Problèmes connus pour le provisionnement dans Microsoft Entra ID
Cet article décrit les problèmes connus à prendre en compte lorsque vous utilisez le provisionnement d’applications ou la synchronisation interlocataire. Pour fournir des commentaires sur le service de provisionnement d’applications sur UserVoice, consultez Mise à disposition d’applications Microsoft Entra UserVoice. Nous surveillons le service UserVoice de près pour améliorer le service.
Notes
Cet article ne constitue pas une liste exhaustive des problèmes connus. Si vous découvrez un problème qui ne figure pas dans la liste, partagez vos commentaires en bas de la page.
Synchronisation entre clients
Scénarios de synchronisation non pris en charge
- Synchronisation de groupes, d’appareils et de contacts dans un autre locataire
- Synchronisation des utilisateurs entre plusieurs clouds
- Synchronisation des photos entre plusieurs locataires
- Synchronisation des contacts et conversion des contacts en utilisateurs B2B
- Synchronisation des salles de réunion entre les différents locataires
Mise à jour de proxyAddresses
ProxyAddresses est une propriété en lecture seule dans Microsoft Graph. Il peut être inclus en tant qu’attribut source dans vos mappages, mais ne peut pas être défini en tant qu’attribut cible.
Provisionnement des utilisateurs
Un utilisateur externe du locataire source ne peut pas être provisionné dans un autre locataire. Les utilisateurs invités internes du locataire source ne peuvent pas être provisionnés dans un autre locataire. Seuls les utilisateurs membres internes du locataire source peuvent être provisionnés dans le locataire cible. Pour plus d’informations, consultez l’article Propriétés d’un utilisateur de collaboration Microsoft Entra B2B.
Par ailleurs, les utilisateurs qui ont activé la connexion par SMS ne peuvent pas être synchronisés avec la synchronisation entre locataires.
Échec de la mise à jour de la propriété showInAddressList
Pour les utilisateurs de collaboration B2B existants, l’attribut showInAddressList est mis à jour tant que l’utilisateur de collaboration B2B n’a pas de boîte aux lettres activée dans le locataire cible. Si la boîte aux lettres est activée dans le locataire cible, utilisez l’applet de commande PowerShell Set-MailUser pour définir la propriété HiddenFromAddressListsEnabled sur une valeur $false.
Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false
Où [GuestUserUPN] est le UserPrincipalName calculé. Exemple :
Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false
Pour plus d’informations, consultez À propos du module Exchange Online PowerShell.
Configuration de la synchronisation à partir du locataire cible
La configuration de la synchronisation à partir du locataire cible n’est pas prise en charge. Toutes les configurations doivent être effectuées dans le locataire source. L’administrateur cible peut désactiver la synchronisation entre clients à tout moment.
Deux utilisateurs dans le locataire source mis en correspondance avec le même utilisateur dans le locataire cible
Lorsque deux utilisateurs du locataire source ont le même courrier et qu’ils doivent tous les deux être créés dans le locataire cible, un utilisateur est créé dans la cible et lié aux deux utilisateurs dans la source. Vérifiez que l’attribut de messagerie n’est pas partagé entre les utilisateurs du locataire source. En outre, vérifiez que le courrier de l’utilisateur dans le locataire source provient d’un domaine vérifié. L’utilisateur externe ne sera pas créé correctement si le courrier provient d’un domaine non vérifié.
Utilisation de la collaboration Microsoft Entra B2B pour l'accès entre locataires
- Les utilisateurs B2B ne peuvent pas gérer certains services Microsoft 365 dans des locataires distants (comme Exchange Online), car il n’existe aucun sélecteur d’annuaires.
- Si vous voulez en savoir plus sur la prise en charge d’Azure Virtual Desktop pour les utilisateurs B2B, consultez Prérequis pour Azure Virtual Desktop.
