Bekende problemen voor het inrichten in Microsoft Entra-id
In dit artikel worden bekende problemen besproken waar u rekening mee moet houden wanneer u werkt met het inrichten van apps of synchronisatie tussen tenants. Als u feedback wilt geven over de service voor toepassingsinrichting op UserVoice, raadpleegt u UserVoice voor het inrichten van Microsoft Entra-toepassingen. We kijken Naar UserVoice, zodat we de service kunnen verbeteren.
Notitie
Dit artikel is geen uitgebreide lijst met bekende problemen. Als u weet wat een probleem is dat niet wordt vermeld, geeft u feedback onder aan de pagina.
Synchronisatie tussen tenants
Niet-ondersteunde synchronisatiescenario's
- Groepen, apparaten en contactpersonen synchroniseren met een andere tenant
- Gebruikers synchroniseren in clouds
- Foto's synchroniseren tussen tenants
- Contactpersonen synchroniseren en contactpersonen converteren naar B2B-gebruikers
- Vergaderruimten synchroniseren tussen tenants
ProxyAddresses bijwerken
ProxyAddresses is een alleen-lezen eigenschap in Microsoft Graph. Het kan worden opgenomen als een bronkenmerk in uw toewijzingen, maar kan niet worden ingesteld als een doelkenmerk.
Gebruikers inrichten
Een externe gebruiker van de brontenant (thuis) kan niet worden ingericht in een andere tenant. Interne gastgebruikers van de brontenant kunnen niet worden ingericht in een andere tenant. Alleen interne lidgebruikers van de brontenant kunnen worden ingericht in de doeltenant. Zie Eigenschappen van een Microsoft Entra B2B-samenwerkingsgebruiker voor meer informatie.
Bovendien kunnen gebruikers die zijn ingeschakeld voor sms-aanmelding, niet worden gesynchroniseerd via synchronisatie tussen tenants.
Het bijwerken van de eigenschap showInAddressList mislukt
Voor bestaande B2B-samenwerkingsgebruikers wordt het kenmerk showInAddressList bijgewerkt zolang de B2B-samenwerkingsgebruiker geen postvak heeft ingeschakeld in de doeltenant. Als het postvak is ingeschakeld in de doeltenant, gebruikt u de PowerShell-cmdlet Set-MailUser om de eigenschap HiddenFromAddressListsEnabled in te stellen op een waarde van $false.
Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false
Waarbij [GuestUserUPN] de berekende UserPrincipalName is. Voorbeeld:
Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false
Zie Over de Exchange Online PowerShell-module voor meer informatie.
Synchronisatie van doeltenant configureren
Het configureren van synchronisatie vanuit de doeltenant wordt niet ondersteund. Alle configuraties moeten worden uitgevoerd in de brontenant. Houd er rekening mee dat de doelbeheerder synchronisatie tussen tenants op elk gewenst moment kan uitschakelen.
Twee gebruikers in de brontenant overeenkomen met dezelfde gebruiker in de doeltenant
Wanneer twee gebruikers in de brontenant dezelfde e-mail hebben en ze beide moeten worden gemaakt in de doeltenant, wordt één gebruiker gemaakt in het doel en gekoppeld aan de twee gebruikers in de bron. Zorg ervoor dat het e-mailkenmerk niet wordt gedeeld tussen gebruikers in de brontenant. Zorg er bovendien voor dat de e-mail van de gebruiker in de brontenant afkomstig is van een geverifieerd domein. De externe gebruiker wordt niet gemaakt als de e-mail afkomstig is van een niet-geverifieerd domein.
Gebruik van Microsoft Entra B2B-samenwerking voor toegang tussen tenants
- B2B-gebruikers kunnen bepaalde Microsoft 365-services niet beheren in externe tenants (zoals Exchange Online), omdat er geen adreslijstkiezer is.
- Zie Vereisten voor Azure Virtual Desktop voor Azure Virtual Desktop voor meer informatie over B2B-gebruikers.
- Zie Power BI-inhoud distribueren naar externe gastgebruikers met Microsoft Entra B2B voor de nieuwste status van Power BI-ondersteuning voor externe leden
Autorisatie
Kan de inrichtingsmodus niet weer wijzigen in handmatig
Nadat u de inrichting voor het eerst hebt geconfigureerd, ziet u dat de inrichtingsmodus is overgeschakeld van handmatig naar automatisch. U kunt deze niet meer wijzigen in handmatig. U kunt het inrichten echter uitschakelen via de gebruikersinterface. Het uitschakelen van het inrichten in de gebruikersinterface werkt op dezelfde manier als het instellen van de vervolgkeuzelijst op handmatig.
Kenmerktoewijzingen
Kenmerk SamAccountName of userType niet beschikbaar als bronkenmerk
De kenmerken SamAccountName en userType zijn standaard niet beschikbaar als bronkenmerk. Breid uw schema uit om de kenmerken toe te voegen. U kunt de kenmerken toevoegen aan de lijst met beschikbare bronkenmerken door uw schema uit te breiden. Zie Ontbrekend bronkenmerk voor meer informatie.
