Problemas conocidos para el aprovisionamiento en Microsoft Entra ID

  • Artículo

En este artículo se abordan problemas conocidos que deben tenerse en cuenta al trabajar con el aprovisionamiento de aplicaciones o la sincronización entre inquilinos. Para proporcionar comentarios sobre el servicio de aprovisionamiento de aplicaciones en UserVoice; consulte Aprovisionamiento de aplicaciones de Microsoft Entra en UserVoice. Supervisamos UserVoice muy de cerca para poder mejorar el servicio.

Nota

Este artículo no proporciona una lista completa de problemas conocidos. Si sabe que hay un problema que no aparece en la lista, proporcione comentarios en la parte inferior de la página.

Sincronización entre inquilinos

Escenarios de sincronización no compatibles

  • Sincronización de grupos, dispositivos y contactos en otro inquilino
  • Sincronización de usuarios entre nubes
  • Sincronización de fotos entre inquilinos
  • Sincronización de contactos y conversión de estos a usuarios B2B
  • Sincronización de salas de reuniones entre inquilinos

Microsoft Teams

Los usuarios externos o B2B de tipo member creados por la sincronización entre inquilinos se pueden agregar a un canal compartido en Microsoft Teams. Sin embargo, los usuarios miembros externos creados fuera de la sincronización entre inquilinos no se pueden agregar a un canal compartido de Teams.

Aprovisionamiento de usuarios

Un usuario externo del inquilino de origen (inicio) no se puede aprovisionar en otro inquilino. Los usuarios invitados internos del inquilino de origen no se pueden aprovisionar en otro inquilino. Solo los usuarios miembros internos del inquilino de origen se pueden aprovisionar en el inquilino de destino. Para más información consulte Propiedades de un usuario de colaboración B2B de Microsoft Entra.

Además, los usuarios habilitados para el inicio de sesión por SMS no se pueden sincronizar mediante la sincronización entre inquilinos.

Error al actualizar la propiedad showInAddressList

En el caso de los usuarios de colaboración B2B existentes, el atributo showInAddressList se actualizará siempre que el usuario de colaboración B2B no tenga habilitado un buzón en el inquilino de destino. Si el buzón está habilitado en el inquilino de destino, use el cmdlet Set-MailUser de PowerShell para establecer la propiedad HiddenFromAddressListsEnabled con un valor de $false.

Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false

Donde [GuestUserUPN] es el valor calculado de UserPrincipalName. Ejemplo:

Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false

Para obtener más información, vea Acerca del módulo PowerShell de Exchange Online.

Configuración de la sincronización desde el inquilino de destino

La configuración de la sincronización desde el inquilino de destino no es compatible. Todas las configuraciones se deben realizar en el inquilino de origen. Tenga en cuenta que el administrador de destino puede desactivar la sincronización entre inquilinos en cualquier momento.

Dos usuarios del inquilino de origen coinciden con el mismo usuario en el inquilino de destino

Cuando dos usuarios del inquilino de origen tienen el mismo correo y ambos deben crearse en el inquilino de destino, se creará un usuario en el destino y se vinculará a los dos usuarios del origen. Asegúrese de que el atributo de correo no se comparte entre los usuarios del inquilino de origen. Además, asegúrese de que el correo del usuario en el inquilino de origen procede de un dominio comprobado. El usuario externo no se creará correctamente si el correo procede de un dominio no comprobado.

Uso de la colaboración B2B de Microsoft Entra para el acceso entre inquilinos

Authorization

No se puede volver a cambiar el modo de aprovisionamiento a manual

Tras configurar el aprovisionamiento por primera vez, observará que el modo de aprovisionamiento cambia de manual a automático. No se puede volver a cambiar a manual. Sin embargo, puede desactivar el aprovisionamiento en la interfaz de usuario. Desactivar el aprovisionamiento en la interfaz de usuario tiene el mismo efecto que establecer la configuración en manual en el menú desplegable.

Asignaciones de atributos

Atributo SamAccountName o userType no disponible como un atributo de origen

Los atributos SamAccountName y userType no están disponibles como un atributo de origen de forma predeterminada. Extienda el esquema para agregar los atributos. Puede agregar los atributos a la lista de atributos de origen disponibles mediante la extensión del esquema. Para más información, vea Falta el atributo de origen.

Faltan atributos de origen en la lista desplegable para la extensión del esquema

A veces, pueden faltar extensiones en la lista desplegable de atributos de origen de la interfaz de usuario. Vaya a la configuración avanzada de las asignaciones de atributos y agregue manualmente los atributos. Para más información, vea Personalización de asignaciones de atributos.

