Microsoft Entra 識別碼中的隨選布建

  • 發行項

使用隨選布建在幾秒內布建使用者或群組。 除此之外,您可以使用這項功能來:

  • 快速針對設定問題進行疑難解答。
  • 驗證您已定義的表示式。
  • 測試範圍篩選條件。

如何使用隨選布建

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

  1. 以至少應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  1. 瀏覽至 [身分>識別應用程式>企業應用程式>] 選取您的應用程式。
  2. 選取 [ 布建]。
  1. 流覽至 [身分>識別外部身分>識別跨租使用者同步處理組態]>
  2. 選取您的設定,然後移至 [ 布建組 態] 頁面。

  1. 提供您的系統管理員認證來設定布建。

  2. 選取 [ 隨選布建]。

  3. 依名字、姓氏、顯示名稱、用戶主體名稱或電子郵件地址搜尋使用者。 或者,您可以搜尋群組,並挑選最多五位使用者。

    注意

    針對 Cloud HR 布建應用程式 (Workday / SuccessFactors 至 Active Directory / Microsoft Entra ID),輸入值不同。 針對 Workday 案例,請在 Workday 中提供使用者的 “WorkerID” 或 “WID”。 針對 SuccessFactors 案例,請在 SuccessFactors 中提供使用者的 “personIdExternal”。

  4. 選取 頁面底部的 [布 建]。

    Screenshot that shows the Microsoft Entra admin center UI for provisioning a user on demand.

瞭解布建步驟

隨選布建程式會嘗試顯示布建服務在布建用戶時採取的步驟。 布建使用者通常有五個步驟。 下列各節說明的其中一或多個步驟會顯示在隨選布建體驗期間。

步驟 1:測試連線

布建服務會藉由向「測試使用者」提出要求,嘗試授權存取目標系統。 布建服務需要回應,指出授權服務繼續執行布建步驟。 此步驟只會在失敗時顯示。 當步驟成功時,不會在隨選布建體驗期間顯示。

疑難排解秘訣

  • 請確定您已將密碼令牌和租使用者 URL 等有效認證提供給目標系統。 所需的認證會因應用程式而異。 如需詳細的設定教學課程,請參閱教學 課程清單
  • 請確定目標系統支援篩選 [屬性對應] 窗格中所定義的相符屬性。 您可能需要檢查應用程式開發人員所提供的 API 檔,以瞭解支援的篩選器。
  • 針對跨網域身分識別管理 (SCIM) 應用程式的系統,您可以使用 Postman 之類的工具。 這類工具可協助您確保應用程式會以 Microsoft Entra 布建服務預期的方式回應授權要求。 查看 範例要求

步驟 2:匯入使用者

接下來,布建服務會從來源系統擷取使用者。 服務擷取的用戶屬性稍後會用來:

  • 評估使用者是否在布建範圍內。
  • 檢查現有用戶的目標系統。
  • 決定要匯出至目標系統的用戶屬性。

檢視詳細資料

[檢視詳細數據] 區段會顯示從來源系統匯入的使用者屬性(例如 Microsoft Entra ID)。

疑難排解秘訣

  • 當來源系統中的用戶物件上遺漏相符屬性時,匯入使用者可能會失敗。 若要解決此失敗,請嘗試下列其中一種方法:

    • 使用相符屬性的值來更新用戶物件。
    • 變更布建組態中的比對屬性。

  • 如果匯入清單中遺漏您預期的屬性,請確定屬性在來源系統中的用戶物件上有值。 布建服務目前不支援布建 Null 屬性。

  • 請確定布建組態的 [ 屬性對應 ] 頁面包含您預期的屬性。

步驟 3:判斷使用者是否在範圍內

接下來,布建服務會決定使用者是否在 布建範圍內 。 服務會考慮下列層面:

  • 使用者是否已指派給應用程式。
  • 範圍是否設定為 [已指派 同步] 或 [全部同步]。
  • 布建組態中定義的範圍篩選條件。

檢視詳細資料

[檢視詳細數據] 區段會顯示評估的範圍條件。 您可能會看到下列一或多個屬性:

