Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Когда организации принимают Microsoft Entra ID для подготовки приложений, целевые приложения часто содержат учетные записи пользователей, созданные перед настройкой подготовки. Обнаружение учетных записей помогает найти эти существующие учетные записи, сопоставить их с Microsoft Entra ID пользователями и классифицировать их, чтобы можно было использовать неуправляемые удостоверения в системе управления. После завершения процесса интеграции в систему ресурсного обеспечения администраторы приложений могут вручную создавать учетные записи в приложении. Этот отчет позволяет организациям определять локальные или осиротевшие учетные записи как во время начальной адаптации, так и после внедрения процессов обеспечения.
Обнаружение учетных записей извлекает все учетные записи пользователей из целевого приложения и классифицирует их на три категории:
- Local accounts — учетные записи в целевом приложении, у которых нет соответствующего пользователя в Microsoft Entra ID. Эти учетные записи могут принадлежать бывшим сотрудникам, учетным записям служб, пользователям, которые были подготовлены с помощью другого процесса или учетных записей, которые не совпадали из-за проблем с качеством данных (например, несоответствие или устаревшие значения атрибутов).
- Unassigned users — учетные записи, которые соответствуют пользователю в Microsoft Entra ID, но ему не назначено приложение предприятия. Эти пользователи существуют в каталоге, но не имеют требуемого назначения приложения для подготовки к управлению ими.
- Assigned users — учетные записи, соответствующие пользователю Microsoft Entra ID, которому назначено приложение предприятия. Эти учетные записи полностью управляются службой предоставления.
Эта классификация дает представление о том, кто имеет доступ к приложениям и помогает определить учетные записи, которые должны управляться, переназначены или удалены.
Это важно
Функция обнаружения учетных записей в настоящее время находится в предварительной версии. Эта информация относится к предварительному продукту, который может быть существенно изменен до выпуска. Microsoft не дает никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.
Необходимые условия
Прежде чем использовать обнаружение учетных записей, необходимо выполнить следующие действия.
- Лицензия на дополнительную функцию Управление Microsoft Entra ID или Microsoft Entra Suite. Дополнительные сведения о доступности компонентов по лицензии см. в разделе Управление Microsoft Entra ID основы лицензирования.
- Корпоративное приложение, настроенное для предоставления ресурсов с использованием допустимых учетных данных и проверенное успешным тестовым подключением.
- Сопоставление атрибутов прямого соответствия настроено между Microsoft Entra ID и целевым приложением. Обнаружение учетных записей использует первый соответствующий атрибут для сопоставления пользователей между двумя системами.
- Одна из следующих ролей: администратор приложений, администратор облачных приложений или администратор гибридных удостоверений.
Известные ограничения
- Для обнаружения учетных записей требуется прямой соответствующий атрибут для корреляции пользователей. Преобразования на основе выражений не поддерживаются для сопоставления.
- Если настроены несколько соответствующих атрибутов, используется только первый соответствующий атрибут.
Поддержка приложений
Для соединителей на основе SCIM обнаружение учетных записей требует, чтобы приложение поддерживало RFC 7644, раздел 3.4.2.4.
Соединители с установленным поведением обнаружения
Клиенты, использующие обнаружение учетных записей со следующими приложениями, постоянно получают полные результаты обнаружения:
- Atlassian Cloud
- SCIM (Система управления идентификацией в междоменной среде)
- Salesforce
- Облачные службы удостоверений SAP
- ECMA (обеспечивает поддержку локальных приложений через SQL, LDAP, веб-службы и соединители PowerShell)
- GitHub Enterprise Cloud (см. здесь для ограничений)
Соединители, которые не поддерживают обнаружение
Обнаружение учетных записей в настоящее время не поддерживается для следующих приложений:
- Подготовка кадров (Workday, SAP SuccessFactors, подготовка на основе API)
- ServiceNow
- Amazon Web Services (AWS)
- Snowflake
Все остальные соединители
Обнаружение учетных записей можно включить для всех остальных поддерживаемых соединителей. Результаты обнаружения могут отличаться в зависимости от того, поддерживает ли целевое приложение перечисление пользователей и разбиение на страницы с помощью API SCIM. Если отчет об обнаружении содержит 0 результатов, убедитесь, что в сопоставлениях атрибутов настроен один прямой соответствующий атрибут (без выражений). Затем убедитесь, что приложение поддерживает разбиение на страницы в соответствии со стандартом SCIM в разделе 3.4.2.4 .
