A Hatókörön kívül eső felhasználói fiókok törlésének kihagyása a Microsoft Entra-azonosítóban

  • Cikk

Alapértelmezés szerint a Microsoft Entra kiépítési motorja helyreállítható módon törli vagy letiltja a hatókörön kívül eső felhasználókat. Bizonyos forgatókönyvek, például a Workday és az AD-felhasználók bejövő kiépítése esetén azonban előfordulhat, hogy ez a viselkedés nem a várt, ezért érdemes lehet felülbírálni ezt az alapértelmezett viselkedést.

Ez a cikk bemutatja, hogyan állíthatja be a Hatókörön kívül eső fiókok feldolgozását vezérlő SkipOutOfScopeDeletions jelölőt a Microsoft Graph API és a Microsoft Graph API Explorer használatával.

  • Ha a SkipOutOfScopeDeletions értéke 0 (hamis), a hatókörön kívül eső fiókok le lesznek tiltva a célban.
  • Ha a SkipOutOfScopeDeletions értéke 1 (igaz), a hatókörön kívül eső fiókok nem lesznek letiltva a célban. Ez a jelző a kiépítési alkalmazás szintjén van beállítva, és a Graph API használatával konfigurálható.

Mivel ezt a konfigurációt széles körben használják a Workday és az Active Directory felhasználókiépítési alkalmazással, az alábbi lépések a Workday alkalmazás képernyőképeit tartalmazzák. A konfiguráció azonban az összes többi alkalmazással is használható, például a ServiceNow, a Salesforce és a Dropbox használatával. Az eljárás sikeres végrehajtásához először be kell állítania az alkalmazás üzembe helyezését. Minden alkalmazás saját konfigurációs cikkével rendelkezik. A Workday-alkalmazás konfigurálásához például tekintse meg a Következő oktatóanyagot: A Workday konfigurálása a Microsoft Entra felhasználói kiépítéséhez. A SkipOutOfScopeDeletions nem működik bérlők közötti szinkronizáláshoz.

1. lépés: A kiépítési App Service egyszerű azonosító (objektumazonosító) lekérése

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább alkalmazásként Rendszergazda istratorként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat.

  3. Válassza ki az alkalmazást, és lépjen a kiépítési alkalmazás Tulajdonságok szakaszára. Ebben a példában a Workdayt használjuk.

  4. Másolja ki a GUID értéket az Objektumazonosító mezőben. Ezt az értéket az alkalmazás ServicePrincipalId azonosítójának is nevezik, és a Graph Explorer műveleteiben használják.

    Screenshot of Workday App Service Principal ID.

2. lépés: Bejelentkezés a Microsoft Graph Explorerbe

  1. A Microsoft Graph Explorer indítása

  2. Kattintson a "Bejelentkezés a Microsofttal" gombra, és jelentkezzen be a Microsoft Entra Global Rendszergazda istrator vagy app Rendszergazda hitelesítő adataival.

    Screenshot of Microsoft Graph Explorer Sign-in.

  3. Sikeres bejelentkezés esetén a felhasználói fiók adatai megjelennek a bal oldali panelen.

3. lépés: Meglévő alkalmazás hitelesítő adatainak és kapcsolati adatainak lekérése

A Microsoft Graph Explorerben futtassa a következő GET lekérdezést a [servicePrincipalId] helyett az 1. lépésből kinyert ServicePrincipalId azonosítóra.

   GET https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/secrets

Screenshot of GET job query.

Másolja a Választ egy szövegfájlba. A megjelenített JSON-szöveghez hasonlóan jelenik meg, az üzembe helyezésre jellemző sárga színű értékekkel. Adja hozzá a zöld színnel kiemelt sorokat a végéhez, és frissítse a Workday kapcsolatjelszót kék színnel kiemelve.

Screenshot of GET job response.

Itt található a leképezéshez hozzáadni kívánt JSON-blokk.

{
  "key": "SkipOutOfScopeDeletions",
  "value": "True"
}

4. lépés: A titkos kódok végpontjának frissítése a SkipOutOfScopeDeletions jelzővel

A Graph Explorerben futtassa a parancsot a titkos kulcsok végpontjának SkipOutOfScopeDeletions jelzővel való frissítéséhez.

Az URL-címben cserélje le a [servicePrincipalId] elemet az 1. lépésből kinyert ServicePrincipalId azonosítóra.

   PUT https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/secrets

Másolja a frissített szöveget a 3. lépésből a "Kérelem törzsébe".

Screenshot of PUT request.

Kattintson a "Lekérdezés futtatása" elemre.

A kimenetet a "Success – Status Code 204" (Sikeresség – Állapotkód 204) értékként kell megkapnia. Ha hibaüzenetet kap, előfordulhat, hogy ellenőriznie kell, hogy a fiókja olvasási/írási engedélyekkel rendelkezik-e a ServicePrincipalEndpointhoz. Ezt az engedélyt a Graph Explorer Engedélyek módosítása lapjára kattintva találja meg.

Screenshot of PUT response.

5. lépés: Győződjön meg arról, hogy a hatókörön kívül lévő felhasználók nem lesznek letiltva

Ennek a jelzőnek a várt viselkedését tesztelheti úgy, hogy frissíti a hatókörkezelési szabályokat, hogy kihagyjon egy adott felhasználót. A példában kizárjuk a 21173 azonosítójú alkalmazottat (aki korábban a hatókörben volt) egy új hatókörkezelési szabály hozzáadásával:

Screenshot that shows the

A következő kiépítési ciklusban a Microsoft Entra kiépítési szolgáltatás azt azonosítja, hogy a felhasználó 21173-at kilépett a hatókörből. Ha a SkipOutOfScopeDeletions tulajdonság engedélyezve van, akkor a felhasználó szinkronizálási szabálya az alábbi módon jelenít meg egy üzenetet:

Screenshot of scoping example.