Подготовка пользователей в приложения с помощью PowerShell
В следующей документации приведены сведения о конфигурации и руководстве по использованию универсального соединителя PowerShell и узла соединителя Extensible Connectivity(ECMA) для интеграции идентификатора Microsoft Entra с внешними системами, предлагающими API на основе Windows PowerShell.
Дополнительные сведения см . в техническом справочнике по Соединителю Windows PowerShell
Предварительные требования для подготовки с помощью PowerShell
В следующих разделах описаны предварительные требования для этого руководства.
Скачивание файлов установки PowerShell
Скачайте файлы установки PowerShell из нашего репозитория GitHub. Файлы установки состоят из файла конфигурации, входного файла, файла схемы и используемых скриптов.
Предварительные требования для локальной среды
Соединитель предоставляет мост между возможностями узла соединителя ECMA и Windows PowerShell. Прежде чем использовать соединитель, убедитесь, что на сервере, на котором размещен соединитель, сделайте следующее.
- Windows Server 2016 или более поздней версии.
- По крайней мере 3 ГБ ОЗУ для размещения агента подготовки.
- .NET Framework 4.7.2.
- Windows PowerShell 2.0, 3.0 или 4.0.
- Подключение между сервером размещения, соединителем и целевой системой, с которыми взаимодействуют скрипты PowerShell.
- Политика выполнения на сервере должна быть настроена, чтобы разрешить соединителю запускать скрипты Windows PowerShell. Если скрипты, выполняющиеся соединителем, не снабжены цифровой подписью, настройте политику выполнения с помощью следующей команды:
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
- Для развертывания этого соединителя требуется один или несколько скриптов PowerShell. Некоторые продукты Майкрософт могут предоставлять скрипты для использования с этим соединителем, а инструкция поддержки для этих скриптов будет предоставлена этим продуктом. Если вы разрабатываете собственные скрипты для использования с этим соединителем, вам потребуется ознакомиться с API агента управления расширяемыми подключениями для разработки и поддержания этих скриптов. Если вы интегрируете с сторонними системами с помощью собственных сценариев в рабочей среде, рекомендуется работать с сторонним поставщиком или партнером по развертыванию для получения справки, рекомендаций и поддержки этой интеграции.
Требования к облаку
- Клиент Microsoft Entra с идентификатором Microsoft Entra ID P1 или Premium P2 (или EMS E3 или E5). Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.
- Роль Администратора гибридных удостоверений для настройки агента подготовки и роль Администратора приложения или Администратора облачного приложения для настройки подготовки на портале Azure.
- Пользователи Microsoft Entra, которые должны быть подготовлены, уже должны быть заполнены любыми атрибутами, необходимыми схемой.
Скачивание, установка и настройка пакета агента подготовки Microsoft Entra Connect
Если вы уже скачали агент подготовки и настроили его для другого локального приложения, перейдите к следующему разделу.
- Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор удостоверений.
- Перейдите к >агентам синхронизации Microsoft>Entra Connect>Cloud sync>Agent.
Выберите "Скачать локальный агент", просмотрите условия обслуживания, а затем выберите "Принять условия" и "Скачать".
Примечание.
Используйте различные агенты подготовки для подготовки локальных приложений и облачной синхронизации Microsoft Entra Connect или подготовки на основе кадров. Все три сценария не должны управляться одним и тем же агентом.
Откройте установщик агента подготовки, примите условия предоставления услуг и щелкните Install (Установить).
Когда откроется мастер настройки агента подготовки Microsoft Entra, перейдите на вкладку "Выбор расширения " и выберите подготовку локального приложения при появлении запроса на включение расширения.
Агент подготовки использует веб-браузер операционной системы для отображения всплывающего окна для проверки подлинности в идентификаторе Microsoft Entra, а также поставщика удостоверений вашей организации. Если вы используете Internet Explorer в качестве браузера в Windows Server, вам может потребоваться добавить веб-сайты Майкрософт в список надежных сайтов браузера, чтобы позволить JavaScript работать правильно.
Укажите учетные данные администратора Microsoft Entra при появлении запроса на авторизацию. Пользователю требуется по крайней мере роль администратора гибридных удостоверений.
Нажмите кнопку "Подтвердить" , чтобы подтвердить этот параметр. После успешной установки можно выбрать " Выйти", а также закрыть установщик пакета агента подготовки.
Настройка локального приложения ECMA
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор приложений.
