Verwijdering van gebruikers accounts die buiten het bereik vallen, overs LaanSkip deletion of user accounts that go out of scope

De Azure AD Provisioning-engine laadt standaard gebruikers die buiten het bereik vallen, of schakelt deze uit.By default, the Azure AD provisioning engine soft deletes or disables users that go out of scope. Voor bepaalde scenario's zoals workday voor inrichtende AD-gebruikers is dit gedrag mogelijk niet de verwachte en wilt u dit standaard gedrag negeren.However, for certain scenarios like Workday to AD User Inbound Provisioning, this behavior may not be the expected and you may want to override this default behavior.

In dit artikel wordt beschreven hoe u de Microsoft Graph-API en de Microsoft Graph API Explorer kunt gebruiken om de vlag SkipOutOfScopeDeletions in te stellen waarmee de verwerking van accounts die buiten het bereik vallen worden beheerd.This article describes how to use the Microsoft Graph API and the Microsoft Graph API explorer to set the flag SkipOutOfScopeDeletions that controls the processing of accounts that go out of scope.

  • Als SkipOutOfScopeDeletions is ingesteld op 0 (ONWAAR), worden accounts die buiten het bereik vallen, uitgeschakeld in het doel.If SkipOutOfScopeDeletions is set to 0 (false), accounts that go out of scope will be disabled in the target.
  • Als *SkipOutOfScopeDeletions _ is ingesteld op 1 (waar), worden accounts die buiten het bereik vallen, niet in het doel uitgeschakeld.If *SkipOutOfScopeDeletions _ is set to 1 (true), accounts that go out of scope will not be disabled in the target. Deze markering wordt ingesteld op het niveau van de app _Provisioning * en kan worden geconfigureerd met behulp van de Graph API.This flag is set at the _Provisioning App* level and can be configured using the Graph API.

Omdat deze configuratie veel wordt gebruikt in combi natie met de werkdag voor het Active Directory van de app voor het inrichten van gebruikers, bevatten de volgende stappen scherm opnamen van de werkdag-toepassing.Because this configuration is widely used with the Workday to Active Directory user provisioning app, the following steps include screenshots of the Workday application. De configuratie kan echter ook worden gebruikt met alle andere apps, zoals ServiceNow, Sales Force en Dropbox.However, the configuration can also be used with all other apps, such as ServiceNow, Salesforce, and Dropbox.

Stap 1: de principal-ID van uw inrichtings App Service ophalen (object-ID)Step 1: Retrieve your Provisioning App Service Principal ID (Object ID)

  1. Start de Azure Portalen navigeer naar de sectie eigenschappen van uw inrichtings toepassing.Launch the Azure portal, and navigate to the Properties section of your provisioning application. Bijvoorbeeld, als u uw werkdag wilt exporteren naar AD User Provisioning toepassings toewijzing, navigeert u naar de sectie eigenschappen van de app.For e.g. if you want to export your Workday to AD User Provisioning application mapping navigate to the Properties section of that app.

  2. In de sectie eigenschappen van uw inrichtings app kopieert u de GUID-waarde die is gekoppeld aan het veld object-id .In the Properties section of your provisioning app, copy the GUID value associated with the Object ID field. Deze waarde wordt ook wel de ServicePrincipalId van uw app genoemd en wordt gebruikt in Graph Explorer-bewerkingen.This value is also called the ServicePrincipalId of your App and it will be used in Graph Explorer operations.

    App Service Principal-ID van workday

Stap 2: aanmelden bij Microsoft Graph ExplorerStep 2: Sign into Microsoft Graph Explorer

  1. Microsoft Graph Explorer startenLaunch Microsoft Graph Explorer

  2. Klik op de knop Aanmelden met micro soft en meld u aan met Azure AD Global admin of de referenties van de app-beheerder.Click on the "Sign-In with Microsoft" button and sign-in using Azure AD Global Admin or App Admin credentials.

