本文討論當您使用應用程式佈建或跨租用戶同步處理時要注意的已知問題。 若要提供關於 UserVoice 上應用程式佈建服務的意見反應,請參閱 Microsoft Entra 應用程式佈建 UserVoice。 我們會密切關注 UserVoice,以便可以改善服務。
注意
本文並非已知問題的完整清單。 如果您知道未列出的問題,請在頁面底部提供意見反應。
跨租戶同步
不支援同步處理的案例
- 將群組、裝置和連絡人同步至另一個租用戶
- 跨租用戶相片同步處理
- 同步連絡人並將連絡人轉換為 B2B 使用者
- 跨租戶會議室同步化
更新 Exchange 屬性,例如 proxyAddresses 和 HiddenFromAddressListEnabled
跨租使用者同步處理可以在 Entra 中管理用戶屬性。 它不會直接管理交換屬性。 例如:
- ProxyAddresses 在 Microsoft Graph 中是唯讀屬性。 它可以包含在對應中作為來源屬性,但無法設定為目標屬性。
- 跨租使用者同步處理可以更新 Entra 中的 ShowInAddressList 屬性,但無法直接更新 Exchange 中的 HiddenFromAddressListEnabled。
- TargetAddress 對應至 Microsoft Exchange Online 中的 ExternalEmailAddress 屬性,但它無法作為您可以選擇的屬性。 如果您需要變更這個屬性,您必須透過必要的物件手動執行。
略過已啟用SMS登入的使用者
來源 (home) 租用戶的外部使用者無法佈建到另一個租用戶。 來源租用戶的內部訪客使用者無法佈建到另一個租用戶。 只有來源租用戶的內部成員用戶才能配置到目標租用戶中。 如需詳細資訊,請參閱 Microsoft Entra B2B 共同作業使用者的屬性。
此外,已啟用 SMS 登入的使用者無法透過跨租戶同步進行同步。
更新 showInAddressList 屬性失敗
對於現有 B2B 共同作業使用者,只要 B2B 共同作業使用者未在目標租用戶中啟用信箱,showInAddressList 屬性就會更新。 如果信箱已在目標租用戶內啟用,您可以使用 Set-MailUser PowerShell Cmdlet 將 HiddenFromAddressListsEnabled 屬性設定為 $false 的值。
Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false
其中 [GuestUserUPN] 是計算的 UserPrincipalName。 範例:
Set-MailUser guestuser1_contoso.com#EXT#@fabrikam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false
如需詳細資訊,請參閱 關於 Exchange Online PowerShell 模組。
郵件屬性未更新
如果目標租使用者中的使用者獲指派交換授權,跨租使用者同步處理將無法更新郵件屬性。 若要解決此問題,請移除使用者的交換授權、更新郵件屬性,然後再次將授權指派給使用者。
從目標租用戶設定同步處理
不支援從目標租用戶設定同步。 所有設定必須在原始租用戶中完成。 目標管理員可以隨時關閉跨租用戶同步處理。
來源租用戶中的兩個使用者與目標租用戶中的相同的使用者匹配。
當來源租用戶中的兩個使用者擁有相同的電子郵件地址,且兩者都需要在目標租用戶中建立時,將在目標中建立一個使用者,並將其連結至來源中的這兩個使用者。 確保郵件屬性不會在來源租戶中的使用者之間共用。 此外,請確定來源租用戶中使用者的郵件來自已驗證的網域。 如果郵件來自未驗證的網域,將無法成功建立外部使用者。
使用 Microsoft Entra B2B 共同作業進行跨租用戶存取
- B2B 使用者無法管理遠端租用戶中的某些Microsoft 365 服務 (例如 Exchange Online),因為缺少目錄選擇器。
- 若要了解 Azure 虛擬桌面對 B2B 使用者的支援,請參閱 Azure 虛擬桌面的必要條件。
