Administrar asignaciones y usuarios en aplicaciones que no coincidían con los usuarios en Microsoft Entra ID

Cuando usted está integrando una aplicación existente con Microsoft Entra ID, para aprovisionamiento o inicio de sesión único (SSO), puede determinar que hay usuarios en el almacén de datos de la aplicación que no se corresponden con usuarios en Microsoft Entra ID, o que no se corresponden con ningún usuario en Microsoft Entra ID.

El servicio de aprovisionamiento de Microsoft Entra se basa en reglas de coincidencia configurables para determinar si un usuario de Microsoft Entra ID corresponde a un usuario de la aplicación, buscando la aplicación para un usuario con la propiedad coincidente de un usuario de Microsoft Entra ID. Por ejemplo, supongamos que la regla de coincidencia es comparar el atributo userPrincipalName de un usuario de Id. de Microsoft Entra con la propiedad userName de una aplicación. Cuando un usuario de Microsoft Entra ID con un valor de userPrincipalName de alice.smith@contoso.com se asigna al rol de una aplicación, el servicio de aprovisionamiento de Microsoft Entra realiza una búsqueda de la aplicación, con una consulta como userName eq "alice.smith@contoso.com". Si la búsqueda de aplicaciones indica que no coinciden los usuarios, el servicio de aprovisionamiento de Microsoft Entra crea un nuevo usuario en la aplicación.

Si la aplicación aún no tiene ningún usuario, este proceso rellena el almacén de datos de la aplicación con los usuarios a medida que se asignan en Microsoft Entra ID. Sin embargo, si la aplicación ya tiene usuarios, pueden surgir dos situaciones. En primer lugar, puede haber personas con cuentas de usuario en la aplicación, pero la coincidencia no puede localizarlas, quizás el usuario se represente en la aplicación como asmith@contoso.com en lugar alice.smith@contoso.com y por lo tanto, el servicio de aprovisionamiento de Microsoft Entra realiza no los encuentra. En esa situación, la persona puede acabar con usuarios duplicados en la aplicación. En segundo lugar, puede haber personas con cuentas de usuario en la aplicación que no tengan ningún usuario en Microsoft Entra ID. En esta situación, el servicio de aprovisionamiento de Microsoft Entra no interactúa con esos usuarios de la aplicación; sin embargo, si la aplicación está configurada para confiar en Microsoft Entra ID como su único proveedor de identidades, esos usuarios ya no podrán iniciar sesión: la aplicación redirigirá a la persona para iniciar sesión con Microsoft Entra ID, pero la persona no tiene un usuario en Microsoft Entra ID.

Estas incoherencias entre Microsoft Entra ID y el almacén de datos de una aplicación existente pueden ocurrir por muchas razones, entre las que se incluyen:

• el administrador de la aplicación crea usuarios directamente en la aplicación, como para contratistas o proveedores, que no están representados en un sistema de origen de RR. HH. de registro, pero que requerían acceso a la aplicación,
• los cambios de identidad y atributo, como una persona que cambia su nombre, no se enviaron a Microsoft Entra ID o a la aplicación, por lo que las representaciones no están actualizadas en uno u otro sistema, o bien
• la organización usaba un producto de administración de identidades que aprovisionó Windows Server AD de forma independiente y la aplicación con diferentes comunidades. Por ejemplo, los empleados de la tienda necesitaban acceso a la aplicación, pero no requerían buzones de Exchange, por lo que los empleados del almacén no estaban representados en Windows Server AD ni en Microsoft Entra ID.

Antes de habilitar el aprovisionamiento o el inicio de sesión único en una aplicación con usuarios existentes, debe comprobar que los usuarios coinciden e investigar y resolver esos usuarios de la aplicación que no coinciden. En este artículo se describen las opciones de cómo resolver diferentes situaciones que un usuario no pudo coincidir.

Determinar si hay usuarios en la aplicación que no coincidieron

Si ya ha determinado la lista de usuarios de la aplicación que no coinciden con los usuarios de Microsoft Entra ID, continúe en la sección siguiente.

El procedimiento para determinar qué usuarios de la aplicación no coinciden con los usuarios de Microsoft Entra ID depende de cómo se integre la aplicación o se integrará con el Microsoft Entra ID.

• Si usa SAP Cloud Identity Services, siga Tutorial de aprovisionamiento de SAP Cloud Identity Services a través del paso para asegurarse de que los usuarios existentes de SAP Cloud Identity Services tienen los atributos coincidentes necesarios. En ese tutorial, exportará una lista de usuarios de SAP Cloud Identity Services a un archivo CSV y a continuación, usará PowerShell para que coincidan con los usuarios de Microsoft Entra ID.

