排查应用程序预配的配置问题。 有关详细信息,请参阅 自动用户预配。
首先查找应用程序的设置教程。 然后,按照步骤配置应用和Microsoft Entra ID 以创建预配连接。
检查预配是否正常工作
配置服务后,可以从两个位置提取对服务操作的大多数见解。
预配日志 (预览版) - 预配日志 记录预配服务执行的所有操作。 日志包括查询 Microsoft Entra ID 以获取在预配范围内已分配的用户。 查询目标应用是否存在这些用户,并比较系统之间的用户对象。 然后,根据比较在目标系统中添加、更新或禁用用户帐户。 通过在 Microsoft Entra 管理中心的“活动”部分中选择Entra ID>企业应用>预配日志来访问预配日志。
可以在服务设置下的屏幕底部的 Entra ID>企业应用>
[Application Name]>配置部分中查看给定应用上次配置运行的摘要。 “当前状态”部分显示预配周期是否开始预配用户帐户。 观看周期的进度,查看预配的用户和组数,以及创建的角色数。 如果出现错误,可以在 预配日志中找到详细信息。
预配服务似乎未启动
在 Microsoft Entra 管理中心的 Entra ID企业应用>>[Application Name] 部分中,将 > 设置为 “启用”。 但是,后续重载后页面上不会显示其他状态详细信息。 服务可能正在运行,但初始周期未完成。 检查 预配日志 以确定服务正在执行的操作,以及是否存在任何错误。
注释
初始周期需要 20 分钟到几个小时。 时间取决于Microsoft Entra 目录的大小以及预配范围内的用户数。 后续同步速度更快,因为预配服务存储水印,表示初始周期后这两个系统的状态。 水印可提高后续同步的性能。
由于应用凭据不起作用,无法保存配置
Microsoft Entra ID 需要有效的凭据进行配置。 凭据连接到应用提供的用户管理 API。 如果凭据不起作用,或者不知道凭据是什么,请查看有关设置应用的教程。
预配日志显示,即使用户已分配,他们也被跳过且未被预配。
阅读日志消息中的扩展详细信息,以确定用户为何在供应日志中被标记为跳过。 常见原因和解决方法包括:
已配置范围筛选器,用于根据属性值筛选用户。 有关详细信息,请参阅 使用范围筛选器进行基于属性的应用程序预配。
用户“没有有效授权”。 Microsoft Entra ID 中存储的用户分配记录出现问题。 要解决此问题,请从应用中取消分配用户(或组),然后再将其重新分配。 有关详细信息,请参阅 向企业应用分配用户或组。
用户缺少或未填充必需的属性。 查看并配置用于定义哪些用户(或组)属性的属性映射和工作流从Microsoft Entra ID 流向应用程序。 检查用于唯一标识和匹配两个系统之间的用户/组的设置
matching property。 有关详细信息,请参阅 自定义用户预配属性映射。组的属性映射: 如果某些应用程序支持,则除了成员之外,还预配组名称和组详细信息。 可以使用“预配”选项卡中显示的组对象的映射启用或禁用该功能。如果启用了预配组,请查看属性映射,以确保使用
matching ID适当的字段。 该字段是显示名称或电子邮件别名。 如果Microsoft Entra ID中的组的匹配属性为空或未填充,则不会预配该组及其成员。