Hoe toepassingsinrichting werkt in Microsoft Entra-id

Automatische inrichting verwijst naar het maken van gebruikersidentiteiten en -rollen in de cloudtoepassingen waartoe gebruikers toegang nodig hebben. Naast het maken van gebruikersidentiteiten omvat automatische inrichting het onderhoud en de verwijdering van gebruikersidentiteiten, zoals gewijzigde status of rollen. Voordat u een implementatie start, kunt u dit artikel lezen voor meer informatie over hoe Microsoft Entra-inrichting werkt en aanbevelingen voor configuraties krijgt.

De Microsoft Entra-inrichtingsservice richt gebruikers in op SaaS-apps en andere systemen door verbinding te maken met een API-eindpunt voor cross-domain identity management (SCIM) 2.0 dat wordt geleverd door de leverancier van de toepassing. Met dit SCIM-eindpunt kan Microsoft Entra ID gebruikers programmatisch maken, bijwerken en verwijderen. Voor geselecteerde toepassingen kan de inrichtingsservice ook extra identiteitsgerelateerde objecten, zoals groepen en rollen, maken, bijwerken en verwijderen. Het kanaal dat wordt gebruikt voor het inrichten tussen Microsoft Entra ID en de toepassing wordt versleuteld met behulp van HTTPS TLS 1.2-versleuteling.

Microsoft Entra provisioning serviceAfbeelding 1: De Microsoft Entra-inrichtingsservice

Outbound user provisioning workflowAfbeelding 2: De werkstroom voor het inrichten van uitgaande gebruikers van Microsoft Entra-id naar populaire SaaS-toepassingen

Inbound user provisioning workflowAfbeelding 3: 'Inkomende' gebruikersinrichtingswerkstroom van populaire HCM-toepassingen (Human Capital Management) naar Microsoft Entra ID en Windows Server Active Directory

Inrichten met SCIM 2.0

De Microsoft Entra-inrichtingsservice maakt gebruik van het SCIM 2.0-protocol voor automatische inrichting. De service maakt verbinding met het SCIM-eindpunt voor de toepassing en maakt gebruik van het SCIM-gebruikersobjectschema en REST API's om het inrichten en ongedaan maken van de inrichting van gebruikers en groepen te automatiseren. Voor de meeste toepassingen in de Microsoft Entra-galerie wordt een op SCIM gebaseerde inrichtingsconnector geleverd. Ontwikkelaars gebruiken de SCIM 2.0-API voor gebruikersbeheer in Microsoft Entra ID om eindpunten te bouwen voor hun apps die kunnen worden geïntegreerd met de inrichtingsservice. Zie Een SCIM-eindpunt bouwen en gebruikersinrichting configureren voor meer informatie.

Als u een automatische Microsoft Entra-inrichtingsconnector wilt aanvragen voor een app die momenteel niet over een app beschikt, raadpleegt u De Aanvraag van de Microsoft Entra-toepassing.

Autorisatie

Referenties zijn vereist voor Microsoft Entra ID om verbinding te maken met de API voor gebruikersbeheer van de toepassing. Tijdens het configureren van automatische inrichting van gebruikers voor een toepassing, moet u geldige referenties invoeren. Voor galerietoepassingen vindt u referentietypen en vereisten voor de toepassing door te verwijzen naar de app-zelfstudie. Voor niet-galerietoepassingen kunt u verwijzen naar de SCIM-documentatie om inzicht te hebben in de referentietypen en vereisten. In het Microsoft Entra-beheercentrum kunt u de referenties testen door Microsoft Entra ID te laten proberen verbinding te maken met de inrichtings-app van de app met behulp van de opgegeven referenties.

Toewijzingskenmerken

Wanneer u gebruikersinrichting inschakelt voor een SaaS-toepassing van derden, beheert het Microsoft Entra-beheercentrum de kenmerkwaarden via kenmerktoewijzingen. Toewijzingen bepalen de gebruikerskenmerken die stromen tussen Microsoft Entra-id en de doeltoepassing wanneer gebruikersaccounts worden ingericht of bijgewerkt.

Er is een vooraf geconfigureerde set kenmerken en kenmerktoewijzingen tussen Microsoft Entra-gebruikersobjecten en de gebruikersobjecten van elke SaaS-app. Sommige apps beheren andere typen objecten naast gebruikersobjecten, zoals objecten voor groepen.

