Zarządzanie mapowaniami i użytkownikami w aplikacjach, które nie są zgodne z użytkownikami w identyfikatorze Entra firmy Microsoft

Podczas integrowania istniejącej aplikacji z identyfikatorem Entra firmy Microsoft na potrzeby aprowizacji lub logowania jednokrotnego (SSO) możesz określić, że w magazynie danych aplikacji znajdują się użytkownicy, którzy nie odpowiadają użytkownikom w identyfikatorze Entra firmy Microsoft lub które nie były zgodne z żadnymi użytkownikami w usłudze Microsoft Entra ID.

Usługa aprowizacji Microsoft Entra opiera się na konfigurowalnych regułach dopasowywania w celu określenia, czy użytkownik w Microsoft Entra ID odpowiada użytkownikowi w aplikacji, wyszukując użytkownika w aplikacji, który ma pasującą właściwość z użytkownika Microsoft Entra ID. Załóżmy na przykład, że reguła dopasowania polega na porównaniu atrybutu użytkownika userPrincipalName Microsoft Entra ID z właściwością aplikacji userName. Gdy użytkownik w usłudze Microsoft Entra ID z wartością userPrincipalNamealice.smith@contoso.com jest przypisywany do roli aplikacji, usługa aprowizacji Microsoft Entra wykonuje wyszukiwanie aplikacji z zapytaniem, takim jak userName eq "alice.smith@contoso.com". Jeśli wyszukiwanie w aplikacji nie znajduje odpowiednich użytkowników, wtedy usługa aprowizacji Microsoft Entra tworzy nowego użytkownika w aplikacji.

Jeśli aplikacja nie ma jeszcze żadnych użytkowników, ten proces wypełnia magazyn danych aplikacji użytkownikami, ponieważ są one przypisane w identyfikatorze Entra firmy Microsoft. Jeśli jednak aplikacja ma już użytkowników, mogą wystąpić dwie sytuacje. Po pierwsze, mogą istnieć osoby z kontami użytkowników w aplikacji, ale uzgadnianie nie może ich zlokalizować — być może użytkownik jest reprezentowany w aplikacji jako asmith@contoso.com, a nie alice.smith@contoso.com, i dlatego wyszukiwanie w usłudze zarządzania tożsamościami Microsoft Entra nie znajduje ich. W takiej sytuacji osoba może mieć do czynienia z zduplikowanymi użytkownikami w aplikacji. Po drugie, mogą istnieć osoby z kontami użytkowników w aplikacji, które nie mają żadnego użytkownika w usłudze Microsoft Entra ID. W takiej sytuacji usługa aprowizacji firmy Microsoft nie wchodzi w interakcję z tymi użytkownikami w aplikacji, jednak jeśli aplikacja jest skonfigurowana do korzystania z identyfikatora Microsoft Entra jako jedynego dostawcy tożsamości, ci użytkownicy nie będą mogli się już zalogować: aplikacja przekierowuje osobę, aby zalogować się przy użyciu identyfikatora Entra firmy Microsoft, ale osoba nie ma użytkownika w identyfikatorze Entra firmy Microsoft.

Te niespójności między identyfikatorem Entra firmy Microsoft i magazynem danych istniejącej aplikacji mogą wystąpić z wielu powodów, takich jak:

• Administrator aplikacji tworzy użytkowników bezpośrednio w aplikacji, na przykład dla wykonawców lub dostawców, którzy nie są uwzględnieni w systemie ewidencji HR, ale potrzebują dostępu do aplikacji.
• zmiany tożsamości i atrybutów, takie jak zmiana nazwy przez osobę, nie były wysyłane do identyfikatora Entra firmy Microsoft lub aplikacji, a więc reprezentacje są nieaktualne w jednym lub innym systemie albo
• Organizacja korzystała z produktu do zarządzania tożsamościami, który niezależnie aprowizował usługę AD systemu Windows Server oraz aplikację dla różnych społeczności. Na przykład pracownicy sklepu potrzebowali dostępu do aplikacji, ale nie wymagali skrzynek pocztowych programu Exchange, więc pracownicy sklepu nie byli reprezentowani w usłudze AD systemu Windows Server lub identyfikatorze Firmy Microsoft Entra.

