Gewusst wie: Exportieren einer Bereitstellungskonfiguration und Ausführen eines Rollbacks zu einem als funktionierend bekannten Zustand

  • Artikel

In diesem Artikel werden folgende Vorgehensweisen behandelt:

  • Exportieren und Importieren einer Bereitstellungskonfiguration aus dem Microsoft Entra Admin Center
  • Exportieren und Importieren Ihrer Bereitstellungskonfiguration mithilfe der Microsoft Graph-API

Exportieren und Importieren einer Bereitstellungskonfiguration aus dem Microsoft Entra Admin Center

Exportieren der Bereitstellungskonfiguration

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

So exportieren Sie Ihre Konfiguration

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.
  2. Wechseln Sie zu Identität>Anwendungen>Unternehmensanwendungen, und wählen Sie Ihre Anwendung aus.
  3. Wählen Sie im linken Navigationsbereich die Option Bereitstellung aus. Klicken Sie auf der Seite mit der Bereitstellungskonfiguration auf Attributzuordnungen, dann auf Erweiterte Optionen anzeigen und schließlich auf Schema überprüfen. Der Schema-Editor wird geöffnet.
  4. Klicken Sie in der Befehlsleiste oben auf der Seite auf „Download“, um Ihr Schema herunterzuladen.

Notfallwiederherstellung – Rollback auf einen als funktionierend bekannten Zustand

Durch das Exportieren und Speichern Ihrer Konfiguration können Sie ein Rollback auf eine frühere Version Ihrer Konfiguration ausführen. Wir empfehlen, die Bereitstellungskonfiguration zu exportieren und zu speichern, damit Sie sie später jederzeit bei Änderungen an den Attributzuordnungen oder Bereichsfiltern verwenden können. Öffnen Sie die JSON-Datei, die Sie heruntergeladen haben, und kopieren Sie den gesamten Inhalt. Ersetzen Sie als nächstes den gesamten Inhalt der JSON-Nutzlast im Schema-Editor, und speichern Sie. Falls ein aktiver Bereitstellungszyklus vorhanden ist, wird er abgeschlossen. Beim nächsten Zyklus wird das aktualisierte Schema verwendet. Der nächste Zyklus ist zudem ein Startzyklus, bei dem alle Benutzer und Gruppen anhand der neuen Konfiguration neu ausgewertet werden.

Bei einem Rollback auf eine frühere Konfiguration zu berücksichtigende Aspekte:

  • Die Benutzer werden erneut ausgewertet, um zu bestimmen, ob sie zum Bereich gehören sollen. Wenn sich die Bereichsfilter geändert haben, befindet sich ein Benutzer nicht mehr im Bereich, da er deaktiviert ist. Auch wenn dieses Verhalten in den meisten Fällen wünschenswert ist, gibt es auch Momente, in denen Sie das verhindern möchten. Um das Verhalten zu verhindern, verwenden Sie die Funktion Löschungen bei „Nicht im Bereich“ überspringen .
  • Durch die Änderung der Bereitstellungskonfiguration wird der Dienst neu gestartet, und ein Startzyklus wird ausgelöst.

Exportieren und Importieren Ihrer Bereitstellungskonfiguration mithilfe der Microsoft Graph-API

Mit Microsoft Graph-API und dem Microsoft Graph-Tester können Sie die Attributzuordnungen und das Schema Ihrer Benutzerbereitstellung in eine JSON-Datei exportieren und wieder in Microsoft Entra ID importieren. Sie können die hier aufgeführten Schritte auch verwenden, um eine Sicherung Ihrer Bereitstellungskonfiguration zu erstellen.

Schritt 1: Abrufen der Dienstprinzipal-ID der Bereitstellungs-App (Objekt-ID)

  1. Melden Sie sich beim Microsoft Entra Admin Center an, und wechseln Sie zum Abschnitt „Eigenschaften“ Ihrer Bereitstellungsanwendung. Wenn Sie beispielsweise die Zuordnung Ihrer Anwendung für die Benutzerbereitstellung von Workday in AD exportieren möchten, navigieren Sie zum Abschnitt „Eigenschaften“ dieser App.

  2. Kopieren Sie im Abschnitt „Eigenschaften“ Ihrer Bereitstellungs-App den GUID-Wert, der dem Feld Objekt-ID zugeordnet ist. Dieser Wert wird auch als die ServicePrincipalId Ihrer App bezeichnet und in Microsoft Graph-Tester-Vorgängen verwendet.

    Workday App Service Principal ID

Schritt 2: Anmelden bei Microsoft Graph-Tester

  1. Starten Sie den Microsoft Graph-Tester.

  2. Klicken Sie auf die Schaltfläche „Mit Microsoft anmelden“, und melden Sie sich mit den Anmeldeinformationen für den globalen Microsoft Entra-Administrator oder mit den Anmeldeinformationen für den App-Administrator an.

    Microsoft Graph Sign-in

  3. Nach der erfolgreichen Anmeldung sehen Sie die Details des Benutzerkontos im linken Bereich.

Schritt 3: Abrufen der Bereitstellungsauftrags-ID der Bereitstellungs-App

Führen Sie im Microsoft Graph-Tester die folgende GET-Abfrage durch und ersetzen Sie [servicePrincipalId] durch die in Schritt 1 extrahierte ServicePrincipalId.

   GET https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/jobs

Sie erhalten eine Antwort, wie unten dargestellt. Kopieren Sie das id-Attribut aus der Antwort. Dieser Wert ist die ProvisioningJobId und wird zum Abrufen der zugrundeliegenden Schemametadaten verwendet.

Provisioning Job ID

Schritt 4: Herunterladen des Bereitstellungsschemas

Führen Sie im Microsoft Graph-Tester die folgende GET-Abfrage durch und ersetzen Sie [servicePrincipalId] und [ProvisioningJobId] durch die in den vorherigen Schritten abgerufen Werten für „ServicePrincipalId“ und „ProvisioningJobId“.

   GET https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/jobs/[ProvisioningJobId]/schema

Kopieren Sie das JSON-Objekt aus der Antwort, und speichern Sie sie in einer Datei, um eine Sicherung des Schemas zu erstellen.

Schritt 5: Importieren des Bereitstellungsschemas

Achtung

Führen Sie diesen Schritt nur aus, wenn Sie das Schema für eine Konfiguration ändern müssen, die nicht über das Microsoft Entra Admin Center geändert werden kann, oder wenn Sie die Konfiguration aus einer zuvor gesicherten Datei mit einem gültigen und funktionierenden Schema wiederherstellen müssen.

Konfigurieren Sie im Microsoft Graph-Tester die folgende PUT-Abfrage durch und ersetzen Sie [servicePrincipalId] und [ProvisioningJobId] durch die in den vorherigen Schritten abgerufen Werten für „ServicePrincipalId“ und „ProvisioningJobId“.

    PUT https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/jobs/[ProvisioningJobId]/schema

Kopieren Sie auf der Registerkarte „Anforderungstext“ den Inhalt der JSON-Schemadatei.

Request Body

Fügen Sie auf der Registerkarte „Anforderungsheader“ das Content-Type-Header-Attribut mit dem Wert „application/json“ ein.

Request Headers

Klicken Sie auf Abfrage ausführen, um das neue Schema zu importieren.