Aucun utilisateur n’est en cours d’approvisionnement

Notes

À partir du 16/04/2020, nous avons modifié le comportement des utilisateurs assignés au rôle d’accès par défaut. Pour plus d’informations, consultez la section ci-dessous.

Une fois que l’approvisionnement automatique a été configuré pour une application (avec notamment la vérification des informations d’identification de l’application fournies à Azure AD pour la connexion à l’application), les utilisateurs et/ou groupes sont approvisionnés sur l’application. L’approvisionnement est déterminé par les éléments suivants :

Si vous constatez que des utilisateurs ne sont pas provisionnés, consultez les Journaux de provisionnement (préversion) dans Azure AD. Recherchez les entrées de journal d’un utilisateur spécifique.

Vous pouvez accéder aux journaux d’approvisionnement dans le portail Azure en sélectionnant Azure Active Directory > Applications d’entreprise > Journaux de provisionnement (préversion) dans la section Activité. Vous pouvez rechercher les données de provisionnement en fonction du nom de l’utilisateur ou de l’identificateur dans le système source ou le système cible. Pour plus d’informations, consultez Journaux de provisionnement (préversion).

Les journaux de provisionnement enregistrent toutes les opérations effectuées par le service de provisionnement, y compris l’interrogation d’Azure AD concernant les utilisateurs attribués qui se trouvent dans l’étendue de provisionnement, l’interrogation de l’application cible concernant l’existence de ces utilisateurs, et la comparaison des objets utilisateur du système. Ajoutez ensuite, mettez à jour ou désactivez le compte d’utilisateur dans le système cible en fonction de cette comparaison.

Problèmes généraux d’approvisionnement à prendre en compte

Voici une liste des problèmes généraux que vous pouvez explorer si vous savez par où commencer.

Le service d’approvisionnement ne semble pas démarrer

Si vous définissez le paramètre État de l’approvisionnement sur Activé dans la section Azure Active Directory > Applications d’entreprise > [Nom de l’application] >Approvisionnement du portail Azure. Cependant, si aucune autre information d’état n’est affichée sur cette page après de nouveaux chargements, il est probable que le service est en cours d’exécution et qu’il n’a pas encore achevé le cycle initial. Vérifiez les Journaux de provisionnement (préversion) décrits ci-dessus pour déterminer les opérations effectuées par le service, et la présence éventuelle d’erreurs.

Notes

Un cycle initial peut prendre de 20 minutes à plusieurs heures, en fonction de la taille de l’annuaire Azure AD et du nombre d’utilisateurs présents dans l’étendue du provisionnement. Les synchronisations qui suivent le cycle initial sont plus rapides, car le service de provisionnement stocke les filigranes qui représentent l’état des deux systèmes après le cycle initial. Le cycle initial améliore les performances des synchronisations suivantes.

Les journaux de provisionnement indiquent que les utilisateurs sont ignorés et non provisionnés, bien qu’ils soient attribués

Lorsqu’un utilisateur apparaît comme « ignoré » dans les journaux de provisionnement, il est important d’examiner l’onglet Étapes du journal pour en déterminer la raison. Voici les raisons les plus courantes et les solutions correspondantes :

  • Un filtre d’étendue a été configuré, qui exclut l’utilisateur en fonction d’une valeur d’attribut. Pour plus d’informations sur les filtres d’étendue, consultez Filtres d’étendue.
  • L’utilisateur n’est pas « autorisé de manière effective ». Ce message d’erreur indique un problème concernant l’enregistrement d’affectation d’utilisateurs stocké dans Azure AD. Pour résoudre ce problème, supprimez l’assignation de l’utilisateur (ou du groupe) de l’application, puis réassignez-le. Pour plus d’informations sur l’assignation, consultez Affecter un utilisateur ou un groupe à une application d’entreprise dans Azure Active Directory.
  • Un attribut requis manque ou n’est pas indiqué pour un utilisateur. Lors de la configuration de l’approvisionnement, il est important de vérifier et configurer les mappages d’attributs et les workflows qui définissent les propriétés de l’utilisateur (ou du groupe) passant d’Azure AD à l’application. Cette configuration inclut la définition d’une « propriété correspondante » réservée à l’identification et à la mise en correspondance des utilisateurs/groupes entre les deux systèmes. Pour plus de détails sur ce processus important, consultez Personnalisation des mappages d’attributs d’approvisionnement d’utilisateurs pour les applications SaaS dans Azure Active Directory.
  • Mappage d’attributs pour les groupes : Approvisionnement du nom du groupe et des détails du groupe, en plus des membres, si la prise en charge est effective pour certaines applications. Vous pouvez activer ou désactiver cette fonctionnalité en activant ou désactivant le mappage pour les objets de groupe affichés dans l’onglet Approvisionnement. Si les groupes d’approvisionnement sont activés, veillez à passer en revue les mappages d’attributs afin de vous assurer qu’un champ approprié est utilisé pour l’« ID correspondant ». L’ID correspondant peut être le nom d’affichage ou l’alias de messagerie. Le groupe et ses membres ne sont pas approvisionnés si la propriété correspondante est vide ou n’est pas renseignée pour un groupe dans Azure AD.

Approvisionnement des utilisateurs assignés au rôle d’accès par défaut

Le rôle par défaut sur une application de la galerie est appelé le rôle « accès par défaut ». Historiquement, les utilisateurs assignés à ce rôle ne sont pas approvisionnés et sont marqués comme étant ignorés dans les journaux d’approvisionnement parce qu’ils ont le statut « non autorisés de manière effective ».

Comportement pour l’approvisionnement des configurations créées après le 16/04/2020 : Les utilisateurs assignés au rôle d’accès par défaut sont évalués de la même façon que tous les autres rôles. Un utilisateur auquel est attribué l’accès par défaut n’est pas ignoré pour le motif « non autorisé de manière effective ».

Comportement pour l’approvisionnement des configurations créées avant le 16/04/2020 : Au cours des trois prochains mois, le comportement se poursuivra comme aujourd’hui. Les utilisateurs ayant le rôle d’accès par défaut seront ignorés, car non autorisés de manière effective. Après juillet 2020, le comportement sera uniforme pour toutes les applications. Nous n’allons pas ignorer l’approvisionnement des utilisateurs ayant le rôle d’accès par défaut, pour le motif « non autorisés de manière effective ». Cette modification sera effectuée par Microsoft, sans aucune intervention du client. Si vous souhaitez vous assurer que ces utilisateurs continuent d’être ignorés, même après cette modification, appliquez les filtres d’étendue appropriés ou supprimez l’attribution de l’utilisateur de l’application pour qu’ils ne sont pas inclus.

Pour toute question sur ces modifications, contactez provisioningfeedback@microsoft.com.

Étapes suivantes

Synchronisation Azure AD Connect : présentation du provisionnement déclaratif