Vervolgkeuzelijst bronkenmerk ontbreekt voor schema-extensie
Extensies voor uw schema kunnen soms ontbreken in de vervolgkeuzelijst bronkenmerk in de gebruikersinterface. Ga naar de geavanceerde instellingen van uw kenmerktoewijzingen en voeg de kenmerken handmatig toe. Zie Kenmerktoewijzingen aanpassen voor meer informatie.
Null-kenmerk kan niet worden ingericht
Microsoft Entra-id kan momenteel geen null-kenmerken inrichten. Als een kenmerk null is voor het gebruikersobject, wordt het overgeslagen.
Maximum aantal tekens voor expressies voor kenmerktoewijzing
Expressies voor kenmerktoewijzing mogen maximaal 10.000 tekens bevatten.
Niet-ondersteunde bereikfilters
De kenmerken appRoleAssignments, userType en accountExpires worden niet ondersteund als bereikfilters.
OtherMails mag niet worden opgenomen in uw kenmerktoewijzingen als doelkenmerk
De eigenschap otherMails wordt automatisch berekend in de doeltenant. Wijzigingen in het gebruikersobject dat rechtstreeks in de doeltenant is aangebracht, kunnen ertoe leiden dat de andereMails-eigenschap wordt bijgewerkt en de waarde die is ingesteld door synchronisatie tussen tenants, wordt overschreven. Als gevolg hiervan mogen andereMails niet worden opgenomen in uw kenmerktoewijzingen voor kruistenantsynchronisatie als doelkenmerk.
Mapextensies met meerdere waarden
Mapextensies met meerdere waarden kunnen niet worden gebruikt in kenmerktoewijzingen of bereikfilters.
Serviceproblemen
Niet-ondersteunde scenario's
- Het inrichten van wachtwoorden wordt niet ondersteund.
- Het inrichten van geneste groepen wordt niet ondersteund.
- Inrichten voor B2C-tenants wordt niet ondersteund vanwege de grootte van de tenants.
- Niet alle inrichtings-apps zijn beschikbaar in alle clouds. Atlassian is bijvoorbeeld nog niet beschikbaar in de cloud van de overheid. We werken samen met app-ontwikkelaars om hun apps in alle clouds te onboarden.
Automatische inrichting is niet beschikbaar voor mijn OIDC-toepassing
Als u een app-registratie maakt, wordt de bijbehorende service-principal in bedrijfsapps niet ingeschakeld voor automatische inrichting van gebruikers. U moet aanvragen dat de app wordt toegevoegd aan de galerie, indien bedoeld voor gebruik door meerdere organisaties, of om een tweede niet-galerie-app te maken voor inrichting.
Manager is niet ingericht
Als een gebruiker en hun manager beide binnen het bereik voor het inrichten vallen, richt de service de gebruiker in en werkt de manager vervolgens bij. Als de gebruiker op dag één binnen het bereik valt en de manager buiten het bereik valt, richten we de gebruiker in zonder de managerreferentie. Wanneer de manager binnen het bereik komt, wordt de naslaginformatie voor de manager pas bijgewerkt wanneer u de inrichting opnieuw start en ervoor zorgt dat de service alle gebruikers opnieuw evalueert.
Het inrichtingsinterval is vast
De tijd tussen inrichtingscycli kan momenteel niet worden geconfigureerd.
Wijzigingen die niet van doel-app naar Microsoft Entra-id worden verplaatst
De app-inrichtingsservice is niet op de hoogte van wijzigingen die zijn aangebracht in externe apps. Er wordt dus geen actie ondernomen om terug te keren. De app-inrichtingsservice is afhankelijk van wijzigingen die zijn aangebracht in Microsoft Entra-id.
Overschakelen van Alles synchroniseren naar Sync Assigned werkt niet
Nadat u het bereik hebt gewijzigd van Alles synchroniseren naar Sync Assigned, moet u ook een herstart uitvoeren om ervoor te zorgen dat de wijziging van kracht wordt. U kunt het opnieuw opstarten vanuit de gebruikersinterface uitvoeren.
De inrichtingscyclus wordt voortgezet totdat deze is voltooid
Wanneer u inrichten enabled = off instelt op of stoppen selecteert, blijft de huidige inrichtingscyclus actief totdat deze is voltooid. De service stopt met het uitvoeren van toekomstige cycli totdat u het inrichten opnieuw inschakelt.
Lid van groep niet ingericht
Wanneer een groep binnen het bereik valt en een lid buiten het bereik valt, wordt de groep ingericht. De gebruiker buiten het bereik wordt niet ingericht. Als het lid weer binnen het bereik komt, detecteert de service de wijziging niet onmiddellijk. Bij het opnieuw opstarten van de inrichting wordt het probleem opgelost. Start de service regelmatig opnieuw om ervoor te zorgen dat alle gebruikers correct zijn ingericht.
Algemene lezer
De rol Globale lezer kan de inrichtingsconfiguratie niet lezen. Maak een aangepaste rol met de microsoft.directory/applications/synchronization/standard/read machtiging om de inrichtingsconfiguratie te lezen vanuit het Microsoft Entra-beheercentrum.
