Microsoft Entra ID 中的按需预配

  • 项目

使用按需预配可在数秒内预配用户或组。 除此之外,还可以使用此功能执行以下操作:

  • 快速排除配置问题。
  • 验证已定义的表达式。
  • 测试范围筛选器。

如何使用按需预配

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 至少以应用程序管理员的身份登录到 Microsoft Entra 管理中心
  1. 浏览到“标识”>“应用程序”>“企业应用程序”>,选择你的应用。
  2. 选择预配
  1. 浏览到“标识”>“外部标识”>“跨租户同步”>“配置”
  2. 选择相应的配置,然后转到“预配”配置页。

  1. 通过提供管理员凭据来配置预配。

  2. 选择“按需预配”。

  3. 按名字、姓氏、显示名称、用户主体名称或电子邮件地址搜索用户。 或者,可以搜索组并选取最多五个用户。

    注意

    对于云 HR 预配应用(Workday/SuccessFactors 到 Active Directory/Microsoft Entra ID),输入值是不同的。 对于 Workday 方案,请在 Workday 中提供用户的“WorkerID”,即“WID”。 对于 SuccessFactors 方案,请在 SuccessFactors 中提供用户的“personIdExternal”。

  4. 选择页面底部的“预配”。

    Screenshot that shows the Microsoft Entra admin center UI for provisioning a user on demand.

了解预配步骤

按需预配过程会尝试说明预配服务预配用户时所执行的步骤。 预配用户通常需要 5 个步骤。 按需预配体验过程中会显示下面各部分说明的一个或多个步骤。

步骤 1:测试连接

预配服务会通过请求“测试用户”来尝试授予对目标系统的访问权限。 预配服务需要响应指示服务已授权并可继续执行预配步骤。 此步骤只有在失败时才会显示。 此步骤成功时,按需预配体验过程中不会显示此步骤。

故障排除提示

  • 确保向目标系统提供了有效凭据,如机密令牌和租户 URL。 所需的凭据因应用程序而异。 若要查看详细的配置教程,请参阅教程列表
  • 请确保目标系统支持对“属性映射”窗格中定义的匹配属性进行筛选。 若要了解支持的筛选器,请参阅应用程序开发人员提供的 API 文档。
  • 对于跨域身份管理系统 (SCIM) 应用程序,可以使用 Postman 等工具。 此类工具有助于确保应用程序以 Microsoft Entra 预配服务所需的方式响应授权请求。 请参阅示例请求

步骤 2:导入用户

接下来,预配服务从源系统检索用户。 服务检索的用户属性稍后将用于:

  • 评估用户是否在预配范围内。
  • 查看目标系统是否存在现有的用户。
  • 确定要导出到目标系统的用户属性。

查看详细信息

“查看详细信息”部分显示从源系统(例如 Microsoft Entra ID)导入的用户属性。

故障排除提示

  • 如果源系统中的用户对象缺少匹配的属性,则可能无法导入用户。 若要解决此故障,请尝试以下方法之一:

    • 使用匹配属性的值更新用户对象。
    • 更改预配配置中的匹配属性。

  • 如果导入的列表中缺少所需的属性,请确保该属性在源系统中的用户对象上具有值。 预配服务当前不支持预配 null 属性。

  • 请确保预配配置的“属性映射”页包含所需的属性。

步骤 3:确定用户是否在范围内

接下来,预配服务确定用户是否在预配范围内。 该服务会考虑以下几个方面:

  • 用户是否被分配到应用程序。
  • 范围是否设置为“同步已分配的”或“全部同步” 。
  • 预配配置中定义的范围筛选器。

查看详细信息

“查看详细信息”部分显示已评估的范围条件。 你可能会看到下列一个或多个属性:

  • “在源系统中处于活动状态”指示在 Microsoft Entra ID 中用户的 IsActive 属性设置为 true。
  • “已分配到应用程序”指示在 Microsoft Entra ID 中用户已分配到应用程序。
  • “范围设定为全部同步”指示范围设置允许租户中的所有用户和组。
  • “用户具有所需角色”指示用户具有预配到应用程序所需的角色。
  • 如果为应用程序定义了范围筛选器,则“范围筛选器”也会显示。 此筛选器按以下格式显示:{范围筛选器标题} {范围筛选器属性} {范围筛选器运算符} {范围筛选器值}。

故障排除提示

步骤 4:在源和目标之间匹配用户

在此步骤中,该服务尝试将导入步骤中检索到的用户与目标系统中的用户进行匹配。

查看详细信息

“查看详细信息”页显示目标系统中匹配的用户的属性。 上下文窗格的更改如下所示:

  • 如果目标系统中没有匹配用户,则不显示任何属性。
  • 如果目标系统中有一个用户匹配,则会显示该用户的属性。
  • 如果多个用户匹配,则显示两个用户的属性。
  • 如果属性映射包含多个匹配属性,则将按顺序评估每个匹配属性,并显示相应属性的匹配用户。

故障排除提示

  • 预配服务可能无法以唯一的方式将源系统中的用户与目标系统中的用户进行匹配。 若要解决此问题,请确保匹配属性是唯一的。
  • 请确保目标系统支持对定义为匹配属性的属性进行筛选。

步骤 5:执行操作

最后,预配服务执行操作,如创建、更新、删除或跳过用户。

下面的示例说明了按需预配用户成功后显示的内容:

Screenshot that shows the successful on-demand provisioning of a user.

查看详细信息

“查看详细信息”部分显示目标系统中已修改的属性。 此显示内容表示预配服务活动的最终输出和已导出的属性。 如果此步骤失败,则显示的属性表示预配服务尝试修改的属性。

故障排除提示

  • 导出更改发生的故障可能大不相同。 请参阅预配日志文档,了解常见故障。
  • 按需预配指出无法预配组或用户,因为未将其分配给应用程序。 在将对象分配到应用程序与按需预配遵循该分配之间,复制延迟最长可达数分钟。 可能需要等待几分钟,然后重试。

常见问题

  • 使用按需预配是否需要禁用预配? 对于使用长期持有者令牌或用户名和密码进行授权的应用程序,无需执行其他步骤。 使用 OAuth 进行授权的应用程序当前需要在使用按需预配之前停止预配作业。 此类应用程序包括 G Suite、Box、Workplace by Facebook 和 Slack。 我们正在努力实现在不停止预配作业的情况下支持对所有应用程序的按需预配。

  • 按需预配需要花费多长时间? 按需预配通常需要不到 30 秒的时间。

已知的限制

按需预配当前存在一些已知限制。 请发布建议和反馈,以便我们可以进一步明确接下来要做出的改进。

注意

以下限制特定于按需预配功能。 有关应用程序是否支持预配组、删除或其他功能的信息,请参阅相应应用程序的教程。

  • 按需预配组支持一次更新最多五个成员。 用于跨租户同步、Workday 等的连接器不支持预配组,因此不支持按需预配组。
  • 按需预配请求 API 一次只能接受一个组,其中最多包含 5 名成员。
  • 跨租户同步不支持按需预配组。
  • 按需预配支持通过 Microsoft Entra 管理中心一次预配一个用户。
  • 不支持使用按需预配在目标租户中还原以前软删除的用户。 如果你尝试使用按需预配来软删除某个用户,然后还原该用户,则可能会导致用户重复。
  • 不支持按需预配角色。
  • 按需预配支持禁用应用程序已取消分配的用户。 但是,它不支持禁用或删除 Microsoft Entra ID 已禁用或删除的用户。 搜索用户时系统不会显示这些用户。
  • 按需预配不支持未直接分配给应用程序的嵌套组。

后续步骤