Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les problèmes connus à prendre en compte lorsque vous utilisez le provisionnement d’applications ou la synchronisation interlocataire. Pour fournir des retours sur le service d’approvisionnement d’applications sur UserVoice, voir UserVoice pour l’approvisionnement d’applications Microsoft Entra. Nous surveillons le service UserVoice de près pour améliorer le service.
Note
Cet article ne constitue pas une liste exhaustive des problèmes connus. Si vous découvrez un problème qui ne figure pas dans la liste, partagez vos commentaires en bas de la page.
Synchronisation entre clients
Scénarios de synchronisation non pris en charge
- Synchronisation de groupes, d’appareils et de contacts dans un autre locataire
- Synchronisation des photos entre plusieurs locataires
- Synchronisation des contacts et conversion des contacts en utilisateurs B2B
- Synchronisation des salles de réunion entre les différents locataires
Mise à jour d’attributs exchange tels que proxyAddresses et HiddenFromAddressListEnabled
La synchronisation entre clients peut gérer les propriétés utilisateur dans Entra. Il ne gère pas directement les attributs d’échange. Par exemple:
- ProxyAddresses est une propriété en lecture seule dans Microsoft Graph. Elle peut être incluse comme attribut source dans vos mappages, mais ne peut pas être définie comme attribut cible.
- La synchronisation entre locataires peut mettre à jour l’attribut ShowInAddressList dans Entra, mais elle ne peut pas mettre directement à jour HiddenFromAddressListEnabled dans Exchange.
- TargetAddress, qui est mappé à la propriété ExternalEmailAddress dans Microsoft Exchange Online, n’est pas disponible en tant qu’attribut que vous pouvez choisir. Si vous devez modifier cet attribut, vous devez le faire manuellement sur l’objet concerné.
Les utilisateurs avec connexion par SMS sont ignorés
Un utilisateur externe du locataire source ne peut pas être provisionné dans un autre locataire. Les utilisateurs invités internes du locataire source ne peuvent pas être provisionnés dans un autre locataire. Seuls les utilisateurs membres internes du locataire source peuvent être provisionnés dans le locataire cible. Pour plus d’informations, consultez la page Propriétés d’un utilisateur B2B Collaboration Microsoft Entra.
Par ailleurs, les utilisateurs qui ont activé la connexion par SMS ne peuvent pas être synchronisés avec la synchronisation entre locataires.
Échec de la mise à jour de la propriété showInAddressList
Pour les utilisateurs B2B Collaboration existants, l’attribut showInAddressList est mis à jour tant que l’utilisateur B2B Collaboration n’a pas de boîte aux lettres activée dans le locataire cible. Si la boîte aux lettres est activée dans le locataire cible, utilisez l’applet de commande PowerShell Set-MailUser pour définir la propriété HiddenFromAddressListsEnabled sur une valeur $false.
Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false
Où [GuestUserUPN] est le UserPrincipalName calculé. Exemple :
Set-MailUser guestuser1_contoso.com#EXT#@fabrikam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false
Pour plus d’informations, consultez À propos du module Exchange Online PowerShell.
L’attribut de messagerie n’est pas mis à jour
Si l’utilisateur du locataire cible reçoit une licence Exchange, la synchronisation entre locataires ne pourra pas mettre à jour l’attribut de messagerie. Pour contourner ce problème, supprimez la licence Exchange pour l’utilisateur, mettez à jour l’attribut de messagerie et affectez à nouveau la licence à l’utilisateur.
Configuration de la synchronisation à partir du locataire cible
La configuration de la synchronisation à partir du locataire cible n’est pas prise en charge. Toutes les configurations doivent être effectuées dans le locataire source. L’administrateur cible peut désactiver la synchronisation interlocataire à tout moment.
Deux utilisateurs dans le locataire source mis en correspondance avec le même utilisateur dans le locataire cible
Lorsque deux utilisateurs du locataire source ont le même courrier et qu’ils doivent tous les deux être créés dans le locataire cible, un utilisateur est créé dans la cible et lié aux deux utilisateurs dans la source. Vérifiez que l’attribut de messagerie n’est pas partagé entre les utilisateurs du locataire source. En outre, vérifiez que le courrier de l’utilisateur dans le locataire source provient d’un domaine vérifié. L’utilisateur externe ne sera pas créé correctement si le courrier provient d’un domaine non vérifié.