- Перейдите к приложениям Identity>Applications>Enterprise.
- Выберите Новое приложение.
- Найдите локальное приложение ECMA , присвойте приложению имя и нажмите кнопку "Создать ", чтобы добавить его в клиент.
- Перейдите на страницу подготовки приложения.
- Выберите Приступая к работе.
- На странице Подготовка измените режим на автоматический.
- В разделе On-Premises Connectivity (Локальные подключения) найдите только что развернутый агент и выберите Assign Agent(s) (Назначить агент).
- Не закрывайте это окно браузера по мере выполнения следующего шага настройки с помощью мастера настройки.
Поместите файл InputFile.txt и Schema.xml в расположениях
Прежде чем создать соединитель PowerShell для этого руководства, необходимо скопировать InputFile.txt и Schema.xml файл в правильные расположения. Эти файлы необходимы для скачивания в разделе "Скачать файлы установки PowerShell".
Файлы | расположение |
---|---|
InputFile.txt | C:\Program Files\Microsoft ECMA2Host\Service\ECMA\MAData |
Schema.xml | C:\Program Files\Microsoft ECMA2Host\Service\ECMA |
Настройка сертификата узла соединителя ECMA в Microsoft Entra
- На сервере Windows Server, где установлен агент подготовки, щелкните правой кнопкой мыши мастер настройки Microsoft ECMA2Host в меню "Пуск" и запустите от имени администратора. Запуск от имени администратора Windows необходим для создания необходимых журналов событий Windows.
- После запуска конфигурации узла соединителя ECMA, если вы впервые запустите мастер, попросите создать сертификат. Оставьте порт 8585 по умолчанию и выберите "Создать сертификат ", чтобы создать сертификат. Автоматически созданный сертификат будет самозаверяющим как часть доверенного корневого сертификата. Сертификат SAN соответствует имени узла.
- Выберите Сохранить.
Создание соединителя PowerShell
Общий экран
Запустите мастер настройки Microsoft ECMA2Host из меню "Пуск".
В верхней части выберите "Импорт " и выберите файл configuration.xml из шага 1.
Новый соединитель должен быть создан и отображаться красным цветом. Выберите Изменить.
Создайте секретный маркер, используемый для проверки подлинности идентификатора Microsoft Entra в соединителе. Для каждого приложения должно быть 12 символов и уникальных. Если у вас еще нет генератора секретов, можно использовать команду PowerShell, например следующую, чтобы создать пример случайной строки.
-join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
На странице "Свойства" все сведения должны быть заполнены. Таблица предоставляется в качестве ссылки. Нажмите кнопку Далее.
Свойство Значение Имя. Имя, выбранное для соединителя, которое должно быть уникальным для всех соединителей в вашей среде. Например, PowerShell
.Таймер автосинхронизации (в минутах) 120 Секретный токен Введите секретный маркер здесь. Он должен содержать не менее 12 знаков. Библиотека DLL расширения Для соединителя PowerShell выберите Microsoft.IAM.Connector.PowerShell.dll.
Подключение
Вкладка подключения позволяет указать параметры конфигурации для подключения к удаленной системе. Настройте вкладку подключения с информацией, предоставленной в таблице.
- На странице подключения все сведения должны быть заполнены. Таблица предоставляется в качестве ссылки. Нажмите кнопку Далее.