Bij het instellen van het inrichten is het belangrijk dat u de kenmerktoewijzingen en werkstromen controleert en configureert die bepalen welke eigenschappen van de gebruiker (of groep) van Microsoft Entra-id naar de toepassing stromen. Controleer en configureer de overeenkomende eigenschap (Overeenkomen met objecten met dit kenmerk) die wordt gebruikt om gebruikers/groepen uniek te identificeren en te vergelijken tussen de twee systemen.

U kunt de standaardtoewijzingen van kenmerken aanpassen op basis van de behoeften van uw bedrijf. Dit betekent dat u bestaande kenmerktoewijzingen kunt wijzigen of verwijderen, of nieuwe kenmerktoewijzingen kunt maken. Zie Kenmerktoewijzingen voor gebruikersinrichting aanpassen voor SaaS-toepassingen voor meer informatie.

Wanneer u inrichting configureert voor een SaaS-toepassing, is een van de typen kenmerktoewijzingen die u kunt opgeven een expressietoewijzing. Voor deze toewijzingen moet u een scriptachtige expressie schrijven waarmee u de gegevens van uw gebruikers kunt transformeren in indelingen die acceptabeler zijn voor de SaaS-toepassing. Zie Schrijfexpressies voor kenmerktoewijzingen voor meer informatie.

Bereik bepalen

Bereik op basis van toewijzing

Voor uitgaande inrichting van Microsoft Entra-id voor een SaaS-toepassing is afhankelijk van gebruikers- of groepstoewijzingen de meest voorkomende manier om te bepalen welke gebruikers binnen het bereik van inrichting vallen. Omdat gebruikerstoewijzingen ook worden gebruikt voor het inschakelen van eenmalige aanmelding, kan dezelfde methode worden gebruikt voor het beheren van toegang en inrichting. Het bereik op basis van toewijzingen is niet van toepassing op binnenkomende inrichtingsscenario's zoals Workday en Successfactors.

  • Groepen. Met een Microsoft Entra ID P1- of P2-licentieabonnement kunt u groepen gebruiken om toegang tot een SaaS-toepassing toe te wijzen. Wanneer het inrichtingsbereik vervolgens is ingesteld op Alleen toegewezen gebruikers en groepen synchroniseren, worden gebruikers door de Microsoft Entra-inrichtingsservice ingericht of de inrichting ongedaan gemaakt op basis van of ze lid zijn van een groep die is toegewezen aan de toepassing. Het groepsobject zelf is niet ingericht, tenzij de toepassing groepsobjecten ondersteunt. Zorg ervoor dat voor groepen die aan uw toepassing zijn toegewezen, de eigenschap SecurityEnabled is ingesteld op True.

  • Dynamische groepen. De Microsoft Entra-service voor het inrichten van gebruikers kan gebruikers lezen en inrichten in dynamische groepen. Houd rekening met deze opmerkingen en aanbevelingen:

    • Dynamische groepen kunnen van invloed zijn op de prestaties van end-to-end-inrichting van Microsoft Entra ID naar SaaS-toepassingen.

    • Hoe snel een gebruiker in een dynamische groep wordt ingericht of de inrichting ervan ongedaan wordt gemaakt in een SaaS-toepassing, is afhankelijk van hoe snel de dynamische groep lidmaatschapswijzigingen kan evalueren. Zie De verwerkingsstatus van een dynamische groep controleren voor een lidmaatschapsregel voor informatie over het controleren van de verwerkingsstatus van een dynamische groep.

    • Wanneer een gebruiker het lidmaatschap van de dynamische groep verliest, wordt deze beschouwd als een gebeurtenis voor het ongedaan maken van de inrichting. Houd rekening met dit scenario bij het maken van regels voor dynamische groepen.

  • Geneste groepen. De Microsoft Entra-service voor het inrichten van gebruikers kan geen gebruikers lezen of inrichten in geneste groepen. De service kan alleen gebruikers lezen en inrichten die direct lid zijn van een expliciet toegewezen groep. Deze beperking van 'toewijzingen op basis van groepen aan toepassingen' is ook van invloed op eenmalige aanmelding (zie Een groep gebruiken om de toegang tot SaaS-toepassingen te beheren). Wijs in plaats daarvan het bereik rechtstreeks toe aan de groepen die de gebruikers bevatten die moeten worden ingericht.