No se puede aprovisionar el atributo NULL

Microsoft Entra ID actualmente no puede aprovisionar atributos NULL. Si un atributo es NULL en el objeto de usuario, se omitirá.

Caracteres máximos para las expresiones de asignación de atributos

Las expresiones de asignación de atributos pueden tener un máximo de 10 000 caracteres.

Filtros de ámbito no admitidos

No se admiten los atributos appRoleAssignments, userType y accountExpires como filtros de ámbito.

OtherMails no se debe incluir como atributo de destino en las asignaciones de atributos

La propiedad otherMails se procesa automáticamente en el inquilino de destino. Los cambios realizados directamente en el objeto de usuario en el inquilino de destino podrían dar lugar a que se actualice la propiedad otherMails e invalide el valor establecido por la sincronización entre inquilinos. Como resultado, otherMails no debe incluirse en las asignaciones de atributos de sincronización entre inquilinos como atributo de destino.

Extensiones de directorio de varios valores

Las extensiones de directorio de varios valores no se pueden usar en asignaciones de atributos ni filtros de ámbito.

Problemas de servicio

Escenarios no admitidos

  • No se admite el aprovisionamiento de contraseñas.
  • No se admite el aprovisionamiento de grupos anidados.
  • No se admite el aprovisionamiento de inquilinos B2C debido al tamaño de los inquilinos.
  • No todas las aplicaciones de aprovisionamiento están disponibles en todas las nubes. Por ejemplo, Atlassian aún no está disponible en la nube de administración pública. Estamos trabajando para que los desarrolladores de aplicaciones incorporen sus aplicaciones a todas las nubes.

El aprovisionamiento automático no está disponible en mi aplicación basada en OIDC

Si crea un registro de aplicación, la entidad de servicio correspondiente en las aplicaciones empresariales no se habilitará para el aprovisionamiento automático de usuarios. Deberá solicitar que la aplicación se agregue a la galería, si está previsto que la usen varias organizaciones, o crear una segunda aplicación fuera de la galería para el aprovisionamiento.

El administrador no está aprovisionado

Si un usuario y su administrador están ambos en el ámbito para el aprovisionamiento, el servicio aprovisiona al usuario y luego actualiza el administrador. Si el primer día el usuario está en el ámbito y el administrador está fuera, se aprovisionará al usuario sin la referencia del administrador. Cuando el administrador entre en el ámbito, la referencia del administrador no se actualizará hasta que se reinicie el aprovisionamiento y que el servicio vuelva a evaluar a todos los usuarios.

El intervalo de aprovisionamiento es fijo

Actualmente, el tiempo entre los ciclos de aprovisionamiento no es configurable.

Cambios que no se mueven de la aplicación de destino a Microsoft Entra ID

El servicio de aprovisionamiento de aplicaciones no reconoce los cambios realizados en las aplicaciones externas. Por tanto, no se realiza ninguna acción para la reversión. El servicio de aprovisionamiento de aplicaciones se basa en los cambios realizados en Microsoft Entra ID.

El cambio de sincronizar todo a sincronizar asignados no funciona

Después de cambiar el ámbito de Sincronizar todo a Sincronizar asignados, asegúrese también de reiniciar para asegurarse de que el cambio surta efecto. Puede realizar el reinicio desde la interfaz de usuario.

El ciclo de aprovisionamiento continúa hasta la finalización

Al establecer el aprovisionamiento enabled = off, o al seleccionar la opción de Detención, el ciclo de aprovisionamiento actual continuará ejecutándose hasta que se complete. El servicio deja de ejecutar todos los ciclos futuros hasta que vuelva a activar el aprovisionamiento.

Miembro del grupo no aprovisionado

Cuando un grupo está dentro del ámbito y un miembro está fuera, se aprovisionará el grupo. El usuario que está fuera del ámbito no se aprovisionará. Si el miembro vuelve al ámbito, el servicio no detectará el cambio inmediatamente. Al reiniciar el aprovisionamiento, se soluciona el problema. Reinicie periódicamente el servicio para asegurarse de que todos los usuarios se hayan aprovisionado correctamente.

Lector global

El rol de lector global no puede leer la configuración de aprovisionamiento. Cree un rol personalizado con el permiso microsoft.directory/applications/synchronization/standard/read para leer la configuración de aprovisionamiento desde el Centro de administración de Microsoft Entra.

