Compartilhar via


Problemas conhecidos para provisionamento no Microsoft Entra ID

Este artigo aborda problemas conhecidos de que você deve estar ciente ao trabalhar com o provisionamento de aplicativos ou a sincronização entre locatários. Para fornecer comentários sobre o serviço de provisionamento de aplicativos no UserVoice, consulte UserVoice de provisionamento de aplicativos do Microsoft Entra. Nós observamos com atenção o UserVoice para aprimorar o serviço.

Observação

Este artigo não é uma lista abrangente de problemas conhecidos. Se você souber de um problema que não está listado, forneça comentários na parte inferior da página.

Sincronização entre locatários

Cenários de sincronização sem suporte

  • Sincronizar grupos, dispositivos e contatos em outro locatário
  • Sincronizar usuários entre nuvens
  • Sincronizar fotos entre locatários
  • Sincronizar contatos e converter contatos em usuários B2B
  • Sincronizando salas de reunião entre locatários

Como atualizar proxyAddresses

ProxyAddresses é uma propriedade somente leitura no Microsoft Graph. Pode ser incluída como um atributo de origem nos seus mapeamentos, mas não pode ser definida como um atributo de destino.

Provisionar usuários

Um usuário externo do locatário de origem (inicial) não pode ser provisionado em outro locatário. Usuários convidados internos do locatário de origem não podem ser provisionados em outro locatário. Somente usuários membros internos do locatário de origem podem ser provisionados no locatário de destino. Para obter mais informações, consulte Propriedades de um usuário de colaboração do Microsoft Entra B2B.

Além disso, usuários habilitados para entrada por SMS não podem ser sincronizados por meio da sincronização entre locatários.

Falha ao atualizar a propriedade showInAddressList

Para usuários de colaboração B2B existentes, o atributo showInAddressList será atualizado desde que o usuário de colaboração B2B não tenha uma caixa de correio habilitada no locatário de destino. Se a caixa de correio estiver habilitada no locatário de destino, use o cmdlet Set-MailUser do PowerShell para definir a propriedade HiddenFromAddressListsEnabled como um valor de $false.

Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false

Em que [GuestUserUPN] é o UserPrincipalName calculado. Exemplo:

Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false

Para obter mais informações, confira Sobre o módulo PowerShell do Exchange Online.

Configurar a sincronização do locatário de destino

Não há suporte para configurar a sincronização do locatário de destino. Todas as configurações devem ser feitas no locatário de origem. O administrador de destino pode desativar a sincronização entre locatários a qualquer momento.

Dois usuários no locatário de origem correspondem ao mesmo usuário no locatário de destino

Quando dois usuários no locatário de origem tiverem o mesmo email e ambos precisarem ser criados no locatário de destino, um usuário será criado no destino e vinculado aos dois usuários na origem. Verifique se o atributo de email não é compartilhado entre os usuários no locatário de origem. Além disso, verifique se o email do usuário no locatário de origem é de um domínio verificado. O usuário externo não será criado com êxito se o email for de um domínio não verificado.

Uso da colaboração do Microsoft Entra B2B para acesso entre locatários

Autorização

Não é possível retornar o modo de provisionamento para manual

Depois de configurar o provisionamento pela primeira vez, você observará que o modo de provisionamento foi alterado de manual para automático. Você não pode alterá-lo de volta para manual. Mas você pode desligar o provisionamento por meio da interface do usuário. Na prática, desligar o provisionamento na interface do usuário faz o mesmo que configurar a lista suspensa como manual.

Mapeamentos de atributo

O atributo SamAccountName ou o userType não está disponível como um atributo de origem

Os atributos SamAccountName e userType não estão disponíveis como atributos de origem. Em vez disso, você pode usar um atributo de extensão de diretório como solução alternativa. Para saber mais, confira Atributo de origem ausente.

Lista suspensa de atributo de origem ausente para extensão de esquema

Às vezes, as extensões para o seu esquema podem estar ausentes na lista suspensa de atributo de origem na interface do usuário. Acesse as configurações avançadas dos seus mapeamentos de atributo e adicione manualmente os atributos. Para saber mais, confira Personalizar mapeamentos de atributo.

Um atributo nulo não pode ser provisionado

O Microsoft Entra ID atualmente não pode provisionar atributos nulos. Se um atributo for nulo no objeto de usuário, ele será ignorado.