Utilisation de la collaboration Microsoft Entra B2B pour l'accès interlocataire
- Les utilisateurs B2B ne peuvent pas gérer certains services Microsoft 365 dans des locataires distants (comme Exchange Online), car il n’existe aucun sélecteur d’annuaires.
- Pour en savoir plus sur la prise en charge d'Azure Virtual Desktop pour les utilisateurs B2B, consultez Prérequis pour Azure Virtual Desktop.
- Pour connaître le dernier état de la prise en charge de Power BI pour les utilisateurs externes, consultez Distribuer du contenu Power BI à des utilisateurs invités externes avec Microsoft Entra B2B
Autorisation
Impossible de rétablir le mode d’approvisionnement manuel
Lorsque vous configurez l’approvisionnement pour la première fois, vous remarquerez que le mode de configuration est passé de manuel à automatique. Vous ne pouvez pas le repasser sur manuel. Toutefois, vous pouvez désactiver l’approvisionnement par le biais de l’interface utilisateur. La désactivation de l’approvisionnement dans l’interface utilisateur a le même effet la définition de la liste déroulante sur le mode manuel.
Mappages d’attributs
L’attribut SamAccountName ou userType n’est pas disponible en tant qu’attribut source
Les attributs SamAccountName et userType ne sont pas disponibles en tant qu’attributs sources. Vous pouvez utiliser à la place un attribut d'extension d'annuaire comme solution de contournement. Pour plus d’informations, consultez Attribut source manquant.
Liste déroulante d’attributs sources manquante pour l’extension de schéma
Les extensions de votre schéma peuvent parfois être absentes dans la liste déroulante d’attributs sources de l’interface utilisateur. Accédez aux paramètres avancés de vos mappages d’attributs et ajoutez manuellement les attributs. Pour plus d’informations, consultez Personnalisation des mappages d’attributs.
L’attribut null ne peut pas être approvisionné
Microsoft Entra ID ne peut actuellement pas fournir d’attributs nuls. Si un attribut est null sur l’objet utilisateur, il est ignoré.
Les caractères spéciaux ne sont pas pris en charge pour la jonction des propriétés
Microsoft Entra ID ne peut actuellement pas effectuer de requêtes filtrées sur des valeurs contenant des caractères spéciaux. Par conséquent, toute tentative d'approvisionnement d'une ressource (utilisateur ou groupe) comportant un caractère spécial dans les attributs de filtre échoue. Par exemple, un groupe dont le nom contient un caractère spécial peut être créé sur Microsoft Entra ID, mais ne peut pas être synchronisé avec un système cible.
Nombre maximal de caractères pour les expressions de mappage d’attributs
Les expressions de mappage d’attributs peuvent avoir un maximum de 10 000 caractères.
Filtres d’étendue non pris en charge
Les attributs appRoleAssignments, userType, manager et date-type (for example, StatusHireDate, startDate, endDate, StatusTerminationDate, accountExpires) ne sont pas pris en charge en tant que filtres de portée.
OtherMails ne doit pas être inclus dans vos mappages d'attributs en tant qu'attribut cible.
La propriété otherMails est automatiquement calculée dans le locataire cible. Les modifications apportées à l'objet utilisateur directement dans le locataire cible peuvent entraîner la mise à jour de la propriété otherMails et remplacer la valeur définie par la synchronisation entre clients. Par conséquent, otherMails ne doit pas être inclus dans vos mappages d’attributs de synchronisation entre clients en tant qu’attribut cible.
Extensions de répertoire à valeurs multiples
Les extensions de répertoire à valeurs multiples ne peuvent pas être utilisées dans les mappages d’attributs ni les filtres d’étendue.
Problèmes liés aux services
Scénarios non pris en charge
- L’approvisionnement de mots de passe n’est pas pris en charge.
- L’approvisionnement de groupes imbriqués au-delà du premier niveau n’est pas pris en charge.
