Dela via


Kända problem med etablering i Microsoft Entra-ID

I den här artikeln beskrivs kända problem som du bör känna till när du arbetar med appetablering eller synkronisering mellan klientorganisationer. Information om hur du ger feedback om programetableringstjänsten på UserVoice finns i Microsoft Entra-programetablering UserVoice. Vi tittar noga på UserVoice så att vi kan förbättra tjänsten.

Kommentar

Den här artikeln är inte en omfattande lista över kända problem. Om du känner till ett problem som inte finns med i listan kan du ge feedback längst ned på sidan.

Synkronisering mellan klienter

Synkroniseringsscenarier som inte stöds

  • Synkronisera grupper, enheter och kontakter till en annan klientorganisation
  • Synkronisera användare mellan moln
  • Synkronisera foton mellan klienter
  • Synkronisera kontakter och konvertera kontakter till B2B-användare
  • Synkronisera mötesrum mellan klienter

Uppdatera proxyAddresses

ProxyAddresses är en skrivskyddad egenskap i Microsoft Graph. Den kan inkluderas som ett källattribut i dina mappningar, men kan inte anges som ett målattribut.

Etablera användare

En extern användare från källklientorganisationen (hem) kan inte etableras i en annan klientorganisation. Interna gästanvändare från källklientorganisationen kan inte etableras i en annan klientorganisation. Endast interna medlemsanvändare från källklientorganisationen kan etableras i målklientorganisationen. Mer information finns i Egenskaper för en Microsoft Entra B2B-samarbetsanvändare.

Dessutom kan användare som är aktiverade för SMS-inloggning inte synkroniseras via synkronisering mellan klientorganisationer.

Det går inte att uppdatera egenskapen showInAddressList

För befintliga B2B-samarbetsanvändare uppdateras attributet showInAddressList så länge B2B-samarbetsanvändaren inte har någon postlåda aktiverad i målklientorganisationen. Om postlådan är aktiverad i målklientorganisationen använder du PowerShell-cmdleten Set-MailUser för att ange egenskapen HiddenFromAddressListsEnabled till värdet $false.

Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false

Där [GuestUserUPN] är det beräknade UserPrincipalName. Exempel:

Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false

Mer information finns i Om Exchange Online PowerShell-modulen.

Konfigurera synkronisering från målklientorganisationen

Det går inte att konfigurera synkronisering från målklientorganisationen. Alla konfigurationer måste göras i källklientorganisationen. Måladministratören kan när som helst inaktivera synkronisering mellan klientorganisationer.

Två användare i källklientorganisationen matchade med samma användare i målklientorganisationen

När två användare i källklientorganisationen har samma e-post och båda måste skapas i målklientorganisationen skapas en användare i målet och länkas till de två användarna i källan. Kontrollera att e-postattributet inte delas mellan användare i källklientorganisationen. Se dessutom till att e-postmeddelandet från användaren i källklientorganisationen kommer från en verifierad domän. Den externa användaren skapas inte om e-postmeddelandet kommer från en overifierad domän.

Användning av Microsoft Entra B2B-samarbete för åtkomst mellan klientorganisationer

Auktorisering

Det går inte att ändra etableringsläget tillbaka till manuellt

När du konfigurerar etablering för första gången ser du att etableringsläget har växlat från manuell till automatisk. Du kan inte ändra tillbaka det till manuellt. Men du kan inaktivera etablering via användargränssnittet. Att stänga av etablering i användargränssnittet görs på samma sätt som att ställa in listmenyn till manuellt.

Attributmappningar

Attributet SamAccountName eller userType är inte tillgängligt som ett källattribut

Attributen SamAccountName och userType är inte tillgängliga som källattribut. Du kan i stället använda ett katalogtilläggsattribut som en lösning. Mer information finns i Källattribut saknas.

Listrutan Källattribut saknas för schematillägget

Tillägg till schemat kan ibland saknas i listrutan källattribut i användargränssnittet. Gå till de avancerade inställningarna för attributmappningarna och lägg till attributen manuellt. Mer information finns i Anpassa attributmappningar.

Null-attribut kan inte etableras

Microsoft Entra-ID kan för närvarande inte etablera null-attribut. Om ett attribut är null för användarobjektet hoppas det över.

