Inga användare etableras
Kommentar
Från och med 2020-04-16 har vi ändrat beteendet för användare som tilldelats standardåtkomstrollen. Mer information finns i avsnittet nedan.
När automatisk etablering har konfigurerats för ett program (inklusive att verifiera att appautentiseringsuppgifterna som har angetts för Microsoft Entra-ID för att ansluta till appen är giltiga) etableras användare och/eller grupper till appen. Etableringen bestäms av följande:
- Vilka användare och grupper som har tilldelats till programmet. Etablering av kapslade grupper stöds inte. Mer information om tilldelning finns i Tilldela en användare eller grupp till en företagsapp i Microsoft Entra-ID.
- Om attributmappningar är aktiverade eller inte och konfigurerade för att synkronisera giltiga attribut från Microsoft Entra-ID till appen. Mer information om attributmappningar finns i Anpassa attributmappningar för användaretablering för SaaS-program i Microsoft Entra-ID.
- Om det finns ett omfångsfilter som filtrerar användare baserat på specifika attributvärden eller inte. Mer information om omfångsfilter finns i Attributbaserad programetablering med omfångsfilter.
Om du ser att användarna inte etableras läser du etableringsloggarna i Microsoft Entra-ID. Sök efter loggposter för en viss användare.
Du kan komma åt etableringsloggarna i administrationscentret för Microsoft Entra genom att bläddra till Etableringsloggar för Identity>Applications>Enterprise-program.> Du kan också välja ett specifikt program och sedan välja Etableringsloggar i avsnittet Aktivitet . Du kan söka i etableringsdata baserat på namnet på användaren eller identifieraren i källsystemet eller målsystemet. Mer information finns i Etableringsloggar.
Etableringsloggarna registrerar alla åtgärder som utförs av etableringstjänsten, inklusive att fråga Microsoft Entra-ID för tilldelade användare som är i omfånget för etablering, fråga målappen om förekomsten av dessa användare och jämföra användarobjekten mellan systemet. Lägg sedan till, uppdatera eller inaktivera användarkontot i målsystemet baserat på jämförelsen.
Allmänna problemområden med etablering att överväga
Nedan visas en lista över de allmänna problemområden som du kan gå in närmare på om du har en uppfattning om var du ska börja.
- Etableringstjänsten verkar inte starta
- Etableringsloggar säger att användare hoppas över och inte etableras, även om de har tilldelats
Etableringstjänsten verkar inte starta
Om du anger Etableringsstatus till På i avsnittet Företagsprogram > [Programnamn] >Etablering i administrationscentret för Microsoft Entra. Men ingen annan statusinformation visas på den sidan efter efterföljande omladdningar, det är troligt att tjänsten körs men inte har slutfört en inledande cykel ännu. Kontrollera etableringsloggarna som beskrivs ovan för att avgöra vilka åtgärder tjänsten utför och om det finns några fel.
Kommentar
En inledande cykel kan ta allt från 20 minuter till flera timmar, beroende på storleken på Microsoft Entra-katalogen och antalet användare i omfånget för etablering. Efterföljande synkroniseringar efter den inledande cykeln går snabbare eftersom etableringstjänsten lagrar vattenstämplar som representerar tillståndet för båda systemen efter den inledande cykeln. Den inledande cykeln förbättrar prestandan för efterföljande synkroniseringar.
Etableringsloggar säger att användare hoppas över och inte etableras trots att de har tilldelats
När en användare visas som "överhoppad" i etableringsloggarna är det viktigt att granska fliken Steg i loggen för att fastställa orsaken. Nedan visas vanliga orsaker och lösningar:
- Ett omfångsfilter har konfigurerats som filtrerar ut användaren baserat på ett attributvärde. Mer information om omfångsfilter finns i omfångsfilter.
- Användaren är "inte i praktiken berättigad". Om du ser det här specifika felmeddelandet beror det på att det finns ett problem med användartilldelningsposten som lagras i Microsoft Entra-ID. Åtgärda problemet genom att avtilldela användaren (eller gruppen) från appen och tilldela om den igen. Mer information om tilldelning finns i Tilldela användare eller gruppåtkomst.
- Ett obligatoriskt attribut saknas eller fylls inte i för en användare. En viktig sak att tänka på när du konfigurerar etablering är att granska och konfigurera attributmappningar och arbetsflöden som definierar vilka användaregenskaper (eller grupp)-egenskaper som flödar från Microsoft Entra-ID till programmet. Den här konfigurationen innehåller inställningen "matchande egenskap" som används för att unikt identifiera och matcha användare/grupper mellan de två systemen. Mer information om den här viktiga processen finns i Anpassa attributmappningar för användaretablering för SaaS-program i Microsoft Entra-ID.
- Attributmappningar för grupper: Etablering av gruppnamn och gruppinformation, utöver medlemmarna, om det stöds för vissa program. Du kan aktivera eller inaktivera den här funktionen genom att aktivera eller inaktivera mappningen för gruppobjekt som visas på fliken Etablering . Om etableringsgrupper är aktiverade bör du granska attributmappningarna för att säkerställa att ett lämpligt fält används för "matchande ID". Matchande ID kan vara visningsnamnet eller e-postaliaset. Gruppen och dess medlemmar etableras inte om den matchande egenskapen är tom eller inte har fyllts i för en grupp i Microsoft Entra-ID.
Etablera användare som tilldelats standardåtkomstrollen
Standardrollen för ett program från galleriet kallas "standardåtkomstrollen". Tidigare har användare som tilldelats den här rollen inte etablerats och markeras som överhoppade i etableringsloggarna på grund av att de är "inte i praktiken berättigade".
Beteende för etableringskonfigurationer som skapats efter 2020-04-16: Användare som tilldelats standardåtkomstrollen utvärderas på samma sätt som alla andra roller. En användare som har tilldelats standardåtkomst hoppas inte över som "inte i praktiken berättigad".
Beteende för etableringskonfigurationer som skapats före 2020-04-16: Under de kommande tre månaderna fortsätter beteendet som det är idag. Användare med standardåtkomstrollen hoppas över som inte i praktiken berättigade. Efter juli 2020 blir beteendet enhetligt för alla program. Vi hoppar inte över etablering av användare med standardåtkomstrollen på grund av att de är "inte i praktiken berättigade". Den här ändringen kommer att göras av Microsoft, utan att någon kundåtgärd krävs. Om du vill se till att dessa användare fortsätter att hoppas över, även efter den här ändringen, använder du lämpliga omfångsfilter eller avtilldelar användaren från programmet för att säkerställa att de är utanför omfånget.
Nästa steg
Microsoft Entra Connect-synkronisering: Förstå deklarativ etablering