通过

在 Microsoft Entra 管理中心 中管理企业应用的用户帐户预配

本文介绍了管理支持自动用户帐户预配和取消预配的应用程序的常规步骤。 用户帐户预配 是在应用程序的本地用户配置文件存储中创建、更新和/或禁用用户帐户记录的行为。 大多数云和 SaaS 应用程序,以及许多本地应用程序将角色和权限存储在应用程序自己的本地用户配置文件存储中。 应用程序本地存储中需要存在此类用户记录,以实现单一登录和访问工作。 若要了解有关自动用户帐户配置和取消配置的详细信息,请参阅 使用 Microsoft Entra ID 将用户配置和取消配置自动化应用于 SaaS 应用程序

在门户中查找应用

使用Microsoft Entra 管理中心查看和管理目录中为单一登录配置的所有应用程序。 企业应用是在组织内部署和使用的应用。 按照以下步骤查看和管理企业应用程序:

  1. 以至少应用管理员身份登录到Microsoft Entra 管理中心

  2. 浏览到 Entra ID>企业应用

  3. 系统显示所有已配置的应用(包括从库中添加的应用)的列表。

  4. 选择要加载其资源窗格的任何应用,可在其中查看报表和管理应用设置。

  5. 选择 “预配 ”以管理所选应用的用户帐户预配设置。

    用于管理用户帐户预配设置的预配屏幕

预配模式

预配 ”窗格从 “模式 ”菜单开始,其中显示了企业应用程序支持的预配模式,并允许配置它们。 可用选项包括:

  • Automatic - 如果 Microsoft Entra ID 支持基于 API 的自动将用户帐户预配或取消预配到此应用程序,则会显示此选项。 选择此模式可显示帮助管理员的界面:

    • 配置Microsoft Entra ID以连接到应用程序的用户管理 API
    • 创建帐户映射和工作流,用于定义用户帐户数据在Microsoft Entra ID与应用之间的流动方式
    • 管理Microsoft Entra预配服务

  • Manual - 如果Microsoft Entra ID不支持自动将用户帐户预配到此应用程序,则会显示此选项。 在这种情况下,必须使用外部进程管理存储在应用程序中的用户帐户记录,具体取决于该应用程序提供的用户管理和预配功能(可能包括 SAML Just-In-Time 预配)。

配置自动用户帐户预配

选择 “自动 ”选项,指定管理员凭据、映射、启动和停止以及同步的设置。

管理员凭据

展开 Admin Credentials,输入连接到应用程序用户管理 API 所需的 Microsoft Entra ID 凭据。 所需的输入因应用程序而异。 若要了解特定应用程序的凭据类型和要求,请参阅 该特定应用程序的配置教程

选择测试连接,通过 Microsoft Entra ID尝试使用提供的凭据连接到应用的预配应用,以测试凭据。

映射

展开 Mappings 以查看和编辑在预配或更新用户帐户时在 Microsoft Entra ID 和目标应用程序之间流动的用户属性。

Microsoft Entra用户对象和每个 SaaS 应用的用户对象之间有一组预先配置的映射。 某些应用还管理组对象。 在表中选择一个映射以打开映射编辑器,您可以在其中查看和自定义这些映射。

支持的自定义项包括:

  • 启用和禁用特定对象的映射,例如Microsoft Entra用户对象到 SaaS 应用的用户对象。

  • 编辑从Microsoft Entra用户对象流向应用用户对象的属性。 有关属性映射的详细信息,请参阅 了解属性映射类型

  • 筛选Microsoft Entra ID在目标应用程序上运行的预配操作。 可以选择限制运行某些操作,而不是让Microsoft Entra ID完全同步对象。

    例如,仅选择 更新 选项时,Microsoft Entra 仅更新应用程序中的现有用户帐户,而不会创建新帐户。 仅选择 Create,Azure仅创建新的用户帐户,但不更新现有用户帐户。 此功能允许管理员为帐户创建和更新工作流创建不同的映射。

  • 添加新的属性映射。 选择“属性映射”窗格底部的“添加新映射”。 填写 “编辑属性 ”窗体,然后选择“ 确定 ”以向列表添加新映射。

Settings

展开 “设置” 以设置电子邮件地址以接收通知,以及是否接收有关错误的警报。 此外,选择要同步的用户的范围。选择同步所有用户和组或仅分配的用户。

预配状态

如果首次为应用程序启用预配,请通过将 预配状态 更改为 “打开”来启用服务。 此更改会导致 Microsoft Entra 预配服务运行初始周期。 它读取在 Users and groups 节中分配的用户,查询目标应用程序,然后运行在 Microsoft Entra ID Mappings 节中定义的预配操作。 在此过程中,预配服务存储有关其管理的用户帐户的缓存数据。 该服务存储缓存的数据,因此,目标应用程序中从未在分配范围内的非托管帐户不会在取消预配操作中受到影响。 初始周期后,预配服务会在 40 分钟间隔内自动同步用户和组对象。

预配状态 更改为 “关闭 ”以暂停预配服务。 在此状态下,Azure不会在应用中创建、更新或删除任何用户或组对象。 将状态更改回 On ,服务会从中断的位置继续。

小窍门

对于已有用户的应用程序,请使用 帐户发现 在启用预配之前识别和分类现有帐户。 这有助于验证匹配的属性配置,并避免创建重复帐户。

  • Last updated on