• Si la aplicación usa un directorio LDAP, siga el Tutorial de aprovisionamiento de directorios LDAP a través del paso para recopilar usuarios existentes del directorio LDAP. En ese tutorial, use PowerShell para que coincidan con esos usuarios con usuarios en Microsoft Entra ID.

• Para otras aplicaciones, incluidas las aplicaciones con una base de datos SQL o que tienen compatibilidad con el aprovisionamiento en la galería de aplicaciones, siga el tutorial para controlar los usuarios existentes de una aplicación a través del paso para confirmar que Microsoft Entra ID tiene usuarios que coinciden con los usuarios de la aplicación.

• Para otras aplicaciones que no tienen una interfaz de aprovisionamiento, siga el tutorial para controlar los usuarios de una aplicación que no admite el aprovisionamiento a través del paso para confirmar que Microsoft Entra ID tiene usuarios que coinciden con los usuarios de la aplicación.

Cuando se complete el script de PowerShell proporcionado en esos tutoriales, se mostrará un error si no se encontraron registros de la aplicación en el identificador de Microsoft Entra. Si no todos los registros de los usuarios del almacén de datos de la aplicación podrían ubicarse como usuarios en Microsoft Entra ID, deberá investigar qué registros no coincidieron y por qué y a continuación, resolver el problema de coincidencia con una de las opciones de la sección siguiente.

Opciones para asegurarse de que los usuarios coinciden entre la aplicación y Microsoft Entra ID

En esta sección se proporcionan varias opciones para abordar los usuarios que no coinciden en la aplicación. Según los objetivos de su organización y los problemas de datos entre Microsoft Entra ID y la aplicación, seleccione la opción apropiada para cada usuario. Puede que no haya una sola opción que abarque a todos los usuarios de una aplicación determinada.

Opción	Actualizaciones necesarias antes del aprovisionamiento
Eliminación de usuarios de prueba de la aplicación	Usuarios de la aplicación
Eliminar usuarios de las aplicaciones para personas que ya no forman parte de la organización	Usuarios de la aplicación
Eliminar usuarios de la aplicación y volver a crearlos a partir de Microsoft Entra ID	Usuarios de la aplicación
Actualización de la propiedad coincidente de los usuarios de la aplicación	Usuarios de la aplicación
Actualizar usuarios de la aplicación con una nueva propiedad	Usuarios de la aplicación
Cambiar reglas o propiedades coincidentes cuando la dirección de correo electrónico no coincide con el nombre principal de usuario	Usuarios en la aplicación o en la regla de coincidencia de aplicaciones de Microsoft Entra
Actualizar el atributo coincidente de los usuarios en Microsoft Entra ID	Usuarios de Microsoft Entra ID
Actualizar las reglas de aprovisionamiento de Sincronización de Microsoft Entra Connect o Sincronización en la nube para sincronizar los usuarios y atributos necesarios	Microsoft Entra Connect Sync o Microsoft Entra Cloud Sync, que actualizará a los usuarios en Microsoft Entra ID
Actualizar usuarios en Microsoft Entra ID de Microsoft con un nuevo atributo	Usuarios de Microsoft Entra ID
Cambiar las reglas de coincidencia a un atributo diferente ya rellenado en Microsoft Entra ID	Regla de coincidencia de aplicaciones de Microsoft Entra
Creación de usuarios en Windows Server AD para usuarios de la aplicación que necesitan acceso continuado a la aplicación	Usuarios de Windows Server AD, que actualizarán los usuarios de Microsoft Entra ID
Crear usuarios en Microsoft Entra ID para los usuarios de la aplicación que necesitan acceso continuo a la aplicación	Usuarios de Microsoft Entra ID
Mantener usuarios independientes y no coincidentes en la aplicación y Microsoft Entra ID	None

Eliminación de usuarios de prueba de la aplicación

Puede haber usuarios de prueba en la aplicación dejados de su implementación inicial. Si hay usuarios que ya no son necesarios, se pueden eliminar de la aplicación.

Eliminar usuarios de las aplicaciones para personas que ya no forman parte de la organización

Es posible que el usuario ya no esté afiliado a la organización y ya no necesite acceso a la aplicación, pero sigue siendo un usuario en el origen de datos de la aplicación. Esto puede ocurrir si el administrador de la aplicación omitió quitar el usuario o no se informó de que se requería el cambio. Si el usuario ya no es necesario, se puede eliminar de la aplicación.