  • 在來源系統中 作用中,表示使用者在 Microsoft Entra ID 中將 屬性 IsActive 設定為 true
  • 指派給應用程式 表示使用者已指派給 Microsoft Entra ID 中的應用程式。
  • 範圍同步全部 表示範圍設定允許租使用者中的所有使用者和群組。
  • 使用者具有必要角色 ,表示用戶必須布建至應用程式的必要角色。
  • 如果您已為應用程式定義範圍篩選,也會顯示範圍篩選 條件。 篩選條件的格式如下:{範圍篩選標題} {範圍篩選屬性} {範圍篩選運算符} {範圍篩選值}。

疑難排解秘訣

步驟 4:比對來源與目標之間的使用者

在此步驟中,服務會嘗試比對在匯入步驟中擷取的使用者與目標系統中的使用者。

檢視詳細資料

[ 檢視詳細資料 ] 頁面會顯示目標系統中相符之使用者的屬性。 內容窗格會變更,如下所示:

  • 如果未在目標系統中比對任何使用者,則不會顯示任何屬性。
  • 如果目標系統中有一個使用者符合,則會顯示該用戶的屬性。
  • 如果有多個使用者相符,則會顯示這兩個用戶的屬性。
  • 如果多個比對屬性是屬性對應的一部分,則會循序評估每個比對屬性,並顯示該屬性的相符使用者。

疑難排解秘訣

  • 布建服務可能無法與目標中的使用者唯一比對來源系統中的使用者。 藉由確保比對屬性是唯一的,來解決此問題。
  • 請確定目標系統支援篩選定義為比對屬性的屬性。

步驟 5:執行動作

最後,布建服務會採取動作,例如建立、更新、刪除或略過使用者。

以下是在使用者成功隨選布建之後,您可能會看到的範例:

Screenshot that shows the successful on-demand provisioning of a user.

檢視詳細資料

[檢視詳細數據] 區段會顯示在目標系統中修改的屬性。 此顯示代表布建服務活動的最終輸出,以及導出的屬性。 如果此步驟失敗,所顯示的屬性代表布建服務嘗試修改的屬性。

疑難排解秘訣

  • 匯出變更的失敗可能會有很大的差異。 請查看檔, 以取得常見失敗的布建 記錄。
  • 隨選布建表示群組或用戶無法布建,因為它們未指派給應用程式。 當物件指派給應用程式,以及在隨選布建中接受該指派時,複寫延遲最多幾分鐘。 您可能需要等候幾分鐘,然後再試一次。

常見問題集

  • 您需要關閉布建以使用隨選布建嗎? 對於使用長期持有人令牌或使用者名稱和密碼進行授權的應用程式,不需要再執行任何步驟。 使用 OAuth 進行授權的應用程式目前需要停止布建作業,才能使用隨選布建。 G Suite、Box、Workplace by Facebook 和 Slack 等應用程式屬於此類別。 工作正在進行中,支援所有應用程式的隨選布建,而不需要停止布建作業。

  • 隨選布建需要多久時間? 隨選布建通常需要少於 30 秒的時間。

已知的限制

目前有一些已知的隨選布建限制。 張貼您的 建議和意見反應 ,以便我們進一步判斷要進行哪些改進。

注意

下列限制專屬於隨選布建功能。 如需應用程式是否支援布建群組、刪除或其他功能的相關信息,請查看該應用程式的教學課程。

  • 依需求布建群組支援一次更新最多五個成員。 跨租使用者同步處理、Workday 等 連線 ors 不支援群組布建,因此不支援群組的隨選布建。
  • 隨選布建要求 API 一次只能接受最多 5 個成員的單一群組。
  • 跨租使用者同步處理不支援群組的隨選布建。
  • 隨選布建支援透過 Microsoft Entra 系統管理中心一次布建一個使用者。
  • 不支援還原目標租使用者中先前已虛刪除且隨選布建的使用者。 如果您嘗試以隨選布建來虛刪除使用者,然後還原使用者,可能會導致用戶重複。
  • 不支援角色的隨選布建。
  • 隨選布建支援停用已從應用程式取消指派的使用者。 不過,它不支援停用或刪除已從 Microsoft Entra ID 停用或刪除的使用者。 當您搜尋使用者時,這些使用者不會出現。
  • 隨選布建不支援未直接指派給應用程式的巢狀群組。

下一步