在为应用程序配置自动预配后(包括验证提供给 Microsoft Entra ID 的应用凭据是否有效),用户和/或群组会被分配到应用程序中。 预配取决于以下事情:
- 哪些用户和组已被 分配给 应用程序。 不支持预配嵌套组。 有关分配的详细信息,请参阅 在 Microsoft Entra ID 中将用户或组分配到企业应用。
- 是否启用 属性映射 ,并配置为将有效属性从 Microsoft Entra ID 同步到应用。 有关属性映射的详细信息,请参阅 在 Microsoft Entra ID 中自定义 SaaS 应用程序的用户预配属性映射。
- 是否存在一个基于特定属性值筛选用户的范围筛选器。 有关范围筛选器的详细信息,请参阅 使用范围筛选器进行基于属性的应用程序预配。
如果发现未预配用户,请参阅Microsoft Entra ID 中的 预配日志 。 在日志条目中搜索特定用户。
可以通过浏览到 Entra ID>企业应用>预配日志来访问 Microsoft Entra 管理中心中的预配日志。 还可以选择特定应用程序,然后在“活动”部分中选择“预配日志”。 你可以根据用户的名称或者根据源系统或目标系统中的标识符来搜索预配数据。 有关详细信息,请参阅 预配日志。
预配日志记录了预配服务执行的全部操作,包括查询 Microsoft Entra ID 以找到预配作用域中分配的用户、查询目标应用以验证是否存在这些用户以及比较系统之间的用户对象。 然后根据比较结果在目标系统中添加、更新或禁用用户帐户。
预配服务似乎未启动
如果在 Microsoft Entra 管理中心的“企业应用程序”“[应用程序名称]”“预配”部分中将“预配状态”设置为“开”>>。 但是在后续重新加载后该页面未显示其他状态详细信息,则有可能是因为该服务正在运行,但尚未完成初始周期。 检查 预配日志 以确定服务正在执行的操作,以及是否存在任何错误。
注意
初始周期可能会持续 20 分钟至几小时,具体取决于 Microsoft Entra 目录的大小与作用域中的预配用户数量。 在初始周期之后同步速度会变快,因为在初始周期后,预配服务将存储代表两个系统状态的水印。 此初始周期会提升后续同步的性能。
预配日志表示用户已跳过,即使已分配用户,也不会预配
当用户在预配日志中显示为“已跳过”时,请务必查看日志的“步骤”选项卡以确定原因。 常见原因和解决方法:
- 已配置范围筛选器,它会根据属性值筛选用户。 有关范围筛选器的详细信息,请参阅 范围筛选器。
- 该用户“未得到有效授权”。 如果看到此特定错误消息,是因为存储在 Microsoft Entra ID 中的用户分配记录出现问题。 要解决此问题,请从应用中取消分配用户(或组),并重新分配。 有关分配的详细信息,请参阅 “分配用户或组访问权限”。
- 所需的属性丢失或未替用户填写。 在设置预配时需考虑的重要一点是查看并配置属性映射和工作流,它们可以确定哪些用户(或组)属性将从 Microsoft Entra ID 流向应用程序。 此配置包括设置用于在两个系统之间唯一地标识和匹配用户/组的“匹配属性”。 有关这一重要过程的详细信息,请参阅 在 Microsoft Entra ID 中为 SaaS 应用程序自定义用户预配属性映射。
- 组的属性映射: 如果某些应用程序支持,则除了成员之外,还预配组名称和组详细信息。 通过启用或禁用在“预配”选项卡中显示的组对象的“映射”,可启用或禁用此功能。如果启用预配组,请务必查看属性映射以确保相应字段用于“匹配 ID”。 此匹配 ID 可以是显示名称或电子邮件别名。 如果匹配属性为空,或没有为 Microsoft Entra ID 中的某个组进行填充,则该组及其成员未预配。
预配分配给默认访问角色的用户
库中应用程序上的默认角色称为“默认访问”角色。 通常情况下,分配给此角色的用户不会被预配,并且由于“没有有效权限”而在 预配日志 中被标记为被跳过。