Подготовка пользователей не выполняется
Примечание.
С 16.04.2020 мы изменили поведение пользователей, которым назначена роль доступа по умолчанию. См. подробности в нижеприведенном разделе.
После настройки автоматической подготовки для приложения (включая проверку того, что учетные данные приложения, предоставленные идентификатору Microsoft Entra для подключения к приложению, действительны), пользователи и (или) группы подготавливаются к приложению. Подготовка определяется следующими данными:
- Какие пользователи и группы были назначены приложению. Обратите внимание, что функция подготовки вложенных групп не поддерживается. Дополнительные сведения о назначении см. в разделе "Назначение пользователя или группы корпоративному приложению" в идентификаторе Microsoft Entra.
- Включены ли сопоставления атрибутов и настроены для синхронизации допустимых атрибутов из идентификатора Microsoft Entra в приложение. Дополнительные сведения о сопоставлениях атрибутов см. в разделе "Настройка сопоставления атрибутов подготовки пользователей" для приложений SaaS в идентификаторе Microsoft Entra ID.
- Используется ли фильтр области, который фильтрует пользователей на основе значений указанных атрибутов. Дополнительные сведения о фильтрах области см. в статье Подготовка приложений на основе атрибутов с использованием фильтров области.
Если вы видите, что пользователи не подготовлены, обратитесь к журналам подготовки (предварительная версия) в идентификаторе Microsoft Entra. и найдите в них записи по конкретному пользователю.
Вы можете получить доступ к журналам подготовки в Центре администрирования Microsoft Entra, перейдя в журналы подготовки приложений>Identity>Applications>Enterprise. Вы также можете выбрать определенное приложение, а затем выбрать журналы подготовки в разделе "Действие ". Вы можете произвести поиск данных о предоставлении услуг по имени пользователя или идентификатору в исходной или целевой системе. Дополнительные сведения см. в разделе Журналы обеспечения (предварительный просмотр).
Журналы подготовки записывают все операции, выполняемые службой подготовки, включая запрос идентификатора Microsoft Entra для назначенных пользователей, которые находятся в область для подготовки, запрашивая целевое приложение для существования этих пользователей, сравнивая объекты пользователей между системой. Затем добавьте, измените или отключите учетную запись пользователя в целевой системе на основе сравнения.
Общие проблемные области при подготовке, которые необходимо учитывать
Ниже приведен список общих проблемных областей, в которые можно углубиться, если у вас есть какие-то идеи.
- Служба подготовки не запускается
- Журналы подготовки свидетельствуют о том, что пользователи пропускаются и не инициализируются, даже если они назначены
Служба подготовки не запускается
Если вы задаете состояние подготовки в разделе подготовки корпоративных приложений > [имя приложения] >подготовки центра администрирования Microsoft Entra. Тем не менее, после последующих перезагрузок никакие другие сведения о состоянии на данной странице не отображаются. Вероятно, служба запущена, но еще не завершила начальный цикл. Проверьте журналы подготовки (предварительный просмотр), описанные выше, чтобы определить, какие операции выполняет служба и есть ли какие-либо ошибки.
Примечание.
Начальный цикл может занять от 20 минут до нескольких часов в зависимости от размера каталога Microsoft Entra и количества пользователей в область для подготовки. Последующие синхронизации после начального цикла выполняются быстрее, поскольку служба подготовки хранит водяные знаки, которые представляют состояние обеих систем после начального цикла. Первоначальный цикл улучшает производительность последующих синхронизаций.
Журналы подготовки свидетельствуют о том, что пользователи пропускаются и не инициализируются, даже если они назначены
Когда пользователь отображается как «пропущенный» в журналах подготовки, важно просмотреть вкладку Шаги журнала, чтобы определить причину. Ниже приведены распространенные причины и способы устранения ошибок:
- Настроен фильтр области, который фильтрует пользователей на основе значения атрибута. Дополнительные сведения о фильтрах области см. в этой статье.
- Пользователь "не имеет фактических прав". Если вы видите это конкретное сообщение об ошибке, это связано с проблемой с записью назначения пользователя, хранящейся в идентификаторе Microsoft Entra. Чтобы устранить эту проблему, отмените назначение пользователя (или группы) для приложения и повторно назначьте пользователя (или группу). Дополнительные сведения о назначении доступа пользователю или группе см. в этой статье.
- Обязательный атрибут для пользователя отсутствует или его значение не указано. Важно учитывать, что при настройке подготовки необходимо проверить и настроить сопоставления атрибутов и рабочие процессы, определяющие поток свойств пользователя (или группы) из идентификатора Microsoft Entra в приложение. К ним относится "свойство сопоставления", используемое для уникальной идентификации и сопоставления пользователей или групп между двумя системами. Дополнительные сведения об этом важном процессе см. в разделе "Настройка сопоставлений атрибутов подготовки пользователей" для приложений SaaS в идентификаторе Microsoft Entra ID.
- Сопоставление атрибутов для групп: подготовка имени группы и сведений о группе наряду с ее участниками (если поддерживается для некоторых приложений). Вы можете включить или отключить эту функцию, включив или отключив параметр Сопоставление для объектов группы, отображаемых на вкладке Подготовка. Если включены группы подготовки, обязательно проверьте сопоставления атрибутов, чтобы убедиться, что для идентификатора сопоставления используется соответствующее поле. Соответствующим идентификатором может быть отображаемое имя или псевдоним электронной почты. Группа и ее члены не подготавливаются, если соответствующее свойство пусто или не заполнено для группы в идентификаторе Microsoft Entra.
Подготовка пользователей, которым назначена роль доступа по умолчанию
Роль по умолчанию для приложения из галереи называется ролью «доступа по умолчанию». Исторически пользователи, которым назначена эта роль, не инициализируются и помечаются как пропущенные в журналах подготовки по причине того, что они «не обладают соответствующими правами».
Алгоритм действий для конфигураций обеспечения, созданных после 16.04.2020: Пользователи, которым назначена роль доступа по умолчанию, будут оцениваться так же, как и все другие роли. Пользователь, которому назначен доступ по умолчанию, не будет пропущен как «не имеющий соответствующих прав».
Алгоритм действий для конфигураций подготовки, созданных до 16.04.2020: В течение следующих 3 месяцев поведение будет оставаться таким же, как сегодня. Пользователи с ролью доступа по умолчанию будут пропущены как не имеющие соответствующих прав. После июля 2020 года поведение всех приложений будет единым. Подготовка пользователей с ролью доступа по умолчанию не будет пропускаться из-за того, что они "не обладают надлежащими правами". Это изменение будет внесено Майкрософт без каких-либо действий со стороны клиента. Если вы хотите, чтобы данные пользователи продолжали пропускаться даже после внесения изменения, примените соответствующие фильтры области действия или отмените назначение пользователя из приложения, чтобы убедиться, что они находятся вне области действия.
По любым вопросам в отношении указанных изменений обращайтесь по адресу provisioningfeedback@microsoft.com
Следующие шаги
Служба синхронизации Microsoft Entra Connect: общие сведения о декларативной подготовке