Przed włączeniem aprowizacji lub logowania jednokrotnego w aplikacji z istniejącymi użytkownikami należy sprawdzić, czy użytkownicy są zgodni, oraz zbadać i rozwiązać problemy z tymi użytkownikami z aplikacji, która nie jest zgodna. W tym artykule opisano opcje rozwiązywania różnych sytuacji, których nie można dopasować do użytkownika.

Ustal, czy w aplikacji znajdują się użytkownicy, którzy nie są zgodni

Jeśli już określono listę użytkowników w aplikacji, którzy nie są zgodni z użytkownikami w identyfikatorze Entra firmy Microsoft, przejdź do następnej sekcji.

Procedura określania, którzy użytkownicy w aplikacji nie są zgodni z użytkownikami w identyfikatorze Entra firmy Microsoft, zależy od tego, jak aplikacja jest lub zostanie zintegrowana z identyfikatorem Entra firmy Microsoft.

• Jeśli używasz usług SAP Cloud Identity Services, postępuj zgodnie z samouczkiem aprowizacji usług SAP Cloud Identity Services , wykonując krok, aby upewnić się, że istniejący użytkownicy usługi SAP Cloud Identity Services mają niezbędne pasujące atrybuty. W tym samouczku wyeksportujesz listę użytkowników z usług SAP Cloud Identity Services do pliku CSV, a następnie użyjesz programu PowerShell, aby dopasować tych użytkowników do użytkowników w usłudze Microsoft Entra ID.

• Jeśli aplikacja korzysta z katalogu LDAP, postępuj zgodnie z samouczkiem aprowizacji katalogów LDAP , wykonując kroki zbierania istniejących użytkowników z katalogu LDAP. W tym samouczku użyj programu PowerShell, aby dopasować tych użytkowników do użytkowników w usłudze Microsoft Entra ID.

• W przypadku innych aplikacji, w tym aplikacji z bazą danych SQL lub obsługujących obsługę administracyjną w galerii aplikacji, postępuj zgodnie z samouczkiem, aby zarządzać istniejącymi użytkownikami aplikacji za pomocą kroku, aby potwierdzić, że identyfikator Entra firmy Microsoft ma użytkowników, którzy są zgodni z użytkownikami z aplikacji.

• W przypadku innych aplikacji, które nie mają interfejsu aprowizacji, postępuj zgodnie z samouczkiem, aby zarządzać użytkownikami aplikacji, która nie obsługuje aprowizacji przechodząc krok polegający na potwierdzeniu, że Microsoft Entra ID ma użytkowników odpowiadających użytkownikom aplikacji.

Po ukończeniu skryptu programu PowerShell podanego w tych samouczkach zostanie wyświetlony błąd, jeśli jakiekolwiek rekordy z aplikacji nie znajdowały się w identyfikatorze Entra firmy Microsoft. Jeśli nie wszystkie rekordy użytkowników z magazynu danych aplikacji mogą zostać zlokalizowane jako użytkownicy w Microsoft Entra ID, należy zbadać, które rekordy nie pasują i dlaczego, a następnie rozwiązać problem z dopasowaniem, korzystając z jednej z opcji w następnej sekcji.

Opcje zapewniające, że użytkownicy są dopasowywani między aplikacją a Microsoft Entra ID

Ta sekcja zawiera kilka opcji adresowania niezgodnych użytkowników w aplikacji. Na podstawie celów organizacji i problemów z danymi między identyfikatorem Entra firmy Microsoft i aplikacją wybierz odpowiednią opcję dla każdego użytkownika. Może nie istnieć jedna opcja, która obejmuje wszystkich użytkowników w określonej aplikacji.

