本文讨论在使用应用预配或跨租户同步时需要注意的已知问题。 若要提供有关 UserVoice 上的应用程序预配服务的反馈,请参阅 Microsoft Entra 应用程序预配 UserVoice。 我们将密切关注 UserVoice,以便改进该服务。
注释
本文提供的已知问题列表并不完整。 如果你知道未列出的问题,请在页面底部提供反馈。
跨租户同步
不支持的同步场景
- 将组、设备和联系人的数据同步至另一个租户
- 跨租户同步照片
- 同步联系人以及将联系人转换为 B2B 用户
- 跨租户同步会议室
更新 Exchange 属性,比如 proxyAddresses 和 HiddenFromAddressListEnabled
跨租户同步可以管理 Entra 中的用户属性。 它不直接管理交换属性。 例如:
- ProxyAddresses 是 Microsoft Graph 中的只读属性。 它可以作为源特性包含在你的映射中,但不能设置为目标特性。
- 跨租户同步可以更新 Entra 中的 ShowInAddressList 属性,但它不能直接更新 Exchange 中的 HiddenFromAddressListEnabled。
- TargetAddress 映射到 Microsoft Exchange Online 中的 ExternalEmailAddress 属性,但无法作为可选属性使用。 如果需要更改此属性,则必须在所需对象上手动执行此操作。
跳过启用了短信登录的用户
无法将源(主)租户中的外部用户预配到另一租户中。 无法将源租户中的内部访客用户配置到其他租户中。 只能将源租户中的内部成员用户预配到目标租户中。 有关详细信息,请参阅 Microsoft Entra B2B 协作用户的属性。
此外,启用了短信登录的用户无法通过跨租户同步进行同步。
更新 showInAddressList 属性失败
对于现有的 B2B 协作用户,只要 B2B 协作用户未在目标租户中启用邮箱,就会更新 showInAddressList 特性。 如果在目标租户中启用了邮箱,请使用 Set-MailUser PowerShell cmdlet 将 HiddenFromAddressListsEnabled 属性的值设置为 $false。
Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false
其中 [GuestUserUPN] 是计算出的 UserPrincipalName。 例:
Set-MailUser guestuser1_contoso.com#EXT#@fabrikam.partner.onmschina.cn -HiddenFromAddressListsEnabled:$false
关于详细信息,请参阅 Exchange Online PowerShell 模块。
邮件属性未更新
如果目标租户中的用户分配了交换许可证,则跨租户同步将无法更新邮件属性。 若要解决此问题,请删除用户的交换许可证,更新邮件属性,然后再次向用户分配许可证。
配置从目标租户的同步
不支持从目标租户配置同步。 所有配置必须在源租户中完成。 目标管理员可以随时关闭跨租户同步。
源租户中的两个用户与目标租户中的同一用户匹配
如果源租户中的两个用户具有相同的邮件,并且他们都需要在目标租户中创建,则会在目标中创建一个用户,并将其链接到源中的两个用户。 请确保邮件特性未在源租户中的用户之间共享。 此外,请确保源租户中用户的邮件来自已验证的域。 如果邮件来自未经验证的域,则不会成功创建外部用户。
利用 Microsoft Entra B2B 协作实现跨租户访问
- B2B 用户无法管理远程租户中的某些 Microsoft 365 服务(例如 Exchange Online),因为没有目录选取器。
- 若要了解针 Azure 虚拟桌面对于 B2B 用户的支持,请参阅 Azure 虚拟桌面的先决条件。
授权
无法将预配模式改回手动
首次配置预配后,会发现预配模式已从手动切换为自动。 不能将其改回手动。 但你可以通过 UI 关闭预配。 在 UI 中关闭预配与将下拉列表设置为手动完全相同。
属性映射
属性 SamAccountName 或 userType 不可用作源属性
属性 SamAccountName 和 userType 不可用作源属性。 可以改用目录扩展属性作为解决方法。 若要了解详细信息,请参阅缺少源属性。
架构扩展缺少源属性下拉列表
有时,UI 中的源属性下拉列表中会缺少架构的扩展。 进入属性映射的高级设置,并手动添加属性。 若要了解详细信息,请参阅自定义属性映射。
无法预配 Null 属性
Microsoft Entra ID 当前无法预配 null 属性。 如果用户对象上的属性为 null,则跳过它。
联接属性不支持特殊字符
Microsoft Entra ID 当前无法对包含特殊字符的值执行筛选器查询。 因此,对筛选器属性具有特殊字符的资源(用户或组)进行预配尝试失败。 例如,可以在 Microsoft Entra ID 上创建一个名称中包含特殊字符的组,但无法将其同步到目标系统。
属性映射表达式的最大字符数
属性映射表达式最多可以有 10000 个字符。
不受支持的范围筛选器
appRoleAssignments、userType、manager 和 date-type 属性(例如 StatusHireDate、startDate、endDate、StatusTerminationDate、accountExpires)不能作为范围筛选器使用。
OtherMails 不应作为目标属性包含在属性映射中。
目标租户中会自动计算otherMails属性。 直接在目标租户中对用户对象进行的更改可能会导致更新 otherMails 属性,并替代跨租户同步设置的值。 因此,不应将 otherMails 作为目标属性包含在跨租户同步属性映射中。
多值目录扩展
多值目录扩展不能用于属性映射或范围筛选器。
