排查应用程序预配的配置问题。 有关详细信息,请参阅 自动用户预配。
首先查找应用程序的设置教程。 然后,按照步骤配置应用和Microsoft Entra ID 以创建预配连接。 有关教程列表,请参阅 有关如何将 SaaS 应用与 Microsoft Entra ID 集成的教程列表。
检查预配是否正常工作
配置服务后,可以从两个位置获取对服务运行的大多数见解。
预配日志 (预览版) - 预配日志 记录预配服务执行的所有作。 这些日志包括查询适用于预配范围内已分配用户的 Microsoft Entra ID。 查询目标应用以验证是否存在这些用户以及比较系统之间的用户对象。 然后根据比较结果在目标系统中添加、更新或禁用用户帐户。 要在 Microsoft Entra 管理中心访问 预配日志,请在活动部分中选择 Entra ID>企业应用>预配日志。
现状– 可以在 Entra ID>企业应用>
[Application Name]>配置 部分的服务设置下,找到屏幕底部的给定应用程序的上次配置运行摘要。 “当前状态”部分显示预配周期是否开始预配用户帐户。 观看周期的进度,查看预配的用户和组数,以及创建的角色数。 如果有错误,可以在 [预配日志] (~/identity/monitoring-health/concept-provisioning-logs.md?context=azure/active-directory/manage-apps/context/manage-apps-context) 中找到详细信息。
预配服务似乎未启动
在 Microsoft Entra 管理中心的 Entra ID>Enterprise 应用>[Application Name]>预配部分中,将“预配状态”设置为“开启”。 但是,后续重载后页面上不会显示其他状态详细信息。 服务可能正在运行,但初始周期未完成。 检查 预配日志 以确定服务正在执行的操作,以及是否存在任何错误。
注释
初始周期需要 20 分钟到几个小时。 时间取决于 Microsoft Entra 目录的大小,以及预配范围内的用户数。 后续同步速度更快,因为预配服务存储水印,表示初始周期后这两个系统的状态。 水印可提高后续同步的性能。
因应用凭据不工作而无法保存配置
Microsoft Entra ID 需要有效的凭据进行配置。 凭据连接到应用提供的用户管理 API。 如果凭据不起作用,或者不知道凭据是什么,请查看有关设置应用的教程。
预配日志表示用户已跳过,即使已分配用户,也不会预配
阅读日志信息中的详细信息,以确定用户为何在配置日志中被标记为跳过。 常见原因和解决方法包括:
已配置范围筛选器,用于根据属性值筛选用户。 有关详细信息,请参阅通过作用域筛选器基于属性预配应用程序。
该用户“未得到有效授权”。 Microsoft Entra ID 中存储的用户分配记录出现问题。 要解决此问题,请从应用中取消分配用户(或组),并重新分配。 有关详细信息,请参阅 向企业应用分配用户或组。
所需的属性丢失或未替用户填写。 查看并配置用于定义哪些用户(或组)属性的属性映射和工作流从Microsoft Entra ID 流向应用程序。 检查用于唯一标识和匹配两个系统之间的用户/组的设置
matching property。 有关详细信息,请参阅 自定义用户预配属性映射。组的属性映射: 如果某些应用程序支持,则除了成员之外,还预配组名称和组详细信息。 您可以使用“预配”选项卡中显示的组对象的映射来启用或禁用功能。如果启用了预配组,请查看属性映射,以确保使用适当的字段
matching ID。 该字段是显示名称或电子邮件别名。 如果匹配属性为空,或没有为 Microsoft Entra ID 中的某个组进行填充,则该组及其成员未预配。