Usuwanie użytkowników testowych z aplikacji

Mogą istnieć użytkownicy testowi w aplikacji, pozostałości po jej początkowym wdrożeniu. Jeśli istnieją użytkownicy, którzy nie są już potrzebni, można je usunąć z aplikacji.

Usuwanie użytkowników z aplikacji dla osób, które nie są już częścią organizacji

Użytkownik może nie być już powiązany z organizacją i nie potrzebuje już dostępu do aplikacji, ale nadal jest użytkownikiem w źródle danych aplikacji. Może się tak zdarzyć, jeśli administrator aplikacji pominął usunięcie użytkownika lub nie został poinformowany, że zmiana jest wymagana. Jeśli użytkownik nie jest już potrzebny, można go usunąć z aplikacji.

Usuwanie użytkowników z aplikacji i ponowne tworzenie ich na podstawie identyfikatora Entra firmy Microsoft

Jeśli aplikacja nie jest obecnie w szerokim użyciu lub nie utrzymuje żadnego stanu dla użytkownika, kolejną opcją jest usunięcie użytkowników z aplikacji, aby nie było już żadnych niezgodnych użytkowników. Następnie, gdy użytkownicy żądają aplikacji lub są przypisani do niej w Microsoft Entra ID, zostanie im przyznany dostęp.

Zaktualizuj właściwość dopasowania użytkowników w aplikacji

Użytkownik może istnieć w aplikacji i identyfikatorze Entra firmy Microsoft, ale w aplikacji brakuje właściwości wymaganej do dopasowania lub właściwość ma nieprawidłową wartość.

Na przykład gdy administrator SAP tworzy użytkownika w usłudze SAP Cloud Identity Services, używając konsoli administracyjnej, użytkownik może nie mieć właściwości userName. Jednak ta właściwość może być używana do dopasowywania użytkowników w identyfikatorze Entra firmy Microsoft. Jeżeli właściwość userName jest tą, która ma być użyta do dopasowania, to administrator SAP będzie musiał zaktualizować istniejących użytkowników usług SAP Cloud Identity Services, aby przypisano im wartość właściwości userName.

W innym przykładzie administrator aplikacji ustawił adres e-mail użytkownika jako właściwość mail użytkownika w aplikacji, gdy użytkownik został najpierw dodany do aplikacji. Jednak później adres e-mail tej osoby i userPrincipalName zostają zmienione w usłudze Microsoft Entra ID. Jeśli jednak aplikacja nie wymaga adresu e-mail lub dostawca poczty e-mail miał przekierowanie, które zezwoliło staremu adresowi e-mail na przekazywanie dalej, administrator aplikacji mógł przegapić potrzebę mail zaktualizowania właściwości w źródle danych aplikacji. Tę niespójność można rozwiązać na dwa sposoby: albo administrator aplikacji zmieni właściwość mail dla użytkowników aplikacji, aby uzyskać bieżącą wartość, albo zmieni regułę dopasowania, zgodnie z opisem w poniższych sekcjach.

Aktualizowanie użytkowników w aplikacji przy użyciu nowej właściwości

Poprzedni system zarządzania tożsamościami organizacji mógł utworzyć użytkowników w aplikacji jako użytkownicy lokalni. Jeśli organizacja nie ma w tym czasie jednego dostawcy tożsamości, ci użytkownicy w aplikacji nie potrzebują żadnych właściwości, które mają być skorelowane z żadnym innym systemem. Na przykład poprzedni produkt do zarządzania tożsamością utworzył użytkowników w aplikacji na podstawie autorytatywnego źródła danych HR. Ten system zarządzania tożsamościami utrzymywał korelację między użytkownikami, których utworzono w aplikacji z źródłem HR, i nie dostarczył żadnych identyfikatorów źródła HR do aplikacji. Później, podczas próby połączenia aplikacji z dzierżawą Microsoft Entra ID wypełnioną z tego samego źródła HR, Entra ID firmy Microsoft może mieć użytkowników odpowiadających wszystkim osobom z aplikacji, lecz dopasowanie nie powodzi się we wszystkich przypadkach, ponieważ brakuje wspólnej cechy.

