Известные проблемы управления учетными записями в системе Microsoft Entra ID

В этой статье рассматриваются известные проблемы, которые следует учитывать при работе с подготовкой приложений или синхронизацией между клиентами. Чтобы предоставить отзыв о службе подготовки приложений в UserVoice, см. статью о подготовке приложений Microsoft Entra UserVoice. Мы внимательно следим за отзывами на UserVoice, чтобы улучшить службу.

Примечание.

В этой статье приведен не полный список известных проблем. Если вы знаете о проблеме, которой нет в списке, оставьте отзыв, нажав соответствующую кнопку в нижней части страницы.

Синхронизация клиентов

Неподдерживаемые сценарии синхронизации

• Синхронизация групп, устройств и контактов с другим клиентом
• Синхронизация пользователей в облаках
• Синхронизация фотографий между арендаторами
• Синхронизация контактов и преобразование контактов в пользователей B2B
• Синхронизация комнат собраний между арендаторами

Обновление атрибутов Exchange, таких как proxyAddresses и HiddenFromAddressListEnabled

Синхронизация между клиентами может управлять свойствами пользователей в Entra. Он не управляет атрибутами обмена напрямую. Рассмотрим пример.

• ProxyAddresses — это свойство только для чтения в Microsoft Graph. Его можно включить в качестве исходного атрибута в сопоставления, но его нельзя задать в качестве целевого атрибута.
• Синхронизация между клиентами может обновить атрибут ShowInAddressList в Entra, но он не может напрямую обновить HiddenFromAddressListEnabledd в Exchange.
• TargetAddress, который сопоставляется со свойством ExternalEmailAddress в Microsoft Exchange Online, недоступен в качестве атрибута, который можно выбрать. Если вам нужно изменить этот атрибут, его необходимо сделать вручную по требуемому объекту.

Пользователи с включённой поддержкой входа по SMS пропускаются

Внешний пользователь из исходного (домашнего) арендатора не может быть предоставлен в другой арендатор. Внутренние гостевые пользователи из исходного арендатора не могут быть предоставлены в другой арендатор. В целевой клиент можно подготовить только внутренних пользователей из исходного клиента. Дополнительные сведения см. в разделе "Свойства пользователя совместной работы Microsoft Entra B2B".

Кроме того, пользователи, которые включены для входа с помощью SMS, не могут быть синхронизированы с помощью синхронизации между арендаторами.

Обновление свойства showInAddressList завершается ошибкой

Для существующих пользователей совместной работы B2B атрибут showInAddressList обновляется, если у пользователя совместной работы B2B нет почтового ящика в целевом клиенте. Если почтовый ящик включен в целевой аренде, используйте командлет Set-MailUser в PowerShell, чтобы задать для свойства HiddenFromAddressListsEnabled значение $false.

Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false

Здесь [GuestUserUPN] — это вычисляемое имя пользователя (UserPrincipalName). Пример:

Set-MailUser guestuser1_contoso.com#EXT#@fabrikam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false

Дополнительные сведения см. в разделе "Сведения о модуле Exchange Online PowerShell".

Атрибут почты не обновляется

Если пользователю в целевом клиенте назначена лицензия exchange, синхронизация между клиентами не сможет обновить атрибут почты. Чтобы обойти эту проблему, удалите лицензию exchange для пользователя, обновите атрибут почты и снова назначьте пользователю лицензию.

Настройка синхронизации из целевого клиента

Настройка синхронизации из целевого клиента не поддерживается. Все конфигурации должны выполняться в исходном клиенте. Целевой администратор может отключить синхронизацию между клиентами в любое время.

Два пользователя в исходном клиенте, сопоставленные с тем же пользователем в целевом клиенте

Если два пользователя в исходном клиенте имеют одинаковую почту, и они оба должны быть созданы в целевом клиенте, один пользователь создается в целевом объекте и связан с двумя пользователями в источнике. Убедитесь, что атрибут почты не разделяется между пользователями в исходном тенанте. Кроме того, убедитесь, что почта пользователя в исходном клиенте находится из проверенного домена. Внешний пользователь не будет успешно создан, если почта находится из непроверенного домена.

Использование функции совместной работы Microsoft Entra B2B для доступа между арендаторами

• Пользователи B2B не могут управлять определенными службами Microsoft 365 в удаленных клиентах (например, Exchange Online), так как нет средства выбора каталогов.
• Дополнительные сведения о поддержке виртуального рабочего стола Azure для пользователей B2B см. в статье "Предварительные требования для виртуального рабочего стола Azure".
• Сведения о последнем состоянии поддержки Power BI для внешних пользователей-участников см. в статье Распространение содержимого Power BI внешним гостевым пользователям с помощью Microsoft Entra B2B

Авторизация

Не удается изменить режим настройки на ручной

При первом настройке подготовки вы заметите, что режим подготовки переключился с ручного на автоматический. И изменить его обратно на ручной нельзя. Вы можете отключить настройку через пользовательский интерфейс. Отключение предоставления в интерфейсе пользователя фактически эквивалентно установке выпадающего списка в ручной режим.