Обнаружение идентичностей в целевом приложении
Чтобы обнаружить существующие учетные записи пользователей в целевом приложении:
- Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора приложений.
- Перейдите в раздел Идентификация>Приложения>Корпоративные приложения.
- Выберите приложение, для которого нужно обнаружить идентификаторы.
- В области навигации слева выберите "Подготовка".
- Убедитесь, что в конфигурации подготовки есть допустимые учетные данные и успешное тестовое подключение.
- Выберите Обнаружение идентичностей.
Служба подготовки извлекает все учетные записи пользователей из целевого приложения и отображает их по категориям. Обнаружение занимает не менее 30 минут, чтобы создать отчет. Обратите внимание, что чем больше учетных записей, включенных в целевое приложение, тем больше времени занимает отчет. Например, приложение с учетными записями 250K может занять 12 часов или больше, чтобы создать отчет об обнаружении.
Проверка обнаруженных учетных записей
После завершения процесса обнаружения просмотрите результаты в каждой категории:
Локальные учетные записи
Локальные учетные записи существуют в целевом приложении, но не имеют соответствующего пользователя в Microsoft Entra ID. Эти учетные записи могут представлять следующее:
- Бывшие сотрудники, учетные записи каталога которых были удалены, но учетные записи приложений не были удалены.
- Учетные записи служб или общие учетные записи, созданные непосредственно в приложении.
- Пользователи, созданные через отдельный процесс, который не использовал Microsoft Entra ID.
- Сценарий, в котором возникает проблема с качеством данных, препятствующая совпадению.
Просмотрите эти учетные записи, чтобы определить, следует ли их удалять из целевого приложения, сопоставлять с существующим пользователем Microsoft Entra ID или хранить без изменений.
Неназначенные пользователи
Неназначенные пользователи соответствуют пользователю Microsoft Entra ID на основе соответствующего атрибута, но не назначены корпоративному приложению. Чтобы перенести эти учетные записи в управление предоставлением, выполните следующие действия.
- Перейдите на страницу пользователей и групп корпоративного приложения.
- Назначьте соответствующих пользователей или групп приложению.
- После назначения служба подготовки управляет этими учетными записями при последующих циклах подготовки.
Назначенные пользователи
Назначенные пользователи соответствуют Microsoft Entra ID пользователю, которому уже назначено приложение. Эти учетные записи полностью управляются службой предоставления. Никаких действий не требуется, если вы не хотите просматривать или обновлять их сопоставления атрибутов.
Фильтрация и результаты поиска
Используйте возможности поиска и фильтрации для поиска определенных учетных записей:
- Выполните поиск учетных записей по имени или значениям атрибута.
- Фильтруйте результаты по категориям (локальные, неназначенные или назначенные).
- Управление столбцами для просмотра импортированных атрибутов из целевого приложения и состояния корреляции.
Назначение коррелированных пользователей корпоративным приложениям и /или пакетам доступа
Обнаружив пользователей в приложении, вы можете легко назначить этих пользователей корпоративному приложению или пакету доступа. Скачайте файл Assign-CorrelatedUsersWithRules.ps1 и запустите командлет PowerShell, чтобы назначить пользователей. Скрипты должны выполняться в PowerShell 7.X.