Aby rozwiązać ten pasujący problem, wykonaj następujące kroki.

1. Wybierz istniejącą nieużywaną właściwość użytkowników w aplikacji lub dodaj nową właściwość do schematu użytkownika w aplikacji.
2. Wypełnij właściwość dla wszystkich użytkowników w aplikacji danymi z autorytatywnego źródła, takiego jak numer identyfikacyjny pracownika lub adres e-mail, który jest już obecny dla użytkowników w identyfikatorze Entra firmy Microsoft.
3. Zaktualizuj konfigurację mapowań atrybutów aprowizacji aplikacji firmy Microsoft Entra , aby ta właściwość została uwzględniona w zgodnej regule.

Zmiana pasujących reguł lub właściwości, gdy adres e-mail nie jest zgodny z główną nazwą użytkownika

Domyślnie niektóre mapowania usługi aprowizacji Microsoft Entra dla aplikacji wysyłają atrybut userPrincipalName, aby dopasować go do właściwości adresu e-mail aplikacji. Niektóre organizacje mają podstawowe adresy e-mail użytkowników, które różnią się od głównej nazwy użytkownika. Jeśli aplikacja przechowuje adres e-mail jako właściwość użytkownika, a nie userPrincipalName, musisz zmienić użytkowników w aplikacji lub zgodną regułę.

• Jeśli planujesz użyć logowania jednokrotnego z usługi Microsoft Entra ID do aplikacji, możesz zmienić aplikację, aby dodać właściwość dla użytkownika do przechowywania nazwy głównej użytkownika. Następnie wypełnij tę właściwość dla każdego użytkownika w aplikacji za pomocą userPrincipalName użytkownika z identyfikatora Entra firmy Microsoft, a następnie zaktualizuj konfigurację aprowizacji aplikacji Microsoft Entra, aby ta właściwość została uwzględniona w regule dopasowania.
• Jeśli nie planujesz korzystania z logowania jednokrotnego z usługi Microsoft Entra ID, alternatywą jest zaktualizowanie konfiguracji mapowań atrybutów aplikacji Entra firmy Microsoft w celu dopasowania atrybutu adresu e-mail użytkownika Firmy Microsoft Entra do zgodnej reguły.

Aktualizowanie pasującego atrybutu użytkowników w identyfikatorze Entra firmy Microsoft

W niektórych sytuacjach atrybut używany do dopasowywania ma wartość w profilu użytkownika Microsoft Entra ID, która jest przestarzała. Na przykład osoba zmieniła swoje imię i nazwisko, ale zmiana nazwy nie została wprowadzona w użytkowniku Microsoft Entra ID.

Jeśli użytkownik został utworzony i zachowany wyłącznie w usłudze Microsoft Entra ID, zaktualizuj użytkownika, aby miał odpowiednie atrybuty. Jeśli atrybut użytkownika pochodzi z nadrzędnego systemu, takiego jak usługa AD systemu Windows Server lub źródło hr, musisz zmienić wartość w źródle nadrzędnym i poczekać, aż zmiana stanie się widoczna w identyfikatorze Entra firmy Microsoft.

