Nessun utente è sottoposto a provisioning
Nota
A partire dal 16/04/2020 è stato modificato il comportamento per gli utenti a cui è stato assegnato il ruolo di accesso predefinito. Per informazioni dettagliate, vedere la sezione seguente.
Dopo aver configurato il provisioning automatico per un'applicazione (inclusa la verifica che le credenziali dell'app fornite all'ID Microsoft Entra per la connessione all'app siano valide), viene eseguito il provisioning di utenti e/o gruppi nell'app. Il provisioning viene determinato dagli elementi seguenti:
- Utenti e gruppi assegnati all'applicazione. Si noti che il provisioning dei gruppi annidati non è supportato. Per altre informazioni sull'assegnazione, vedere Assegnare un utente o un gruppo a un'app aziendale in Microsoft Entra ID.
- Indica se i mapping degli attributi sono abilitati e configurati per sincronizzare gli attributi validi dall'ID Microsoft Entra all'app. Per altre informazioni sui mapping degli attributi, vedere Personalizzazione dei mapping degli attributi di provisioning utenti per le applicazioni SaaS in Microsoft Entra ID.
- Presenza o meno di un filtro per la definizione dell'ambito che filtri gli utenti in base a specifici valori di attributo. Per altre informazioni sui filtri di ambito, vedere Provisioning dell'applicazione basato su attributi con filtri per la definizione dell'ambito.
Se si nota che gli utenti non vengono sottoposti a provisioning, consultare i log di provisioning (anteprima) in Microsoft Entra ID. Cercare un utente specifico nelle voci dei log.
È possibile accedere ai log di provisioning nell'interfaccia di amministrazione di Microsoft Entra passando a Applicazioni di identità>- Applicazioni>>aziendali - Log di provisioning. È anche possibile selezionare un'applicazione specifica e quindi selezionare Log di provisioning nella sezione Attività . È possibile eseguire ricerche nei dati di provisioning in base al nome dell'utente o all'identificatore nel sistema di origine o nel sistema di destinazione. Per informazioni dettagliate, vedere Log di provisioning (anteprima).
I log di provisioning registrano tutte le operazioni eseguite dal servizio di provisioning, inclusa l'esecuzione di query sull'ID Microsoft Entra per gli utenti assegnati nell'ambito del provisioning, l'esecuzione di query sull'app di destinazione per l'esistenza di tali utenti, confrontando gli oggetti utente tra il sistema. e quindi l'aggiunta, l'aggiornamento o la disabilitazione dell'account utente nel sistema di destinazione in base al confronto.
Aree problematiche generali con provisioning da considerare
Di seguito è riportato un elenco delle aree problematiche generali che è possibile analizzare se si ha un'idea del punto da cui iniziare.
- Avvio non riuscito del servizio di provisioning
- I log di provisioning dicono che gli utenti vengono ignorati e non ne viene eseguito il provisioning, anche se sono assegnati
Avvio non riuscito del servizio di provisioning
Se si imposta Lo stato del provisioning su Sì nella sezione Provisioning delle applicazioni > aziendali [Nome applicazione] >dell'interfaccia di amministrazione di Microsoft Entra. Tuttavia, non vengono visualizzati altri dettagli sullo stato in tale pagina dopo i successivi ricaricamenti, è probabile che il servizio sia in esecuzione ma non abbia ancora completato un ciclo iniziale. Controllare i log di provisioning (anteprima) descritti in precedenza per determinare le operazioni eseguite dal servizio e in caso di errori.
Nota
Un ciclo iniziale può richiedere da 20 minuti a diverse ore, a seconda delle dimensioni della directory Microsoft Entra e del numero di utenti nell'ambito del provisioning. Le sincronizzazioni successive dopo il ciclo iniziale sono più veloci, poiché il servizio di provisioning archivia le filigrane che rappresentano lo stato di entrambi i sistemi dopo il ciclo iniziale. Il ciclo iniziale migliora le prestazioni delle sincronizzazioni successive.