Параметр | Значение | Характер использования |
---|---|---|
Сервер | <Blank> | Имя сервера, к которому будет подключен соединитель. |
Домен | <Blank> | Домен учетных данных, который будет сохранен для использования при запуске соединителя. |
User | <Blank> | Имя пользователя учетных данных, которое будет сохранено для использования при запуске соединителя. |
Пароль | <Blank> | Пароль учетных данных, который будет сохранен для использования при запуске соединителя. |
Выполнять олицетворение учетной записи соединителя | Флажок снят | Если задано значение true, служба синхронизации выполняет скрипты Windows PowerShell в контексте указанных учетных данных. По возможности вместо олицетворения рекомендуется использовать параметр $Credentials, передаваемый в каждый сценарий. |
Загрузить профиль пользователя при олицетворении | Флажок снят | Указывает Windows загрузить профиль пользователя учетных данных для соединителя при олицетворении пользователя. Если олицетворяемый пользователь использует перемещаемый профиль, соединитель не загрузит этот профиль. |
Тип входа при олицетворении | нет | Тип входа при олицетворении. Дополнительные сведения см. в документации по dwLogonType. |
Только для подписанных сценариев | Флажок снят | Если установлено значение «истина», соединитель Windows PowerShell проверяет, содержит ли каждый сценарий действительную цифровую подпись. Если установлено значение «ложь», убедитесь, что для политики выполнения Windows PowerShell на сервере службы синхронизации установлено значение RemoteSigned или Unrestricted. |
Общее имя скрипта модуля (с расширением) | xADSyncPSConnectorModule.psm1 | Соединитель позволяет хранить в конфигурации общий модуль Windows PowerShell. При выполнении соединителем скрипта модуль Windows PowerShell извлекается в файловую систему, чтобы он мог импортироваться каждым скриптом. |
Общий скрипт модуля | Код модуля соединителя PowerShell для синхронизации AD в качестве значения. Этот модуль будет автоматически создан ECMA2Host при запуске соединителя. | |
Скрипт проверки | <Blank> | Сценарий проверки является необязательным сценарием Windows PowerShell, который может использоваться для проверки допустимости параметров конфигурации соединителя, установленных администратором. |
Скрипт схемы | Код GetSchema в качестве значения. | |
Дополнительные имена параметров конфигурации | FileName, Разделитель, кодировка | Помимо стандартных настроек конфигурации, можно определить дополнительные настраиваемые параметры конфигурации, относящиеся к конкретному экземпляру соединителя. Эти параметры могут быть заданы на уровнях соединителя, секции или этапа выполнения. Доступ к ним можно получить из соответствующего сценария Windows PowerShell. |
Дополнительные зашифрованные имена параметров конфигурации | <Blank> |
Возможности
Вкладка возможностей определяет поведение и функциональные возможности соединителя. Выбранные на этой вкладке параметры после создания соединителя изменить нельзя. Настройте вкладку возможностей с информацией, предоставленной в таблице.
- На странице "Возможности" все сведения должны быть заполнены. Таблица предоставляется в качестве ссылки. Нажмите кнопку Далее.
Параметр | Значение | Характер использования |
---|---|---|
Стиль различающегося имени | нет | Указывает, поддерживает ли соединитель различающиеся имена, и, если это так, определяет их стили. |
Тип экспорта | ObjectReplace | Определяет тип объектов, которые представлены в сценарии экспорта. |
Нормализация данных | нет | Указывает службе синхронизации нормализовать привязки атрибутов, перед тем как они будут заданы в сценариях. |
Подтверждение объекта | Обычная | Это игнорируется. |
Использование DN как привязки | Флажок снят | Если для стиля различающегося имени установлено значение LDAP, атрибут привязки для пространства соединителя также является различающимся именем. |
Параллельная работа нескольких соединителей | Флажок установлен | Если этот флажок установлен, можно одновременно запустить несколько соединителей Windows PowerShell. |
Секции | Флажок снят | Если этот флажок установлен, соединитель будет поддерживать несколько секций и функцию их обнаружения. |
Иерархия | Флажок снят | Если этот флажок установлен, соединитель будет поддерживать иерархическую структуру стиля LDAP. |
Включить импорт | Флажок установлен | Если этот флажок установлен, соединитель импортирует данные с помощью скриптов импорта. |
Включить импорт изменений | Флажок снят | Если этот флажок установлен, соединитель может подавать в сценарии импорта запросы на изменения. |
Включить экспорт | Флажок установлен | Если этот флажок установлен, соединитель экспортирует данные с помощью скриптов экспорта. |
Включить полный экспорт | Флажок установлен | Не поддерживается. Это будет игнорироваться. |
Без ссылочных значений на первом этапе экспорта | Флажок снят | Если этот флажок установлен, ссылочные атрибуты экспортируются на втором этапе экспорта. |
Включить переименование объекта | Флажок снят | Если этот флажок установлен, различающиеся имена можно изменить. |
Удаление и добавление как замена | Флажок установлен | Не поддерживается. Это будет игнорироваться. |
Включить пароль для экспорта на первом этапе | Флажок снят | Не поддерживается. Это будет игнорироваться. |
Глобальные параметры
Вкладка "Глобальные параметры" позволяет настроить скрипты Windows PowerShell, которые выполняются соединителем. Вы также можете настроить глобальные значения для пользовательских параметров конфигурации, определенных на вкладке "Подключение". Настройте вкладку глобальных параметров с информацией, предоставленной в таблице.