Bereik op basis van kenmerken

U kunt bereikfilters gebruiken om regels op basis van kenmerken te definiëren die bepalen welke gebruikers worden ingericht voor een toepassing. Deze methode wordt vaak gebruikt voor binnenkomende inrichting van HCM-toepassingen naar Microsoft Entra-id en Active Directory. Bereikfilters worden geconfigureerd als onderdeel van de kenmerktoewijzingen voor elke Microsoft Entra-gebruikersinrichtingsconnector. Zie Op kenmerken gebaseerde toepassingsinrichting met bereikfilters op basis van kenmerken voor meer informatie over het configureren van op kenmerken gebaseerde bereikfilters.

B2B-gebruikers (gastgebruikers)

Het is mogelijk om de Microsoft Entra-service voor gebruikersinrichting te gebruiken om B2B-gebruikers (gast) in te richten in Microsoft Entra-id voor SaaS-toepassingen. Voor B2B-gebruikers om zich aan te melden bij de SaaS-toepassing met behulp van Microsoft Entra ID, moet u de SaaS-toepassing handmatig configureren voor het gebruik van Microsoft Entra ID als SAML-id (Security Assertion Markup Language).

Volg deze algemene richtlijnen bij het configureren van SaaS-apps voor B2B-gebruikers (gastgebruikers):

  • Voor de meeste apps moet de installatie van de gebruikers handmatig plaatsvinden. Gebruikers moeten ook handmatig in de app worden gemaakt.
  • Voor apps die automatische installatie ondersteunen, zoals Dropbox, worden afzonderlijke uitnodigingen gemaakt op basis van de apps. Gebruikers moeten zorgen dat ze elke uitnodiging accepteren.
  • Als u in de gebruikerskenmerken problemen met de mangled user profile disk (UPD) in gastgebruikers wilt beperken, stelt u altijd de gebruikers-id in op user.mail.

Notitie

De userPrincipalName voor een B2B-samenwerkingsgebruiker vertegenwoordigt het e-mailadres van de externe gebruiker alias@theirdomain als 'alias_theirdomain#EXT#@yourdomain'. Wanneer het kenmerk userPrincipalName is opgenomen in uw kenmerktoewijzingen als bronkenmerk en er een B2B-gebruiker wordt ingericht, worden de #EXT# en uw domein verwijderd van de userPrincipalName, zodat alleen de oorspronkelijke alias@theirdomain wordt gebruikt voor overeenkomende of inrichting. Als u wilt dat de volledige user principal name, inclusief #EXT# en uw domein aanwezig zijn, vervangt u userPrincipalName door originalUserPrincipalName als bronkenmerk.
userPrincipalName = alias@theirdomain
originalUserPrincipalName = alias_theirdomain#EXT#@yourdomain

Inrichtingscycli: Initiële en incrementele

Wanneer Microsoft Entra ID het bronsysteem is, gebruikt de inrichtingsservice de deltaquery om wijzigingen in Microsoft Graph-gegevens bij te houden om gebruikers en groepen te bewaken. De inrichtingsservice voert een eerste cyclus uit op het bronsysteem en het doelsysteem, gevolgd door periodieke incrementele cycli.

Initiële cyclus

Wanneer de inrichtingsservice wordt gestart, wordt het volgende in de eerste cyclus uitgevoerd:

  1. Voer een query uit voor alle gebruikers en groepen uit het bronsysteem, waarbij alle kenmerken worden opgehaald die zijn gedefinieerd in de kenmerktoewijzingen.

  2. Filter de geretourneerde gebruikers en groepen met behulp van geconfigureerde toewijzingen of bereikfilters op basis van kenmerken.

  3. Wanneer een gebruiker is toegewezen of binnen het bereik voor het inrichten, vraagt de service het doelsysteem op voor een overeenkomende gebruiker met behulp van de opgegeven overeenkomende kenmerken. Voorbeeld: Als de userPrincipal-naam in het bronsysteem het overeenkomende kenmerk is en wordt toegewezen aan userName in het doelsysteem, vraagt de inrichtingsservice het doelsysteem op voor userNames die overeenkomen met de waarden van de userPrincipal-naam in het bronsysteem.

