Známé problémy se zřizováním v Microsoft Entra ID

Tento článek popisuje známé problémy, o kterých je potřeba vědět při práci se zřizováním aplikací nebo synchronizací mezi tenanty. Pokud chcete poskytnout zpětnou vazbu ke službě zřizování aplikací na UserVoice, přečtěte si článek o zřizování aplikace Microsoft Entra UserVoice. Pozorně sledujeme UserVoice, abychom mohli službu vylepšit.

Poznámka:

Tento článek není úplný seznam známých problémů. Pokud víte o problému, který tu není uvedený, poskytněte zpětnou vazbu v dolní části stránky.

Synchronizace mezi tenanty

Nepodporované scénáře synchronizace

• Synchronizace skupin, zařízení a kontaktů do jiného tenanta
• Synchronizace uživatelů napříč cloudy
• Synchronizace fotek mezi tenanty
• Synchronizace kontaktů a převod kontaktů na uživatele B2B
• Synchronizace zasedacích místností napříč tenanty

Microsoft Teams

Externí /B2B uživatelé typu member vytvořené synchronizací mezi tenanty je možné přidat do sdíleného kanálu v Microsoft Teams. Externí členové vytvořené mimo synchronizaci mezi tenanty se ale nedají přidat do sdíleného kanálu Teams.

Zřizování uživatelů

Externí uživatel ze zdrojového (domovského) tenanta nejde zřídit do jiného tenanta. Interní uživatele typu host ze zdrojového tenanta nejde zřídit do jiného tenanta. Do cílového tenanta je možné zřídit pouze interní uživatele z zdrojového tenanta. Další informace naleznete v tématu Vlastnosti uživatele spolupráce Microsoft Entra B2B.

Kromě toho není možné synchronizovat uživatele s povoleným přihlášením přes SMS prostřednictvím synchronizace mezi tenanty.

Aktualizace vlastnosti showInAddressList selže

U stávajících uživatelů spolupráce B2B se atribut showInAddressList aktualizuje, pokud uživatel spolupráce B2B nemá v cílovém tenantovi povolenou poštovní schránku. Pokud je poštovní schránka povolena v cílovém tenantovi, pomocí rutiny Set-MailUser PowerShell nastavte HiddenFromAddressListsEnabled vlastnost na hodnotu $false.

Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false

Kde [GuestUserUPN] je počítaná hodnota UserPrincipalName. Příklad:

Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false

Další informace najdete v tématu o modulu Exchange Online PowerShell.

Konfigurace synchronizace z cílového tenanta

Konfigurace synchronizace z cílového tenanta se nepodporuje. Všechny konfigurace musí být provedeny ve zdrojovém tenantovi. Mějte na paměti, že cílový správce může synchronizaci mezi tenanty kdykoli vypnout.

Dva uživatelé ve zdrojovém tenantovi se shodovali se stejným uživatelem v cílovém tenantovi.

Pokud mají dva uživatelé ve zdrojovém tenantovi stejnou poštu a obě musí být vytvořeny v cílovém tenantovi, jeden uživatel se vytvoří v cíli a propojil se se dvěma uživateli ve zdroji. Ujistěte se, že atribut pošty není sdílený mezi uživateli ve zdrojovém tenantovi. Kromě toho se ujistěte, že e-mail uživatele ve zdrojovém tenantovi pochází z ověřené domény. Pokud je pošta z neověřené domény, externí uživatel se úspěšně nevytvořil.

Využití spolupráce Microsoft Entra B2B pro přístup mezi tenanty

• Uživatelé B2B nemůžou spravovat určité služby Microsoftu 365 ve vzdálených tenantech (například Exchange Online), protože neexistuje žádný výběr adresáře.
• Další informace o podpoře služby Azure Virtual Desktop pro uživatele B2B najdete v tématu Požadavky pro Azure Virtual Desktop.
• Nejnovější stav podpory Power BI pro externí uživatele členů najdete v tématu Distribuce obsahu Power BI externím uživatelům typu host pomocí Microsoft Entra B2B.

Autorizace

Režim zřizování nejde změnit zpět na ruční

Po prvním nakonfigurování zřizování si všimnete, že se režim zřizování přepnul z ručního na automatický. Režim není možné změnit zpět na ruční. Prostřednictvím uživatelského rozhraní však můžete vypnout zřizování. Vypnutím zřizování v uživatelském rozhraní ve skutečnosti dosáhnete stejného výsledku jako nastavením ručního režimu v rozevírací nabídce.