Eliminar usuarios de la aplicación y volver a crearlos a partir de Microsoft Entra ID

Si la aplicación no está actualmente en uso amplio o no mantiene ningún estado por usuario, otra opción es eliminar usuarios de la aplicación para que ya no haya usuarios que no coincidan. A continuación, a medida que los usuarios solicitan o se les asigna la aplicación en Microsoft Entra ID, se les aprovisionará acceso.

Actualización de la propiedad coincidente de los usuarios de la aplicación

Un usuario puede existir en una aplicación y en Microsoft Entra ID, pero el usuario de la aplicación no tiene una propiedad necesaria para buscar coincidencias o la propiedad tiene el valor incorrecto.

Por ejemplo, cuando un administrador de SAP crea un usuario en SAP Cloud Identity Services mediante su consola de administración, es posible que el usuario no tenga una propiedad userName. Sin embargo, esa propiedad puede ser la que se usa para buscar coincidencias con los usuarios en Microsoft Entra ID. Si la propiedad userName es la que está pensada para buscar coincidencias, necesitará que el administrador de SAP actualice los usuarios existentes de SAP Cloud Identity Services para que tengan un valor de la propiedad userName.

Por otro ejemplo, el administrador de aplicaciones ha establecido la dirección de correo electrónico del usuario como una propiedad mail del usuario en la aplicación, cuando el usuario se agregó por primera vez a la aplicación. Sin embargo, más adelante la dirección de correo electrónico de la persona y userPrincipalName se cambia en Microsoft Entra ID. Sin embargo, si la aplicación no requería la dirección de correo electrónico o el proveedor de correo electrónico tenía una redirección que permitía que la dirección de correo electrónico anterior se reenviase, el administrador de la aplicación podría haber perdido que se hubiera producido una necesidad de actualizar la propiedad mail en el origen de datos de la aplicación. El administrador de aplicaciones puede resolver esta incoherencia cambiando la propiedad mail de los usuarios de la aplicación para que tenga un valor actual o cambiando la regla de coincidencia, como se describe en las secciones siguientes.

Actualizar usuarios de la aplicación con una nueva propiedad

Es posible que el sistema de administración de identidades anterior de una organización haya creado usuarios en la aplicación como usuarios locales. Si en su momento la organización no disponía de un único proveedor de identidades, los usuarios de la aplicación no necesitaban que ninguna propiedad estuviera correlacionada con ningún otro sistema. Por ejemplo, un producto anterior de administración de identidades ha creado usuarios en una aplicación en función de un origen de RR. HH. autoritativo. Ese sistema de administración de identidades mantuvo la correlación entre los usuarios ha creado en la aplicación con el origen de RR. HH. y no proporcionó ninguno de los identificadores de origen de RR. HH. a la aplicación. Más adelante, al intentar conectar la aplicación a un inquilino de Microsoft Entra ID rellenado desde ese mismo origen de RR. HH., es posible que Microsoft Entra ID tenga usuarios para todas las personas que están en la aplicación, pero se produce un error en la coincidencia para todos los usuarios porque no hay ninguna propiedad en común.

Para resolver este problema coincidente, realice los pasos siguientes.

1. Seleccione una propiedad no usada existente de los usuarios en la aplicación o agregue una nueva propiedad al esquema de usuario de la aplicación.
2. Rellene esa propiedad en todos los usuarios de la aplicación con datos de un origen autoritativo, como un número de identificación de empleado o una dirección de correo electrónico, que ya está presente en los usuarios de Microsoft Entra ID.
3. Actualice la Configuración de asignaciones de atributos de asignación de atributos de aprovisionamiento de aplicaciones de Microsoft Entra para que esta propiedad se incluya en la regla de coincidencia.

Cambiar reglas o propiedades coincidentes cuando la dirección de correo electrónico no coincide con el nombre principal de usuario

De manera predeterminada, algunas de las asignaciones del servicio de aprovisionamiento de Microsoft Entra para las aplicaciones envían el atributo userPrincipalName para que coincidan con una propiedad de dirección de correo electrónico de la aplicación. Algunas organizaciones tienen direcciones de correo electrónico principales para sus usuarios que son distintas de su nombre principal de usuario. Si la aplicación almacena la dirección de correo electrónico como una propiedad del usuario y no como userPrincipalName, debe cambiar los usuarios de la aplicación o la regla coincidente.

