Microsoft Entra ID 中的预配的已知问题

本文讨论在使用应用预配或跨租户同步时需要注意的已知问题。 要在 UserVoice 上提供有关应用程序预配服务的反馈,请参阅 Microsoft Entra 应用程序预配 UserVoice。 我们将密切关注 UserVoice,以便改进该服务。

注意

本文提供的已知问题列表并不完整。 如果你知道未列出的问题,请在页面底部提供反馈。

跨租户同步

不支持的同步方案

  • 将组、设备和联系人同步到另一租户
  • 跨云同步用户
  • 跨租户同步照片
  • 同步联系人以及将联系人转换为 B2B 用户
  • 跨租户同步会议室

更新 proxyAddresses

ProxyAddresses 是 Microsoft Graph 中的只读属性。 它可以作为源特性包含在你的映射中,但不能设置为目标特性。

跳过启用了短信登录的用户

无法将源(主)租户中的外部用户预配到另一租户中。 无法将源租户中的内部来宾用户预配到另一租户中。 只能将源租户中的内部成员用户预配到目标租户中。 有关详细信息,请参阅 Microsoft Entra B2B 协作用户的属性

此外,启用了短信登录的用户无法通过跨租户同步进行同步。

更新 showInAddressList 属性失败

对于现有的 B2B 协作用户,只要 B2B 协作用户未在目标租户中启用邮箱,就会更新 showInAddressList 特性。 如果在目标租户中启用了邮箱,请使用 Set-MailUser PowerShell cmdlet 将 HiddenFromAddressListsEnabled 属性的值设置为 $false。

Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false

其中 [GuestUserUPN] 是计算出的 UserPrincipalName。 例如:

Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false

有关详细信息,请参阅关于 Exchange Online PowerShell 模块

邮件属性未更新

如果目标租户中的用户分配了交换许可证,则跨租户同步将无法更新邮件属性。 若要解决此问题,请删除用户的交换许可证,更新邮件属性,然后再次向用户分配许可证。

从目标租户配置同步

不支持从目标租户配置同步。 所有配置必须在源租户中完成。 目标管理员可以随时关闭跨租户同步。

源租户中的两个用户与目标租户中的同一用户匹配

如果源租户中的两个用户具有相同的邮件,并且他们都需要在目标租户中创建,则会在目标中创建一个用户,并将其链接到源中的两个用户。 请确保邮件特性未在源租户中的用户之间共享。 此外,请确保源租户中用户的邮件来自已验证的域。 如果邮件来自未经验证的域,则不会成功创建外部用户。

使用 Microsoft Entra B2B 协作进行跨租户访问

授权

无法将预配模式改回手动

首次配置预配后,会发现预配模式已从手动切换为自动。 不能将其改回手动。 但你可以通过 UI 关闭预配。 在 UI 中关闭预配与将下拉列表设置为手动完全相同。

属性映射

属性 SamAccountName 或 userType 不可用作源属性

属性 SamAccountNameuserType 不可用作源属性。 可以改用目录扩展属性作为解决方法。 若要了解详细信息,请参阅缺少源属性

架构扩展缺少源属性下拉列表

有时,UI 中的源属性下拉列表中会缺少架构的扩展。 进入属性映射的高级设置,并手动添加属性。 若要了解详细信息,请参阅自定义属性映射

无法预配 Null 属性

Microsoft Entra ID 当前无法预配 null 属性。 如果用户对象上的属性为 null,则跳过它。

联接属性不支持特殊字符

Microsoft Entra ID 当前无法对包含特殊字符的值执行筛选器查询。 因此,对筛选器属性具有特殊字符的资源(用户或组)进行预配尝试失败。 例如,可以在 Microsoft Entra ID 上创建名称中具有特殊字符的组,但无法同步到目标系统。

属性映射表达式的最大字符数

属性映射表达式最多可以有 10000 个字符。

不受支持的范围筛选器

appRoleAssignments、userType、manager 和 date-type 特性(例如 StatusHireDate、startDate、endDate、StatusTerminationDate、accountExpires)不支持作为范围筛选器。

OtherMails 不应作为目标属性包含在属性映射中。

目标租户中会自动计算 OtherMails 属性。 直接在目标用户中对用户对象进行的更改会导致更新 otherMails 属性,并替代跨租户同步设置的值。 因此,不应将 otherMails 作为目标属性包含在跨租户同步属性映射中。

多值目录扩展

多值目录扩展不能用于属性映射或范围筛选器。

不可选择 targetAddress 属性

targetAddress 属性(映射到 Microsoft Exchange Online 中的 ExternalEmailAddress 属性)不可用作可选属性。 如果需要更改此属性,则必须在所需对象上手动执行此操作。

服务问题

不支持的方案

  • 不支持预配密码。
  • 不支持预配超出第一级别的嵌套组。
  • 不支持对 B2C 租户进行预配,包括进入或退出租户。
  • 不支持对外部 ID 租户进行预配,包括进入或退出租户。
  • 目前,并非所有功能在所有云中都可用。