    Graph-aanmelding

  3. Wanneer de aanmelding is geslaagd, worden de gegevens van het gebruikers account in het linkerdeel venster weer gegeven.Upon successful sign-in, you will see the user account details in the left-hand pane.

Stap 3: de bestaande app-referenties en connectiviteits gegevens ophalenStep 3: Get existing app credentials and connectivity details

Voer in de Microsoft Graph Explorer de volgende GET-query Vervang [servicePrincipalId] uit met de servicePrincipalId geëxtraheerd uit stap 1.In the Microsoft Graph Explorer, run the following GET query replacing [servicePrincipalId] with the ServicePrincipalId extracted from the Step 1.

   GET https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/secrets

Taak query ophalen

Kopieer het antwoord naar een tekst bestand.Copy the Response into a text file. Deze ziet eruit als de JSON-tekst die hieronder wordt weer gegeven, met waarden die geel zijn gemarkeerd voor uw implementatie.It will look like the JSON text shown below, with values highlighted in yellow specific to your deployment. Voeg de regels die zijn gemarkeerd in groen toe aan het einde en werk het wacht woord voor workday-verbindingen in op blauw gemarkeerd.Add the lines highlighted in green to the end and update the Workday connection password highlighted in blue.

Taak respons ophalen

Dit is het JSON-blok dat aan de toewijzing moet worden toegevoegd.Here is the JSON block to add to the mapping.

        {
            "key": "SkipOutOfScopeDeletions",
            "value": "True"
        }

Stap 4: het geheimen-eind punt bijwerken met de vlag SkipOutOfScopeDeletionsStep 4: Update the secrets endpoint with the SkipOutOfScopeDeletions flag

Voer in de Graph Explorer de onderstaande opdracht uit om het geheimen-eind punt bij te werken met de vlag SkipOutOfScopeDeletions .In the Graph Explorer, run the command below to update the secrets endpoint with the SkipOutOfScopeDeletions flag.

Vervang in de onderstaande URL [servicePrincipalId] door de servicePrincipalId geëxtraheerd uit stap 1.In the URL below replace [servicePrincipalId] with the ServicePrincipalId extracted from the Step 1.

   PUT https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/secrets

Kopieer de bijgewerkte tekst uit stap 3 naar de ' hoofd tekst van de aanvraag ' en stel de header ' content-type ' in ' application/json ' in ' aanvraag headers ' in.Copy the updated text from Step 3 into the "Request Body" and set the header "Content-Type" to "application/json" in "Request Headers".

Aanvraag plaatsen

Klik op query uitvoeren.Click on “Run Query”.

U moet de uitvoer als ' geslaagd – status code 204 ' ophalen.You should get the output as "Success – Status Code 204".

Antwoord plaatsen

Stap 5: controleren of gebruikers buiten het bereik niet worden uitgeschakeldStep 5: Verify that out of scope users don’t get disabled

U kunt deze vlag testen op het verwachte gedrag door de scope regels bij te werken om een specifieke gebruiker over te slaan.You can test this flag results in expected behavior by updating your scoping rules to skip a specific user. In het onderstaande voor beeld wordt de werk nemer met ID 21173 (die eerder in bereik was) uitgesloten door een nieuwe scope regel toe te voegen:In the example below, we are excluding the employee with ID 21173 (who was earlier in scope) by adding a new scoping rule:

Scherm afbeelding met de sectie bereik filter toevoegen, met een voor beeld van een gebruiker gemarkeerd.

In de volgende inrichtings cyclus identificeert de Azure AD-inrichtings service dat de gebruiker 21173 zich buiten het bereik bevindt. als de eigenschap SkipOutOfScopeDeletions is ingeschakeld, wordt in de synchronisatie regel voor die gebruiker een bericht weer gegeven zoals hieronder wordt weer gegeven:In the next provisioning cycle, the Azure AD provisioning service will identify that the user 21173 has gone out of scope and if the SkipOutOfScopeDeletions property is enabled, then the synchronization rule for that user will display a message as shown below:

Voor beeld van scoping