  4. Als een overeenkomende gebruiker niet in het doelsysteem wordt gevonden, wordt deze gemaakt met behulp van de kenmerken die worden geretourneerd uit het bronsysteem. Nadat het gebruikersaccount is gemaakt, detecteert en slaat de inrichtingsservice de id van het doelsysteem op voor de nieuwe gebruiker. Deze id wordt gebruikt om alle toekomstige bewerkingen op die gebruiker uit te voeren.

  5. Als er een overeenkomende gebruiker wordt gevonden, wordt deze bijgewerkt met behulp van de kenmerken van het bronsysteem. Nadat het gebruikersaccount is gekoppeld, detecteert en slaat de inrichtingsservice de id van het doelsysteem op voor de nieuwe gebruiker. Deze id wordt gebruikt om alle toekomstige bewerkingen op die gebruiker uit te voeren.

  6. Als de kenmerktoewijzingen referentiekenmerken bevatten, werkt de service meer updates uit op het doelsysteem om de objecten te maken en te koppelen. Een gebruiker kan bijvoorbeeld een kenmerk Manager hebben in het doelsysteem, dat is gekoppeld aan een andere gebruiker die in het doelsysteem is gemaakt.

  7. Behoud een watermerk aan het einde van de eerste cyclus, dat het beginpunt biedt voor de latere incrementele cycli.

Sommige toepassingen zoals ServiceNow, G Suite en Box ondersteunen niet alleen het inrichten van gebruikers, maar ook het inrichten van groepen en hun leden. Als groepsinrichting is ingeschakeld in de toewijzingen, synchroniseert de inrichtingsservice de gebruikers en de groepen en synchroniseert de groepslidmaatschappen later.

Incrementele cycli

Na de eerste cyclus worden alle andere cycli het volgende uitgevoerd:

  1. Voer een query uit op het bronsysteem voor alle gebruikers en groepen die zijn bijgewerkt sinds het laatste watermerk is opgeslagen.

  2. Filter de geretourneerde gebruikers en groepen met behulp van geconfigureerde toewijzingen of bereikfilters op basis van kenmerken.

  3. Wanneer een gebruiker is toegewezen of binnen het bereik voor het inrichten, vraagt de service het doelsysteem op voor een overeenkomende gebruiker met behulp van de opgegeven overeenkomende kenmerken.

  4. Als een overeenkomende gebruiker niet in het doelsysteem wordt gevonden, wordt deze gemaakt met behulp van de kenmerken die worden geretourneerd uit het bronsysteem. Nadat het gebruikersaccount is gemaakt, detecteert en slaat de inrichtingsservice de id van het doelsysteem op voor de nieuwe gebruiker. Deze id wordt gebruikt om alle toekomstige bewerkingen op die gebruiker uit te voeren.

  5. Als er een overeenkomende gebruiker wordt gevonden, wordt deze bijgewerkt met behulp van de kenmerken van het bronsysteem. Als het een nieuw toegewezen account is dat overeenkomt, detecteert en slaat de inrichtingsservice de id van het doelsysteem op voor de nieuwe gebruiker. Deze id wordt gebruikt om alle toekomstige bewerkingen op die gebruiker uit te voeren.

  6. Als de kenmerktoewijzingen referentiekenmerken bevatten, werkt de service meer updates uit op het doelsysteem om de objecten te maken en te koppelen. Een gebruiker kan bijvoorbeeld een kenmerk Manager hebben in het doelsysteem, dat is gekoppeld aan een andere gebruiker die in het doelsysteem is gemaakt.

  7. Als een gebruiker die zich eerder in het bereik voor inrichting bevond, wordt verwijderd uit het bereik, inclusief het intrekken van de toewijzing, wordt de gebruiker in het doelsysteem door de service uitgeschakeld via een update.

  8. Als een gebruiker die eerder binnen het bereik voor inrichting was uitgeschakeld of voorlopig is verwijderd in het bronsysteem, schakelt de service de gebruiker in het doelsysteem uit via een update.