- L’approvisionnement n’est pas pris en charge pour les locataires B2C, y compris à l'intérieur ou à l'extérieur du locataire.
- L’approvisionnement n’est pas pris en charge pour les locataires External ID, y compris à l'intérieur ou à l'extérieur du locataire.
- Toutes les applications d’approvisionnement ne sont pas disponibles dans tous les clouds.
Le provisionnement automatique n’est pas disponible sur mon application OIDC
Si vous créez une inscription d’application, le principal de service correspondant dans les applications d’entreprise n’est pas activé pour le provisionnement automatique d’utilisateurs. Vous devez soit demander l’ajout de l’application à la Galerie, si elle est destinée à être utilisée par plusieurs organisations, soit créer une deuxième application hors Galerie pour le provisionnement.
Le gestionnaire n’est pas approvisionné
Si un utilisateur et son gestionnaire se trouvent tous deux dans l’étendue d’approvisionnement, le service approvisionne l’utilisateur, puis met à jour le gestionnaire. Si, au premier jour, l’utilisateur se trouve dans l’étendue mais pas le gestionnaire, nous approvisionnons l’utilisateur sans référence au gestionnaire. Une fois le gestionnaire dans l’étendue, la référence au gestionnaire n’est pas mise à jour tant que vous ne redémarrez pas l’approvisionnement pour permettre au service de réévaluer tous les utilisateurs.
L’intervalle de provisionnement est fixe
Le temps entre les cycles de provisionnement n’est actuellement pas configurable.
Les modifications ne sont pas transférées de l’application cible vers Microsoft Entra ID
Le service d’approvisionnement d’application n’a pas connaissance des modifications apportées aux applications externes. Par conséquent, aucune action n’est effectuée pour la restauration. Le service de provisionnement d'applications s’appuie sur les modifications apportées dans Microsoft Entra ID.
Le basculement de la synchronisation de tous les utilisateurs à la synchronisation des utilisateurs affectés ne fonctionne pas
Après avoir remplacé l’étendue Synchroniser tous les utilisateurs par Synchroniser les utilisateurs affectés, veillez à effectuer un redémarrage pour que le changement prenne effet. Vous pouvez effectuer le redémarrage à partir de l’interface utilisateur.
Le cycle d’approvisionnement continue jusqu’à la fin
Lorsque vous définissez l’approvisionnement sur enabled = off ou sélectionnez Arrêter, le cycle d’approvisionnement actuel continue à s’exécuter jusqu’à la fin. Le service arrête l’exécution des cycles futurs jusqu’à ce que vous réactiviez l’approvisionnement.
Membre du groupe non approvisionné
Lorsqu’un groupe est dans l’étendue et qu’un membre est hors de cette étendue, le groupe est approvisionné. L’utilisateur hors de l’étendue n’est pas approvisionné. Si le membre revient dans l’étendue, le service ne détecte pas immédiatement la modification. Le redémarrage de l’approvisionnement permet de résoudre le problème. Redémarrez régulièrement le service pour vous assurer que tous les utilisateurs sont correctement approvisionnés.
Lecteur général
Le rôle Lecteur général ne peut pas lire la configuration du provisionnement. Créez un rôle personnalisé avec l’autorisation microsoft.directory/applications/synchronization/standard/read pour lire la configuration du provisionnement à partir du centre d'administration Microsoft Entra.
Cloud Microsoft Azure Government
Les informations d’identification, y compris le jeton secret, l’e-mail de notification et les e-mails de notification de certificat d’authentification unique, ont une limite de 1 ko dans Microsoft Azure Government Cloud.
Approvisionnement d’application local
Voici une liste actualisée des limitations connues concernant l’hôte connecteur ECMA Microsoft Entra et le provisionnement d'applications sur site.
Connectivité du connecteur SQL
Le connecteur SQL s’attend à ce que le fichier DSN soit encodé en UTF-8. D’autres encodages peuvent ne pas être lus correctement et entraîner l’erreur « Nom de la source de données introuvable et aucun pilote par défaut spécifié ».
Applications et annuaires
Les applications et annuaires suivants ne sont pas encore pris en charge.
