Não existem utilizadores a ser aprovisionados
Nota
A partir de 16/04/2020, mudamos o comportamento dos usuários atribuídos à função de acesso padrão. Consulte a secção abaixo para obter detalhes.
Depois que o provisionamento automático tiver sido configurado para um aplicativo (incluindo a verificação de que as credenciais do aplicativo fornecidas à ID do Microsoft Entra para se conectar ao aplicativo são válidas), os usuários e/ou grupos serão provisionados para o aplicativo. O provisionamento é determinado pelas seguintes coisas:
- Quais usuários e grupos foram atribuídos ao aplicativo. Não há suporte para o provisionamento de grupos aninhados. Para obter mais informações sobre atribuição, consulte Atribuir um usuário ou grupo a um aplicativo corporativo no Microsoft Entra ID.
- Se os mapeamentos de atributos estão habilitados ou não e configurados para sincronizar atributos válidos do ID do Microsoft Entra com o aplicativo. Para obter mais informações sobre mapeamentos de atributos, consulte Personalizando mapeamentos de atributos de provisionamento de usuário para aplicativos SaaS no Microsoft Entra ID.
- Se há ou não um filtro de escopo presente que está filtrando os usuários com base em valores de atributos específicos. Para obter mais informações sobre filtros de escopo, consulte Provisionamento de aplicativos baseado em atributos com filtros de escopo.
Se você observar que os usuários não estão sendo provisionados, consulte os logs de provisionamento na ID do Microsoft Entra. Pesquise entradas de log para um usuário específico.
Você pode acessar os logs de provisionamento no centro de administração do Microsoft Entra navegando até Logs de provisionamento de aplicativos>Identity>Applications>Enterprise. Você também pode selecionar um aplicativo específico e, em seguida, selecionar Logs de provisionamento na seção Atividade . Você pode pesquisar os dados de provisionamento com base no nome do usuário ou no identificador no sistema de origem ou no sistema de destino. Para obter detalhes, consulte Provisionamento de logs.
Os logs de provisionamento registram todas as operações executadas pelo serviço de provisionamento, incluindo consultar o ID do Microsoft Entra para usuários atribuídos que estão no escopo de provisionamento, consultar o aplicativo de destino para a existência desses usuários, comparar os objetos de usuário entre o sistema. Em seguida, adicione, atualize ou desative a conta de usuário no sistema de destino com base na comparação.
Áreas problemáticas gerais com provisionamento a serem consideradas
Abaixo está uma lista das áreas problemáticas gerais que você pode detalhar se tiver uma ideia de por onde começar.
- O serviço de provisionamento parece não iniciar
- Os logs de provisionamento dizem que os usuários são ignorados e não provisionados, mesmo que estejam atribuídos
O serviço de provisionamento parece não iniciar
Se você definir o Status de provisionamento como Ativado na seção Provisionamento de aplicativos > corporativos [Nome do aplicativo] >do centro de administração do Microsoft Entra. No entanto, nenhum outro detalhe de status é mostrado nessa página após recarregamentos subsequentes, é provável que o serviço esteja em execução, mas ainda não tenha concluído um ciclo inicial. Verifique os logs de provisionamento descritos acima para determinar quais operações o serviço está executando e se há erros.
Nota
Um ciclo inicial pode levar de 20 minutos a várias horas, dependendo do tamanho do diretório do Microsoft Entra e do número de usuários no escopo do provisionamento. As sincronizações subsequentes após o ciclo inicial são mais rápidas, pois o serviço de provisionamento armazena marcas d'água que representam o estado de ambos os sistemas após o ciclo inicial. O ciclo inicial melhora o desempenho das sincronizações subsequentes.
Os logs de provisionamento dizem que os usuários são ignorados e não provisionados, mesmo que estejam atribuídos
Quando um usuário aparece como "ignorado" nos logs de provisionamento, é importante revisar a guia Etapas do log para determinar o motivo. Abaixo estão as razões e resoluções comuns:
- Foi configurado um filtro de escopo que está filtrando o usuário com base em um valor de atributo. Para obter mais informações sobre filtros de escopo, consulte Filtros de escopo.
- O utilizador "não tem efetivamente direito". Se você vir essa mensagem de erro específica, é porque há um problema com o registro de atribuição de usuário armazenado no Microsoft Entra ID. Para corrigir esse problema, cancele a atribuição do usuário (ou grupo) do aplicativo e reatribua-o novamente. Para obter mais informações sobre atribuição, consulte Atribuir acesso de usuário ou grupo.
- Um atributo necessário está ausente ou não está preenchido para um usuário. Uma coisa importante a considerar ao configurar o provisionamento é revisar e configurar os mapeamentos de atributos e fluxos de trabalho que definem quais propriedades de usuário (ou grupo) fluem da ID do Microsoft Entra para o aplicativo. Essa configuração inclui a definição da "propriedade correspondente" que é usada para identificar e combinar exclusivamente usuários/grupos entre os dois sistemas. Para obter mais informações sobre esse processo importante, consulte Personalizando mapeamentos de atributos de provisionamento de usuário para aplicativos SaaS no Microsoft Entra ID.
- Mapeamentos de atributos para grupos: provisionamento do nome do grupo e detalhes do grupo, além dos membros, se suportado para alguns aplicativos. Você pode habilitar ou desabilitar essa funcionalidade habilitando ou desabilitando o Mapeamento para objetos de grupo mostrado na guia Provisionamento . Se os grupos de provisionamento estiverem habilitados, certifique-se de revisar os mapeamentos de atributos para garantir que um campo apropriado esteja sendo usado para a "ID correspondente". O ID correspondente pode ser o nome para exibição ou o alias de e-mail. O grupo e seus membros não serão provisionados se a propriedade correspondente estiver vazia ou não for preenchida para um grupo no Microsoft Entra ID.
Provisionamento de usuários atribuídos à função de acesso padrão
A função padrão em um aplicativo da galeria é chamada de função "acesso padrão". Historicamente, os usuários atribuídos a essa função não são provisionados e são marcados como ignorados nos logs de provisionamento devido a "não terem direito efetivo".
Comportamento para configurações de provisionamento criadas após 16/04/2020: Os usuários atribuídos à função de acesso padrão serão avaliados da mesma forma que todas as outras funções. Um usuário ao qual tenha sido atribuído o acesso padrão não será ignorado como "não efetivamente habilitado".
Comportamento para configurações de provisionamento criadas antes de 16/04/2020: Nos próximos 3 meses, o comportamento continuará como está hoje. Os usuários com a função de acesso padrão serão ignorados como não tendo direito efetivo. Após julho de 2020, o comportamento será uniforme para todas as aplicações. Não vamos ignorar o provisionamento de usuários com a função de acesso padrão devido a "não ter direito efetivo". Esta alteração será feita pela Microsoft, sem necessidade de ação do cliente. Se você quiser garantir que esses usuários continuem a ser ignorados, mesmo após essa alteração, aplique os filtros de escopo apropriados ou cancele a atribuição do usuário do aplicativo para garantir que eles estejam fora do escopo.
Próximos passos
Microsoft Entra Connect Sync: Compreender o Aprovisionamento Declarativo