Specialtecken stöds inte vid sammanfogningsegenskaper

Microsoft Entra-ID kan för närvarande inte utföra filterfrågor på värden som innehåller specialtecken. Därför misslyckas ett etableringsförsök på en resurs (användare eller grupp) med ett specialtecken för filterattribut. Ett exempel är att en grupp med ett specialtecken på namnet kan skapas på Microsoft Entra-ID men kan inte synkroniseras till ett målsystem.

Maximalt antal tecken för attributmappningsuttryck

Attributmappningsuttryck kan innehålla högst 10 000 tecken.

Omfångsfilter som inte stöds

Attributen appRoleAssignments, userType, manager och date-type (till exempel StatusHireDate, startDate, endDate, StatusTerminationDate, accountExpires) stöds inte som omfångsfilter.

OtherMails bör inte ingå i attributmappningarna som ett målattribut

Egenskapen otherMails beräknas automatiskt i målklientorganisationen. Ändringar av användarobjektet som görs direkt i målklientorganisationen kan leda till att egenskapen otherMails uppdateras och åsidosätter värdet som anges av synkronisering mellan klientorganisationer. Därför bör andra e-post inte inkluderas i synkroniseringsattributmappningar mellan klientorganisationer som ett målattribut.

Flervärdeskatalogtillägg

Flervärdeskatalogtillägg kan inte användas i attributmappningar eller omfångsfilter.

Attribute targetAddress är inte tillgängligt att välja

Attribute targetAddress (som mappar till egenskapen ExternalEmailAddress i Microsoft Exchange Online) är inte tillgängligt som ett attribut som du kan välja. Om du behöver ändra det här attributet måste du göra det manuellt över det nödvändiga objektet.

Tjänst-problem

Scenarier som inte stöds

  • Etablering av lösenord stöds inte.
  • Etablering av kapslade grupper utöver den första nivån stöds inte.
  • Etablering stöds inte för B2C-klienter, inklusive till eller från klientorganisationen.
  • Etablering stöds inte för externa ID-klienter, inklusive till eller från klientorganisationen.
  • Alla etableringsappar är inte tillgängliga i alla moln.

Automatisk etablering är inte tillgängligt i mitt OIDC-baserade program

Om du skapar en appregistrering aktiveras inte motsvarande tjänsthuvudnamn i företagsappar för automatisk användaretablering. Du måste antingen begära att appen läggs till i galleriet, om den är avsedd för användning av flera organisationer, eller skapa en andra icke-galleriapp för etablering.

Hanteraren har inte etablerats

Om både en användare och deras chef är i omfånget för etablering etablerar tjänsten användaren och uppdaterar sedan chefen. Om användaren på dag ett är i omfånget och chefen inte är omfångsbegränsad etablerar vi användaren utan chefsreferensen. När chefen kommer in i omfånget uppdateras inte chefsreferensen förrän du startar om etableringen och gör att tjänsten omvärderar alla användare igen.

Etableringsintervallet är fast

Tiden mellan etableringscyklerna kan för närvarande inte konfigureras.

Ändringar som inte flyttas från målappen till Microsoft Entra-ID

Appetableringstjänsten känner inte till ändringar som gjorts i externa appar. Därför vidtas ingen åtgärd för att återställa. Appetableringstjänsten förlitar sig på ändringar som gjorts i Microsoft Entra-ID.

Växla från Synkronisera alla till Synkronisera tilldelad fungerar inte

När du har ändrat omfånget från Synkronisera alla till Synkronisera tilldelad, se till att även utföra en omstart för att säkerställa att ändringen börjar gälla. Du kan starta om från användargränssnittet.

Etableringscykeln fortsätter tills den är klar

När du anger etablering till enabled = off eller väljer Stoppa fortsätter den aktuella etableringscykeln att köras tills den är klar. Tjänsten slutar köra framtida cykler tills du aktiverar etableringen igen.

Medlem i gruppen har inte etablerats

När en grupp finns i omfånget och en medlem ligger utanför omfånget etableras gruppen. Den out-of-scope-användaren etableras inte. Om medlemmen kommer tillbaka till omfånget identifieras inte ändringen omedelbart av tjänsten. Om du startar om etableringen åtgärdas problemet. Starta regelbundet om tjänsten för att säkerställa att alla användare är korrekt etablerade.