Mapování atributů

Atribut SamAccountName nebo userType není k dispozici jako zdrojový atribut

Atributy SamAccountName a userType nejsou ve výchozím nastavení k dispozici jako zdrojový atribut. Rozšiřte schéma a přidejte atributy. Atributy můžete přidat do seznamu dostupných zdrojových atributů rozšířením schématu. Další informace najdete v tématu Chybějící atribut zdroje.

Chybí rozevírací seznam zdrojových atributů pro rozšíření schématu.

Rozšíření schématu můžou někdy chybět v rozevíracím seznamu zdrojového atributu v uživatelském rozhraní. Přejděte do upřesňujícího nastavení mapování atributů a přidejte atributy ručně. Další informace najdete v tématu Přizpůsobení mapování atributů.

Atribut Null nelze zřídit.

ID Microsoft Entra momentálně nemůže zřizovat atributy null. Pokud je atribut u objektu uživatele null, přeskočí se.

Maximální počet znaků pro výrazy mapování atributů

Výrazy mapování atributů můžou mít maximálně 10 000 znaků.

Nepodporované filtry oborů

Atributy appRoleAssignments, userType a accountExpires nejsou podporované jako filtry oborů.

Ostatnímaily by neměly být zahrnuty do mapování atributů jako cílový atribut.

Vlastnost otherMails se automaticky vypočítá v cílovém tenantovi. Změny objektu uživatele provedené přímo v cílovém tenantovi můžou vést k aktualizaci jiné vlastnostiMails a přepsání hodnoty nastavené synchronizací mezi tenanty. V důsledku toho by ostatnímaily neměly být zahrnuty do mapování atributů synchronizace mezi tenanty jako cílový atribut.

Rozšíření adresářů s více hodnotami

Rozšíření adresářů s více hodnotami se nedají použít v mapování atributů ani filtrech oborů.

Potíže se službou

Nepodporované scénáře

• Zřizování hesel se nepodporuje.
• Zřizování vnořených skupin se nepodporuje.
• Zřizování pro tenanty B2C není podporované kvůli velikosti tenantů.
• Ne všechny zřizovací aplikace jsou dostupné ve všech cloudech. Například Atlassian ještě není v cloudu pro státní správu dostupný. Pracujeme s vývojáři aplikací na onboardingu svých aplikací do všech cloudů.

Automatické zřizování není dostupné v aplikaci založené na OIDC

Pokud vytvoříte registraci aplikace, odpovídající instanční objekt v podnikových aplikacích nebude povolený pro automatické zřizování uživatelů. Budete muset buď požádat o přidání aplikace do galerie, pokud je určená pro použití více organizací, nebo vytvořit druhou aplikaci mimo galerii pro zřizování.

Správce není zřízený

Pokud má uživatel i jeho nadřízený obor zřizování, služba zřídí uživatele a pak aktualizuje správce. Pokud je den, kdy je uživatel v oboru a nadřízený je mimo rozsah, zřídíme uživatele bez odkazu správce. Jakmile správce přejde do oboru, odkaz na správce se neaktualizuje, dokud nerestartujete zřizování a služba znovu vyhodnotí všechny uživatele.

Interval zřizování je pevný.

Doba mezi cykly zřizování se momentálně nedá konfigurovat.

Změny, které se nepřecházejí z cílové aplikace na ID Microsoft Entra

Služba zřizování aplikací neví o změnách provedených v externích aplikacích. Takže není nutné provádět žádnou akci, která by se vrátila zpět. Služba zřizování aplikací spoléhá na změny provedené v ID Microsoft Entra.

Přechod z možnosti Synchronizovat vše na přiřazenou synchronizaci nefunguje

Po změně rozsahu z možnosti Synchronizovat vše na Přiřazené synchronizace nezapomeňte provést také restartování, aby se zajistilo, že se změna projeví. Restartování můžete provést z uživatelského rozhraní.

Cyklus zřizování pokračuje až do dokončení.

Když nastavíte zřizování enabled = off nebo vyberete Zastavit, bude aktuální cyklus zřizování pokračovat až do dokončení. Služba přestane spouštějí všechny budoucí cykly, dokud znovu nezapnete zřizování.

Člen skupiny není zřízen

Pokud je skupina v oboru a člen je mimo rozsah, skupina se zřídí. Uživatel mimo rozsah se nezřídí. Pokud se člen vrátí do oboru, služba změnu okamžitě nezjistí. Problém řeší restartování zřizování. Pravidelně restartujte službu, abyste měli jistotu, že jsou všichni uživatelé správně zřízeni.