服务问题
不支持的方案
- 不支持预配密码。
- 不支持配置超过第一级的嵌套组。
- 不支持为 B2C 租户进行资源配置,包括租户的资源引入或移出。
- 不支持对外部 ID 的租户进行配置,包括进入或迁出该租户。
- 当前,并非所有供应应用在所有云环境中都可用。
我的基于 OIDC 的应用程序不支持自动预配功能
如果创建应用注册,则企业应用中的相应服务主体将不会启用自动用户预配。 需要请求将应用添加到库中(如果打算供多个组织使用),或创建第二个非库应用进行预配。
管理器未预配
如果用户及其管理器都处于预配范围内,则该服务将预配用户,然后更新管理器。 如果在第一天,用户在范围内而管理者不在范围内,我们将在不引用管理者的情况下为用户进行配置。 当管理程序进入作用域时,除非重启资源配置并使服务重新评估所有用户,否则管理程序引用不会被更新。
图库应用程序不支持在世纪互联(中国)云中的预配置
非图集/自定义应用程序和 ecma 连接器可用于世纪互联(中国)云的配置。 这些环境中提供的画廊应用程序数量有限。
预配间隔是固定的
预配周期之间的时间当前不可配置。
更改无法从目标应用同步到Microsoft Entra ID
应用预配服务不知道外部应用中所做的更改。 因此,不会执行回退操作。 应用预配服务依赖于在 Microsoft Entra ID 中所做的更改。
从同步全部切换到同步已分配无效
将作用域从“同步全部”更改为“同步已分配”后,一定还要进行重启,以确保更改生效。 可以从 UI 执行重启。
预配周期持续直到完成
当设置预配到 enabled = off 或选择“停止”时,当前的预配周期将继续运行直到完成。 该服务将停止执行任何未来的循环,直到您再次开启资源预配。
未预配的组成员
当一个组在范围内且一个成员超出范围时,该组将被分配。 不会为不在范围内的用户进行预配。 如果成员返回到范围中,服务将不会立即检测到更改。 重启预配将解决此问题。 定期重启服务,以确保所有用户均已正确预配。
全球阅读器
全局读取者角色无法读取预配配置。 创建具有 microsoft.directory/applications/synchronization/standard/read 权限的自定义角色,以便从 Microsoft Entra 管理中心读取预配配置。
本地应用程序预配
这是目前有关 Microsoft Entra ECMA 连接器主机和本地应用程序预配的已知限制列表。
SQL 连接器连接
SQL 连接器要求 DSN 文件编码为 UTF-8。 其他编码可能无法正确读取,并导致错误“找不到数据源名称且未指定默认驱动程序”。
应用程序和目录
目前尚不支持以下应用程序和目录。
Active Directory Domain Services(使用本地预配预览将用户或组从 Microsoft Entra ID 写回)
- 如果用户是通过 Microsoft Entra Connect 管理的,则授权来源为本地 Active Directory 域服务。 因此,无法在 Microsoft Entra ID 中更改用户属性。 此预览版不会更改 Microsoft Entra Connect 管理的用户的授权来源。
- 尝试使用 Microsoft Entra Connect 和本地预配将组或用户预配到 Active Directory 域服务中,可能导致形成一个循环,其中 Microsoft Entra Connect 可能会覆盖由云中预配服务所做的更改。 Microsoft 正致力于提供组或用户的专用写回功能。 在此网站上为 UserVoice 反馈点赞,用来跟踪预览状态。 或者,您可以使用 Microsoft Identity Manager,将用户或组从 Microsoft Entra ID 写回到 Active Directory。
Microsoft Entra ID
通过使用本地预配,可以将已在 Microsoft Entra ID 中的用户预配到第三方应用程序中。 无法通过第三方应用程序将用户加入目录。 客户需要依赖我们的内置 HR 集成、Microsoft Entra Connect、Microsoft Identity Manager 或 Microsoft Graph,以将用户导入目录。
属性和对象
不支持以下属性和对象:
- 多值属性。
- 引用属性(例如,管理员)。
- 群组
- 复杂定位点(例如,ObjectTypeName + UserName)。
- 具有“.”或“[”等符号的属性
- 二进制属性
- 本地应用程序有时不与 Microsoft Entra ID 联合,且需要本地密码。 本地预配预览版不支持密码同步。 支持预配初始一次性密码。 确保使用 Redact 函数编修日志中的密码。 在 SQL 和 LDAP 连接器中,首次调用应用程序时不会导出密码,但第二次调用时会导出设置密码。
SSL 证书
Microsoft Entra ECMA 连接器主机当前要求 SSL 证书需要获得 Azure 的信任,或者需要使用预配代理。 证书主体必须与安装 Microsoft Entra ECMA 连接器主机的主机名匹配。
锚点属性
当前 Microsoft Entra ECMA 连接器主机不支持定位点属性更改(重命名)或目标系统,这需要多个属性来形成定位点。
属性发现和映射
目标应用程序支持的属性会在 Microsoft Entra 管理中心的属性映射中被发现并显示。 将继续发现新添加的属性。 如果属性类型已更改(例如,字符串更改为布尔值),并且该属性是映射的一部分,Microsoft Entra 管理中心中的类型不会自动改变。 客户需要进入映射中的高级设置并手动更新属性类型。
预配代理
- 对于本地应用程序预配方案,代理目前不支持自动更新。 我们正在积极努力解决此问题,并确保自动更新在默认情况下启用并且对所有客户是必需的。
- 不能将同一预配代理用于本地应用预配和云同步/HR 驱动的预配。