基于 OIDC 的应用程序无法使用自动预配

如果创建应用注册,则企业应用中的相应服务主体将不会启用自动用户预配。 需要请求将应用添加到库中(如果打算供多个组织使用),或创建第二个非库应用进行预配。

管理器未预配

如果用户及其管理器都处于预配范围内,则该服务将预配用户,然后更新管理器。 如果在第一天,用户处于范围内并且管理器超出范围,我们将在不进行管理器引用的情况下预配用户。 当管理器进入范围时,在重启预配并使服务重新评估所有用户之前,将不会更新管理器引用。

预配间隔是固定的

预配周期之间的时间当前不可配置。

更改不会从目标应用移动到 Microsoft Entra ID

应用预配服务不知道外部应用中所做的更改。 因此,不会执行回退操作。 应用预配服务依赖于在 Microsoft Entra ID 中所做的更改。

从同步全部切换到同步已分配无效

将作用域从“同步全部”更改为“同步已分配”后,一定还要进行重启,以确保更改生效。 可以从 UI 执行重启。

预配周期持续直到完成

当设置预配到 enabled = off 或选择“停止”时,当前的预配周期将继续运行直到完成。 该服务将停止执行任何将来的循环,直到再次开启预配。

未预配的组成员

当某个组处于范围内并且某个成员超出范围时,将预配该组。 不会预配超出范围的用户。 如果成员返回到范围中,服务将不会立即检测到更改。 重启预配将解决此问题。 定期重启服务,以确保所有用户均已正确预配。

全局读取者

全局读取者角色无法读取预配配置。 创建具有 microsoft.directory/applications/synchronization/standard/read 权限的自定义角色,以便从 Microsoft Entra 管理中心读取预配配置。

Microsoft Azure 政府云

在 Microsoft Azure 政府云中,包括机密令牌、通知电子邮件和 SSO 证书通知电子邮件在内的凭据总共有 1 KB 的限制。

本地应用程序预配

这是当前 Microsoft Entra ECMA 连接器主机和本地应用程序预配的已知限制列表。

应用程序和目录

目前尚不支持以下应用程序和目录。

Active Directory 域服务(用户或组使用本地预配预览从 Microsoft Entra ID 写回)

  • 如果用户是通过 Microsoft Entra Connect 管理的,则授权来源为本地 Active Directory 域服务。 因此,无法在 Microsoft Entra ID 中更改用户属性。 此预览版不会更改 Microsoft Entra Connect 管理的用户的授权来源。
  • 尝试使用 Microsoft Entra Connect 和本地预配将组/用户预配至 Active Directory 域服务会导致创建循环,其中 Microsoft Entra Connect 可以覆盖云中预配服务所做的更改。 Microsoft 正致力于提供组或用户的专用写回功能。 在此网站上投票赞成 UserVoice 反馈,以跟踪预览状态。 或者,你可以使用 Microsoft Identity Manager 用户/组从 Microsoft Entra ID 写回到 Active Directory。

Microsoft Entra ID

使用本地预配可以将 Microsoft Entra ID 中已存在的用户预配到第三方应用程序中。 无法将用户加入第三方应用程序的目录。 客户需要依赖于我们的本机 HR 集成、Microsoft Entra Connect、Microsoft Identity Manager 或 Microsoft Graph 让用户进入目录。

属性和对象

不支持以下属性和对象:

  • 多值属性。
  • 引用属性(例如,管理员)。
  • 组。
  • 复杂定位点(例如,ObjectTypeName + UserName)。
  • 具有“.”或“[”等符号的属性
  • 二进制文件属性。
  • 本地应用程序有时不与 Microsoft Entra ID 联合,且需要本地密码。 本地预配预览版不支持密码同步。 支持预配初始一次性密码。 确保使用 Redact 函数编修日志中的密码。 在 SQL 和 LDAP 连接器中,首次调用应用程序时不会导出密码,但第二次调用时会导出设置密码。

SSL 证书数

Microsoft Entra ECMA 连接器主机当前需要 Azure 信任的 SSL 证书或要使用的预配代理。 证书主体必须与安装 Microsoft Entra ECMA 连接器主机的主机名匹配。

定位点属性

当前 Microsoft Entra ECMA 连接器主机不支持定位点属性更改(重命名)或目标系统,这需要多个属性来形成定位点。

属性发现和映射

目标应用程序支持的属性在属性映射的 Microsoft Entra 管理中心中显示。 将继续发现新添加的属性。 如果属性类型已更改(例如,字符串更改为布尔值),并且该属性是映射的一部分,Microsoft Entra 管理中心中的类型不会自动改变。 客户需要进入映射中的高级设置并手动更新属性类型。

预配代理

  • 对于本地应用程序预配方案,代理目前不支持自动更新。 我们正在积极努力解决此问题,并确保自动更新在默认情况下启用并且对所有客户是必需的。
  • 不能将同一预配代理用于本地应用预配和云同步/HR 驱动的预配。

后续步骤

预配工作原理