "pasującego identyfikatora". Pasujący identyfikator może być nazwą wyświetlaną lub aliasem poczty e-mail. Grupa i jej członkowie nie są aprowizowane, jeśli pasująca właściwość jest pusta lub nie jest wypełniana dla grupy w identyfikatorze Entra firmy Microsoft.

Aprowizowanie użytkowników przypisanych do domyślnej roli dostępu

Rola domyślna aplikacji z galerii jest nazywana rolą "dostęp domyślny". W przeszłości użytkownicy przypisani do tej roli nie są aprowizowani i są oznaczani jako pominięte w dziennikach aprowizacji z powodu braku uprawnień.

Zachowanie w przypadku konfiguracji aprowizacji utworzonych po 16.04.2020 r.: Użytkownicy przypisani do domyślnej roli dostępu będą oceniani tak samo jak wszystkie inne role. Użytkownik, któremu przypisano domyślny dostęp, nie zostanie pominięty jako "nie jest skutecznie uprawniony".

Zachowanie w przypadku konfiguracji aprowizacji utworzonych przed 16.04.2020 r.: W ciągu najbliższych 3 miesięcy zachowanie będzie kontynuowane w dzisiejszych czasach. Użytkownicy z domyślną rolą dostępu zostaną pominięti, ponieważ nie będą skutecznie uprawnieni. Po lipcu 2020 r. zachowanie będzie jednolite dla wszystkich aplikacji. Nie pomijamy aprowizacji użytkowników z domyślną rolą dostępu ze względu na to, że "nie są skutecznie uprawnieni". Ta zmiana zostanie wprowadzona przez firmę Microsoft bez konieczności podejmowania działań przez klienta. Jeśli chcesz mieć pewność, że ci użytkownicy będą nadal pomijani, nawet po tej zmianie, zastosuj odpowiednie filtry określania zakresu lub usuń przypisanie użytkownika z aplikacji, aby upewnić się, że nie są one w zakresie.

Następne kroki

Synchronizacja programu Microsoft Entra Connect Sync: opis aprowizacji deklaratywnej