- 如需 Power BI 支援外部成員使用者的最新狀態,請參閱 使用 Microsoft Entra B2B 將 Power BI 內容散發給外部來賓使用者
授權
無法將佈建模式變更回手動
首次設定佈建時,您會注意到佈建模式已從手動切換為自動。 您無法將其變更回手動。 但是您可以透過 UI 關閉佈建。 在 UI 中關閉佈建實際上與將下拉式清單設定為手動相同。
屬性對應
屬性 SamAccountName 或 userType 無法作為來源屬性使用
屬性 SamAccountName 與 userType 無法作為來源屬性使用。 您可以改用目錄擴充屬性作為解決方法。 若要深入了解,請參閱遺失來源屬性。
結構描述擴充遺漏來源屬性下拉式清單
在 UI 的 [來源屬性] 下拉式清單中,有時可能會遺漏結構描述的擴充。 移至屬性對應的進階設定,然後手動新增屬性。 若要深入了解,請參閱自訂屬性對應。
無法佈建 Null 屬性
Microsoft Entra ID 目前無法佈建 Null 屬性。 如果使用者物件上的屬性為 null,則會略過該屬性。
聯結屬性無法支援特殊字元
Microsoft Entra ID 目前無法對包含特殊字元的值執行篩選查詢。 因此,對篩選屬性上具有特殊字元的資源(使用者或群組)佈建嘗試會失敗。 例如,可以在 Microsoft Entra ID 建立名稱中具有特殊字元的群組,但無法同步至目標系統。
屬性對應運算式的最大字元數
屬性對應運算式最多可包含 10,000 個字元。
不支援的範圍篩選器
appRoleAssignments、userType、manager 和 date-type 属性 (例如 StatusHireDate、startDate、endDate、StatusTerminationDate、accountExpires) 不支援範圍篩選。
OtherMails 不應被包含在屬性對應中作為目標屬性
otherMails 屬性會自動在目標租用戶中計算。 直接在目標租用戶中對使用者物件所做的變更可能會導致 otherMails 屬性更新,並覆寫跨租用戶同步處理所設定的值。 因此,otherMails 不應包含在跨租用戶同步屬性對應中作為目標屬性。
多重值目錄延伸
多重值目錄擴充無法在屬性對應或範圍設定篩選中使用。
服務問題
不支援的情境
- 不支援配置密碼。
- 不支援佈建超過第一層的巢狀群組。
- B2C 租用戶不支援配置,包括進出該租用戶。
- 外部識別碼租用戶不支援佈建,包括進出租用戶。
- 並非所有的佈建應用程式都可在所有雲端中使用。
我的 OIDC 型應用程式無法使用自動佈建
如果您建立應用程式註冊,則不會啟用企業應用程式中對應的服務主體以自動佈建使用者。 您必須要求將應用程式新增至資源庫 (如果預定供多個組織使用),或建立第二個非資源庫應用程式來進行佈建。
管理員未設置
如果使用者及其管理員都在佈建範圍內,則服務會佈建使用者,然後更新管理員。 如果使用者第一天在範圍內,而管理員超出範圍,我們將會在不使用管理員參考的情況下佈建使用者。 當經理進入範圍內時,除非您重新啟動佈建並讓服務重新評估所有使用者,否則經理參照將不會更新。
佈建間隔是固定的
佈建週期之間的時間目前無法設定。
變更不會從目標應用程式移至 Microsoft Entra ID
應用程式佈建服務不會感知在外部應用程式中所做的變更。 因此,不會採取任何動作來復原。 應用程式佈建服務依賴於 Microsoft Entra ID 中所做的變更。
從 [全部同步] 到 [同步已指派] 的切換無法運作
將範圍從 [全部同步] 變更為 [同步已指派] 之後,請務必一併執行重新開機,以確保變更生效。 您可以從 UI 重新開機。
佈建週期會持續到完成為止
當您將佈建設定為 enabled = off 或選取 [停止] 時,目前的佈建週期會持續執行,直到完成為止。 服務會停止執行任何未來的週期,直到您再次開啟佈建。
未佈建群組的成員
當群組在範圍內,且成員超出範圍時,系統將會配置群組。 不會配置超出範圍的使用者。 如果成員回到範圍內,則服務將不會立即偵測到變更。 重新啟動佈建可解決此問題。 定期重新啟動服務,以確保所有使用者都已正確配置。
全域閱讀器