Zaktualizuj reguły synchronizacji Microsoft Entra Connect lub Cloud Sync w celu synchronizowania niezbędnych użytkowników i atrybutów

W niektórych sytuacjach poprzedni system zarządzania tożsamościami wypełnił użytkowników usługi AD systemu Windows Server odpowiednim atrybutem, który może działać jako pasujący atrybut z inną aplikacją. Jeśli na przykład poprzedni system zarządzania tożsamościami był połączony ze źródłem HR, użytkownik usługi AD ma employeeId atrybut wypełniony przez ten poprzedni system zarządzania tożsamościami identyfikatorem pracownika użytkownika. W innym przykładzie poprzedni system zarządzania tożsamościami zapisał unikatowy identyfikator użytkownika aplikacji jako atrybut rozszerzenia w schemacie usługi AD systemu Windows Server. Jeśli jednak żaden z tych atrybutów nie został wybrany do synchronizacji z Microsoft Entra ID lub użytkownicy nie byli objęci zakresem synchronizacji z Microsoft Entra ID, to reprezentacja społeczności użytkowników w Microsoft Entra ID może być niekompletna.

Aby rozwiązać ten problem, należy zmienić konfigurację synchronizacji Microsoft Entra Connect lub synchronizację z chmurą Microsoft Entra. Upewnij się, że wszyscy odpowiedni użytkownicy w usłudze AD systemu Windows Server, którzy znajdują się również w aplikacji, są objęci zakresem aprowizacji do usługi Microsoft Entra ID. Ponadto zsynchronizowane atrybuty tych użytkowników powinny zawierać atrybuty używane do celów identyfikacyjnych. Jeśli używasz synchronizacji programu Microsoft Entra Connect, zobacz Microsoft Entra Connect Sync: Konfigurowanie filtrowania i microsoft Entra Connect Sync: rozszerzenia katalogu. Jeśli używasz synchronizacji z chmurą Microsoft Entra, zobacz mapowanie atrybutów w usłudze Microsoft Entra Cloud Sync i rozszerzenia katalogów synchronizacji chmury oraz mapowanie atrybutów niestandardowych.

Zaktualizuj użytkowników w Microsoft Entra ID przy użyciu nowego atrybutu

W niektórych sytuacjach aplikacja może przechowywać unikatowy identyfikator użytkownika, który nie jest obecnie przechowywany w schemacie Microsoft Entra ID dla użytkownika. Jeśli na przykład używasz usług SAP Cloud Identity Services, być może chcesz, aby identyfikator użytkownika SAP był zgodnym atrybutem lub jeśli używasz systemu Linux, możesz chcieć, aby identyfikator użytkownika systemu Linux był zgodnym atrybutem. Jednak te właściwości nie są częścią schematu użytkownika Microsoft Entra ID i prawdopodobnie nie są obecne u żadnego z użytkowników w Microsoft Entra ID.

Aby użyć nowego atrybutu do dopasowania, wykonaj następujące kroki.

1. Wybierz istniejący nieużywany atrybut rozszerzenia w identyfikatorze Entra firmy Microsoft lub rozszerz schemat użytkownika Microsoft Entra przy użyciu nowego atrybutu.
2. Wypełnij ten atrybut dla wszystkich użytkowników w firmie Microsoft Entra ID danymi z autorytatywnego źródła, takiego jak aplikacja lub system hr. Jeśli użytkownicy są synchronizowani z Active Directory systemu Windows Server lub aprowizowani za pomocą systemu HR, może być konieczne wprowadzenie tej zmiany w nadrzędnym źródle.
3. Zaktualizuj konfigurację mapowań atrybutów aprowizacji aplikacji Microsoft Entra i dołącz ten atrybut do reguły dopasowania.

Zmień reguły dopasowywania do innego atrybutu, który jest już wypełniony w Microsoft Entra ID

Domyślne reguły dopasowywania aplikacji w galerii aplikacji opierają się na atrybutach, które są często obecne dla wszystkich użytkowników identyfikatora Entra firmy Microsoft we wszystkich klientach firmy Microsoft, takich jak userPrincipalName. Te zasady są odpowiednie do testowania ogólnego przeznaczenia lub wdrożenia w nowej aplikacji, która na razie nie ma użytkowników. Jednak wiele organizacji mogło już wypełnić użytkowników identyfikatora Entra firmy Microsoft innymi atrybutami istotnych dla organizacji, takimi jak identyfikator pracownika. Jeśli istnieje inny atrybut odpowiedni do dopasowywania, zaktualizuj konfigurację mapowań atrybutów aprowizacji aplikacji Microsoft Entra i uwzględnij ten atrybut w regule dopasowania.

