Nessun utente è sottoposto a provisioning per un'applicazione della raccolta di Azure ADNo users are being provisioned to an Azure AD Gallery application

Dopo aver configurato il provisioning automatico per un'applicazione (e dopo aver verificato la validità delle credenziali fornite ad Azure AD per connettersi all'app),Once automatic provisioning has been configured for an application (including verifying that the app credentials provided to Azure AD to connect to the app are valid). gli utenti e/o i gruppi vengono sottoposti a provisioning per l'app in base a quanto segue:Then users and/or groups are provisioned to the app and is determined by the following things:

Se gli utenti non sono sottoposti a provisioning, vedere i log di controllo in Azure AD e cercare le voci per un utente specifico.When observing that users are not being provisioned, consult the Audit logs in Azure AD and search for log entries for a specific user.

I log di controllo di provisioning sono accessibili nella scheda Azure Active Directory > App aziendali > [Nome applicazione] > Log di controllo del Portale di Azure. Filtrare i log nella categoria Provisioning account per visualizzare solo gli eventi di provisioning per l'app specifica.The provisioning audit logs can be accessed in the Azure portal, in the Azure Active Directory > Enterprise Apps > [Application Name] > Audit Logs tab. Filter the logs on the Account Provisioning category to only see the provisioning events for that app. È possibile cercare gli utenti in base all'ID di abbinamento configurato nel mapping degli attributi.You can search for users based on the “matching ID” that was configured for them in the attribute mappings. Ad esempio, se è stato configurato il nome dell'entità utente o l'indirizzo di posta elettronica come attributo di abbinamento sul lato Azure AD e l'utente non sottoposto a provisioning presenta un valore "audrey@contoso.com",For example, if you configured the “user principal name” or “email address” as the matching attribute on the Azure AD side, and the user not being provisioning has a value of “audrey@contoso.com”. cercare "audrey@contoso.com" nei log di controllo ed esaminare le voci restituite.Then search the audit logs for “audrey@contoso.com” and review then entries returned.

I log di controllo di provisioning registrano tutte le operazioni eseguite dal servizio di provisioning, ad esempio l'esecuzione in Azure AD di query sugli utenti assegnati che rientrano nell'ambito del provisioning, l'esecuzione nell'app di destinazione di query sull'esistenza di tali utenti, il confronto degli oggetti utente tra i sistemiThe provisioning audit logs record all the operations performed by the provisioning service, including querying Azure AD for assigned users that are in scope for provisioning, querying the target app for the existence of those users, comparing the user objects between the system. e quindi l'aggiunta, l'aggiornamento o la disabilitazione dell'account utente nel sistema di destinazione in base al confronto.Then add, update, or disable the user account in the target system based on the comparison.

Aree problematiche generali con provisioning da considerareGeneral Problem Areas with Provisioning to consider

Di seguito è riportato un elenco delle aree problematiche generali che è possibile analizzare se si ha un'idea del punto da cui iniziare.Below is a list of the general problem areas that you can drill into if you have an idea of where to start.

Avvio non riuscito del servizio di provisioningProvisioning service does not appear to start

Se si imposta Stato provisioning su Attivato nella sezione Azure Active Directory > App aziendali > [Nome applicazione] >Provisioning del Portale di Azure,If you set the Provisioning Status to be On in the Azure Active Directory > Enterprise Apps > [Application Name] >Provisioning section of the Azure portal. ma in seguito a successivi ricaricamenti non vengono visualizzati altri dettagli nella pagina, il servizio potrebbe essere in esecuzione senza aver ancora completato una sincronizzazione iniziale.However no other status details are shown on that page after subsequent reloads, it is likely that the service is running but has not completed an initial synchronization yet. Esaminare i log di controllo descritti in precedenza per individuare le operazioni in esecuzione nel servizio e verificare la presenza di eventuali errori.Check the Audit logs described above to determine what operations the service is performing, and if there are any errors.

Nota

Una sincronizzazione iniziale può richiedere da 20 minuti a diverse ore, a seconda delle dimensioni della directory di Azure AD e del numero di utenti inclusi nell'ambito del provisioning.An initial sync can take anywhere from 20 minutes to several hours, depending on the size of the Azure AD directory and the number of users in scope for provisioning. Le sincronizzazioni successive a quella iniziale risultano più veloci, poiché il servizio di provisioning archivia i limiti che rappresentano lo stato di entrambi i sistemi dopo la sincronizzazione iniziale, migliorando le prestazioni delle sincronizzazioni successive.Subsequent syncs after the initial sync are faster, as the provisioning service stores watermarks that represent the state of both systems after the initial sync. This improves performance of subsequent syncs.

