在为应用程序配置自动预配后(包括验证提供给 Microsoft Entra ID 的应用凭据是否有效),用户和/或组将被预配到该应用程序中。 预配由以下事项决定:
- 哪些用户和组已 分配给 应用程序。 不支持配置嵌套组。 有关分配的详细信息,请参阅 在 Microsoft Entra ID 中将用户或组分配到企业应用。
- 是否启用 属性映射 ,并配置为将有效属性从 Microsoft Entra ID 同步到应用。 有关属性映射的详细信息,请参阅 在 Microsoft Entra ID 中自定义 SaaS 应用程序的用户预配属性映射。
- 是否存在基于特定属性值筛选用户 的范围筛选器 。 有关范围筛选器的详细信息,请参阅 使用范围筛选器进行基于属性的应用程序预配。
如果发现未预配用户,请参阅Microsoft Entra ID 中的 预配日志 。 搜索特定用户的日志条目。
可以通过浏览到 Microsoft Entra 管理中心中的 Entra ID>Enterprise 应用>以访问 预配日志。 还可以选择特定的应用程序,然后在“活动”部分选择“预配日志”。 你可以根据用户的名称或者根据源系统或目标系统中的标识符来搜索预配数据。 有关详细信息,请参阅 预配日志。
预配日志记录预配服务执行的所有操作,包括查询Microsoft预配范围内的已分配用户的 Entra ID、查询目标应用是否存在这些用户、比较系统之间的用户对象。 然后,根据比较在目标系统中添加、更新或禁用用户帐户。
预配服务似乎未启动
如果在 Microsoft Entra 管理中心的 企业应用程序 > [应用程序名称] > 预配 部分中,将 预配状态 设置为 打开。 但是,后续重新加载后该页上没有显示其他状态详细信息,但服务可能正在运行,但尚未完成初始周期。 检查 预配日志 以确定服务正在执行的操作,以及是否存在任何错误。
注释
初始周期可能需要 20 分钟到几个小时,具体取决于Microsoft Entra 目录的大小和预配范围内的用户数。 初始周期后的后续同步速度更快,因为预配服务存储水印,表示初始周期后这两个系统的状态。 初始周期可提高后续同步的性能。
预配日志显示,即使用户已分配,他们也被跳过且未被预配。
当用户在预配日志中显示为“跳过”时,请务必查看日志的“ 步骤 ”选项卡以确定原因。 常见原因和解决方法:
- 已配置范围筛选器,用于根据属性值筛选用户。 有关范围筛选器的详细信息,请参阅 范围筛选器。
- 用户“没有有效授权”。 如果看到此特定错误消息,这是因为用户分配记录存储在 Microsoft Entra ID 中存在问题。 要解决此问题,请从应用中取消分配用户(或组),然后再将其重新分配。 有关分配的详细信息,请参阅 “分配用户或组访问权限”。
- 用户缺少或未填充必需的属性。 设置预配时需要考虑的一个重要事项是查看和配置定义哪些用户(或组)属性的属性映射和工作流从 Microsoft Entra ID 流向应用程序。 此配置包括设置用于唯一标识和匹配两个系统之间的用户/组的“匹配属性”。 有关这一重要过程的详细信息,请参阅 在 Microsoft Entra ID 中为 SaaS 应用程序自定义用户预配属性映射。
- 组的属性映射: 如果某些应用程序支持,则除了成员之外,还预配组名称和组详细信息。 可以通过启用或禁用“预配”选项卡中显示的组对象的映射来启用或禁用此功能。如果启用了预配组,请务必查看属性映射,以确保将适当的字段用于“匹配 ID”。 匹配 ID 可以是显示名称或电子邮件别名。 如果Microsoft Entra ID中的组的匹配属性为空或未填充,则不会预配该组及其成员。
配置分配给默认访问角色的用户
库中应用程序的默认角色称为“默认访问”角色。 从历史上看,分配给此角色的用户没有被预配,并且由于“未获得有效授权”而在 预配日志 中被标记为被跳过。