I log di provisioning dicono che gli utenti vengono ignorati e non ne viene eseguito il provisioning anche se sono assegnati
Quando un utente viene visualizzato come "ignorato" nei log di provisioning, è importante esaminare la scheda Passaggi del log per determinare il motivo. Di seguito sono elencati i motivi e le risoluzioni comuni:
- È stato configurato un filtro di definizione dell'ambitoche esclude l'utente in base a un valore di attributo. Per altre informazioni sui filtri di definizione dell'ambito, vedere Filtri per la definizione dell'ambito.
- L'utente "non è autorizzato in modo efficiente". Se viene visualizzato questo messaggio di errore specifico, si tratta di un problema con il record di assegnazione utente archiviato in Microsoft Entra ID. Per risolvere il problema, annullare l'assegnazione dell'utente (o del gruppo) dall'app e riassegnarla. Per altre informazioni sull'assegnazione, vedere Assegnare l'accesso utente o gruppo.
- Attributo obbligatorio mancante o non popolato per un utente. Un aspetto importante da considerare quando si configura il provisioning consiste nel esaminare e configurare i mapping degli attributi e i flussi di lavoro che definiscono quali proprietà utente (o gruppo) passano da Microsoft Entra ID all'applicazione. Questa configurazione include l'impostazione della "proprietà corrispondente" che viene usata per identificare e abbinare in modo univoco utenti/gruppi tra i due sistemi. Per altre informazioni su questo processo importante, vedere Personalizzazione dei mapping degli attributi di provisioning utenti per le applicazioni SaaS in Microsoft Entra ID.
- Mapping degli attributi per gruppi: provisioning dei dettagli del gruppo e del nome del gruppo, oltre ai membri, se supportato per alcune applicazioni. È possibile abilitare o disabilitare questa funzionalità abilitando o disabilitando il mapping per gli oggetti gruppo visualizzati nella scheda Provisioning . Se i gruppi di provisioning sono abilitati, assicurarsi di esaminare i mapping degli attributi per assicurarsi che venga usato un campo appropriato per l'"ID corrispondente". L'ID di abbinamento può essere il nome visualizzato o l'alias di posta elettronica. Il provisioning del gruppo e dei relativi membri non viene effettuato se la proprietà corrispondente è vuota o non viene popolata per un gruppo in Microsoft Entra ID.
Provisioning degli utenti assegnati al ruolo di accesso predefinito
Il ruolo predefinito in un'applicazione dalla raccolta è denominato ruolo "accesso predefinito". In passato, gli utenti assegnati a questo ruolo non vengono sottoposti a provisioning e vengono contrassegnati come ignorati nei log di provisioning a causa di un "non effettivamente autorizzato".
Comportamento per le configurazioni di provisioning create dopo il 16/04/2020: gli utenti assegnati al ruolo di accesso predefinito verranno valutati come tutti gli altri ruoli. Un utente a cui è assegnato l'accesso predefinito non verrà ignorato come "non effettivamente autorizzato".
Comportamento per le configurazioni di provisioning create prima del 16/04/2020: per i prossimi 3 mesi, il comportamento continuerà così come è oggi. Gli utenti con il ruolo di accesso predefinito verranno ignorati come non effettivamente autorizzati. Dopo luglio 2020, il comportamento sarà uniforme per tutte le applicazioni. Non verrà ignorato il provisioning degli utenti con il ruolo di accesso predefinito a causa del fatto che "non è effettivamente autorizzato". Questa modifica verrà apportata da Microsoft, senza che sia richiesta alcuna azione da parte del cliente. Se si vuole assicurarsi che questi utenti continuino a essere ignorati, anche dopo questa modifica, applicare i filtri di ambito appropriati o annullare l'assegnazione dell'utente dall'applicazione per assicurarsi che non siano inclusi nell'ambito.
Per domande su queste modifiche, contattare provisioningfeedback@microsoft.com
Passaggi successivi
Microsoft Entra Connect Sync: informazioni sul provisioning dichiarativo