Microsoft Azure Government Cloud
Referenties, waaronder het geheime token, e-mailmeldingsbericht en e-mailberichten met SSO-certificaten, hebben samen een limiet van 1 KB in de Microsoft Azure Government Cloud.
Inrichting van on-premises toepassingen
De volgende informatie is een huidige lijst met bekende beperkingen met de Microsoft Entra ECMA Verbinding maken or Host en on-premises toepassingsinrichting.
Toepassing en directory's
De volgende toepassingen en mappen worden nog niet ondersteund.
Active Directory-domein Services (terugschrijven van gebruikers of groepen van Microsoft Entra-id met behulp van de preview-versie van de on-premises inrichting)
- Wanneer een gebruiker wordt beheerd door Microsoft Entra Verbinding maken, is de bron van autoriteit on-premises Active Directory-domein Services. Gebruikerskenmerken kunnen dus niet worden gewijzigd in Microsoft Entra-id. In deze preview wordt de bron van autoriteit niet gewijzigd voor gebruikers die worden beheerd door Microsoft Entra Verbinding maken.
- Als u Microsoft Entra Verbinding maken en de on-premises inrichting probeert te gebruiken om groepen of gebruikers in te richten in Active Directory-domein Services, kan dit leiden tot het maken van een lus, waarbij Microsoft Entra Verbinding maken een wijziging kan overschrijven die is aangebracht door de inrichtingsservice in de cloud. Microsoft werkt aan een speciale mogelijkheid voor het terugschrijven van groepen of gebruikers. Upvote de UserVoice-feedback op deze website om de status van de preview bij te houden. U kunt Ook Microsoft Identity Manager gebruiken voor terugschrijven van gebruikers of groepen van Microsoft Entra-id naar Active Directory.
Microsoft Entra ID
Door on-premises inrichting te gebruiken, kunt u een gebruiker die al in Microsoft Entra-id staat, meenemen en inrichten in een toepassing van derden. U kunt een gebruiker niet in de directory brengen vanuit een toepassing van derden. Klanten moeten vertrouwen op onze systeemeigen HR-integraties, Microsoft Entra Verbinding maken, Microsoft Identity Manager of Microsoft Graph, om gebruikers in de directory te brengen.
Kenmerken en objecten
De volgende kenmerken en objecten worden niet ondersteund:
- Kenmerken met meerdere waarden.
- Referentiekenmerken (bijvoorbeeld manager).
- Groepen.
- Complexe ankers (bijvoorbeeld ObjectTypeName+UserName).
- Kenmerken met tekens zoals '.' of '['
- Binaire kenmerken.
- On-premises toepassingen worden soms niet gefedereerd met Microsoft Entra-id en vereisen lokale wachtwoorden. De preview-versie van de on-premises inrichting biedt geen ondersteuning voor wachtwoordsynchronisatie. Het inrichten van eerste eenmalige wachtwoorden wordt ondersteund. Zorg ervoor dat u de redact-functie gebruikt om de wachtwoorden uit de logboeken te redacteren. In de SQL- en LDAP-connectors worden de wachtwoorden niet geëxporteerd bij de eerste aanroep naar de toepassing, maar in plaats daarvan een tweede aanroep met een ingesteld wachtwoord.
SSL-certificaten
Voor de Microsoft Entra ECMA-Verbinding maken or Host moet momenteel een SSL-certificaat worden vertrouwd door Azure of de inrichtingsagent die moet worden gebruikt. Het certificaatonderwerp moet overeenkomen met de hostnaam waarop de Microsoft Entra ECMA Verbinding maken or Host is geïnstalleerd.
Ankerkenmerken
De Microsoft Entra ECMA Verbinding maken or Host biedt momenteel geen ondersteuning voor wijzigingen in ankerkenmerken (naamnamen) of doelsystemen, waarvoor meerdere kenmerken nodig zijn om een anker te vormen.
Kenmerkdetectie en -toewijzing
De kenmerken die door de doeltoepassing worden ondersteund, worden gedetecteerd en weergegeven in het Microsoft Entra-beheercentrum in kenmerktoewijzingen. Zojuist toegevoegde kenmerken blijven worden gedetecteerd. Als een kenmerktype bijvoorbeeld is gewijzigd in Booleaanse waarde en het kenmerk deel uitmaakt van de toewijzingen, wordt het type niet automatisch gewijzigd in het Microsoft Entra-beheercentrum. Klanten moeten geavanceerde instellingen in toewijzingen invoeren en het kenmerktype handmatig bijwerken.
Inrichtingsagent
- De agent biedt momenteel geen ondersteuning voor automatisch bijwerken voor het on-premises scenario voor het inrichten van toepassingen. We werken actief aan het sluiten van deze kloof en zorgen ervoor dat automatisch bijwerken standaard is ingeschakeld en vereist is voor alle klanten.
- Dezelfde inrichtingsagent kan niet worden gebruikt voor het inrichten van on-premises apps en het inrichten van cloudsynchronisatie/HR-gestuurde inrichting.