Active Directory Domain Services (écriture différée d’utilisateur ou de groupe à partir de Microsoft Entra ID à l’aide de la version préliminaire de l’approvisionnement local)
- Lorsqu'un utilisateur est géré par Microsoft Entra Connect, la source d'autorité est les services de domaine Active Directory sur site. Ainsi, les attributs utilisateur ne peuvent pas être modifiés dans Microsoft Entra ID. Cette préversion ne modifie pas la source d’autorité pour les utilisateurs managés par Microsoft Entra Connect.
- Toute tentative d’utilisation de Microsoft Entra Connect et de l’approvisionnement local pour approvisionner des groupes ou des utilisateurs dans Active Directory Domain Services peut entraîner la création d’une boucle, où Microsoft Entra Connect peut remplacer une modification apportée par le service d’approvisionnement dans le cloud. Microsoft travaille sur une fonctionnalité dédiée à l’écriture différée de groupe ou d’utilisateur. Votez pour les commentaires UserVoice sur ce site web afin de suivre l’état de la préversion. Vous pouvez également utiliser Microsoft Identity Manager pour l’écriture différée d’utilisateur ou de groupe de Microsoft Entra ID à Active Directory.
Microsoft Entra ID (système d'identification de Microsoft)
En utilisant l’approvisionnement local, vous pouvez approvisionner un utilisateur se trouvant déjà dans Microsoft Entra ID dans une application tierce. Vous ne pouvez pas introduire un utilisateur dans l’annuaire à partir d’une application tierce. Les clients doivent s’appuyer sur nos intégrations RH natives, Microsoft Entra Connect, Microsoft Identity Manager ou Microsoft Graph pour introduire des utilisateurs dans l’annuaire.
Attributs et objets
Les attributs et objets suivants ne sont pas pris en charge :
- Attributs à valeurs multiples.
- Attributs de référence (par exemple, manager).
- Groupes.
- Ancres complexes (par exemple, ObjectTypeName+UserName).
- Attributs comportant des caractères tels que « . » ou « [ »
- Attributs binaires.
- Certaines applications locales ne sont pas fédérées avec Microsoft Entra ID et exigent des mots de passe locaux. La préversion du provisionnement local ne prend pas en charge la synchronisation de mots de passe. La configuration des mots de passe à usage unique initiaux est pris en charge. Veillez à utiliser la fonction Redact pour expurger les mots de passe des journaux. Dans les connecteurs SQL et LDAP, les mots de passe ne sont pas exportés lors de l’appel initial à l’application, mais plutôt lors d’un deuxième appel avec mot de passe défini.
Certificats SSL
L’hôte de connecteur Microsoft Entra ECMA requiert actuellement l’utilisation d’un certificat SSL approuvé par Azure ou par l’agent d’approvisionnement. L’objet du certificat doit correspondre au nom d’hôte sur lequel l’hôte de connecteur Microsoft Entra ECMA est installé.
Attributs d’ancre
L’hôte de connecteur Microsoft Entra ECMA ne prend actuellement pas en charge les modifications d’attribut d’ancre (renommages) ou les systèmes cibles qui requièrent plusieurs attributs pour former une ancre.
Détection et mappage des attributs
Les attributs pris en charge par l’application cible sont découverts et exposés sur le centre d'administration Microsoft Entra dans Mappages d’attributs. La découverte des attributs nouvellement ajoutés continuera. Si un type d’attribut a changé (par exemple, de chaîne en booléen) et qu’il fait partie des mappages, le type ne change pas automatiquement dans le centre d'administration Microsoft Entra. Les clients doivent alors accéder aux paramètres avancés des mappages pour mettre à jour le type d’attribut manuellement.
Agent d’approvisionnement
- Actuellement, l’agent ne prend pas en charge la mise à jour automatique du scénario de provisionnement d’application local. Nous travaillons activement à combler cette lacune et à garantir que la mise à jour automatique est activée par défaut et requise pour tous les clients.
- Le même agent de provisionnement ne peut pas être utilisé pour un provisionnement d’application local et un provisionnement piloté par les RH / avec la synchronisation cloud.