I log di controllo indicano che gli utenti vengono ignorati e non sottoposti a provisioning, anche se assegnatiAudit logs say users are skipped and not provisioned even though they are assigned

Quando un utente viene visualizzato come "ignorato" nei log di controllo, è essenziale leggere i dettagli estesi nel messaggio di log per determinarne il motivo.When a user shows up as “skipped” in the audit logs, it is very important to read the extended details in the log message to determine the reason. Di seguito sono elencati i motivi e le risoluzioni comuni:Below are common reasons and resolutions:

  • È stato configurato un filtro di definizione dell'ambito che esclude l'utente in base a un valore di attributo.A scoping filter has been configured that is filtering the user out based on an attribute value. Per altre informazioni sui filtri di definizione dell'ambito, vedere https://docs.microsoft.com/azure/active-directory/active-directory-saas-scoping-filters.For more information on scoping filters, see https://docs.microsoft.com/azure/active-directory/active-directory-saas-scoping-filters.

  • L'utente "non è autorizzato in modo efficiente".The user is “not effectively entitled”. Se viene visualizzato questo messaggio di errore specifico, si è verificato un problema con il record di assegnazione degli utenti archiviato in Azure AD.If you see this specific error message, it is because there is a problem with the user assignment record stored in Azure AD. Per risolvere il problema, annullare l'assegnazione dell'utente (o del gruppo) dall'app e riassegnarla.To fix this issue, un-assign the user (or group) from the app, and re-assign it again. Per altre informazioni sull'assegnazione, vedere https://docs.microsoft.com/azure/active-directory/active-directory-coreapps-assign-user-azure-portal.For more information on assignment, see https://docs.microsoft.com/azure/active-directory/active-directory-coreapps-assign-user-azure-portal.

  • Attributo obbligatorio mancante o non popolato per un utente.A required attribute is missing or not populated for a user. Un aspetto importante da considerare quando si configura il provisioning è quello di esaminare e configurare il mapping degli attributi e i flussi di lavoro che definiscono il tipo di flusso di proprietà utente (o gruppo) da Azure AD all'applicazione.An important thing to consider when setting up provisioning be to review and configure the attribute mappings and workflows that define which user (or group) properties flow from Azure AD to the application. Rientra in questo ambito anche l'impostazione della "proprietà di abbinamento" che può essere usata per identificare e abbinare in modo univoco utenti/gruppi tra i due sistemi.This includes setting the “matching property” that be used to uniquely identify and match users/groups between the two systems. Per altre informazioni su questo importante processo, vedere Personalizzazione dei mapping degli attributi del provisioning degli utenti per le applicazioni SaaS in Azure Active Directory.For more information on this important process, see Customizing User Provisioning Attribute Mappings for SaaS Applications in Azure Active Directory.

    • Mapping degli attributi per gruppi: provisioning dei dettagli del gruppo e del nome del gruppo, oltre ai membri, se supportato per alcune applicazioni.Attribute mappings for groups: Provisioning of the group name and group details, in addition to the members, if supported for some applications. È possibile abilitare o disabilitare questa funzionalità abilitando o disabilitando il mapping per gli oggetti di gruppo visualizzati nella scheda Provisioning. Se il provisioning di gruppi è abilitato, verificare di controllare i mapping degli attributi per garantire che venga usato un campo appropriato per l'ID di abbinamento.You can enable or disable this functionality by enabling or disabling the Mapping for group objects shown in the Provisioning tab. If provisioning groups is enabled, be sure to review the attribute mappings to ensure an appropriate field is being used for the “matching ID”. Può trattarsi del nome visualizzato o dell'alias di posta elettronica, poiché il provisioning del gruppo e dei relativi membri non viene eseguito se la proprietà di abbinamento è vuota o non popolata per un gruppo in Azure AD.This can be the display name or email alias), as the group and its members not be provisioned if the matching property is empty or not populated for a group in Azure AD.

Passaggi successiviNext steps

Servizio di sincronizzazione Azure AD Connect: informazioni sul provisioning dichiarativoAzure AD Connect sync: Understanding Declarative Provisioning