Nenhum usuário sendo provisionado
Observação
Em 16/04/2020, alteramos o comportamento dos usuários atribuídos à função de acesso padrão. Confira a seção abaixo para obter detalhes.
Após o provisionamento automático ser configurado para um aplicativo (incluindo verificar se as credenciais de aplicativo fornecidas ao Microsoft Entra ID para se conectar ao aplicativo são válidas), os usuários e/ou grupos são provisionados no aplicativo. O provisionamento é determinado pelos seguintes fatores:
- Quais usuários e grupos têm sido atribuídos para o aplicativo. Não há suporte para o provisionamento de grupos aninhados. Para obter mais informações sobre essa atribuição, confira Atribuir um usuário ou grupo a um aplicativo empresarial no Microsoft Entra ID.
- Mesmo que os mapeamentos de atributos estejam habilitados ou não, e configurados para sincronizar atributos válidos do Microsoft Entra ID para o aplicativo. Para obter mais informações sobre mapeamentos de atributo, confira Como personalizar mapeamentos de atributos do provisionamento de usuário em aplicativos SaaS no Microsoft Entra ID.
- Se há ou não um filtro de escopo presente que está filtrando usuários com base em valores de atributo específicos. Para obter mais informações sobre filtros de escopo, consulte provisionamento de aplicativos com base em atributo com filtros de escopo.
Se você observar que os usuários não estão sendo provisionados, consulte os logs de provisionamento na ID do Microsoft Entra. Pesquise por entradas de log referentes a um usuário específico.
Você pode acessar os logs de provisionamento no centro de administração do Microsoft Entra navegando até Identidade>Aplicativos> Aplicativos Empresariais>Logs de provisionamento. Você também pode selecionar um aplicativo específico e, em seguida, selecionar Logs de provisionamento na seção Atividade. É possível pesquisar os dados de provisionamento com base no nome do usuário ou no identificador no sistema de origem ou no sistema de destino. Confira os detalhes em Logs de provisionamento.
Os logs de provisionamento registram todas as operações executadas pelo serviço de provisionamento, incluindo consultar o Microsoft Entra ID em busca de usuários que estão no escopo do provisionamento, consultar o aplicativo de destino em busca da existência desses usuários e comparar os objetos de usuário entre o sistema. Em seguida, adicione, atualize ou desabilite a conta de usuário no sistema de destino com base na comparação.
Áreas de problemas gerais com o provisionamento a considerar
Abaixo está uma lista das áreas de problema geral que você poderá analisar se você tiver uma ideia de onde começar.
- Serviço de provisionamento não aparece ao iniciar
- Os logs de provisionamento informam quais usuários foram ignorados e não provisionados, mesmo que eles tenham sido atribuídos
Serviço de provisionamento não aparece ao iniciar
Se você definir o Status de Provisionamento como Ativado na seção Aplicativos Empresariais > [Nome do Aplicativo] >Provisionamento do centro de administração do Microsoft Entra. No entanto, nenhum outro detalhe de status é mostrado nessa página após recarregamentos subsequentes, é provável que o serviço esteja em execução, mas ainda não tenha concluído um ciclo inicial. Verifique os Logs de provisionamento descritos acima para determinar quais operações o serviço está executando e se existem erros.
Observação
Um ciclo inicial pode levar de 20 minutos até várias horas, dependendo do tamanho do diretório do Microsoft Entra e do número de usuários no escopo para provisionamento. As sincronizações subsequentes após o ciclo inicial são mais rápidas, pois o serviço de provisionamento armazena as marcas-d'água que representam o estado dos dois sistemas após o ciclo inicial. Esse ciclo inicial aprimora o desempenho de sincronizações subsequentes.
Os logs de provisionamento informam quais usuários são ignorados e não provisionados, mesmo que eles sejam atribuídos
Quando um usuário aparece como "ignorado" nos logs de provisionamento, é importante examinar a guia Etapas do log para determinar o motivo. Veja a seguir as resoluções e motivos comuns:
- Foi configurado um filtro de escopo que está filtrando o usuário com base em um valor de atributo. Para obter mais informações sobre filtros de escopo, consulte filtros de escopo.
- O usuário é definido como "não qualificado efetivamente". Se você vir essa mensagem de erro específica, é porque há um problema com o registro de atribuição de usuário armazenado na ID do Microsoft Entra. Para corrigir esse problema, cancele a atribuição do usuário (ou grupo) do aplicativo e reatribua-a novamente. Para obter mais informações sobre a atribuição, consulte Atribuir acesso de usuário ou grupo.
- Um atributo obrigatório está ausente ou não está preenchido para um usuário. Ao configurar o provisionamento é importante a considerar a revisão e configuração dos mapeamentos de atributos e fluxos de trabalho que definem quais propriedades de usuário (ou grupo) fluem do Microsoft Entra ID para o aplicativo. Essa configuração inclui a definição da "propriedade correspondente" usada para identificar exclusivamente e corresponder usuários/grupos entre os dois sistemas. Para obter mais informações sobre este importante processo, consulte Como personalizar mapeamentos de atributos do provisionamento de usuário em aplicativos SaaS no Microsoft Entra ID.
- Mapeamentos de atributos para grupos: provisionamento do nome do grupo e detalhes do grupo, além de membros, se houver suporte para alguns aplicativos. Você pode habilitar ou desabilitar essa funcionalidade habilitando ou desabilitando o Mapeamento de objetos de grupo mostrados na guia Provisionamento. Se o provisionamento de grupos estiver habilitado, examine os mapeamentos de atributo para garantir que um campo apropriado esteja sendo usado para a "ID correspondente". Essa ID correspondente pode ser o nome de exibição ou o alias do email. O grupo e seus membros não serão provisionados se a propriedade correspondente estiver vazia ou não preenchida para um grupo no Microsoft Entra ID.
Provisionamento de usuários atribuídos à função de acesso padrão
A função padrão em um aplicativo na galeria é chamada de função de "acesso padrão". Historicamente, os usuários atribuídos a essa função não são provisionados e são marcados como ignorados nos logs de provisionamento devido a "não terem direito efetivo".
Comportamento de provisionamento de configurações criadas após 16/04/2020: os usuários atribuídos à função de acesso padrão serão avaliados da mesma forma que todas as outras funções. Um usuário que recebe o acesso padrão não será ignorado como "não efetivamente autorizado".
Comportamento para configurações de provisionamento criadas antes de 16/04/2020: nos próximos 3 meses, o comportamento continuará como está hoje. Os usuários com a função de acesso padrão serão ignorados, pois eles não foram qualificados efetivamente. Após julho de 2020, o comportamento será uniforme em todos os aplicativos. Não ignoraremos o provisionamento de usuários com a função de acesso padrão por "não ter direito efetivo". Essa alteração será feita pela Microsoft, sem a necessidade de nenhuma ação do cliente. Se você quiser garantir que esses usuários continuem a ser ignorados, mesmo após essa alteração, aplique os filtros de escopo apropriados ou cancele a atribuição do usuário do aplicativo para garantir que ele esteja fora do escopo.
Próximas etapas
Sincronização do Microsoft Entra Connect: noções básicas sobre provisionamento declarativo