• Si tiene previsto usar el inicio de sesión único de Microsoft Entra ID en la aplicación, es posible que desee cambiar la aplicación para agregar una propiedad al usuario para que contenga userPrincipalName. A continuación, rellene esa propiedad en cada usuario de la aplicación con el userPrincipalName del usuario de Microsoft Entra ID y actualice la configuración de aprovisionamiento de aplicaciones de Microsoft Entra para que esta propiedad se incluya en la regla de coincidencia.
• Si no tiene previsto usar el inicio de sesión único de Microsoft Entra ID, una alternativa es actualizar la Configuración de asignaciones de atributos de aprovisionamiento de aplicaciones de Microsoft Entra, para que coincida con un atributo de dirección de correo electrónico del usuario de Microsoft Entra en la regla coincidente.

Actualizar el atributo coincidente de los usuarios en Microsoft Entra ID

En algunas situaciones, el atributo usado para la coincidencia tiene un valor en el usuario de Microsoft Entra ID que no está actualizado. Por ejemplo, una persona ha cambiado su nombre, pero el cambio de nombre no se realizó en el usuario de Microsoft Entra ID.

Si el usuario se ha creado y mantenido únicamente en Microsoft Entra ID, debe actualizar el usuario para que tenga los atributos correctos. Si el atributo de usuario se origina en un sistema ascendente, como Windows Server AD o un origen de RR. HH., debe cambiar el valor en el origen ascendente y esperar a que el cambio se vea en Microsoft Entra ID.

Actualizar las reglas de aprovisionamiento de Sincronización de Microsoft Entra Connect o Sincronización en la nube para sincronizar los usuarios y atributos necesarios

En algunas situaciones, un sistema de administración de identidades anterior ha rellenado los usuarios de Windows Server AD con un atributo adecuado que puede funcionar como un atributo coincidente con otra aplicación. Por ejemplo, si el sistema de administración de identidades anterior estaba conectado a un origen de RR. HH., el usuario de AD tiene un atributo rellenado employeeId por ese sistema de administración de identidades anterior con el identificador de empleado del usuario. En otro ejemplo, el sistema de administración de identidades anterior ha escrito el identificador de usuario único de la aplicación como un atributo de extensión en el esquema de Windows Server AD. Sin embargo, si ninguno de esos atributos se seleccionó para la sincronización en Microsoft Entra ID o los usuarios estaban fuera del ámbito de la sincronización en Microsoft Entra ID, la representación de Microsoft Entra ID de la comunidad de usuarios puede estar incompleta.

Para resolver este problema, debe cambiar la configuración de sincronización de Microsoft Entra Connect o sincronización en la nube de Microsoft Entra para asegurarse de que todos los usuarios adecuados de Windows Server AD que también están en el ámbito de aprovisionarse en Microsoft Entra ID y que los atributos sincronizados de esos usuarios incluyen los atributos que se usarán con fines coincidentes. Si usa la sincronización de Microsoft Entra Connect, consulte Sincronización de Microsoft Entra Connect: Configurar el filtrado y Microsoft Entra Connect Sync: Extensiones de directorio. Si usa Microsoft Entra Cloud Sync, consulte Asignación de atributos en Microsoft Entra Cloud Sync y Extensiones de directorio de Cloud Sync y asignación de atributos personalizada.

Actualizar usuarios en Microsoft Entra ID con un nuevo atributo

En algunas situaciones, la aplicación puede contener un identificador único para el usuario que no está almacenado actualmente en el esquema de Microsoft Entra ID para el usuario. Por ejemplo, si usa SAP Cloud Identity Services, puede que desee que el identificador de usuario de SAP sea el atributo coincidente o, si usa un sistema Linux, puede que desee que el identificador de usuario de Linux sea el atributo coincidente. Sin embargo, esas propiedades no forman parte del esquema de usuario de Microsoft Entra ID, por lo que es probable que no estén presentes en ninguno de los usuarios de Microsoft Entra ID.

Para usar un nuevo atributo para buscar coincidencias, realice los pasos siguientes.

1. Seleccione un atributo de extensión sin usar existente en Microsoft Entra ID o amplíe el esquema de usuario de Microsoft Entra con un nuevo atributo.
2. Rellene ese atributo en todos los usuarios de Microsoft Entra ID con datos de un origen autoritativo, como la aplicación o un sistema de RR. HH. Si los usuarios se sincronizan desde Windows Server AD o se aprovisionan desde un sistema de RR. HH., es posible que deba realizar ese cambio en ese origen ascendente.
3. Actualice la Configuración de asignaciones de atributos de aprovisionamiento de atributos de la aplicación Microsoft Entra e incluya este atributo en la regla de coincidencia.