- Pour obtenir le dernier état de la prise en charge de Power BI pour les utilisateurs membres externes, consultez Distribuer du contenu Power BI aux utilisateurs invités externes avec Microsoft Entra B2B
Autorisation
Impossible de rétablir le mode d’approvisionnement manuel
Une fois que vous avez configuré le provisionnement pour la première fois, vous remarquerez que le mode de provisionnement est passé de manuel à automatique. Vous ne pouvez pas le repasser sur manuel. Toutefois, vous pouvez désactiver l’approvisionnement par le biais de l’interface utilisateur. La désactivation de l’approvisionnement dans l’interface utilisateur a le même effet la définition de la liste déroulante sur le mode manuel.
Mappages d’attributs
L’attribut SamAccountName ou userType n’est pas disponible en tant qu’attribut source
Les attributs SamAccountName et userType ne sont pas disponibles par défaut en tant qu’attributs sources. Vous pouvez utiliser à la place un attribut d’extension d’annuaire comme solution de contournement. Pour plus d’informations, consultez Attribut source manquant.
Liste déroulante d’attributs sources manquante pour l’extension de schéma
Les extensions de votre schéma peuvent parfois être absentes dans la liste déroulante d’attributs sources de l’interface utilisateur. Accédez aux paramètres avancés de vos mappages d’attributs et ajoutez manuellement les attributs. Pour plus d’informations, consultez Personnalisation des mappages d’attributs.
L’attribut null ne peut pas être approvisionné
Microsoft Entra ID ne peut actuellement pas fournir d’attributs nuls. Si un attribut est null sur l’objet utilisateur, il sera ignoré.
Les caractères spéciaux ne sont pas pris en charge pour les propriétés de jonction.
Actuellement, Microsoft Entra ID ne peut pas effectuer de requêtes de filtre sur des valeurs contenant des caractères spéciaux. Par conséquent, une tentative de provisionnement sur une ressource (utilisateur ou groupe) avec un caractère spécial sur les attributs de filtre échoue. Par exemple, un groupe dont le nom comporte un caractère spécial peut être créé sur Microsoft Entra ID, mais ne peut pas être synchronisé avec un système cible.
Nombre maximal de caractères pour les expressions de mappage d’attributs
Les expressions de mappage d’attributs peuvent avoir un maximum de 10 000 caractères.
Filtres d’étendue non pris en charge
Les attributs appRoleAssignments, userType, manageret les attributs de type date (par exemple, StatusHireDate, startDate, endDate, StatusTerminationDate, accountExpires) ne sont pas pris en charge en tant que filtres d’étendue.
OtherMails ne doit pas être inclus dans vos mappages d'attributs en tant qu'attribut cible.
La propriété otherMails est automatiquement calculée dans le client cible. Les modifications apportées à l’objet utilisateur directement dans le client cible peuvent entraîner la mise à jour de la propriété otherMails et remplacer l’ensemble de valeurs par la synchronisation entre clients. Par conséquent, otherMails ne doit pas être inclus dans vos mappages d’attributs de synchronisation entre clients en tant qu’attribut cible.
Extensions de répertoire à valeurs multiples
Les extensions de répertoire à valeurs multiples ne peuvent pas être utilisées dans les mappages d’attributs ni les filtres d’étendue.
Attribut targetAddress non disponible pour sélectionner
L’attribut targetAddress (qui correspond à la propriété ExternalEmailAddress dans Microsoft Exchange Online) n’est pas disponible en tant qu’attribut que vous pouvez choisir. Si vous devez modifier cet attribut, vous devez le faire manuellement sur l’objet requis.
Problèmes liés aux services
Scénarios non pris en charge
- L’approvisionnement de mots de passe n’est pas pris en charge.
- L’approvisionnement de groupes imbriqués au-delà du premier niveau n’est pas pris en charge.
- L’approvisionnement n’est pas pris en charge pour les locataires B2C, y compris dans ou hors du locataire.
