Управление подготовкой учетных записей пользователей для корпоративных приложений в Центре администрирования Microsoft Entra

В этой статье описаны общие шаги по управлению автоматическим созданием и удалением учетных записей пользователей для приложений, поддерживающих эту функцию. Подготовка учетной записи пользователя — это создание, обновление или отключение записей для учетных записей пользователя в локальном хранилище профилей пользователей. Большинство облачных и saaS-приложений, а также многие локальные приложения хранят роль и разрешения в собственном локальном хранилище профилей пользователей приложения. Наличие такой записи пользователя в локальном хранилище приложения требуется для единого входа и доступа к работе. Дополнительные сведения об автоматической подготовке учетных записей пользователей см. в статье Автоматизация подготовки и отмены подготовки учетных записей пользователей для приложений SaaS с помощью Microsoft Entra ID.

Внимание

Идентификатор Microsoft Entra ID включает в себя галерею, содержащую тысячи предварительно интегрированных приложений, которые доступны для автоматического предоставления с помощью Microsoft Entra ID. Сначала найдите руководство по настройке управления, специфичное для вашего приложения, в списке учебников по интеграции приложений SaaS с Microsoft Entra ID. Скорее всего, вы найдете пошаговые инструкции по настройке как приложения, так и Microsoft Entra ID для создания подключения к передаче данных.

Поиск приложений на портале

Используйте Центр администрирования Microsoft Entra для просмотра и управления всеми приложениями, настроенными для единого входа в каталог. Корпоративные приложения — это приложения, развертываемые и используемые в вашей организации. Для просмотра корпоративных приложений и управления ими выполните указанные ниже действия.

  1. Войдите в центр администрирования Microsoft Entra как минимум в качестве администратора приложений.

  2. Перейдите к Entra ID>приложениям для предприятий.

  3. Отобразится список всех настроенных приложений, включая приложения, добавленные из коллекции.

  4. Выберите любое приложение, чтобы загрузить его область ресурсов, в которой можно просматривать отчеты и управлять параметрами приложения.

  5. Выберите Подготовка, чтобы управлять параметрами подготовки учетных записей пользователей для выбранного приложения.

    Экран подготовки для управления параметрами подготовки учетных записей пользователей

Режимы предоставления ресурсов

В области Подготовка сначала отображается меню Режим, в котором показаны режимы подготовки, поддерживаемые корпоративным приложением. Здесь их можно настроить. Доступны следующие параметры.

  • Автоматически . Этот параметр отображается, если идентификатор Microsoft Entra поддерживает автоматическую подготовку или аннулирование учетных записей пользователей в этом приложении с помощью API. Выберите этот режим для вывода интерфейса, позволяющего администраторам выполнять следующие действия:

    • Настройка идентификатора Microsoft Entra для подключения к API управления пользователями приложения
    • Создание сопоставлений учетных записей и рабочих процессов, определяющих, как данные учетной записи пользователя должны передаваться между идентификатором Microsoft Entra и приложением
    • Управление службой подготовки Microsoft Entra
  • Вручную . Этот параметр отображается, если идентификатор Microsoft Entra не поддерживает автоматическую подготовку учетных записей пользователей в этом приложении. В этом случае управление сведениями об учетных записях, хранящимися в приложении, должно осуществляться с помощью внешнего процесса на основе возможностей управления пользователями и их подготовки, предоставляемых соответствующим приложением (к ним может относиться JIT-подготовка SAML).

Настройка автоматической подготовки учетных записей пользователей

Выберите параметр Автоматически, чтобы указать параметры для учетных данных администратора, сопоставлений, запуска, остановки и синхронизации.

Учетные данные администратора

Разверните учетные данные администратора чтобы ввести учетные данные, необходимые для Microsoft Entra ID для подключения к API управления пользователями приложения. Требуемые входные данные зависят от приложения. Дополнительные сведения о типах учетных данных и требованиях для конкретных приложений см. в руководстве по конфигурации для конкретного приложения.

Выберите "Проверить подключение", чтобы проверить учетные данные, выполнив попытку идентификатора Microsoft Entra подключиться к приложению подготовки приложения с помощью предоставленных учетных данных.

Сопоставления

Разверните Сопоставления, чтобы просмотреть и изменить атрибуты пользователя, которые обмениваются между Microsoft Entra ID и целевым приложением при подготовке или обновлении учетных записей пользователей.

Существует предварительно настроенный набор сопоставлений между пользовательскими объектами Microsoft Entra и пользовательскими объектами каждого приложения SaaS. Некоторые приложения также управляют объектами групп. Выберите сопоставление в таблице, и отобразится редактор сопоставлений, где их можно просмотреть и настроить.

Поддерживаемые настройки

  • Включение и отключение сопоставлений для определенных объектов, таких как объект пользователя Microsoft Entra с объектом пользователя приложения SaaS.

  • Изменение атрибутов, поступающих из пользовательского объекта Microsoft Entra в объект пользователя приложения. Дополнительные сведения о сопоставлении атрибутов см. в разделе Основные сведения о типах сопоставления атрибутов.

  • Фильтрация действий развертывания, выполняемых Microsoft Entra ID в целевом приложении. Вместо полной синхронизации объектов Microsoft Entra ID можно ограничить выполняемые действия.

    Например, выберите только "Обновить", и Microsoft Entra обновит существующие учетные записи пользователей в приложении, но не создаст новые. Если выбрать только вариант Создать, Azure создаст учетные записи пользователей, но не обновит имеющиеся. Благодаря этой функции администраторы могут создавать различные сопоставления для рабочих процессов создания и обновления учетных записей.

  • Добавление нового сопоставления атрибутов. В нижней части области Сопоставление атрибутов выберите команду Добавить новое сопоставление. Заполните форму Изменить атрибут и нажмите кнопку ОК, чтобы добавить новое сопоставление в список.

Настройки

Разверните область Параметры, чтобы задать адрес электронной почты для получения уведомлений и указать, следует ли получать оповещения об ошибках. Кроме того, выберите область действия пользователей для синхронизации. Выберите синхронизацию всех пользователей и групп или только назначенных пользователей.

ProvisioningStatus

Если подготовка включается для приложения впервые, то включите службу, переместив переключатель Состояние подготовки в положение Вкл. Это изменение приводит к тому, что служба подготовки Microsoft Entra запускает начальный цикл. Он считывает пользователей, назначенных в разделе "Пользователи и группы", запрашивает целевое приложение для них, а затем выполняет действия подготовки, определенные в разделе сопоставления идентификаторов Microsoft Entra. Во время этого процесса служба подготовки хранит кэшированные данные о том, какие учетные записи пользователей она управляет. Служба хранит кэшированные данные, так что неконтролируемые учетные записи внутри целевых приложений, которые никогда не попадали в область назначения, не затрагиваются в операциях по отключению. После начального цикла служба управления доступом автоматически синхронизирует объекты пользователей и групп с интервалом в сорок минут.

Чтобы приостановить работу службы подготовки, измените значение состояния подготовки на Выкл. В этом состоянии Azure не создает, не обновляет и не удаляет объекты пользователей или групп в приложении. Измените значение состояния обратно на Вкл., и служба продолжит работу с места остановки.

Подсказка

Для приложений, у которых уже есть пользователи, используйте обнаружение учетных записей для идентификации и классификации существующих учетных записей перед включением процесса предоставления. Это помогает проверить конфигурацию соответствующего атрибута и избежать создания повторяющихся учетных записей.