Не удалять учетные записи пользователей, которые выходят за рамки действия в Microsoft Entra ID

По умолчанию система подготовки Microsoft Entra временно удаляет или отключает пользователей, которые выходят за рамки области охвата. Однако для некоторых сценариев, таких как входящая подготовка пользователей AD из Workday, это поведение может не соответствовать ожиданиям, и вам может потребоваться изменить это поведение по умолчанию.

В этой статье описывается, как использовать Microsoft API Graph и обозреватель Microsoft API Graph для установки флага SkipOutOfScopeDeletions, который управляет обработкой учетных записей, выходящих из области.

  • Если значение SkipOutOfScopeDeletions равно 0 (false), учетные записи, которые выходят вне области охвата, будут отключены в целевой системе.
  • Если параметр SkipOutOfScopeDeletions установлен на 1 (true), учетные записи, вышедшие за пределы области видимости, не отключаются в целевой системе. Этот флаг устанавливается на уровне Provisioning App и можно настроить с помощью API Graph.

Поскольку эта конфигурация широко используется с приложением Workday для процесса подготовки пользователей к Active Directory, следующие шаги включают в себя снимки экрана приложения Workday. Однако эту конфигурацию также можно использовать со всеми остальными приложениями, такими как ServiceNow, Salesforce и Dropbox. Чтобы успешно выполнить эту процедуру, необходимо сначала настроить подготовку приложений для приложения. У каждого приложения есть собственная статья для настройки. Например, чтобы настроить приложение Workday, см. учебник Tutorial: Настройка Workday для подготовки пользователей в Microsoft Entra. SkipOutOfScopeDeletions не работает для синхронизации между клиентами.

Шаг 1. Получение идентификатора участника службы приложений подготовки к работе (идентификатор объекта)

  1. Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора приложений.
  2. Перейдите на Entra ID>Enterprise apps.
  3. Выберите своё приложение и перейдите в раздел "Свойства" вашего приложения для управления. В этом примере мы используем Workday.
  4. Скопируйте значение GUID в поле идентификатора объекта. Это значение также называется ServicePrincipalId приложения и используется в операциях Graph Explorer.

Шаг 2. Вход в обозреватель Microsoft Graph

  1. Запустите обозреватель Microsoft Graph

  2. Нажмите кнопку "Sign-In с Майкрософт" и войдите как пользователь по крайней мере с ролью Application Administrator.

    Снимок экрана входа в Microsoft Graph Explorer.

  3. После успешного входа в систему в области слева отображаются сведения о учетной записи пользователя.

  4. Выберите вкладку "Изменить разрешения" и согласие на Synchronization.ReadWrite.All разрешение. Это разрешение требуется для запросов API Graph в следующих шагах.

Шаг 3. Получение учетных данных и сведений о подключении для существующих приложений

В обозревателе Microsoft Graph выполните следующий запрос GET, подставив значение ServicePrincipalId, извлечённое на Шаге 1.

   GET https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/secrets

Снимок экрана: запрос задания GET.

Скопируйте ответ в текстовый файл. Он похож на JSON текст, со значениями, выделенными желтым цветом, характерными для вашего развертывания. Добавьте в конец строки, выделенные зеленым, и обновите пароль подключения Workday, выделенный синим.

Снимок экрана: ответ задания GET.

Ниже приведен блок JSON для добавления в сопоставление.

{
  "key": "SkipOutOfScopeDeletions",
  "value": "True"
}

Шаг 4. Обновление конечной точки секрета с использованием флага SkipOutOfScopeDeletions

В Graph Explorer выполните команду, чтобы обновить конечную точку секретов с флагом SkipOutOfScopeDeletions.

Замените [servicePrincipalId] в URL на ServicePrincipalId, извлеченный из Шага 1.

   PUT https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/secrets

Скопируйте обновлённый текст из Шага 3 в тело запроса.

Снимок экрана: запрос PUT.

Выберите "Выполнить запрос".

Должен отобразиться результат "Успешно. Код состояния 204". Если появится сообщение об ошибке, может потребоваться проверить, есть ли у вашей учетной записи разрешения на чтение и запись для ServicePrincipalEndpoint. Это разрешение можно найти, щелкнув вкладку Изменить разрешения в Graph Explorer.

Снимок экрана: ответ PUT.

Шаг 5. Проверка того, что пользователи за пределами области не отключены

Можно проверить, приводит ли использование этого флага к ожидаемому поведению, обновив правила области видимости таким образом, чтобы выполнялся пропуск конкретного пользователя. В этом примере мы исключаем сотрудника с идентификатором 21173 (который ранее был в области охвата), добавив новое правило охвата.

Снимок экрана, на котором показан раздел

В следующем цикле предоставления ресурсов служба подготовки Microsoft Entra определяет, что пользователь 21173 выходит за пределы области охвата. SkipOutOfScopeDeletions Если свойство включено, то правило синхронизации для этого пользователя отображает сообщение.

  • Last updated on