- На странице глобальных параметров все сведения должны быть заполнены. Таблица предоставляется в качестве ссылки. Нажмите кнопку Далее.
Параметр | Значение |
---|---|
Скрипт секции | <Blank> |
Скрипт иерархии | <Blank> |
Начало импорта скрипта | <Blank> |
Импорт скрипта | Вставка скрипта импорта в качестве значения |
Скрипт завершения импорта | <Blank> |
Начать экспорт скрипта | <Blank> |
Экспорт скрипта | Вставка скрипта импорта в качестве значения |
Скрипт завершения экспорта | <Blank> |
Начало скрипта пароля | <Blank> |
Скрипт расширения паролей | <Blank> |
Скрипт завершения пароля | <Blank> |
FileName_Global | InputFile.txt |
Delimiter_Global | ; |
Encoding_Global | <Пустое> (по умолчанию — UTF8) |
Секции, профили запуска, экспорт, FullImport
Сохраните значения по умолчанию и нажмите кнопку " Далее".
Типы объектов
Настройте вкладку типов объектов с информацией, предоставленной в таблице.
- На странице типов объектов все сведения должны быть заполнены. Таблица предоставляется в качестве ссылки. Нажмите кнопку Далее.
Параметр | Значение |
---|---|
Целевой объект | Лицо |
Привязка | AzureObjectID |
Атрибут запроса | AzureObjectID |
DN | AzureObjectID |
Выбор атрибутов
Убедитесь, что выбраны следующие атрибуты:
На странице выбора атрибутов все сведения должны быть заполнены. Таблица предоставляется в качестве ссылки. Нажмите кнопку Далее.
AzureObjectID
IsActive
DisplayName
EmployeeId
Заголовок
UserName
Эл. почта
Отмена подготовки
На странице отмены подготовки можно указать, следует ли удалить пользователей из каталога при выходе из области применения приложения идентификатора Microsoft Entra. В этом случае в разделе "Отключить поток" выберите "Удалить" и в разделе "Удалить" выберите "Удалить". Если выбрано значение атрибута Set, атрибуты, выбранные на предыдущей странице, не будут доступны для выбора на странице отмены подготовки.
- На странице отмены подготовки все сведения должны быть заполнены. Таблица предоставляется в качестве ссылки. Нажмите кнопку Далее.
Убедитесь, что служба ECMA2Host запущена и может считываться из файла с помощью PowerShell
Выполните следующие действия, чтобы убедиться, что узел соединителя запущен и определил существующих пользователей из целевой системы.
- На сервере под управлением узла соединителя Microsoft Entra ECMA нажмите кнопку "Пуск".
- Выберите запуск при необходимости, а затем введите services.msc в поле.
- Убедитесь, что Microsoft ECMA2Host отображается в списке служб и она запущена. Если он не запущен, нажмите кнопку "Пуск".
- На сервере, на котором запущен узел соединителя Microsoft Entra ECMA, запустите PowerShell.
- Перейдите в папку, в которой был установлен узел ECMA, например
C:\Program Files\Microsoft ECMA2Host
. - Перейдите в подкаталог
Troubleshooting
. - Запустите скрипт
TestECMA2HostConnection.ps1
в каталоге, как показано, и укажите в качестве аргументов имя соединителя иObjectTypePath
значениеcache
. Если узел соединителя не прослушивает TCP-порт 8585, возможно, также потребуется предоставить-Port
аргумент. При появлении запроса введите секретный маркер, настроенный для этого соединителя.PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> $cout = .\TestECMA2HostConnection.ps1 -ConnectorName PowerShell -ObjectTypePath cache; $cout.length -gt 9 Supply values for the following parameters: SecretToken: ************
- Если скрипт отображает сообщение об ошибке или предупреждении, убедитесь, что служба запущена, а имя соединителя и секретный маркер соответствуют этим значениям, настроенным в мастере настройки.
- Если скрипт отображает выходные данные
False
, соединитель не видел никаких записей в исходной целевой системе для существующих пользователей. Если это новая целевая установка системы, это поведение должно быть ожидаемым, и вы можете продолжить работу в следующем разделе. - Однако если целевая система уже содержит одного или нескольких пользователей, но отображаемый
False
скрипт, то это состояние указывает, что соединитель не мог прочитать из целевой системы. При попытке подготовить идентификатор Microsoft Entra может неправильно соответствовать пользователям в этом исходном каталоге с пользователями в идентификаторе Microsoft Entra. Подождите несколько минут, пока узел соединителя завершит чтение объектов из существующей целевой системы, а затем повторно запустите скрипт. Если выходные данные продолжаютсяFalse
, проверьте конфигурацию соединителя и разрешения в целевой системе позволяют соединителю читать существующих пользователей.