  9. Als een gebruiker die zich eerder in het bereik voor inrichting bevond, in het bronsysteem is verwijderd, wordt de gebruiker in het doelsysteem verwijderd. In Microsoft Entra ID worden gebruikers 30 dagen nadat ze voorlopig zijn verwijderd, definitief verwijderd.

  10. Een nieuw watermerk aan het einde van de incrementele cyclus behouden, dat het beginpunt biedt voor de latere incrementele cycli.

Notitie

U kunt desgewenst de bewerkingen Maken, Bijwerken of Verwijderen uitschakelen met behulp van de selectievakjes Doelobjectacties in de sectie Toewijzingen . De logica voor het uitschakelen van een gebruiker tijdens een update wordt ook beheerd via een kenmerktoewijzing van een veld, zoals accountEnabled.

De inrichtingsservice blijft incrementele cycli voor onbepaalde tijd uitvoeren, met intervallen die zijn gedefinieerd in de zelfstudie die specifiek is voor elke toepassing. Incrementele cycli worden voortgezet totdat een van de gebeurtenissen plaatsvindt:

  • De service wordt handmatig gestopt met het Microsoft Entra-beheercentrum of met de juiste Microsoft Graph API-opdracht.
  • Er wordt een nieuwe initiële cyclus geactiveerd met behulp van de optie Opnieuw opstarten in het Microsoft Entra-beheercentrum of met behulp van de juiste Microsoft Graph API-opdracht. De actie wist elk opgeslagen watermerk en zorgt ervoor dat alle bronobjecten opnieuw worden geëvalueerd. De actie breekt ook de koppelingen tussen bron- en doelobjecten niet. Als u de koppelingen wilt verbreken, gebruikt u SynchronizationJob opnieuw starten met de aanvraag:
POST https://graph.microsoft.com/beta/servicePrincipals/{id}/synchronization/jobs/{jobId}/restart
Authorization: Bearer <token>
Content-type: application/json
{
   "criteria": {
       "resetScope": "Full"
   }
}
  • Er wordt een nieuwe initiële cyclus geactiveerd vanwege een wijziging in kenmerktoewijzingen of bereikfilters. Met deze actie worden ook alle opgeslagen watermerken gewist en worden alle bronobjecten opnieuw geëvalueerd.
  • Het inrichtingsproces wordt in quarantaine geplaatst (zie voorbeeld) vanwege een hoog foutpercentage en blijft langer dan vier weken in quarantaine. In dit geval wordt de service automatisch uitgeschakeld.

Fouten en nieuwe pogingen

Als een fout in het doelsysteem voorkomt dat een afzonderlijke gebruiker wordt toegevoegd, bijgewerkt of verwijderd in het doelsysteem, wordt de bewerking opnieuw geprobeerd in de volgende synchronisatiecyclus. De fouten worden voortdurend opnieuw geprobeerd, waarbij de frequentie van nieuwe pogingen geleidelijk wordt terug geschaald. Beheerders moeten de inrichtingslogboeken controleren om de hoofdoorzaak te bepalen en de juiste actie te ondernemen om de fout op te lossen. Veelvoorkomende fouten kunnen zijn:

  • Gebruikers die geen kenmerk hebben ingevuld in het bronsysteem dat vereist is in het doelsysteem
  • Gebruikers met een kenmerkwaarde in het bronsysteem waarvoor het doelsysteem een unieke beperking heeft en dezelfde waarde aanwezig is in een andere gebruikersrecord

Los deze fouten op door de kenmerkwaarden voor de betrokken gebruiker in het bronsysteem aan te passen of door de kenmerktoewijzingen aan te passen, zodat ze geen conflicten veroorzaken.

Quarantaine

Als de meeste of alle aanroepen die op het doelsysteem worden uitgevoerd, consistent mislukken vanwege een fout (bijvoorbeeld ongeldige beheerdersreferenties) wordt de inrichtingstaak in quarantaine geplaatst. Deze status wordt aangegeven in het overzichtsrapport van de inrichting en via e-mail als e-mailmeldingen zijn geconfigureerd in het Microsoft Entra-beheercentrum.

In quarantaine wordt de frequentie van incrementele cycli geleidelijk verlaagd tot één keer per dag.