Microsoft Azure Government Cloud

Las credenciales, incluido el token secreto, el correo electrónico de notificación y los correos electrónicos de notificación de certificado SSO, tienen un límite de 1 KB en Microsoft Azure Government Cloud.

Aprovisionamiento de aplicaciones locales

La siguiente información es una lista actual de limitaciones conocidas con el host del conector ECMA de Microsoft Entra y el aprovisionamiento de aplicaciones locales.

Aplicación y directorios

Todavía no se admiten las siguientes aplicaciones y directorios.

Active Directory Domain Services (escritura diferida de usuarios o grupos desde Microsoft Entra ID mediante la versión preliminar de aprovisionamiento local)

  • Cuando un usuario se administra mediante Microsoft Entra Connect, el origen de autoridad es Active Directory Domain Services local. Por lo tanto, los atributos de usuario no se pueden cambiar en Microsoft Entra ID. Esta versión preliminar no cambia el origen de autoridad de los usuarios administrados por Microsoft Entra Connect.
  • El intento de usar Microsoft Entra Connect y el aprovisionamiento local para aprovisionar grupos o usuarios en Active Directory Domain Services puede dar lugar a la creación de un bucle, donde Microsoft Entra Connect puede sobrescribir un cambio realizado por el servicio de aprovisionamiento en la nube. Microsoft trabaja en una funcionalidad dedicada para la escritura diferida de grupos o usuarios. Vote a favor de los comentarios de UserVoice en este sitio web para realizar un seguimiento del estado de la versión preliminar. Como alternativa, puede usar Microsoft Identity Manager para la escritura diferida de grupos o usuarios de Microsoft Entra ID a Active Directory.

Microsoft Entra ID

Con el uso del aprovisionamiento local puede tomar un usuario que ya está Microsoft Entra ID y aprovisionarlo en una aplicación de terceros. No puede llevar a un usuario al directorio desde una aplicación de terceros. Los clientes tendrán que confiar en nuestras integraciones nativas de RR. HH., Microsoft Entra Connect, Microsoft Identity Manager o Microsoft Graph, para llevar a los usuarios al directorio.

Atributos y objetos

No se admiten los siguientes atributos y objetos:

  • Atributos con varios valores
  • Atributos de referencia (por ejemplo, administrador).
  • Grupos.
  • Delimitadores complejos (por ejemplo, ObjectTypeName+UserName).
  • Atributos que tienen caracteres como "." o "["
  • Atributos binarios.
  • A veces, las aplicaciones locales no están federadas con Microsoft Entra ID y requieren contraseñas locales. La versión preliminar del aprovisionamiento local no admite la sincronización de contraseñas. Se admite el aprovisionamiento de contraseñas iniciales únicas. Asegúrese de que usa la función Redact para ocultar las contraseñas de los registros. En los conectores SQL y LDAP, las contraseñas no se exportan en la llamada inicial a la aplicación, sino en una segunda llamada con la contraseña establecida.

Certificados SSL

El host del conector ECMA de Microsoft Entra requiere actualmente que el certificado SSL sea de confianza para Azure o que el agente de aprovisionamiento se use. El asunto del certificado debe coincidir con el nombre de host en el que está instalado el host del conector ECMA de Microsoft Entra.

Atributos de delimitador

El host del conector ECMA de Microsoft Entra no admite actualmente cambios de atributo de delimitador (cambios de nombre) ni sistemas de destino, que requieren varios atributos para formar un delimitador.

Detección y asignación de atributos

Los atributos que admite la aplicación de destino se detectan y exponen en el Centro de administración de Microsoft Entra en Asignaciones de atributos. Los atributos recién agregados se seguirán detectando. Si un tipo de atributo ha cambiado, por ejemplo, de cadena a booleano, y el atributo forma parte de las asignaciones, el tipo no cambiará automáticamente en el Centro de administración de Microsoft Entra. Los clientes tendrán que adoptar la configuración avanzada en las asignaciones y actualizar manualmente el tipo de atributo.

Agente del aprovisionamiento

  • Actualmente, el agente no admite la actualización automática para el escenario de aprovisionamiento de aplicaciones en el entorno local. Estamos trabajando activamente a fin de cerrar esta brecha y asegurarnos de que la actualización automática esté habilitada de manera predeterminada y sea necesaria para todos los clientes.
  • No se puede usar el mismo agente de aprovisionamiento para el aprovisionamiento de aplicaciones en el entorno local y el aprovisionamiento controlado por RR. HH. o sincronización en la nube.

Pasos siguientes

Funcionamiento del aprovisionamiento