Não há suporte para caracteres especiais nas propriedades de associação

No momento, o Microsoft Entra ID não pode executar consultas de filtro em valores que contêm caracteres especiais. Portanto, uma tentativa de provisionamento em um recurso (usuário ou grupo) com um caractere especial em falhas de atributos de filtro. Um exemplo é que um grupo com um caractere especial no nome pode ser criado no Microsoft Entra ID, mas não pode ser sincronizado com um sistema de destino.

Máximo de caracteres para expressões de mapeamento de atributo

As expressões de mapeamento de atributo podem ter no máximo dez mil caracteres.

Filtros de escopo sem suporte

Não há suporte para os atributos appRoleAssignments, userType, manager, e date-type (por exemplo, StatusHireDate, startDate, endDate, StatusTerminationDate, accountExpires) como filtros de escopo.

OtherMails não deve ser incluída como um atributo de destino em seus mapeamentos de atributo.

A propriedade otherMails é computada automaticamente no locatário de destino. As alterações no objeto de usuário feitas diretamente no locatário de destino podem resultar na atualização da propriedade otherMails e substituir o valor definido pela sincronização entre locatários. Como resultado, otherMails não deve ser incluído em seus mapeamentos de atributo de sincronização entre locatários como um atributo de destino.

Extensões de diretório de vários valores

Extensões de diretório de vários valores não podem ser usadas em mapeamentos de atributo ou filtros de escopo.

Atributo targetAddress não disponível para seleção

O atributo targetAddress (que mapeia para a propriedade ExternalEmailAddress no Microsoft Exchange Online) não está disponível como um atributo que você pode escolher. Se você precisar alterar esse atributo, deverá fazê-lo manualmente no objeto desejado.

Problemas de serviço

Cenários sem suporte

  • Não há suporte para o provisionamento de senhas.
  • Não há suporte para o provisionamento de grupos aninhados além do primeiro nível.
  • Não há suporte para provisionamento para locatários B2C, nem para a entrada nem para a saída do locatário.
  • Não há suporte para provisionamento para locatários de ID externa, nem para a entrada nem para a saída do locatário.
  • Nem todos os aplicativos de provisionamento estão disponíveis em todas as nuvens.

O provisionamento automático não está disponível no meu aplicativo baseado em OIDC

Se você criar um registro de aplicativo, a entidade de serviço correspondente nos aplicativos empresariais não será habilitada para o provisionamento automático de usuário. Você precisará solicitar que o aplicativo seja adicionado na galeria, se ele for destinado para uso por várias organizações, ou criar um segundo aplicativo que não seja da galeria para provisionamento.

O gerenciador não está provisionado

Se um usuário e o gerenciador dele estiverem no escopo do provisionamento, o serviço provisionará o usuário e atualizará o gerenciador. Se no primeiro dia um usuário estiver no escopo e o gerenciador estiver fora do escopo, o usuário será provisionado sem a referência do gerenciador. Quando o gerenciador estiver no escopo, a referência do gerenciador não será atualizada até que você reinicie o provisionamento e faça com que o serviço reavalie todos os usuários novamente.

O intervalo de provisionamento é fixo

O tempo entre os ciclos de provisionamento não é configurável no momento.

Alterações que não se movem do aplicativo de destino para a ID de Microsoft Entra

O serviço de provisionamento de aplicativos não está ciente das alterações feitas em aplicativos externos. Portanto, nenhuma ação é executada para reverter. O serviço de provisionamento de aplicativo depende das alterações feitas no Microsoft Entra ID.

A alternância da opção Sincronizar Tudo para Sincronizar Itens Atribuídos não está funcionando

Depois de alterar o escopo de Sincronizar Tudo para Sincronizar Itens Atribuídos, lembre-se também de executar uma reinicialização para garantir que a alteração entre em vigor. Você pode fazer a reinicialização na interface do usuário.

O ciclo de provisionamento continua até a conclusão

Quando você configurar o provisionamento como enabled = off ou selecionar Parar, o ciclo de provisionamento atual continuará em execução até a conclusão. O serviço interromperá a execução de qualquer ciclo futuro até você ativar o provisionamento novamente.

Membro do grupo não provisionado

Quando um grupo estiver no escopo e um membro estiver fora do escopo, o grupo será provisionado. O usuário fora do escopo não será provisionado. Se o membro voltar para o escopo, o serviço não detectará imediatamente a alteração. Reiniciar o provisionamento resolve o problema. Reinicie o serviço periodicamente para garantir que todos os usuários sejam provisionados corretamente.

Leitor global

A função Leitor Global não consegue ler a configuração de provisionamento. Crie uma função personalizada com a permissão microsoft.directory/applications/synchronization/standard/read para ler a configuração de provisionamento do Centro de administração do Microsoft Entra.