Konfigurowanie przychodzącej aprowizacji ze źródła HR do Microsoft Entra ID

W idealnym przypadku organizacje, które aprowizowały użytkowników w wielu aplikacjach niezależnie, powinny polegać na wspólnych identyfikatorach użytkowników pochodzących z autorytatywnego źródła, takiego jak system hr. Wiele systemów kadr ma właściwości, które działają jako identyfikatory, takie jak employeeId, które mogą być traktowane jako unikatowe, tak aby żadna osoba nie miała tego samego identyfikatora pracownika. Jeśli masz źródło kadr, takie jak Workday lub SuccessFactors, wprowadzenie atrybutów, takich jak employeeId z tego źródła, często może utworzyć odpowiednią regułę dopasowania.

Aby użyć atrybutu z wartościami uzyskanymi z autorytatywnego źródła do dopasowania, wykonaj następujące kroki.

1. Wybierz odpowiedni atrybut schematu użytkownika Microsoft Entra ID lub rozszerz schemat użytkownika Microsoft Entra przy użyciu nowego atrybutu, którego wartości odpowiadają równoważnej właściwości użytkownika w aplikacji.
2. Upewnij się, że właściwość jest również obecna w źródle kadr dla wszystkich osób, które mają użytkowników w usłudze Microsoft Entra ID i aplikacji.
3. Skonfiguruj aprowizację przychodzącą z tego źródła HR do katalogu Microsoft Entra ID.
4. Poczekaj na zaktualizowanie użytkowników w identyfikatorze Entra firmy Microsoft przy użyciu nowych atrybutów.
5. Zaktualizuj konfigurację mapowań atrybutów aprowizacji aplikacji Microsoft Entra i dołącz ten atrybut do reguły dopasowania.

Tworzenie użytkowników w usłudze AD systemu Windows Server dla użytkowników w aplikacji, którzy potrzebują dalszego dostępu do aplikacji

Jeśli istnieją użytkownicy z aplikacji, którzy nie odpowiadają osobie w autorytatywnym źródle HR, ale będą w przyszłości wymagać dostępu zarówno do aplikacji opartych na usłudze AD systemu Windows Server, jak i do aplikacji zintegrowanych z Microsoft Entra ID, a Twoja organizacja korzysta z programu Microsoft Entra Connect Sync lub Microsoft Entra Cloud Sync do aprowizowania użytkowników z usługi AD systemu Windows Server do Microsoft Entra ID, możesz utworzyć użytkownika w usłudze AD systemu Windows Server dla każdego z tych użytkowników, którzy nie byli jeszcze wcześniej obecni w tej aplikacji.

Jeśli użytkownicy nie będą wymagać dostępu do aplikacji opartych na usłudze AD systemu Windows Server, utwórz użytkowników w usłudze Microsoft Entra ID zgodnie z opisem w następnej sekcji.

Tworzenie użytkowników w identyfikatorze Entra firmy Microsoft dla użytkowników w aplikacji, którzy potrzebują dalszego dostępu do aplikacji

Jeśli istnieją użytkownicy z aplikacji, którzy nie odpowiadają osobie w autorytatywnym źródle kadr, ale będą potrzebować dalszego dostępu i będą podlegać firmie Microsoft Entra, możesz utworzyć dla nich użytkowników firmy Microsoft Entra. Możesz zbiorczo tworzyć użytkowników przy użyciu jednego z następujących narzędzi:

• Plik CSV, zgodnie z opisem w artykule Zbiorcze tworzenie użytkowników w centrum administracyjnym firmy Microsoft Entra
• Cmdlet New-MgUser

Upewnij się, że nowi użytkownicy są wyposażeni w atrybuty niezbędne do późniejszego dopasowania ich do istniejących użytkowników w aplikacji oraz wszystkie wymagane atrybuty Microsoft Entra ID, w tym userPrincipalName, mailNickname i displayName. Element userPrincipalName musi być unikatowy dla wszystkich użytkowników w katalogu.

