什麼是佈建?

  • 發行項

布建和取消布建是確保跨多個系統之數位身分識別一致性的程式。 這些程式通常用來作為身分識別生命週期管理 一部分。

布建 是根據特定條件在目標系統中建立身分識別的程式。 取消布 建是在不再符合條件時,從目標系統移除身分識別的程式。 同步 處理是讓布建物件保持最新狀態的程式,讓來源物件和目標物件類似。

例如,當新員工加入您的組織時,該員工會輸入至 HR 系統。 此時, HR 布建到 Microsoft Entra ID 可以在 Microsoft Entra ID 中建立對應的使用者帳戶。 查詢 Microsoft Entra 識別碼的應用程式可以看到該新員工的帳戶。 如果有應用程式不使用 Microsoft Entra ID,則 Microsoft Entra ID 布建至 這些應用程式的資料庫,可確保使用者能夠存取使用者需要存取的所有應用程式。 此程式可讓使用者開始工作,並能夠存取第一天所需的應用程式和系統。 同樣地,當其屬性,例如部門或就業狀態、HR 系統中的變更、將這些更新從 HR 系統同步處理到 Microsoft Entra ID,以及進一步同步處理到其他應用程式和目標資料庫時,可確保一致性。

Microsoft Entra ID 目前提供三個自動化布建區域。 畫面如下:

Diagram of the identity lifecycle management.

HR 驅動布建

Diagram of the HR provisioning.

從 HR 布建到 Microsoft Entra 識別碼牽涉到建立物件,通常是代表每位員工的使用者身分識別,但在某些情況下,代表部門或其他結構的其他物件,會根據 HR 系統中的資訊。

最常見的案例是,當新員工加入您的公司時,他們會進入人力資源系統。 一旦發生這種情況,它們會自動布建為 Microsoft Entra ID 中的新使用者,而不需要每個新進員工的系統管理介入。 一般而言,從 HR 布建可以涵蓋下列案例。

  • 雇用新員工 - 將新員工 新增至 HR 系統時,會自動在 Active Directory、Microsoft Entra ID 中建立使用者帳戶,並選擇性地在 Microsoft Entra ID 所支援的其他應用程式中建立使用者帳戶,並將電子郵件地址回寫至 HR 系統。
  • 員工屬性和設定檔更新 - 當員工記錄在該 HR 系統中更新時(例如其名稱、職稱或經理),其使用者帳戶將會在 Active Directory、Microsoft Entra ID,以及 Microsoft Entra ID 所支援的選擇性其他應用程式中自動更新。
  • 員工終止 - 當員工在 HR 中終止時,其使用者帳戶會自動遭到封鎖,使其無法登入或移除 Active Directory、Microsoft Entra ID 和其他應用程式中。
  • 員工重新雇用 - 當員工在雲端 HR 中重新接任時,其舊帳戶可以自動重新啟用或重新布建(視您的喜好而定)。

使用 Microsoft Entra 識別碼進行 HR 驅動布建的部署選項有三種:

  1. 對於具有 Workday 或 SuccessFactors 單一訂用帳戶且不使用 Active Directory 的組織
  2. 對於具有 Workday 或 SuccessFactors 單一訂用帳戶且同時具有 Active Directory 和 Microsoft Entra 識別碼的組織
  3. 對於具有多個 HR 系統或內部部署 HR 系統的組織,例如 SAP、Oracle eBusiness 或 人員Soft

如需詳細資訊,請參閱 什麼是 HR 驅動布建?

應用程式布建

Diagram that shows the app provisioning flow.

在 Microsoft Entra ID 中,應用程式布建 一詞 是指在使用者需要存取的應用程式中自動建立使用者身分識別複本,而應用程式具有自己的資料存放區,與 Microsoft Entra ID 或 Active Directory 不同。 除了建立使用者身分識別之外,應用程式布建還包含從這些應用程式維護及移除使用者身分識別,因為使用者的狀態或角色有所變更。 常見案例包括將 Microsoft Entra 使用者布建到 Dropbox Salesforce ServiceNow 等 應用程式中,因為每個應用程式都有自己的使用者存放庫,與 Microsoft Entra ID 不同。

Microsoft Entra ID 也支援將使用者布建到裝載于內部部署或虛擬機器的應用程式,而不需要開啟任何防火牆。 如果您的應用程式支援 SCIM ,或您已建置 SCIM 閘道以連線到繼承應用程式,您可以使用 Microsoft Entra 布建代理程式 直接 連線到您的應用程式,並自動布建和取消布建。 如果您有不支援 SCIM 且依賴 LDAP 使用者存放區或 SQL 資料庫, 或具有 SOAP 或 REST API 的繼承應用程式,Microsoft Entra ID 也可以支援這些應用程式。

如需詳細資訊,請參閱 什麼是應用程式布建?

目錄間布建

Diagram that shows the inter-directory provisioning

許多組織都依賴 Active Directory 和 Microsoft Entra ID,而且可能會有應用程式連線到 Active Directory,例如內部部署檔案伺服器。

由於許多組織過去已部署內部部署人力資源驅動的布建,因此他們可能已經有 Active Directory 中所有員工的使用者身分識別。 最常見的目錄間布建案例是將已在 Active Directory 中的使用者布建到 Microsoft Entra ID。 此布建通常是由 Microsoft Entra 連線 Sync 或 Microsoft Entra 連線雲端布建來完成。

此外,組織可能也想要從 Microsoft Entra ID 布建至內部部署系統。 例如,組織可能已將來賓帶入 Microsoft Entra 目錄,但這些來賓需要透過應用程式 Proxy 存取內部部署 Windows 整合式驗證 (WIA) 型 Web 應用程式。 此案例需要為 Microsoft Entra ID 中的使用者布建內部部署 AD 帳戶。

如需詳細資訊,請參閱 什麼是目錄間布建?

下一步