Masalah umum untuk provisi di ID Microsoft Entra

Artikel ini membahas masalah umum yang perlu diperhatikan saat Anda bekerja dengan provisi aplikasi atau sinkronisasi lintas penyewa. Untuk memberikan umpan balik tentang layanan provisi aplikasi di UserVoice, lihat Provisi aplikasi Microsoft Entra UserVoice. Kami memperhatikan UserVoice dengan cermat sehingga kami dapat meningkatkan layanan.

Catatan

Artikel ini bukan daftar lengkap masalah yang diketahui. Jika Anda mengetahui masalah yang tidak tercantum, berikan umpan balik di bagian bawah halaman.

Sinkronisasi lintas penyewa

Skenario sinkronisasi yang tidak didukung

• Menyinkronkan grup, perangkat, dan kontak ke penyewa lain
• Menyinkronkan pengguna di seluruh cloud
• Menyinkronkan foto di seluruh penyewa
• Menyinkronkan kontak dan mengonversi kontak ke pengguna B2B
• Menyinkronkan ruang rapat di seluruh penyewa

Memperbarui proxyAddresses

ProxyAddresses adalah properti baca-saja di Microsoft Graph. Ini dapat disertakan sebagai atribut sumber dalam pemetaan Anda, tetapi tidak dapat ditetapkan sebagai atribut target.

Microsoft Teams

Pengguna eksternal/ B2B jenis member yang dibuat oleh sinkronisasi lintas penyewa dapat ditambahkan ke saluran bersama di Microsoft Teams. Namun, pengguna anggota eksternal yang dibuat di luar sinkronisasi lintas penyewa tidak dapat ditambahkan ke saluran bersama Teams.

Memprovisikan pengguna

Pengguna eksternal dari penyewa sumber (rumah) tidak dapat disediakan ke penyewa lain. Pengguna tamu internal dari penyewa sumber tidak dapat diprovisikan ke penyewa lain. Hanya pengguna anggota internal dari penyewa sumber yang dapat diprovisikan ke penyewa target. Untuk informasi selengkapnya, lihat Properti pengguna kolaborasi Microsoft Entra B2B.

Selain itu, pengguna yang diaktifkan untuk masuk SMS tidak dapat disinkronkan melalui sinkronisasi lintas penyewa.

Memperbarui properti showInAddressList gagal

Untuk pengguna kolaborasi B2B yang ada, atribut showInAddressList akan diperbarui selama pengguna kolaborasi B2B tidak memiliki kotak surat yang diaktifkan di penyewa target. Jika kotak surat diaktifkan di penyewa target, gunakan cmdlet PowerShell Set-MailUser untuk mengatur properti HiddenFromAddressListsEnabled ke nilai $false.

Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false

Di mana [GuestUserUPN] adalah UserPrincipalName yang dihitung. Contoh:

Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false

Untuk informasi selengkapnya, lihat Tentang modul Exchange Online PowerShell.

Mengonfigurasi sinkronisasi dari penyewa target

Mengonfigurasi sinkronisasi dari penyewa target tidak didukung. Semua konfigurasi harus dilakukan di penyewa sumber. Perhatikan bahwa administrator target dapat menonaktifkan sinkronisasi lintas penyewa kapan saja.

Dua pengguna di penyewa sumber cocok dengan pengguna yang sama di penyewa target

Ketika dua pengguna di penyewa sumber memiliki email yang sama, dan mereka berdua perlu dibuat di penyewa target, satu pengguna akan dibuat di target dan ditautkan ke dua pengguna di sumbernya. Pastikan bahwa atribut email tidak dibagikan di antara pengguna di penyewa sumber. Selain itu, pastikan bahwa email pengguna di penyewa sumber berasal dari domain terverifikasi. Pengguna eksternal tidak akan berhasil dibuat jika email berasal dari domain yang belum diverifikasi.

Penggunaan kolaborasi Microsoft Entra B2B untuk akses lintas penyewa

• Pengguna B2B tidak dapat mengelola layanan Microsoft 365 tertentu di penyewa jarak jauh (seperti Exchange Online), karena tidak ada pemilih direktori.
• Untuk mempelajari tentang dukungan Azure Virtual Desktop untuk pengguna B2B, lihat Prasyarat untuk Azure Virtual Desktop.
• Untuk status terbaru tentang dukungan Power BI untuk pengguna anggota eksternal, lihat Mendistribusikan konten Power BI ke pengguna tamu eksternal dengan Microsoft Entra B2B

Authorization

Tidak dapat mengubah mode provisi kembali ke manual

Setelah Anda mengonfigurasi provisi untuk pertama kalinya, Anda akan melihat bahwa mode provisi telah beralih dari manual ke otomatis. Anda tidak dapat mengubahnya kembali ke manual. Tetapi Anda dapat menonaktifkan provisi melalui UI. Menonaktifkan provisi di UI secara efektif melakukan hal yang sama seperti mengatur drop-down ke manual.