Проверка подключения из идентификатора Microsoft Entra к узлу соединителя
Вернитесь в окно веб-браузера, в котором вы настроили подготовку приложений на портале.
Примечание.
Если время ожидания окна истекло, необходимо повторно выбрать агент.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор приложений.
- Перейдите к приложениям Identity>Applications>Enterprise.
- Выберите вариант Локальное приложение ECMA.
- Выберите Подготовка.
- Если появится окно Начало работы, в разделе Локальное подключение измените режим на Автоматический, выберите только что развернутый агент, щелкните команду Назначить агенты и подождите 10 минут. Если окно не появится, перейдите к разделу Изменение подготовки.
Введите указанный ниже URL-адрес в разделе Учетные данные администратора. Замените
connectorName
часть именем соединителя на узле ECMA, напримерPowerShell
. Если вы предоставили сертификат из центра сертификации для узла ECMA, заменитеlocalhost
его именем сервера, на котором установлен узел ECMA.Свойство Значение URL-адрес клиента https://localhost:8585/ecma2host_connectorName/scim Введите значение секретного токена, которое вы определили при создании соединителя.
Примечание.
Если вы назначили агент для приложения только что, подождите 10 минут, пока не завершится регистрация. Проверку подключения можно произвести только после завершения регистрации. Ускорить процесс регистрации можно, принудительно завершив регистрацию агента путем перезапуска агента подготовки на сервере. Перейдите на сервер, найдите службы в строке поиска Windows, определите службу агента подготовки Microsoft Entra Connect, щелкните правой кнопкой мыши службу и перезапустите ее.
Нажмите Проверить соединение и подождите одну минуту.
После успешного тестирования подключения и указывает, что предоставленные учетные данные разрешены для включения подготовки, нажмите кнопку "Сохранить".
Настройка подключения приложения
Вернитесь в окно веб-браузера, в котором настроили подготовку приложения.
Примечание.
Если время ожидания окна истекло, необходимо повторно выбрать агент.
Войдите в Центр администрирования Microsoft Entra как минимум администратор приложений.
Перейдите к приложениям Identity>Applications>Enterprise.
Выберите вариант Локальное приложение ECMA.
Выберите Подготовка.
Если появится режим "Начало работы", измените режим на "Автоматический" в разделе "Локальное подключение", выберите агент, который вы развернули, и выберите "Назначить агенты". Если окно не появится, перейдите к разделу Изменение подготовки.
Введите указанный ниже URL-адрес в разделе Учетные данные администратора. Замените
{connectorName}
часть именем соединителя на узле соединителя ECMA, например CSV. Имя соединителя учитывает регистр и должно быть таким же, как и в мастере. Вы также можете заменитьlocalhost
имя узла компьютера.Свойство Значение URL-адрес клиента https://localhost:8585/ecma2host_CSV/scim
Введите значение секретного токена, которое вы определили при создании соединителя.
Примечание.
Если вы назначили агент для приложения только что, подождите 10 минут, пока не завершится регистрация. Проверку подключения можно произвести только после завершения регистрации. Ускорить процесс регистрации можно, принудительно завершив регистрацию агента путем перезапуска агента подготовки на сервере. Перейдите на сервер, найдите службы в строке поиска Windows, определите службу агента подготовки Microsoft Entra Connect, щелкните правой кнопкой мыши службу и перезапустите ее.
Нажмите Проверить соединение и подождите одну минуту.
После успешного тестирования подключения и указывает, что предоставленные учетные данные разрешены для включения подготовки, нажмите кнопку "Сохранить".
Настройка сопоставлений атрибутов
Теперь необходимо сопоставить атрибуты между представлением пользователя в идентификаторе Microsoft Entra и представлением пользователя в локальной InputFile.txt.
Вы будете использовать портал Azure для настройки сопоставления атрибутов пользователя Microsoft Entra и атрибутов, выбранных ранее в мастере настройки узла ECMA.
Войдите в Центр администрирования Microsoft Entra как минимум администратор приложений.