Сопоставления атрибутов

Атрибут SamAccountName или userType недоступен в качестве исходного атрибута

Атрибуты SamAccountName и userType недоступны в качестве исходных атрибутов. Вместо этого можно использовать атрибут расширения каталога в качестве обходного решения. Дополнительные сведения см. в статье Отсутствующий исходный атрибут.

В раскрывающемся списке для исходных атрибутов отсутствует расширение схемы.

Иногда расширения схемы могут отсутствовать в раскрывающемся списке исходных атрибутов в пользовательском интерфейсе. Перейдите в раздел дополнительных параметров сопоставления атрибутов и вручную добавьте атрибуты. Дополнительные сведения см. в статье Настройка сопоставлений атрибутов.

Не удается подготовить атрибут NULL

Идентификатор Microsoft Entra в настоящее время не может подготавливать пустые атрибуты. Если атрибут имеет значение NULL для объекта пользователя, он пропускается.

Не поддерживаются специальные символы при объединении свойств

Идентификатор Microsoft Entra в настоящее время не может выполнять запросы фильтра по значениям, содержащим специальные символы. Поэтому попытка настройки ресурса (пользователя или группы) со специальным символом в атрибутах фильтра завершается сбоем. Например, группа с особым символом в имени может быть создана на идентификаторе Microsoft Entra ID, но не может быть синхронизирована с целевой системой.

Максимальное число символов для выражений сопоставления атрибутов

Выражение сопоставления атрибутов может содержать не более 10 000 символов.

Неподдерживаемые фильтры области

Атрибуты appRoleAssignments, userType, manager и date-type (например, StatusHireDate, startDate, endDate, StatusTerminationDate, accountExpires) не поддерживаются в качестве фильтров области.

OtherMails не следует включать в сопоставления атрибутов в качестве целевого атрибута.

Свойство otherMails автоматически вычисляется в целевом клиенте. Изменения объекта пользователя, сделанные непосредственно в целевом арендаторе, могут привести к обновлению свойства "otherMails" и переопределению значения, установленного синхронизацией между арендаторами. В результате атрибут otherMails не должен включаться в сопоставления атрибутов синхронизации между арендаторами в качестве целевого атрибута.

Многозначные расширения каталогов

Расширения каталогов с несколькими значениями нельзя использовать в сопоставлениях атрибутов или фильтрах области.

Проблемы службы

Неподдерживаемые сценарии

• Подготовка паролей не поддерживается.
• Развертывание вложенных групп за пределами первого уровня не поддерживается.
• Развертывание не поддерживается для арендаторов B2C, включая перенос в арендатора или из него.
• Поставка не поддерживается для арендаторов с внешним идентификатором, как для входящих, так и для исходящих операций.
• Не все приложения для предоставления ресурсов доступны во всех облаках.

Автоматическая подготовка недоступна в моем приложении на основе OIDC

Если вы создали механизм регистрации приложений, соответствующий субъект-служба в корпоративных приложениях не будет доступен для автоматической подготовки пользователей. Необходимо либо запросить добавление приложения в галерею, если оно предназначено для использования несколькими организациями, либо создать второе специальное приложение для подготовки, не добавляя его в галерею.

Диспетчер не подготовлен

Если пользователь и его менеджер подпадают под область подготовки, служба сначала подготовит пользователя, а затем обновит информацию о менеджере. Если на первый день пользователь находится в рамках, а менеджер вне рамок, мы предоставим пользователя без ссылки на менеджера. Когда менеджер появляется в области видимости, ссылка на менеджера не обновляется, пока вы не перезапустите подготовку и не заставите службу повторно оценить всех пользователей.

Фиксированный интервал обеспечения

Время между циклами подготовки в настоящее время настроить нельзя.

Изменения, не переходящие с целевого приложения на идентификатор Microsoft Entra

Служба подготовки приложений не учитывает изменения, внесенные во внешние приложения. Поэтому никакие действия для отката не предпринимаются. Служба подготовки приложений зависит от изменений, внесенных в идентификатор Microsoft Entra.

Переключение с "Синхронизировать все" на "Синхронизировать назначенные" не выполняется

После изменения области с Синхронизировать все на Синхронизировать назначенные, необходимо также выполнить перезапуск, чтобы убедиться, что изменение вступило в силу. Перезапуск можно выполнить из пользовательского интерфейса.

Цикл подготовки продолжается до завершения

Если для подготовки указать параметр enabled = off или нажать кнопку остановки, текущий цикл подготовки продолжит выполняться до завершения. Служба прекращает выполнение всех будущих циклов до тех пор, пока вы снова не включите подготовку.