- L’approvisionnement n’est pas pris en charge pour les locataires d’ID externe, y compris dans ou hors du locataire.
- Toutes les applications d’approvisionnement ne sont pas disponibles dans tous les clouds.
Le provisionnement automatique n’est pas disponible sur mon application OIDC
Si vous créez une inscription d’application, le principal de service correspondant dans les applications d’entreprise n’est pas activé pour le provisionnement automatique d’utilisateurs. Vous devez soit demander l’ajout de l’application à la Galerie, si elle est destinée à être utilisée par plusieurs organisations, soit créer une deuxième application hors Galerie pour le provisionnement.
Le gestionnaire n’est pas approvisionné
Si un utilisateur et son gestionnaire se trouvent tous deux dans l’étendue d’approvisionnement, le service approvisionne l’utilisateur, puis met à jour le gestionnaire. Si, au premier jour, l’utilisateur se trouve dans l’étendue mais pas le gestionnaire, nous approvisionnons l’utilisateur sans référence au gestionnaire. Une fois le gestionnaire dans l’étendue, la référence au gestionnaire n’est pas mise à jour tant que vous ne redémarrez pas l’approvisionnement pour permettre au service de réévaluer tous les utilisateurs.
L’intervalle de provisionnement est fixe
Le temps entre les cycles de provisionnement n’est actuellement pas configurable.
Les modifications ne sont pas transférées de l’application cible vers Microsoft Entra ID
Le service d’approvisionnement d’application n’a pas connaissance des modifications apportées aux applications externes. Par conséquent, aucune action n’est effectuée pour la restauration. Le service de provisionnement d’applications s’appuie sur les modifications apportées à Microsoft Entra ID.
Le basculement de la synchronisation de tous les utilisateurs à la synchronisation des utilisateurs affectés ne fonctionne pas
Après avoir remplacé l’étendue Synchroniser tous les utilisateurs par Synchroniser les utilisateurs affectés, veillez à effectuer un redémarrage pour que le changement prenne effet. Vous pouvez effectuer le redémarrage à partir de l’interface utilisateur.
Le cycle d’approvisionnement continue jusqu’à la fin
Lorsque vous définissez l’approvisionnement sur enabled = off
ou sélectionnez Arrêter, le cycle d’approvisionnement actuel continue à s’exécuter jusqu’à la fin. Le service arrête l’exécution des cycles futurs jusqu’à ce que vous réactiviez l’approvisionnement.
Membre du groupe non approvisionné
Lorsqu’un groupe est dans l’étendue et qu’un membre est hors de cette étendue, le groupe est approvisionné. L’utilisateur hors de l’étendue n’est pas approvisionné. Si le membre revient dans l’étendue, le service ne détecte pas immédiatement la modification. Le redémarrage de l’approvisionnement permet de résoudre le problème. Redémarrez régulièrement le service pour vous assurer que tous les utilisateurs sont correctement approvisionnés.
Lecteur général
Le rôle Lecteur général ne peut pas lire la configuration du provisionnement. Créez un rôle personnalisé avec l'autorisation microsoft.directory/applications/synchronization/standard/read
afin de lire la configuration d'approvisionnement à partir du centre d'administration Microsoft Entra.
Cloud Microsoft Azure Government
Les informations d’identification, y compris le jeton secret, l’e-mail de notification et les e-mails de notification de certificat d’authentification unique, ont une limite de 1 ko dans Microsoft Azure Government Cloud.
Approvisionnement d’application local
Cette liste contient les limitations connues de l’hôte du connecteur ECMA de Microsoft Entra et de l’approvisionnement d’applications sur site.
Applications et annuaires
Les applications et annuaires suivants ne sont pas encore pris en charge.
