Neprobíhá zřizování žádných uživatelů

  • Článek

Poznámka:

Od 16. 4. 2020 jsme změnili chování uživatelů s přiřazenou výchozí rolí přístupu. Podrobnosti najdete v následující části.

Po nakonfigurování automatického zřizování pro aplikaci (včetně ověření, že přihlašovací údaje aplikace zadané pro Microsoft Entra ID pro připojení k aplikaci jsou platné), pak se uživatelům nebo skupinám zřídí aplikace. Zřizování je určeno následujícími věcmi:

Pokud zjistíte, že se uživatelé nezřizují, projděte si protokoly zřizování (Preview) v MICROSOFT Entra ID. Vyhledejte položky protokolu pro konkrétního uživatele.

K protokolům zřizování v Centru pro správu Microsoft Entra se dostanete tak, že přejdete na protokoly zřizování podnikových aplikací identit.>>> Můžete také vybrat konkrétní aplikaci a pak v části Aktivita vybrat protokoly zřizování. Data zřizování můžete prohledávat na základě jména uživatele nebo identifikátoru ve zdrojovém systému nebo cílovém systému. Podrobnosti najdete v tématu Protokoly zřizování (Preview).

Protokoly zřizování zaznamenávají všechny operace prováděné službou zřizování, včetně dotazování MICROSOFT Entra ID pro přiřazené uživatele, kteří jsou v oboru zřizování, dotazování cílové aplikace na existenci těchto uživatelů a porovnávání objektů uživatele mezi systémem. Potom na základě porovnání přidejte, aktualizujte nebo zakažte uživatelský účet v cílovém systému.

Obecné oblasti problémů se zřizováním, které je potřeba zvážit

Níže je seznam obecných oblastí problémů, na které můžete přejít, pokud máte představu, kde začít.

Zdá se, že se služba zřizování nespustí.

Pokud nastavíte stav zřizování tak, aby byl zapnutý v části Zřizování podnikových aplikací > [Název aplikace] >v Centru pro správu Microsoft Entra. Po následném opětovném načtení se ale na této stránce nezobrazují žádné další podrobnosti o stavu, je pravděpodobné, že služba běží, ale ještě nedokončila počáteční cyklus. Zkontrolujte protokoly zřizování (Preview), které jsou popsané výše, a zjistěte, jaké operace služba provádí, a jestli nedošlo k nějakým chybám.

Poznámka:

Počáteční cyklus může trvat od 20 minut do několika hodin v závislosti na velikosti adresáře Microsoft Entra a počtu uživatelů v rozsahu zřizování. Následné synchronizace po počátečním cyklu jsou rychlejší, protože služba zřizování ukládá vodoznaky, které představují stav obou systémů po počátečním cyklu. Počáteční cyklus zlepšuje výkon následných synchronizací.

Protokoly zřizování říkají, že se uživatelé přeskočí a nezřídí, i když jsou přiřazeni.

Když se uživatel v protokolech zřizování zobrazí jako vynechán, je důležité zkontrolovat kartu Kroky protokolu a zjistit důvod. Níže jsou uvedené běžné důvody a jejich řešení:

  • Byl nakonfigurovánfiltr oborů, který filtruje uživatele na základě hodnoty atributu. Další informace ofiltrch
  • Uživatel nemá "efektivní nárok". Pokud se zobrazí tato konkrétní chybová zpráva, důvodem je problém se záznamem přiřazení uživatele uloženým v Microsoft Entra ID. Pokud chcete tento problém vyřešit, zrušte přiřazení uživatele (nebo skupiny) z aplikace a znovu ho přiřaďte. Další informace o přiřazení najdete v tématu Přiřazení přístupu uživatele nebo skupiny.
  • Požadovaný atribut pro uživatele chybí nebo není vyplněný. Při nastavování zřizování je důležité zvážit kontrolu a konfiguraci mapování atributů a pracovních postupů, které definují tok vlastností uživatele (nebo skupiny) z ID Microsoft Entra do aplikace. Tato konfigurace zahrnuje nastavení "odpovídající vlastnosti", která slouží k jedinečné identifikaci a porovnávání uživatelů a skupin mezi těmito dvěma systémy. Další informace o tomto důležitém procesu naleznete v tématu Přizpůsobení mapování atributů zřizování uživatelů pro aplikace SaaS v Microsoft Entra ID.
  • Mapování atributů pro skupiny: Zřizování podrobností o názvu skupiny a skupině kromě členů, pokud je u některých aplikací podporováno. Tuto funkci můžete povolit nebo zakázat povolením nebo zakázáním mapování objektů skupiny zobrazených na kartě Zřizování . Pokud jsou povolené skupiny zřizování, zkontrolujte mapování atributů a ujistěte se, že se pro odpovídající ID používá odpovídající pole. Odpovídající ID může být zobrazované jméno nebo e-mailový alias. Skupina a její členové nejsou zřízeny, pokud je odpovídající vlastnost prázdná nebo není naplněna pro skupinu v Microsoft Entra ID.

Zřizování uživatelů přiřazených k výchozí roli přístupu

Výchozí role aplikace z galerie se nazývá výchozí role přístupu. Uživatelé přiřazení k této roli se historicky nezřizují a v protokolech zřizování jsou označeni jako vynechání kvůli tomu, že nejsou účinně oprávněni.

Chování při zřizování konfigurací vytvořených po 16. 4. 2020: Uživatelé přiřazení k výchozí roli přístupu se vyhodnotí stejně jako všechny ostatní role. Uživatel, který má přiřazený výchozí přístup, nebude vynechán jako "není účinně oprávněn".

Chování pro zřizování konfigurací vytvořených před 16. 4. 2020: Po dobu následujících 3 měsíců bude chování pokračovat, jak je dnes. Uživatelé s výchozí rolí přístupu se přeskočí, protože nemají efektivní nárok. Po červenci 2020 bude chování jednotné pro všechny aplikace. Zřizováníuživatelůch služeb se nepřeskočí s výchozí rolí přístupu kvůli tomu, že nejsou efektivně oprávněni. Tuto změnu provede Microsoft bez nutnosti zásahu zákazníka. Pokud chcete zajistit, aby tito uživatelé byli i po této změně přeskočeni, použijte příslušné filtry oborů nebo zrušte přiřazení uživatele z aplikace, abyste zajistili, že jsou mimo rozsah.

Pokud máte dotazy k těmto změnám, obraťte se prosím na provisioningfeedback@microsoft.com

Další kroky

Synchronizace Microsoft Entra Connect: Principy deklarativního zřizování