Член группы не подготовлен

Если группа находится в области действия, а член — за ее пределами, группа будет подготовлена. А пользователь вне области не будет подготовлен. Если член возвращается в область, служба не обнаружит изменение сразу. Для устранения проблемы перезапустите процесс настройки. Рекомендуется периодически перезапускать службу, чтобы обеспечить правильную подготовку всех пользователей.

Глобальный читатель

Роль глобального читателя не может считывать конфигурацию предоставления. Создайте настраиваемую роль с microsoft.directory/applications/synchronization/standard/read разрешением для чтения конфигурации предоставления из Центра администрирования Microsoft Entra.

Microsoft Azure для государственных организаций Cloud

Учетные данные, включая секретный маркер, уведомительное письмо и уведомительные письма о сертификате единого входа, вместе имеют ограничение в 1 КБ в Microsoft Azure для государственных организаций.

Локальное развертывание приложения

Это текущий список известных ограничений для узла соединителя Microsoft Entra ECMA и локального развертывания приложений.

Приложения и каталоги

Следующие приложения и каталоги пока не поддерживаются.

службы домена Active Directory (обратная запись пользователей или групп из Microsoft Entra ID с помощью предварительной версии локальной подготовки)

• Когда пользователь управляется Microsoft Entra Connect, источник полномочий — локальная служба доменных служб Active Directory. Таким образом, атрибуты пользователей не могут быть изменены в идентификаторе Microsoft Entra. Эта предварительная версия не изменяет источник полномочий для пользователей, управляемых Microsoft Entra Connect.
• Попытка использовать Microsoft Entra Connect и локальное обеспечение для обеспечения групп или пользователей в службах доменных служб Active Directory может привести к созданию цикла, в котором Microsoft Entra Connect может перезаписать изменения, внесенные службой обеспечения в облаке. Корпорация Microsoft работает над созданием отдельной функции обратной синхронизации данных для групп или пользователей. Голосуйте за отзывы UserVoice на этом веб-сайте и отслеживайте статус предварительной версии. Кроме того, можно использовать Microsoft Identity Manager для обратной записи пользователей или групп из идентификатора Microsoft Entra в Active Directory.

Microsoft Entra ID

Используя локальное предоставление ресурсов, вы можете взять уже имеющегося в Microsoft Entra ID пользователя и переместить его в стороннее приложение. Вы не можете добавить пользователя к каталогу из стороннего приложения. Клиентам потребуется полагаться на наши интеграции с HR-системами, Microsoft Entra Connect, Microsoft Identity Manager или Microsoft Graph, чтобы перенести пользователей в каталог.

Атрибуты и объекты

Следующие атрибуты и объекты не поддерживаются:

• Атрибуты с несколькими значениями.
• Ссылочные атрибуты (например, менеджер).
• Группы.
• Сложные привязки (например, ObjectTypeName+UserName).
• Атрибуты, имеющие такие символы, как "." или "["
• Двоичные атрибуты.
• Локальные приложения иногда не федеративны с идентификатором Microsoft Entra и требуют локальных паролей. Предварительная версия локального развертывания не поддерживает синхронизацию паролей. Поддерживается подготовка начальных одноразовых паролей. Убедитесь, что функция Redact используется для редактирования паролей из журналов. В соединителях SQL и LDAP пароли не экспортируются при первоначальном вызове приложения; для этого необходимо сделать второй вызов с установкой пароля.

Сертификаты SSL

В настоящее время узел соединителя Microsoft Entra ECMA требует либо использования SSL-сертификата, которому доверяет Azure, либо применения агента подготовки. Субъект сертификата должен совпадать с именем компьютера, на который установлен хост Microsoft Entra ECMA Connector.

Атрибуты привязки

В настоящее время узел соединителя Microsoft Entra ECMA не поддерживает изменения атрибутов привязки (переименования) и не поддерживает целевые системы, для которых необходимо несколько атрибутов для формирования привязки.

Обнаружение и сопоставление атрибутов

Атрибуты, поддерживаемые целевым приложением, обнаруживаются и отображаются в Центре администрирования Microsoft Entra в сопоставлениях атрибутов. Новые атрибуты будут продолжать обнаруживаться. Если тип атрибута изменился, например, строка на булево значение, и атрибут используется в сопоставлениях, тип не изменится автоматически в Центре администрирования Microsoft Entra. Клиентам потребуется перейти в раздел дополнительных параметров сопоставлений и вручную обновить тип атрибута.

Агент подготовки

• В настоящее время агент не поддерживает автоматическое обновление для сценария подготовки локальных приложений. Мы активно работаем над устранением этого пробела, чтобы автоматическое обновление было включено по умолчанию и требовалось от всех клиентов.
• Один и тот же агент нельзя использовать для подготовки локальных приложений и для облачной синхронизации или подготовки, управляемой HR.

Следующие шаги

Как работает настройка