Pemetaan atribut

Atribut SamAccountName atau userType tidak tersedia sebagai atribut sumber

Atribut SamAccountName dan userType tidak tersedia sebagai atribut sumber secara default. Perluas skema Anda untuk menambahkan atribut. Anda dapat menambahkan atribut ke daftar atribut sumber yang tersedia dengan memperluas skema. Untuk mempelajari lebih lanjut, lihat Atribut sumber tidak ada.

Drop-down atribut sumber tidak ada untuk ekstensi skema

Ekstensi ke skema Anda terkadang bisa hilang dari drop-down atribut sumber di UI. Masuk ke pengaturan tingkat lanjut pemetaan atribut Anda dan tambahkan atribut secara manual. Untuk mempelajari lebih lanjut, lihat Menyesuaikan pemetaan atribut.

Atribut null tidak dapat diprovisikan

ID Microsoft Entra saat ini tidak dapat menyediakan atribut null. Jika atribut bernilai null di objek pengguna, atribut akan dilewati.

Karakter maksimum untuk ekspresi pemetaan atribut

Ekspresi pemetaan atribut dapat memiliki maksimum 10.000 karakter.

Filter cakupan tidak didukung

Atribut appRoleAssignments, userType, dan accountExpires tidak didukung sebagai filter cakupan.

OtherMails tidak boleh disertakan dalam pemetaan atribut Anda sebagai atribut target

Properti otherMails secara otomatis dihitung di penyewa target. Perubahan pada objek pengguna yang dibuat langsung di penyewa target dapat mengakibatkan properti otherMails diperbarui dan mengambil alih nilai yang ditetapkan oleh sinkronisasi lintas penyewa. Akibatnya, otherMails tidak boleh disertakan dalam pemetaan atribut sinkronisasi lintas penyewa Anda sebagai atribut target.

Ekstensi direktori multinilai

Ekstensi direktori multinilai tidak dapat digunakan dalam pemetaan atribut atau filter cakupan.

Masalah layanan

Skenario yang tidak didukung

• Provisi kata sandi tidak didukung.
• Provisi grup bertumpuk tidak didukung.
• Provisi ke penyewa B2C tidak didukung karena ukuran penyewa.
• Tidak semua aplikasi provisi tersedia di semua cloud. Misalnya, Atlassian belum tersedia di cloud Pemerintah. Kami bekerja sama dengan pengembang aplikasi untuk memasukkan aplikasi mereka ke semua cloud.

Provisi otomatis tidak tersedia di aplikasi berbasis OIDC saya

Jika Anda membuat pendaftaran aplikasi, perwakilan layanan yang sesuai di aplikasi perusahaan tidak akan diaktifkan untuk provisi pengguna otomatis. Anda harus meminta aplikasi ditambahkan ke galeri, jika dimaksudkan untuk digunakan oleh beberapa organisasi, atau membuat aplikasi non-galeri kedua untuk provisi.

Manajer tidak tersedia

Jika pengguna dan manajer mereka sama-sama berada dalam cakupan provisi, layanan menyediakan pengguna dan kemudian memperbarui manajer. Jika pada hari pertama pengguna berada dalam cakupan dan pengelola berada di luar cakupan, kami akan menyediakan pengguna tanpa referensi pengelola. Saat pengelola masuk ke dalam cakupan, referensi pengelola tidak akan diperbarui hingga Anda memulai ulang provisi dan menyebabkan layanan mengevaluasi ulang semua pengguna lagi.

Interval provisi diperbaiki

Waktu antara siklus provisi saat ini tidak dapat dikonfigurasi.

Perubahan tidak berpindah dari aplikasi target ke ID Microsoft Entra

Layanan provisi aplikasi tidak mengetahui perubahan yang dilakukan di aplikasi eksternal. Jadi, tidak ada tindakan yang diambil untuk memulihkan. Layanan provisi aplikasi bergantung pada perubahan yang dibuat di ID Microsoft Entra.

Beralih dari Sinkronkan Semua ke Sinkronisasi yang Ditetapkan tidak berfungsi

Setelah Anda mengubah cakupan dari Sinkronkan Semua ke Sinkronkan yang Ditetapkan, pastikan juga untuk memulai ulang untuk memastikan bahwa perubahan disebarkan. Anda dapat menghidupkan ulang dari UI.

Siklus provisi berlanjut hingga selesai

Saat Anda menyetel provisi ke enabled = off atau memilih Berhenti, siklus provisi saat ini terus berjalan hingga selesai. Layanan berhenti menjalankan siklus berikutnya hingga Anda mengaktifkan provisi lagi.

Anggota grup tidak diprovisikan

Saat grup berada dalam cakupan dan anggota berada di luar cakupan, grup akan diprovisikan. Pengguna di luar cakupan tidak akan tersedia. Jika anggota kembali ke cakupan, layanan tidak akan segera mendeteksi perubahan. Hidupkan ulang provisi mengatasi masalah tersebut. Mulai ulang layanan secara berkala untuk memastikan bahwa semua pengguna tersedia dengan benar.