Zbiorcze tworzenie użytkowników przy użyciu programu PowerShell

W tej sekcji pokazano, jak wchodzić w interakcje z Microsoft Entra ID przy użyciu poleceń cmdlet programu Microsoft Graph PowerShell.

Przy pierwszym użyciu poleceń cmdlet przez Twoją organizację w tym scenariuszu musisz być w roli administratora globalnego, aby umożliwić użycie Microsoft Graph PowerShell w dzierżawie. Kolejne interakcje mogą używać roli o niższych uprawnieniach, takiej jak administrator użytkowników.

1. Jeśli masz już sesję programu PowerShell, w której zidentyfikowano użytkowników w aplikacji, którzy nie byli w identyfikatorze Microsoft Entra ID, przejdź do kroku 6 poniżej. W przeciwnym razie otwórz program PowerShell.

2. Jeśli nie masz już zainstalowanych modułów programu Microsoft Graph PowerShell , zainstaluj moduł Microsoft.Graph.Users i inne za pomocą tego polecenia:

   Install-Module Microsoft.Graph
   

   Jeśli masz już zainstalowane moduły, upewnij się, że używasz najnowszej wersji:

   Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
   

3. Połącz się z identyfikatorem Entra firmy Microsoft:

   $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All"
   

4. Jeśli używasz tego polecenia po raz pierwszy, musisz wyrazić zgodę, aby zezwolić narzędziom wiersza polecenia programu Microsoft Graph na posiadanie tych uprawnień.

5. Przełącz do środowiska programu PowerShell tablicę użytkowników z aplikacji, która zawiera również pola, które są wymaganymi atrybutami identyfikatora Entra firmy Microsoft — główną nazwą użytkownika, pseudonimem poczty i pełną nazwą użytkownika. Ten skrypt zakłada, że tablica $dbu_not_matched_list zawiera użytkowników z aplikacji, którzy nie zostali dopasowani.

   $filename = ".\Users-to-create.csv"
   $bu_not_matched_list = Import-Csv -Path $filename -Encoding UTF8
   

6. Określ w sesji programu PowerShell, które kolumny w tablicy użytkowników do utworzenia odpowiadają wymaganym właściwościom identyfikatora Entra firmy Microsoft. Możesz na przykład mieć użytkowników w bazie danych, w której wartość w kolumnie o nazwie EMail jest wartością, której chcesz użyć jako głównej nazwy użytkownika Microsoft Entra, wartość w kolumnie Alias zawiera pseudonim poczty Microsoft Entra ID, a wartość w kolumnie Full name zawiera nazwę wyświetlaną użytkownika:

   $db_display_name_column_name = "Full name"
   $db_user_principal_name_column_name = "Email"
   $db_mail_nickname_column_name = "Alias"
   

7. Otwórz następujący skrypt w edytorze tekstów. Może być konieczne zmodyfikowanie tego skryptu w celu dodania atrybutów Microsoft Entra wymaganych przez aplikację lub jeśli $azuread_match_attr_name nie jest mailNickname albo userPrincipalName, aby dostarczyć ten atrybut Microsoft Entra.

   $dbu_missing_columns_list = @()
   $dbu_creation_failed_list = @()
   foreach ($dbu in $dbu_not_matched_list) {
      if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
          ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
          ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
         $params = @{
            accountEnabled = $false
            displayName = $dbu.$db_display_name_column_name
            mailNickname = $dbu.$db_mail_nickname_column_name
            userPrincipalName = $dbu.$db_user_principal_name_column_name
            passwordProfile = @{
              Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
            }
         }
         try {
           New-MgUser -BodyParameter $params
         } catch { $dbu_creation_failed_list += $dbu; throw }
      } else {
         $dbu_missing_columns_list += $dbu
      }
   }
   

8. Wklej wynikowy skrypt z edytora tekstów do sesji programu PowerShell. Jeśli wystąpią jakiekolwiek błędy, przed kontynuowaniem należy je poprawić.