De inrichtingstaak sluit quarantaine af nadat alle foutfouten zijn opgelost en de volgende synchronisatiecyclus wordt gestart. Als de inrichtingstaak langer dan vier weken in quarantaine blijft, wordt de inrichtingstaak uitgeschakeld. Hier vindt u meer informatie over quarantainestatus.

Hoelang inrichten duurt

Prestaties zijn afhankelijk van of uw inrichtingstaak een eerste inrichtingscyclus of een incrementele cyclus uitvoert. Zie De status van het inrichten van gebruikers controleren voor meer informatie over hoe lang het inrichten duurt en hoe u de status van de inrichtingsservice kunt controleren.

Controleren of gebruikers correct worden ingericht

Alle bewerkingen die door de gebruikersinrichtingsservice worden uitgevoerd, worden vastgelegd in de Microsoft Entra-inrichtingslogboeken (preview). De logboeken bevatten alle lees- en schrijfbewerkingen die zijn uitgevoerd in de bron- en doelsystemen, en de gebruikersgegevens die tijdens elke bewerking zijn gelezen of geschreven. Zie de handleiding voor inrichtingsrapportage voor informatie over het lezen van de inrichtingslogboeken in het Microsoft Entra-beheercentrum.

Inrichting ongedaan maken

De Microsoft Entra-inrichtingsservice houdt bron- en doelsystemen synchroon door de inrichting van accounts ongedaan te maken wanneer gebruikerstoegang wordt verwijderd.

De inrichtingsservice ondersteunt zowel het verwijderen als uitschakelen van gebruikers (ook wel voorlopig verwijderen genoemd). De exacte definitie van uitschakelen en verwijderen varieert op basis van de implementatie van de doel-app, maar over het algemeen geeft een uitschakeling aan dat de gebruiker zich niet kan aanmelden. Een verwijdering geeft aan dat de gebruiker volledig uit de toepassing is verwijderd. Voor SCIM-toepassingen is een uitschakeling een aanvraag om de actieve eigenschap in te stellen op false voor een gebruiker.

Uw toepassing configureren om een gebruiker uit te schakelen

Controleer of het selectievakje voor updates is ingeschakeld.

Bevestig de toewijzing voor actief voor uw toepassing. Als u een toepassing uit de app-galerie gebruikt, is de toewijzing mogelijk iets anders. In dit geval gebruikt u de standaardtoewijzing voor galerietoepassingen.

Disable a user

Uw toepassing configureren om een gebruiker te verwijderen

In het scenario wordt een uitschakelen of verwijderen geactiveerd:

  • Een gebruiker wordt voorlopig verwijderd in De Microsoft Entra-id (verzonden naar de prullenbak/ De eigenschap AccountEnabled is ingesteld op false). Dertig dagen nadat een gebruiker is verwijderd in Microsoft Entra ID, worden ze definitief verwijderd uit de tenant. Op dit moment verzendt de inrichtingsservice een DELETE-aanvraag om de gebruiker in de toepassing definitief te verwijderen. U kunt op elk gewenst moment in het venster van 30 dagen handmatig een gebruiker permanent verwijderen, waardoor een verwijderaanvraag naar de toepassing wordt verzonden.
  • Een gebruiker wordt definitief verwijderd/verwijderd uit de prullenbak in Microsoft Entra-id.
  • Een gebruiker wordt niet toegewezen vanuit een app.
  • Een gebruiker gaat van binnen het bereik naar buiten het bereik (geeft geen bereikfilter meer door).

Delete a user

De Microsoft Entra-inrichtingsservice verwijdert standaard voorlopig of schakelt gebruikers uit die buiten het bereik vallen. Als u dit standaardgedrag wilt overschrijven, kunt u een vlag instellen om verwijderingen buiten het bereik over te slaan.

Wanneer een van de vier gebeurtenissen optreedt en de doeltoepassing geen ondersteuning biedt voor voorlopig verwijderen, verzendt de inrichtingsservice een DELETE-aanvraag om de gebruiker permanent uit de app te verwijderen.

Als u in uw kenmerktoewijzingen ziet IsSoftDeleted , wordt deze gebruikt om de status van de gebruiker te bepalen en of een updateaanvraag moet worden verzonden om active = false de gebruiker voorlopig te verwijderen.