Pembaca Global

Peran Pembaca Global tidak dapat membaca konfigurasi provisi. Buat peran kustom dengan microsoft.directory/applications/synchronization/standard/read izin untuk membaca konfigurasi provisi dari pusat admin Microsoft Entra.

Microsoft Azure Government Cloud

Kredensial, termasuk token rahasia, email pemberitahuan, dan email pemberitahuan sertifikat SSO bersama-sama memiliki batas 1KB di Microsoft Azure Government Cloud.

Penyediaan aplikasi lokal

Informasi berikut adalah daftar batasan yang diketahui saat ini dengan Host Koneksi or Microsoft Entra ECMA dan provisi aplikasi lokal.

Aplikasi dan direktori

Aplikasi dan direktori berikut belum didukung.

Active Directory Domain Services (tulis balik pengguna atau grup dari ID Microsoft Entra dengan menggunakan pratinjau provisi lokal)

• Saat pengguna dikelola oleh Microsoft Entra Koneksi, sumber otoritas Active Directory lokal Domain Services. Jadi, atribut pengguna tidak dapat diubah di MICROSOFT Entra ID. Pratinjau ini tidak mengubah sumber otoritas untuk pengguna yang dikelola oleh Microsoft Entra Koneksi.
• Mencoba menggunakan Microsoft Entra Koneksi dan provisi lokal untuk memprovisikan grup atau pengguna ke Active Directory Domain Services dapat menyebabkan pembuatan perulangan, di mana Microsoft Entra Koneksi dapat menimpa perubahan yang dilakukan oleh layanan provisi di cloud. Microsoft sedang mengerjakan kemampuan khusus untuk tulis balik grup atau pengguna. Upvote umpan balik UserVoice di situs web ini untuk melacak status pratinjau. Atau, Anda dapat menggunakan Microsoft Identity Manager untuk tulis balik pengguna atau grup dari ID Microsoft Entra ke Direktori Aktif.

Microsoft Entra ID

Dengan menggunakan provisi lokal, Anda dapat mengambil pengguna yang sudah ada di ID Microsoft Entra dan menyediakannya ke dalam aplikasi pihak ketiga. Anda tidak dapat membawa pengguna ke direktori dari aplikasi pihak ketiga. Pelanggan harus mengandalkan integrasi SDM asli kami, Microsoft Entra Koneksi, Microsoft Identity Manager, atau Microsoft Graph, untuk membawa pengguna ke direktori.

Atribut dan objek

Atribut dan objek berikut tidak didukung:

• Atribut multinilai.
• Atribut referensi (misalnya, manajer).
• Grup.
• Jangkar kompleks (misalnya, ObjectTypeName+UserName).
• Atribut yang memiliki karakter seperti "." atau "["
• Atribut biner.
• Aplikasi lokal terkadang tidak digabungkan dengan ID Microsoft Entra dan memerlukan kata sandi lokal. Pratinjau provisi lokal tidak mendukung sinkronisasi kata sandi. Provisi kata sandi satu kali di awal didukung. Pastikan Anda menggunakan fungsi Redact untuk meredakan kata sandi dari log. Dalam konektor SQL dan LDAP, kata sandi tidak diekspor pada panggilan awal ke aplikasi, melainkan panggilan kedua dengan kata sandi yang ditetapkan.

Sertifikat SSL

Host microsoft Entra ECMA Koneksi or saat ini mengharuskan sertifikat SSL dipercaya oleh Azure atau agen provisi yang akan digunakan. Subjek sertifikat harus cocok dengan nama host tempat Host microsoft Entra ECMA Koneksi or diinstal.

Atribut jangkar

Host Koneksi or Microsoft Entra ECMA saat ini tidak mendukung perubahan atribut jangkar (ganti nama) atau sistem target, yang memerlukan beberapa atribut untuk membentuk jangkar.

Penemuan dan pemetaan atribut

Atribut yang didukung aplikasi target ditemukan dan muncul di pusat admin Microsoft Entra di Pemetaan Atribut. Atribut yang baru ditambahkan akan terus ditemukan. Jika jenis atribut telah berubah, misalnya, string ke Boolean, dan atribut adalah bagian dari pemetaan, jenis tidak akan berubah secara otomatis di pusat admin Microsoft Entra. Pelanggan harus masuk ke pengaturan lanjutan dalam pemetaan dan memperbarui jenis atribut secara manual.

Agen provisi

• Agen saat ini tidak mendukung pembaruan otomatis untuk skenario provisi aplikasi lokal. Kami secara aktif berupaya menutup celah ini dan memastikan bahwa pembaruan otomatis diaktifkan secara default dan diperlukan untuk semua pelanggan.
• Agen provisi yang sama tidak dapat digunakan untuk provisi aplikasi lokal dan sinkronisasi cloud/ provisi berbasis SDM.

Langkah berikutnya

Cara kerja provisi