[全域讀取者] 角色無法讀取佈建設定。 建立具有 microsoft.directory/applications/synchronization/standard/read 權限的自訂角色,以便從 Microsoft Entra 系統管理中心讀取佈建設定。
Microsoft Azure 政府雲端
包括秘密權杖、通知電子郵件和 SSO 憑證通知電子郵件在內的認證,在 Microsoft Azure Government Cloud 中有總共 1 KB 的限制。
內部部署應用程式配置
這是目前 Microsoft Entra ECMA Connector 主機和內部部署應用程式佈建的已知限制清單。
SQL 連接器的連線功能
SQL 連接器期望 DSN 檔案以 UTF-8 編碼。 其他編碼可能無法正確讀取,導致錯誤訊息「找不到資料來源名稱且未指定預設驅動程式」。
應用程式和目錄
尚不支援下列應用程式和目錄。
Active Directory 網域服務 (利用內部部署佈建預覽功能從 Microsoft Entra ID 回寫使用者或群組)
- 當使用者由 Microsoft Entra Connect 管理時,授權來源是內部部署 Active Directory 網域服務。 因此,無法在 Microsoft Entra ID 中變更使用者屬性。 此預覽不會變更由 Microsoft Entra Connect 所管理使用者的授權來源。
- 嘗試使用 Microsoft Entra Connect 和內部部署配置將群組或使用者配置至 Active Directory Domain Services,可能會導致產生循環,其中 Microsoft Entra Connect 可能會覆寫雲端佈建服務所做的變更。 Microsoft 致力於開發群組或使用者回寫的專用功能。 在此網站上點贊 UserVoice 的意見反饋,以追蹤預覽版的狀態。 或者,您可以使用 Microsoft Identity Manager,將使用者或群組從 Microsoft Entra ID 回寫至 Active Directory。
Microsoft Entra ID
藉由使用內部部署佈建,您可以選取已在 Microsoft Entra ID 中的使用者,並將其佈建至協力廠商應用程式。 您無法從協力廠商應用程式中將使用者加入目錄。 客戶將必須依賴我們的原生 HR 整合、Microsoft Entra Connect、Microsoft Identity Manager 或 Microsoft Graph,才能將使用者移至目錄。
屬性和物件
不支援下列屬性和物件:
- 多重值屬性。
- 參考屬性 (例如管理者)。
- 群組。
- 複雜錨點 (例如 ObjectTypeName+UserName)。
- 具有「.」或「[」等字元的屬性
- 二進位屬性。
- 內部部署應用程式有時不會與 Microsoft Entra ID 同盟,且需要本機密碼。 內部部署佈建預覽版不支援密碼同步化。 支援配置初始一次性密碼。 確保您使用 Redact 函數來修訂記錄中的密碼。 在 SQL 和 LDAP 連接器中,系統不會在對應用程式的初始呼叫中匯出密碼,而會使用設定密碼進行第二次呼叫。
SSL 憑證
Microsoft Entra ECMA 連接器主機目前需要 Azure 所信任的 SSL 憑證,或者需要使用佈建代理程式。 憑證主體必須符合安裝 Microsoft Entra ECMA 連接器主機所在的主機名稱。
錨點屬性
Microsoft Entra ECMA 連接器主機目前不支援錨點屬性變更 (重新命名) 或目標系統,需要多個屬性才能形成錨點。
屬性探索和對應
目標應用程式支援的屬性會被發現,並在 Microsoft Entra 系統管理中心的 [屬性對應] 中顯示出來。 系統將繼續探索新增的屬性。 如果屬性類型已變更 (例如字串變更為布林值),且屬性是對應的一部分,則此類型不會在 Microsoft Entra 系統管理中心中自動變更。 客戶需要進入對應設定中的進階選項,並手動更新屬性類型。
配置代理
- 代理程式目前不支援內部部署應用程式佈建案例的自動更新。 我們正積極地彌補此缺口,並確保依預設會啟用自動更新,且所有客戶都必須啟用此功能。
- 相同的佈建代理程式無法用於進行內部內部部署應用程式佈建和雲端同步/HR 導向的佈建。