Перейдите к приложениям Identity>Applications>Enterprise.
Выберите вариант Локальное приложение ECMA.
Выберите Подготовка.
Выберите Изменить подготовку и подождите 10 секунд.
Разверните сопоставления и выберите "Подготовка пользователей Microsoft Entra". Если это первый раз, когда вы настроили сопоставления атрибутов для этого приложения, для заполнителя будет только одно сопоставление.
Чтобы убедиться, что схема доступна в идентификаторе Microsoft Entra, установите флажок "Показать расширенные параметры " и выберите "Изменить список атрибутов" для ScimOnPremises. Убедитесь, что перечислены все атрибуты, выбранные в мастере настройки. Если нет, подождите несколько минут, пока схема будет обновлена, а затем перезагрузите страницу. Когда вы увидите перечисленные атрибуты, а затем отмените с этой страницы, чтобы вернуться в список сопоставлений.
Теперь щелкните сопоставление userPrincipalName PLACEHOLDER. Это сопоставление добавляется по умолчанию при первой настройке локальной подготовки. Измените значение, соответствующее следующему:
Тип сопоставления Атрибут источника Целевой атрибут Напрямую userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName Теперь выберите " Добавить новое сопоставление" и повторите следующий шаг для каждого сопоставления.
Укажите исходные и целевые атрибуты для каждого сопоставления в следующей таблице.
Тип сопоставления Атрибут источника Целевой атрибут Напрямую objectId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:AzureObjectID Напрямую userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName Напрямую displayName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:DisplayName Напрямую employeeId urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:EmployeeId Напрямую jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Title Напрямую mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:Email Expression Switch([IsSoftDeleted], "False", "True", "True", "False") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:IsActive После добавления всех сопоставлений нажмите кнопку Сохранить.
Назначение пользователя или группы корпоративному приложению в предварительной версии Azure Active Directory
Теперь, когда у вас есть узел соединителя Microsoft Entra ECMA, который разговаривает с идентификатором Microsoft Entra и настроен сопоставление атрибутов, можно перейти к настройке, которая находится в области подготовки.
Внимание
Если вы вошли с помощью роли администратора гибридных удостоверений, необходимо выйти и войти с учетной записью, которая имеет по крайней мере роль администратора приложений для этого раздела. Роль администратора гибридных удостоверений не имеет разрешений на назначение пользователей приложениям.
Если в InputFile.txt есть пользователи, необходимо создать назначения ролей приложения для существующих пользователей. Дополнительные сведения о том, как создавать назначения ролей приложения в массовом режиме, см. в разделе управления существующими пользователями приложения в идентификаторе Microsoft Entra.
В противном случае, если текущих пользователей приложения нет, выберите тестового пользователя из Microsoft Entra, который будет подготовлен для приложения.
- Убедитесь, что выбранный пользователь имеет все свойства, сопоставленные с необходимыми атрибутами схемы.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор приложений.
- Перейдите к приложениям Identity>Applications>Enterprise.
- Выберите вариант Локальное приложение ECMA.
- В левой части экрана последовательно выберите Управление и Пользователи и группы.
- Выберите Добавить пользователя или группу.
- В меню Пользователи нажмите Не выбрано.
- Выберите нужных пользователей справа и нажмите кнопку Выбрать.
- Теперь нажмите Назначить.
Тестирование подготовки
Теперь, когда атрибуты сопоставлены, а пользователи назначены, можно протестировать подготовку по требованию на примере одного из пользователей.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор приложений.
- Перейдите к приложениям Identity>Applications>Enterprise.
- Выберите вариант Локальное приложение ECMA.
- Выберите Подготовка.
- Выберите Подготовка по требованию.
- Найдите одного из тестовых пользователей и выберите Подготовить.
- Через несколько секунд появится сообщение об успешном создании пользователя в целевой системе с списком атрибутов пользователя.
Начало подготовки пользователей
- После успешной подготовки по запросу вернитесь на страницу настройки подготовки. Убедитесь, что в качестве области выбраны только назначенные пользователи и группы, активируйте подготовку и нажмите кнопку Сохранить.
- Подождите несколько минут, пока начнется подготовка. Она может занять до 40 минут. После завершения задания подготовки, как описано в следующем разделе, вы можете изменить состояние подготовки на "Выкл." и нажмите кнопку "Сохранить". После этого служба подготовки перестанет запускаться.