Obsługa oddzielnych i niezgodnych użytkowników w aplikacji i identyfikatorze Entra firmy Microsoft

W źródle danych aplikacji może istnieć użytkownik administratora, który nie odpowiada żadnej konkretnej osobie w identyfikatorze Entra firmy Microsoft. Jeśli nie utworzysz dla nich użytkowników w usłudze Microsoft Entra, ci użytkownicy nie będą mogli być zarządzani za pomocą Microsoft Entra ID ani Microsoft Entra ID Governance. Ponieważ ci użytkownicy nie będą mogli zalogować się przy użyciu identyfikatora Microsoft Entra ID, więc jeśli konfigurujesz aplikację do używania identyfikatora Microsoft Entra jako dostawcy tożsamości, upewnij się, że ci użytkownicy nie mają zakresu używania identyfikatora Microsoft Entra do uwierzytelniania.

Ponowne eksportowanie użytkowników

Po wprowadzeniu aktualizacji do użytkowników Microsoft Entra, użytkowników w aplikacji lub reguł dopasowania w aplikacji Microsoft Entra, należy ponownie wyeksportować i ponownie wykonać procedurę dopasowania dla aplikacji, aby upewnić się, że wszyscy użytkownicy są skorelowani.

• Jeśli używasz usług SAP Cloud Identity Services, postępuj zgodnie z samouczkiem aprowizacji usług SAP Cloud Identity Services , zaczynając od kroku, aby upewnić się, że istniejący użytkownicy usług SAP Cloud Identity Services mają niezbędne pasujące atrybuty. W tym samouczku wyeksportujesz listę użytkowników z usług SAP Cloud Identity Services do pliku CSV, a następnie użyjesz programu PowerShell, aby dopasować tych użytkowników do użytkowników w usłudze Microsoft Entra ID.

• Jeśli aplikacja korzysta z katalogu LDAP, postępuj zgodnie z samouczkiem aprowizacji katalogów LDAP , zaczynając od kroku, aby zebrać istniejących użytkowników z katalogu LDAP.

• W przypadku innych aplikacji, w tym aplikacji z bazą danych SQL lub obsługujących obsługę administracyjną w galerii aplikacji, postępuj zgodnie z samouczkiem, aby zarządzać istniejącymi użytkownikami aplikacji , zaczynając od kroku zbierania istniejących użytkowników z aplikacji.

Przypisywanie użytkowników do ról aplikacji i włączanie aprowizacji

Po zakończeniu niezbędnych aktualizacji i potwierdzeniu, że wszyscy użytkownicy z aplikacji są zgodni z użytkownikami w identyfikatorze Entra firmy Microsoft, należy przypisać użytkowników w identyfikatorze Entra firmy Microsoft, którzy potrzebują dostępu do aplikacji do roli aplikacji Microsoft Entra, a następnie włączyć aprowizowanie aplikacji.

• Jeśli używasz usług SAP Cloud Identity Services, kontynuuj samouczek aprowizacji usług SAP Cloud Identity Services , zaczynając od kroku, aby upewnić się, że istniejący użytkownicy usługi Microsoft Entra mają niezbędne atrybuty.

Dalsze kroki

• Integrowanie aplikacji z identyfikatorem Entra firmy Microsoft i ustanawianie punktu odniesienia przeglądanego dostępu
• Zarządzanie istniejącymi użytkownikami aplikacji w usłudze Microsoft Entra ID za pomocą programu Microsoft PowerShell
• Przygotowanie do przeglądu dostępu użytkowników do aplikacji