Nuvem do Microsoft Azure Government

As credenciais, incluindo o token secreto, o email de notificação e os emails de notificação de certificado SSO juntos, têm um limite de 1 KB na Nuvem do Microsoft Azure Government.

Provisionamento de aplicativos locais

Essa é uma lista atual de limitações conhecidas com o Host do Conector ECMA e o provisionamento de aplicativos locais do Microsoft Entra.

Aplicativo e diretórios

Ainda não há suporte para os aplicativos e diretórios a seguir.

O Active Directory Domain Services (write-back de usuário ou de grupo do Microsoft Entra ID usando a versão prévia de provisionamento local)

  • Quando um usuário é gerenciado pelo do Microsoft Entra Connect, a fonte de autoridade é o Active Directory Domain Services local. Portanto, os atributos de usuário não podem ser alterados no Microsoft Entra ID. Essa versão prévia não altera a origem da autoridade para usuários gerenciados pelo do Microsoft Entra Connect.
  • Tentar usar o do Microsoft Entra Connect e o provisionamento local para provisionar grupos ou usuários no Active Directory Domain Services pode levar à criação de um loop, no qual o do Microsoft Entra Connect pode substituir uma alteração feita pelo serviço de provisionamento na nuvem. A Microsoft está trabalhando em uma funcionalidade dedicada para write-back de grupo ou usuário. Vote a favor dos comentários do UserVoice neste site para acompanhar o status da versão prévia. Como alternativa, você pode usar o Microsoft Identity Manager para fazer write-back de usuário ou de grupo do Microsoft Entra ID para o Active Directory.

ID do Microsoft Entra

Por meio do provisionamento local, você pode pegar um usuário que já está no do Microsoft Entra ID e provisioná-lo para um aplicativo de terceiros. Você não pode trazer um usuário para o diretório de um aplicativo de terceiros. Os clientes precisarão contar com nossas integrações nativas de RH, com o do Microsoft Entra Connect, o Microsoft Identity Manager ou o Microsoft Graph para trazer os usuários para o diretório.

Atributos e objetos

Não há suporte para os seguintes atributos e objetos:

  • Atributos de vários valores.
  • Atributos de referência (por exemplo, gerente).
  • Grupos.
  • Âncoras complexas (por exemplo, ObjectTypeName+UserName).
  • Atributos que contêm caracteres como "." ou "["
  • Atributos binários.
  • Às vezes, os aplicativos locais não são federados com o do Microsoft Entra ID e exigem senhas locais. A visualização de provisionamento local não oferece suporte à sincronização de senha. Há suporte para o provisionamento de senhas de uso único inicial. Verifique se você está usando a função Redigir para redigir as senhas dos logs. Nos conectores SQL e LDAP, as senhas não são exportadas na chamada inicial para o aplicativo, mas sim uma segunda chamada com senha definida.

Certificados SSL

Atualmente, o Host do Conector ECMA do Microsoft Entra requer que o certificado SSL seja confiável para o Azure ou para o agente de provisionamento a ser usado. A entidade do certificado precisa corresponder ao nome do host no qual o Host do Conector ECMA do Microsoft Entra está instalado.

Atributos de âncora

O Host do Conector ECMA do Microsoft Entra atualmente não é compatível com alterações de atributo de âncora (renomeações) ou sistemas de destino, que exigem vários atributos para formar uma âncora.

Descoberta e mapeamento de atributos

Os atributos aos quais o aplicativo de destino dá suporte são descobertos e exibidos no Centro de administração do Microsoft Entra nos Mapeamentos de Atributos. Os atributos recém-adicionados continuarão a ser descobertos. Se um tipo de atributo tiver sido alterado, por exemplo, a cadeia de caracteres para Boolean e o atributo fizer parte dos mapeamentos, o tipo não será alterado automaticamente no Centro de administração do Microsoft Entra. Os clientes precisarão entrar em configurações avançadas, em mapeamentos, e atualizar manualmente o tipo de atributo.

Agente de provisionamento

  • Atualmente, o agente não dá suporte à atualização automática para o cenário de provisionamento de aplicativos local. Estamos trabalhando ativamente para fechar essa lacuna e garantir que a atualização automática seja habilitada por padrão e necessária para todos os clientes.
  • O mesmo agente de provisionamento não pode ser usado para provisionamento de aplicativos local e provisionamento orientado por RH/sincronização de nuvem.

Próximas etapas

Como funciona o provisionamento