Global läsare

Rollen Global läsare kan inte läsa etableringskonfigurationen. Skapa en anpassad roll med behörigheten microsoft.directory/applications/synchronization/standard/read för att läsa etableringskonfigurationen från administrationscentret för Microsoft Entra.

Microsoft Azure Government Cloud

Autentiseringsuppgifter, inklusive hemlig token, e-postavisering och E-post för SSO-certifikat har tillsammans en gräns på 1 KB i Microsoft Azure Government Cloud.

Etablering av lokala program

Det här är en aktuell lista över kända begränsningar med Microsoft Entra ECMA Connector Host och lokal programetablering.

Program och kataloger

Följande program och kataloger stöds ännu inte.

Active Directory-domän Services (tillbakaskrivning av användare eller grupper från Microsoft Entra-ID med hjälp av förhandsversionen av lokal etablering)

  • När en användare hanteras av Microsoft Entra Connect är auktoritetskällan lokal Active Directory Domain Services. Användarattribut kan därför inte ändras i Microsoft Entra-ID. Den här förhandsversionen ändrar inte auktoritetskällan för användare som hanteras av Microsoft Entra Connect.
  • Försök att använda Microsoft Entra Connect och den lokala etableringen för att etablera grupper eller användare i Active Directory-domän Services kan leda till att en loop skapas, där Microsoft Entra Connect kan skriva över en ändring som har gjorts av etableringstjänsten i molnet. Microsoft arbetar med en dedikerad funktion för tillbakaskrivning av grupper eller användare. Ge UserVoice feedback på den här webbplatsen för att spåra förhandsversionens status. Du kan också använda Microsoft Identity Manager för tillbakaskrivning av användare eller grupper från Microsoft Entra-ID till Active Directory.

Microsoft Entra ID

Genom att använda lokal etablering kan du ta en användare redan i Microsoft Entra-ID:t och etablera dem i ett program från tredje part. Du kan inte ta med en användare till katalogen från ett program från tredje part. Kunderna måste förlita sig på våra interna HR-integreringar, Microsoft Entra Connect, Microsoft Identity Manager eller Microsoft Graph, för att användarna ska kunna komma in i katalogen.

Attribut och objekt

Följande attribut och objekt stöds inte:

  • Flervärdesattribut.
  • Referensattribut (till exempel chef).
  • Grupper.
  • Komplexa fästpunkter (till exempel ObjectTypeName+UserName).
  • Attribut som innehåller tecken som "." eller "["
  • Binära attribut.
  • Lokala program är ibland inte federerade med Microsoft Entra-ID och kräver lokala lösenord. Förhandsversionen av lokal etablering stöder inte lösenordssynkronisering. Etablering av initiala engångslösenord stöds. Se till att du använder funktionen Redact för att redigera lösenorden från loggarna. I SQL- och LDAP-anslutningsapparna exporteras inte lösenorden vid det första anropet till programmet, utan snarare ett andra anrop med angivet lösenord.

SSL-certifikat

Microsoft Entra ECMA Connector Host kräver för närvarande antingen att ett SSL-certifikat är betrott av Azure eller att etableringsagenten ska användas. Certifikatämnet måste matcha värdnamnet som Microsoft Entra ECMA Connector Host är installerad på.

Fästpunktsattribut

Microsoft Entra ECMA Connector Host stöder för närvarande inte ändringar av fästpunktsattribut (namnbyten) eller målsystem, som kräver flera attribut för att bilda en fästpunkt.

Identifiering och mappning av attribut

De attribut som målprogrammet stöder identifieras och visas i administrationscentret för Microsoft Entra i Attributmappningar. Nyligen tillagda attribut kommer att fortsätta att identifieras. Om en attributtyp har ändrats, till exempel sträng till boolesk, och attributet är en del av mappningarna, ändras inte typen automatiskt i administrationscentret för Microsoft Entra. Kunder måste gå in på avancerade inställningar i mappningar och manuellt uppdatera attributtypen.

Etableringsagent

  • Agenten stöder för närvarande inte automatisk uppdatering för det lokala programetableringsscenariot. Vi arbetar aktivt för att stänga det här gapet och se till att automatisk uppdatering är aktiverad som standard och krävs för alla kunder.
  • Samma etableringsagent kan inte användas för lokal appetablering och molnsynkronisering/HR-driven etablering.

Nästa steg

Så här fungerar etablering