在 Microsoft Entra 管理中心管理企业应用的用户帐户预配

本文介绍为支持自动用户帐户预配和取消预配的应用程序管理它们的常规步骤。 用户帐户预配是一种在应用程序的本地用户配置文件存储中,创建、更新和/或禁用用户帐户记录的操作。 大多数云和 SaaS 应用程序在用户自己的本地用户配置文件存储中存储角色和权限。 用户的本地存储中必须存在这样的用户记录,才能使单一登录和访问生效。 若要了解有关用户帐户自动预配的详细信息,请参阅使用 Microsoft Entra ID 自动化 SaaS 应用程序用户预配和取消预配

重要

Microsoft Entra ID 有一个库,其中包含数千个预先集成的应用程序,这些应用程序通过 Microsoft Entra ID 启用了自动预配。 首先应在有关如何将 SaaS 应用与 Microsoft Entra ID 集成的教程列表中找到特定于应用程序的预配设置教程。 你可能会找到有关配置应用程序和 Microsoft Entra ID 以创建预配连接的分步指导。

在门户中查找应用

提示

本文中的步骤可能因开始使用的门户而略有不同。

使用 Microsoft Entra 管理中心查看和管理在目录中为单一登录配置的所有应用程序。 企业应用是在组织内部署和使用的应用。 请按照以下步骤来查看和管理企业应用程序:

  1. 至少以应用程序管理员的身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“应用程序”>“企业应用程序”。

  3. 系统显示所有已配置的应用(包括从库中添加的应用)的列表。

  4. 选择任何应用以加载其资源窗格,可在其中查看报告和管理应用设置。

  5. 选择“预配”管理所选应用的用户帐户预配设置。

    Provisioning screen to manage user account provisioning settings

预配模式

在“预配”窗格中,一开始是“模式”菜单,其中显示了企业应用程序支持的预配模式,可以对这些模式进行配置。 可用选项包括:

  • 自动 - 如果 Microsoft Entra ID 支持基于 API 将用户帐户自动预配到此应用程序或取消预配,则会显示此选项。 选择此模式可显示一个界面来帮助管理员:

    • 配置 Microsoft Entra ID 以连接到应用程序的用户管理 API
    • 创建用于定义用户帐户数据如何在 Microsoft Entra ID 与应用之间流动的帐户映射和工作流
    • 管理 Microsoft Entra 预配服务
  • 手动 - 如果 Microsoft Entra ID 不支持自动预配此应用程序的用户帐户,则会显示此选项。 在此情况下,必须根据该应用程序提供的用户管理和预配功能(可能包括 SAML 实时预配),通过外部流程对存储在应用程序中的用户帐户记录进行管理。

配置用户帐户自动预配

选择“自动”选项来指定管理员凭据、映射、开始和停止以及同步的设置。

管理员凭据

展开“管理员凭据”以输入 Microsoft Entra ID 连接到应用程序的用户管理 API 所需的凭据。 所需输入取决于应用程序。 若要了解凭据类型以及具体应用程序的要求,请参阅具体应用程序的配置教程

选择“测试连接”以便让 Microsoft Entra ID 尝试使用提供的凭据连接到应用的预配应用,对凭据进行测试。

映射

在预配或更新用户帐户时,展开“映射”以查看和编辑在 Microsoft Entra ID 和目标应用程序之间转移的用户属性。

在 Microsoft Entra 用户对象和每个 SaaS 应用的用户对象之间存在预先配置的映射组。 某些应用还管理组对象。 在表中选择一个映射以打开映射编辑器,可以在其中查看和自定义映射。

支持的自定义项包括:

  • 启用和禁用特定对象的映射(例如从 Microsoft Entra 用户对象映射到 SaaS 应用的用户对象)。

  • 编辑从 Microsoft Entra 用户对象转移到应用的用户对象的属性。 有关属性映射的详细信息,请参阅了解属性映射类型

  • 筛选 Microsoft Entra ID 对目标应用程序运行的预配操作。 可以限制所运行的操作,而不必让 Microsoft Entra ID 完全同步对象。

    例如,只选择“更新”,Microsoft Entra 便只会更新应用程序中的现有用户帐户,但不会创建新帐户。 只选择“创建”,Azure 便只会创建新用户帐户,但不会更新现有帐户。 有了此功能,管理员就可以创建不同的映射来创建帐户,并更新工作流。

  • 添加新属性映射。 选择“属性映射”窗格底部的“添加新映射”。 填写“编辑属性”窗体,然后选择“确定”以将新映射添加到列表。

设置

展开“设置”以设置用于接收通知的电子邮件地址,并设置是否接收有关错误的警报。 另请选择要同步的用户范围。选择同步所有用户和组,或仅同步已分配的用户。

预配状态

如果是第一次为应用程序启用预配功能,则将“预配状态”更改为“开”即可启用该服务。 此更改会导致 Microsoft Entra 预配服务运行初始周期。 它会读取“用户和组”部分所分配的用户,查询其目标应用程序,然后运行在 Microsoft Entra ID 的“映射”部分定义的预配操作。 在此过程中,预配服务会存储有关它所管理的用户帐户的缓存数据。 该服务存储缓存数据,因此未在分配范围内的目标应用程序中的非托管帐户不会受到取消预配操作的影响。 初始周期以后,预配服务会自动按四十分钟的时间间隔同步用户和组对象。

将“预配状态”更改为“关”以暂停预配服务。 在这种状态下,Azure 不会创建、更新或删除应用中的任何用户或组对象。 将状态重新更改为“开”,服务会从中断的位置继续。