通过

Microsoft Entra ID 中的按需预配

使用按需预配在几秒钟内预配用户或组。 除其他事项外,可以使用此功能执行以下操作:

  • 快速排查配置问题。
  • 验证已定义的表达式。
  • 测试范围过滤器。

如何使用按需预配

  1. 至少以应用程序管理员的身份登录到 Microsoft Entra 管理中心
  1. 浏览到 Entra ID>Enterprise 应用> ,选择应用程序。
  2. 选择预配
  1. 浏览到 Entra ID>外部标识>跨租户同步>配置

注释

外部租户当前不支持跨租户同步。

  1. 选择配置,然后转到 “预配 配置”页。

  1. 通过提供管理员凭据配置预配。

  2. 选择按需供应

  3. 按名字、姓氏、显示名称、用户主体名称或电子邮件地址搜索用户。 或者,你可以搜索一个组并选择最多五位用户。

    注释

    对于云 HR 预配应用(Microsoft Entra ID),输入值不同。

  4. 选择页面底部的 “配置”

    显示用于按需预配用户的Microsoft Entra 管理中心 UI 的屏幕截图。

了解预配步骤

按需预配过程会尝试显示预配服务在预配用户时执行的步骤。 预配用户通常有五个步骤。 在按需预配体验期间会显示以下部分所述的一个或多个这些步骤。

步骤 1:测试连接

预配服务尝试通过请求“测试用户”来授权访问目标系统。 预配服务需要一个响应,以表明服务被授权继续执行预配步骤。 仅当此步骤失败时,才会显示此步骤。 当步骤成功时,在按需预配体验期间不会显示它。

故障排除提示

  • 确保已向目标系统提供有效的凭据,例如机密令牌和租户 URL。 所需的凭据因应用程序而异。
  • 确保目标系统支持筛选“ 属性映射 ”窗格中定义的匹配属性。 可能需要检查应用程序开发人员提供的 API 文档,以了解支持的筛选器。
  • 对于跨域标识管理系统(SCIM)应用程序,请使用 REST API 工具(如 cURL)。 此类工具可帮助你确保应用程序以Microsoft Entra 预配服务所需的方式响应授权请求。 查看 示例请求

步骤 2:导入用户

接下来,预配服务从源系统检索用户。 服务检索的用户属性稍后用于:

  • 评估用户是否在预配范围内。
  • 检查目标系统中是否存在现有用户。
  • 确定要导出到目标系统的用户属性。

查看详细信息

视图详细信息 ”部分显示从源系统导入的用户的属性(例如,Microsoft Entra ID)。

故障排除提示

  • 在源系统中的用户对象上缺少匹配属性时,导入用户可能会失败。 若要解决此故障,请尝试以下方法之一:

    • 使用匹配属性的值更新用户对象。
    • 更改预配配置中的匹配属性。

  • 如果导入列表中缺少所需的属性,请确保该属性在源系统中的用户对象上具有值。 预配服务当前不支持预配 null 属性。

  • 确保预配配置 的属性映射 页包含所需的属性。

步骤 3:确定用户是否在范围内

接下来,预配服务确定用户是否在预配 范围内 。 该服务考虑以下方面:

  • 是否将用户分配到应用程序。
  • 范围可以设置为同步指定项同步所有项
  • 预配配置中定义的范围筛选器。

查看详细信息

视图详细信息 ”部分显示评估的范围条件。 你可能会看到以下一个或多个属性:

  • 在源系统中处于活动状态 表示用户在 entra ID Microsoft中将属性 IsActive 设置为 true
  • 分配给应用程序 表示用户已分配到Microsoft Entra ID 中的应用程序。
  • "范围同步所有" 指明范围设置允许租户内的所有用户和组。
  • 用户具有所需角色 ,指示用户具有要预配到应用程序中的必要角色。
  • 如果为应用程序定义了范围筛选器,则还会显示范围筛选器。 筛选器采用以下格式显示:{范围筛选器标题} {范围筛选器属性} {范围筛选器运算符} {范围筛选器值}。

故障排除提示

步骤 4:在源和目标之间匹配用户

在此步骤中,该服务尝试将导入步骤中检索到的用户与目标系统中的用户匹配。

查看详细信息

视图详细信息 ”页显示目标系统中匹配的用户的属性。 上下文窗格将更改,如下所示:

  • 如果未在目标系统中匹配用户,则不会显示任何属性。
  • 如果一个用户在目标系统中匹配,则显示该用户的属性。
  • 如果多个用户匹配,将显示这两个用户的属性。
  • 如果多个匹配属性是属性映射的一部分,则按顺序计算每个匹配属性,并显示该属性的匹配用户。

故障排除提示

  • 预配服务可能无法将源系统中的用户与目标中的用户唯一匹配。 通过确保匹配属性是唯一的,解决此问题。
  • 确保目标系统支持对被定义为匹配属性的属性进行筛选。

步骤 5:执行操作

最后,预配服务执行一项操作,例如创建、更新、删除或跳过用户。

下面是用户成功按需预配后可能看到的示例:

显示用户成功按需预配的屏幕截图。

查看详细信息

视图详细信息 ”部分显示目标系统中修改的属性。 此显示表示预配服务活动的最终输出和导出的属性。 如果此步骤失败,则显示的属性表示预配服务尝试修改的属性。

故障排除提示

  • 导出更改失败的原因会有所不同。
  • 按需预配表示无法预配组或用户,因为它们未分配给应用程序。 在对象被分配到应用程序与该分配在按需预配中生效之间,复制会有最长几分钟的延迟。 可能需要等待几分钟,然后重试。

常见问题解答

  • 是否需要关闭预配才能使用按需预配? 对于使用长期持有者令牌或用户名和密码进行授权的应用程序,无需执行更多步骤。 使用 OAuth 进行授权的应用程序当前要求在按需预配之前停止预配作业。 G Suite、Box 和 Slack 等应用程序属于此类别。 正在进行的工作是为了支持所有应用程序的按需预配,而无需停止预配作业。

  • 按需预配需要多长时间? 按需预配通常需要不到 30 秒。

已知的限制

目前,按需预配存在一些已知限制。 发布 建议和反馈 ,以便我们可以更好地确定下一步的改进。

注释

以下限制特定于按需预配功能。 有关应用程序是否支持预配组、删除或其他功能的信息,请查看该应用程序的教程。

  • 按需预配组支持一次更新最多五位成员。 用于跨租户同步的连接器等。不支持组预配,因此不支持对组进行按需预配。
  • 按需预配请求 API 一次只能接受包含最多 5 个成员的单个组。
  • 跨租户同步不支持对组进行按需预配。
  • 按需预配支持通过 Microsoft Entra 管理中心一次预配一个用户。
  • 不支持在目标租户中通过按需预配恢复之前软删除的用户。 如果尝试使用按需预配软删除用户,然后还原用户,则可能会导致用户重复。
  • 不支持按需预配角色。
  • 按需预配支持禁用那些已被取消分配的应用程序用户。 它不支持禁用或删除那些已在 Microsoft Entra ID 中被禁用或删除的用户。 搜索用户时不会显示这些用户。
  • 按需预配不支持未直接分配给应用程序的嵌套组。

后续步骤

  • Last updated on