Inrichting van gebeurtenissen ongedaan maken

In de tabel wordt beschreven hoe u de inrichtingsacties kunt configureren met de Microsoft Entra-inrichtingsservice. Deze regels worden geschreven met de niet-galerie/aangepaste toepassing in het achterhoofd, maar zijn over het algemeen van toepassing op toepassingen in de galerie. Het gedrag voor galerietoepassingen kan echter verschillen wanneer ze zijn geoptimaliseerd om te voldoen aan de behoeften van de toepassing. Als de doeltoepassing bijvoorbeeld geen ondersteuning biedt voor voorlopig verwijderen, kan de Microsoft Entra-inrichtingsservice een aanvraag voor hard verwijderen verzenden om gebruikers te verwijderen in plaats van een voorlopig verwijderen te verzenden.

Scenario Configureren in Microsoft Entra-id
Een gebruiker wordt niet toegewezen vanuit een app, voorlopig verwijderd in Microsoft Entra-id of is geblokkeerd voor aanmelding. Je wilt niets doen. Verwijder isSoftDeleted uit de kenmerktoewijzingen en/of stel de eigenschap voor het overslaan van bereikverwijderingen in op waar.
Een gebruiker wordt niet toegewezen vanuit een app, voorlopig verwijderd in Microsoft Entra-id of is geblokkeerd voor aanmelding. U wilt een specifiek kenmerk instellen op true of false. Wijs isSoftDeleted het kenmerk toe dat u wilt instellen op onwaar.
Een gebruiker is uitgeschakeld in Microsoft Entra-id, niet toegewezen vanuit een app, voorlopig verwijderd in Microsoft Entra-id of geblokkeerd voor aanmelding. U wilt een DELETE-aanvraag verzenden naar de doeltoepassing. Dit wordt momenteel ondersteund voor een beperkte set galerietoepassingen waarvoor de functionaliteit is vereist. Het kan niet worden geconfigureerd door klanten.
Een gebruiker wordt verwijderd in Microsoft Entra-id. U wilt niets doen in de doeltoepassing. Zorg ervoor dat Verwijderen niet is geselecteerd als een van de doelobjectacties in de kenmerkconfiguratie-ervaring.
Een gebruiker wordt verwijderd in Microsoft Entra-id. U wilt de waarde van een kenmerk instellen in de doeltoepassing. Wordt niet ondersteund.
Een gebruiker wordt verwijderd in Microsoft Entra-id. U wilt de gebruiker verwijderen in de doeltoepassing Zorg ervoor dat Verwijderen is geselecteerd als een van de doelobjectacties in de kenmerkconfiguratie-ervaring.

Bekende beperkingen

  • Wanneer een gebruiker of groep niet meer wordt toegewezen vanuit een app en niet meer wordt beheerd met de inrichtingsservice, wordt een aanvraag voor uitschakelen verzonden. Op dat moment beheert de service de gebruiker niet en wordt er geen verwijderaanvraag verzonden wanneer de gebruiker uit de map wordt verwijderd.
  • Het inrichten van een gebruiker die is uitgeschakeld in Microsoft Entra-id, wordt niet ondersteund. Ze moeten actief zijn in Microsoft Entra-id voordat ze worden ingericht.
  • Wanneer een gebruiker van voorlopig verwijderd naar actief gaat, activeert de Microsoft Entra-inrichtingsservice de gebruiker in de doel-app, maar worden de groepslidmaatschappen niet automatisch hersteld. De doeltoepassing moet de groepslidmaatschappen voor de gebruiker inactief houden. Als de doeltoepassing geen ondersteuning biedt voor het onderhouden van de inactieve status, kunt u de inrichting opnieuw starten om de groepslidmaatschappen bij te werken.

Aanbeveling

Bij het ontwikkelen van een toepassing kunt u altijd zowel voorlopig verwijderen als hard-deletes ondersteunen. Hiermee kunnen klanten herstellen wanneer een gebruiker per ongeluk is uitgeschakeld.

Volgende stappen

Een automatische implementatie van gebruikersinrichting plannen

Inrichting configureren voor een galerie-app

Een SCIM-eindpunt bouwen en inrichting configureren bij het maken van uw eigen app

Problemen met het configureren en inrichten van gebruikers voor een toepassing oplossen.