没有用户正在进行预配
注意
从 2020 年 4 月 16 日开始,我们就更改了被分配默认访问角色的用户的行为。 有关详细信息,请参阅以下部分。
为应用程序配置自动化预配后(包括验证提供给 Microsoft Entra ID 以连接至该应用的应用凭据是否有效),用户和/或组将预配到应用。 预配取决于以下事情:
- 哪些用户和组已分配到应用程序。 不支持预配嵌套组。 有关分配的详细信息,请参阅在 Microsoft Entra ID 中向企业应用分配用户或组。
- 属性映射是否已启用,并且是否经过配置,可将有效属性从 Microsoft Entra ID 同步至应用。 有关属性映射的详细信息,请参阅为 Microsoft Entra ID 中的 SaaS 应用程序自定义用户预配属性映射。
- 是否存在 基于特定属性值筛选用户的范围筛选器 。 有关作用域筛选器的详细信息,请参阅通过作用域筛选器基于属性预配应用程序。
如果发现未预配用户,请参阅 Microsoft Entra ID 中的预配日志 。 在日志条目中搜索特定用户。
可以通过浏览到“标识”>“应用程序”>“企业应用程序”>“预配日志”来访问 Microsoft Entra 管理中心中的预配日志。 还可以选择特定应用程序,然后在“活动”部分中选择“预配日志”。 你可以根据用户的名称或者根据源系统或目标系统中的标识符来搜索预配数据。 有关详细信息,请参阅预配日志。
预配日志记录了预配服务执行的全部操作,包括查询 Microsoft Entra ID 以找到预配作用域中分配的用户、查询目标应用以验证是否存在这些用户以及比较系统之间的用户对象。 然后根据比较结果在目标系统中添加、更新或禁用用户帐户。
要考虑的有关预配的常规问题范围
以下为常规问题范围列表,如果知道从何处着手,可做一番深入了解。
预配服务似乎未启动
如果在 Microsoft Entra 管理中心的“企业应用程序”>“[应用程序名称]”>“预配”部分中将“预配状态”设置为“开”。 但是,后续重新加载后该页上没有显示其他状态详细信息,但服务可能正在运行,但尚未完成初始周期。 检查上述“预审日志”以确定服务正在执行哪些操作,以及是否出现任何错误。
注意
初始周期可能会持续 20 分钟至几小时,具体取决于 Microsoft Entra 目录的大小与作用域中的预配用户数量。 在初始周期之后同步速度会变快,因为在初始周期后,预配服务将存储代表两个系统状态的水印。 此初始周期会提升后续同步的性能。
即使用户已被分配,预配日志还是显示他们已被跳过且未预配
当用户在预配日志中显示为“跳过”时,请务必查看 日志的“步骤 ”选项卡以确定原因。 以下为常见的原因和解决方法:
- 已配置范围筛选器,它会根据属性值筛选用户。 有关范围筛选器的详细信息,请参阅范围筛选器。
- 该用户“未得到有效授权”。 如果看到此特定错误消息,这是因为用户分配记录存储在 Microsoft Entra ID 中存在问题。 要解决此问题,请从应用中取消分配用户(或组),并重新分配。 有关分配的详细信息,请参阅分配用户或组访问权限。
- 所需的属性丢失或未替用户填写。 在设置预配时需考虑的重要一点是查看并配置属性映射和工作流,它们可以确定哪些用户(或组)属性将从 Microsoft Entra ID 流向应用程序。 此配置包括设置用于在两个系统之间唯一地标识和匹配用户/组的“匹配属性”。 有关此重要过程的详细信息,请参阅为 Microsoft Entra ID 中的 SaaS 应用程序自定义用户预配属性映射。
- 适用于组的属性映射:除预配成员的名称和详细信息外,还预配组名称和组的详细信息(前提是某些应用程序支持这样做)。 通过启用或禁用在“预配”选项卡中显示的组对象的“映射”,可启用或禁用此功能。如果启用预配组,请务必查看属性映射以确保相应字段用于“匹配 ID”。 此匹配 ID 可以是显示名称或电子邮件别名。 如果匹配属性为空,或没有为 Microsoft Entra ID 中的某个组进行填充,则该组及其成员未预配。
预配分配给默认访问角色的用户
库中应用程序上的默认角色称为“默认访问”角色。 从历史上看,分配给此角色的用户不会预配,并且由于“无权有效”而被标记为在预配日志中被跳过。
2020 年 4 月 16 日之后创建的预配配置的行为:分配给默认访问角色的用户将与所有其他角色一样被评估。 分配了默认访问权限的用户不会被跳过为“未有效授权”。
2020 年 4 月 16 日之前创建的预配配置的行为: 在接下来的 3 个月中,该行为将继续,就像现在一样。 具有默认访问角色的用户将不会因为未得到有效授权而被跳过。 2020 年 7 月之后,该行为将对所有应用程序统一。 由于“无权有效”,我们不会跳过具有默认访问角色的预配用户。此更改将由Microsoft进行,无需客户操作。 如果希望确保这些用户继续跳过,即使在此更改之后,应用相应的范围筛选器或取消分配应用程序的用户,以确保这些用户不在范围内。