Services de domaine Active Directory (réécriture d'utilisateur ou de groupe à partir de Microsoft Entra ID à l'aide de l'aperçu de provisionnement sur site)
- Lorsqu'un utilisateur est géré par Microsoft Entra Connect, la source d'autorité est les services de domaine Active Directory sur site. Ainsi, les attributs utilisateur ne peuvent pas être modifiés dans Microsoft Entra ID. Cet aperçu ne modifie pas la source d'autorité pour les utilisateurs gérés par Microsoft Entra Connect.
- Tenter d'utiliser Microsoft Entra Connect et le provisionnement sur site pour provisionner des groupes ou des utilisateurs dans les services de domaine Active Directory peut conduire à la création d'une boucle, dans laquelle Microsoft Entra Connect peut écraser une modification apportée par le service de provisionnement dans le cloud. Microsoft travaille sur une fonctionnalité dédiée à l’écriture différée de groupe ou d’utilisateur. Votez pour les commentaires UserVoice sur ce site web afin de suivre l’état de la préversion. Vous pouvez également utiliser Microsoft Identity Manager pour la réécriture d'un utilisateur ou d'un groupe depuis Microsoft Entra ID vers Active Directory.
Microsoft Entra ID
En utilisant le provisionnement sur site, vous pouvez prendre un utilisateur déjà dans Microsoft Entra ID et le provisionner dans une application tierce. Vous ne pouvez pas introduire un utilisateur dans l’annuaire à partir d’une application tierce. Les clients devront s'appuyer sur nos intégrations RH natives, Microsoft Entra Connect, Microsoft Identity Manager ou Microsoft Graph, pour amener les utilisateurs dans l'annuaire.
Attributs et objets
Les attributs et objets suivants ne sont pas pris en charge :
- Attributs à valeurs multiples.
- Attributs de référence (par exemple, manager).
- Groupes.
- Ancres complexes (par exemple, ObjectTypeName+UserName).
- Attributs comportant des caractères tels que "." ou "["
- Attributs binaires.
- Les applications sur site ne sont parfois pas fédérées avec Microsoft Entra ID et nécessitent des mots de passe locaux. La préversion du provisionnement local ne prend pas en charge la synchronisation de mots de passe. La configuration des mots de passe à usage unique initiaux est pris en charge. Veillez à utiliser la fonction Redact pour expurger les mots de passe des journaux. Dans les connecteurs SQL et LDAP, les mots de passe ne sont pas exportés lors de l’appel initial à l’application, mais plutôt lors d’un deuxième appel avec mot de passe défini.
Certificats SSL
L’hôte du connecteur Microsoft Entra ECMA nécessite actuellement qu’Azure approuve un certificat SSL ou que l’agent de provisionnement soit utilisé. L'objet du certificat doit correspondre au nom d'hôte sur lequel l'hôte du connecteur Microsoft Entra ECMA est installé.
Attributs d’ancre
L’hôte du connecteur Microsoft Entra ECMA ne prend actuellement pas en charge les modifications d’attributs d’ancrage (renommages) ni les systèmes cibles, qui nécessitent plusieurs attributs pour former une ancre.
Détection et mappage des attributs
Les attributs pris en charge par l'application cible sont découverts et affichés dans le centre d'administration Microsoft Entra dans Mappages d'attributs. La découverte des attributs nouvellement ajoutés continuera. Si un type d’attribut a changé, par exemple une chaîne en booléen, et que l’attribut fait partie des mappages, le type ne changera pas automatiquement dans le centre d’administration Microsoft Entra. Les clients doivent alors accéder aux paramètres avancés des mappages pour mettre à jour le type d’attribut manuellement.
Agent d’approvisionnement
- Actuellement, l’agent ne prend pas en charge la mise à jour automatique du scénario de provisionnement d’application local. Nous travaillons activement à combler cette lacune et à garantir que la mise à jour automatique est activée par défaut et requise pour tous les clients.
- Le même agent de provisionnement ne peut pas être utilisé pour un provisionnement d’application local et un provisionnement piloté par les RH / avec la synchronisation cloud.