Необязательные параметры
| Parameter | Description |
|---|---|
-DryRun |
Показывает, что произойдет без внесения изменений. |
-SkipAppRoleAssignment |
Только управление пакетами доступа, пропустить назначение ролей приложения |
| Обнаружение дублей | Проверяет наличие существующих назначений перед созданием новых назначений |
| Фильтр состояния на стороне клиента | Проверяет, соответствует ли результаты API ожидаемому состоянию (защита от причудливых API) |
-OutputFile |
Полный путь аудита в формате CSV с метками времени, действиями и сведениями об ошибке |
| Строгий режим | Запускается с Set-StrictMode -Version Latest и $ErrorActionPreference = "Stop" для быстрого прекращения при непредвиденных проблемах |
Пример сценариев
Назначьте всех коррелированных пользователей корпоративному приложению:
pwsh -File '.\Assign-CorrelatedUsers.ps1' -ServicePrincipalId "7A22..."Назначьте всех коррелированных пользователей конкретному пакету доступа (пример файла правил ):
pwsh -File '.\Assign-CorrelatedUsers.ps1' -ServicePrincipalId '7A22...' -RulesFile '.\access-package-rules-internal.csv' -DryRun -OutputFile '.\results-dryrun.csv'Назначьте пользователей пакетам на основе правил, которые вы определяете (пример файла правил):
pwsh -ExecutionPolicy Bypass -File '.\Assign-CorrelatedUsers.ps1' -ServicePrincipalId "7A22..." `-RulesFile ".\access-package-rules.csv"Назначьте пользователям доступ к пакетам, предусмотрев резервный пакет для тех пользователей, которые не подпадают под действие ни одного из определенных правил.
pwsh -ExecutionPolicy Bypass -File '.\Assign-CorrelatedUsers.ps1' -ServicePrincipalId "7A22..." `-RulesFile ".\access-package-rules.csv" `-AccessPackageId "fallback-pkg-id" -PolicyId "fallback-policy-id" `-FallbackBehavior UseFallbackНазначьте пользователям доступ к пакетам и пропустите назначения ролей приложений.
pwsh -ExecutionPolicy Bypass -File '.\Assign-CorrelatedUsers.ps1' -ServicePrincipalId "7A22..." `-RulesFile ".\access-package-rules.csv" -SkipAppRoleAssignment
Описание файла правил
Файл правил — это стандартный CSV-файл со следующими столбцами:
| Column | Purpose |
|---|---|
RuleGroup |
Строки, совместно использующие один и тот же номер группы, соединяются с применением логической операции И. Различные группы оцениваются независимо. |
PropertyName |
Ключ в целевом контейнере свойств SCIM (например userType, , urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department). Имена свойств можно найти в интерфейсе Discovery при просмотре атрибутов для отдельного пользователя или в ваших сопоставлениях атрибутов провизирования. |
Operator |
eq | ne | contains | startswith | endswith | regex |
Value |
Значение для сравнения (вне зависимости от регистра). |
AccessPackageId |
Пакет доступа, назначаемый при совпадении группы. Эти сведения можно найти в URL-адресе при навигации к пакету доступа в административном центре Microsoft Entra. |
PolicyId |
Политика назначения для этого пакета доступа. Это содержится в URL-адресе при переходе к пакету доступа в административный центр Microsoft Entra. |
Интеграция с управлением удостоверениями
Обнаружение учетных записей работает вместе с Управление Microsoft Entra ID для управления полным жизненным циклом идентификаций. После обнаружения идентификаторов в целевых приложениях вы можете:
- Назначьте существующим пользователям пакеты доступа, чтобы управлять доступом вперед, выполнять проверки пакетов доступа для сертификации доступа и настраивать рабочие процессы жизненного цикла для автоматизации управления жизненным циклом.
- Настройте управление правами для управления доступом к приложению.
- Настройте рабочие процессы жизненного цикла для автоматизации управления доступом на основе событий жизненного цикла пользователя.
Дополнительные сведения об управлении доступом к приложениям см. в разделе "Управление доступом для приложений в вашей среде".
Связанный контент
- Настройка автоматической подготовки пользователей для корпоративного приложения
- Как работает провизирование приложений в Microsoft Entra ID
- Управление несоответветными пользователями приложений
- Настройка сопоставлений атрибутов приложения
- Что такое подготовка с использованием Microsoft Entra ID?
Для разработчиков приложений
Чтобы обнаружение учетных записей работало с целевым приложением, приложение должно поддерживать разбиение на страницы SCIM, как описано в rfC 7644, разделе 3.4.2.4. Служба подготовки использует разбиение на страницы для получения всех учетных записей пользователей из целевого приложения во время процесса обнаружения.