通过

在 Microsoft Entra 管理中心管理企业应用的用户帐户预配

本文介绍了管理支持自动用户帐户预配和取消预配的应用程序的常规步骤。 用户帐户预配 是在应用程序的本地用户配置文件存储中创建、更新和/或禁用用户帐户记录的行为。 大多数云和 SaaS 应用程序,以及许多本地应用程序将角色和权限存储在应用程序自己的本地用户配置文件存储中。 应用程序本地存储中需要存在此类用户记录,以实现单一登录和访问工作。 若要了解更多有关自动用户帐户预配的详细信息,请参阅 使用 Microsoft Entra ID 将 SaaS 应用程序的用户自动预配和取消预配

在门户中查找应用

使用 Microsoft Entra 管理中心查看和管理目录中配置为单一登录的所有应用程序。 企业应用是在组织内部署和使用的应用。 按照以下步骤查看和管理企业应用程序:

  1. 至少以应用程序管理员的身份登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>企业应用

  3. 系统显示所有已配置的应用(包括从库中添加的应用)的列表。

  4. 选择要加载其资源窗格的任何应用,可在其中查看报表和管理应用设置。

  5. 选择 “预配 ”以管理所选应用的用户帐户预配设置。

    用于管理用户帐户预配设置的预配屏幕

预配模式

预配 ”窗格从 “模式 ”菜单开始,其中显示了企业应用程序支持的预配模式,并允许配置它们。 可用选项包括:

  • 自动 - 如果 Microsoft Entra ID 支持基于 API 的自动预配或取消配置用户帐户到此应用程序,则会显示这个选项。 选择此模式可显示帮助管理员的界面:

    • 配置 Microsoft Entra ID 以连接到应用程序的用户管理 API
    • 创建帐户映射和工作流,用于定义用户帐户数据在 Microsoft Entra ID 与应用之间流动的方式
    • 管理 Microsoft Entra 预配服务

  • 手动 - 如果 Microsoft Entra ID 不支持为此应用程序自动预配用户帐户,则会显示此选项。 在这种情况下,必须使用外部进程管理存储在应用程序中的用户帐户记录,具体取决于该应用程序提供的用户管理和预配功能(可能包括 SAML Just-In-Time 预配)。

配置自动用户帐户预配

选择 “自动 ”选项,指定管理员凭据、映射、启动和停止以及同步的设置。

管理员凭据

展开 管理员凭据,输入连接到 Microsoft Entra ID 所需的凭证,以访问应用程序的用户管理 API。 所需的输入因应用程序而异。 若要了解特定应用程序的凭据类型和要求,请参阅 该特定应用程序的配置教程

要测试凭据,可以选择 “测试连接”,通过 Microsoft Entra ID 使用提供的凭据尝试连接到应用的预配应用。

映射

展开 “映射” 以查看和编辑用户属性,这些属性在预配或更新用户帐户时,在 Microsoft Entra ID 与目标应用程序之间流动。

Microsoft Entra 用户对象和每个 SaaS 应用的用户对象之间有一组预配置的映射。 某些应用还管理组对象。 在表中选择一个映射以打开映射编辑器,您可以在其中查看和自定义这些映射。

支持的自定义项包括:

  • 启用和禁用特定对象的映射,例如Microsoft Entra 用户对象到 SaaS 应用的用户对象。

  • 编辑从 Microsoft Entra 用户对象流向应用的用户对象的属性。 有关属性映射的详细信息,请参阅 了解属性映射类型

  • 筛选Microsoft Entra ID 在目标应用程序上运行的预配操作。 与其让 Microsoft Entra ID 完全同步对象,不如限制所执行的操作。

    例如,仅选择 更新 和 Microsoft Entra 仅限更新应用程序中的现有用户帐户,但不创建新的。 仅选择“ 创建 ”,Azure 仅创建新的用户帐户,但不更新现有用户帐户。 此功能允许管理员为帐户创建和更新工作流创建不同的映射。

  • 添加新的属性映射。 选择“属性映射”窗格底部的“添加新映射”。 填写 “编辑属性 ”窗体,然后选择“ 确定 ”以向列表添加新映射。

Settings

展开 “设置” 以设置电子邮件地址以接收通知,以及是否接收有关错误的警报。 此外,选择要同步的用户的范围。选择同步所有用户和组或仅分配的用户。

预配状态

如果首次为应用程序启用预配,请通过将 预配状态 更改为 “打开”来启用服务。 此更改会导致Microsoft Entra 预配服务运行初始周期。 它会读取在 “用户和组” 部分分配的用户,查询目标应用程序,然后运行在“Microsoft Entra ID 映射 ”部分中定义的预配操作。 在此过程中,预配服务存储有关其管理的用户帐户的缓存数据。 该服务存储缓存的数据,因此,目标应用程序中从未在分配范围内的非托管帐户不会在取消预配操作中受到影响。 初始周期后,预配服务会在 40 分钟间隔内自动同步用户和组对象。

预配状态 更改为 “关闭 ”以暂停预配服务。 在此状态下,Azure 不会在应用中创建、更新或删除任何用户或组对象。 将状态更改回 On ,服务会从中断的位置继续。

  • Last updated on