Globální čtenář

Role Globální čtenář nemůže přečíst konfiguraci zřizování. Vytvořte vlastní roli s oprávněním microsoft.directory/applications/synchronization/standard/read , abyste mohli číst konfiguraci zřizování z Centra pro správu Microsoft Entra.

Microsoft Azure Government Cloud

Přihlašovací údaje, včetně tokenu tajného klíče, e-mailu s oznámením o oznámeních o jednotném přihlašování, mají v cloudu Microsoft Azure Government limit 1 kB.

Zřizování místních aplikací

Následující informace jsou aktuálním seznamem známých omezení u microsoft Entra ECMA Připojení or Host a zřizování místních aplikací.

Aplikace a adresáře

Následující aplikace a adresáře se zatím nepodporují.

Doména služby Active Directory Services (zpětný zápis uživatele nebo skupiny z ID Microsoft Entra pomocí místního zřizování ve verzi Preview)

• Pokud je uživatel spravován společností Microsoft Entra Připojení, zdroj autority je místní Active Directory Domain Services. V MICROSOFT Entra ID se proto atributy uživatelů nedají změnit. Tato verze Preview nemění zdroj autority pro uživatele spravované microsoftem Entra Připojení.
• Pokus o použití microsoft entra Připojení a místního zřizování pro zřizování skupin nebo uživatelů do Doména služby Active Directory Services může vést k vytvoření smyčky, kde Microsoft Entra Připojení může přepsat změnu, kterou udělala služba zřizování v cloudu. Microsoft pracuje na vyhrazené funkci pro zpětný zápis skupiny nebo uživatele. Pokud chcete sledovat stav náhledu, zvete svůj názor na UserVoice na tomto webu . Alternativně můžete použít Microsoft Identity Manager pro zpětný zápis uživatele nebo skupiny z Microsoft Entra ID do Active Directory.

Microsoft Entra ID

Pomocí místního zřizování můžete převzít uživatele, který už je v Microsoft Entra ID, a zřídit ho do aplikace třetí strany. Uživatele nemůžete přenést do adresáře z aplikace třetí strany. Zákazníci budou muset spoléhat na naše nativní integrace lidských zdrojů, Microsoft Entra Připojení, Microsoft Identity Manager nebo Microsoft Graph, aby mohli uživatele přenést do adresáře.

Atributy a objekty

Následující atributy a objekty nejsou podporovány:

• Vícehodnotové atributy.
• Referenční atributy (například správce).
• Skupiny
• Komplexní ukotvení (například ObjectTypeName+UserName).
• Atributy, které mají znaky, například "." nebo "[".
• Binární atributy.
• Místní aplikace se někdy nefederují s ID Microsoft Entra a vyžadují místní hesla. Místní zřizování verze Preview nepodporuje synchronizaci hesel. Podporuje se zřizování počátečních jednorázových hesel. Ujistěte se, že k redakci hesel z protokolů používáte funkci Redact . V konektorech SQL a LDAP se hesla neexportují při počátečním volání aplikace, ale při druhém volání s nastaveným heslem.

Certifikáty SSL

Hostitel Microsoft Entra ECMA Připojení or v současné době vyžaduje, aby azure nebo agent zřizování důvěřoval certifikátu SSL. Předmět certifikátu se musí shodovat s názvem hostitele, na který je nainstalovaný hostitel Microsoft Entra ECMA Připojení or.

Ukotvení atributů

Microsoft Entra ECMA Připojení or Host v současné době nepodporuje změny atributů ukotvení (přejmenování) ani cílové systémy, které k vytvoření ukotvení vyžadují více atributů.

Zjišťování a mapování atributů

Atributy, které cílová aplikace podporuje, se zjistí a objeví v Centru pro správu Microsoft Entra v mapování atributů. Nově přidané atributy budou nadále zjištěny. Pokud se typ atributu změnil, například řetězec na logickou hodnotu a atribut je součástí mapování, typ se v Centru pro správu Microsoft Entra automaticky nezmění. Zákazníci budou muset přejít do upřesňujícího nastavení v mapováních a ručně aktualizovat typ atributu.

Agent zřizování

• Agent v současné době nepodporuje automatickou aktualizaci pro místní scénář zřizování aplikací. Aktivně pracujeme na tom, abychom tuto mezeru zavřeli a zajistili, že je ve výchozím nastavení povolená automatická aktualizace a vyžaduje se pro všechny zákazníky.
• Stejný agent zřizování se nedá použít pro zřizování místních aplikací a synchronizaci cloudu nebo zřizování řízené hrou.

Další kroky

Jak funguje zřizování