Cambiar las reglas de coincidencia a un atributo diferente ya rellenado en Microsoft Entra ID

Las reglas de coincidencia predeterminadas para las aplicaciones de la galería de aplicaciones se basan en atributos que normalmente están presentes en todos los usuarios de Microsoft Entra ID en todos los clientes de Microsoft, como userPrincipalName. Estas reglas son adecuadas para pruebas de uso general o para el aprovisionamiento en una nueva aplicación que actualmente no tiene usuarios. Sin embargo, es posible que muchas organizaciones ya hayan rellenado los usuarios de Microsoft Entra ID con otros atributos relevantes para su organización, como un identificador de empleado. Si hay otro atributo adecuado para la coincidencia, actualice la Configuración de asignaciones de atributos de aprovisionamiento de atributos de aprovisionamiento de aplicaciones de Microsoft Entra e incluya este atributo en la regla de coincidencia.

Configuración del aprovisionamiento de entrada desde un origen de RR. HH. a Microsoft Entra ID

Idealmente, las organizaciones que han estado aprovisionando usuarios en varias aplicaciones de forma independiente deben depender de identificadores comunes para los usuarios derivados de un origen autoritativo, como un sistema de RR. HH. Muchos sistemas de RR. HH. tienen propiedades que funcionan así como identificadores, como employeeId que se pueden tratar como únicos para que ninguna persona tenga el mismo identificador de empleado. Si tiene un origen de RR. HH., como Workday o SuccessFactors, incorporar atributos como employeeId de ese origen a menudo puede crear una regla de coincidencia adecuada.

Para usar un atributo con valores obtenidos de un origen autoritativo para buscar coincidencias, realice los pasos siguientes.

1. Seleccione un atributo de esquema de usuario de Microsoft Entra ID adecuado o amplíe el esquema de usuario de Microsoft Entra con un nuevo atributo, cuyos valores corresponden a una propiedad equivalente de un usuario de la aplicación.
2. Asegúrese de que la propiedad también está presente en un origen de RR. HH. para todas las personas que tienen usuarios en Microsoft Entra ID y la aplicación.
3. Configure el aprovisionamiento de entrada desde ese origen de RR. HH. a Microsoft Entra ID.
4. Espere a que los usuarios de Microsoft Entra ID se actualicen con nuevos atributos.
5. Actualice la Configuración de asignaciones de atributos de aprovisionamiento de atributos de la aplicación Microsoft Entra e incluya este atributo en la regla de coincidencia.

Creación de usuarios en Windows Server AD para usuarios de la aplicación que necesitan acceso continuado a la aplicación

Si hay usuarios de la aplicación que no corresponden a una persona de un origen de RR. HH. autoritativo, pero requerirán acceso tanto a aplicaciones basadas en Windows Server AD como a aplicaciones integradas en Microsoft Entra ID en el futuro, y su organización usa Microsoft Entra Connect Sync o Microsoft Entra Cloud Sync para aprovisionar usuarios de Windows Server AD a Microsoft Entra ID, después, puede crear un usuario en Windows Server AD para cada uno de los usuarios que aún no estaban presentes.

Si los usuarios no necesitarán acceso a las aplicaciones basadas en Windows Server AD, cree los usuarios en Microsoft Entra ID, como se describe en la sección siguiente.

Crear usuarios en Microsoft Entra ID para los usuarios de la aplicación que necesitan acceso continuado a la aplicación

Si hay usuarios de la aplicación que no corresponden a una persona en un origen de RR. HH. autoritativo, pero necesitarán acceso continuado y se regirán por Microsoft Entra, puede crear usuarios de Microsoft Entra para ellos. Puede crear usuarios de forma masiva mediante:

• Un archivo CSV, como se describe en Creación masiva de usuarios en el Centro de administración de Microsoft Entra
• El cmdlet New-MgUser

Asegúrese de que estos nuevos usuarios se rellenan con los atributos necesarios para que Microsoft Entra ID los coincida más adelante con los usuarios existentes de la aplicación y los atributos requeridos por Microsoft Entra ID, incluidos userPrincipalName, mailNickname, y displayName. El valor de userPrincipalName debe ser único entre todos los usuarios del directorio.

Creación de usuarios de forma masiva mediante PowerShell

En esta sección, se muestra cómo interactuar con Microsoft Entra ID mediante cmdlets de PowerShell de Microsoft Graph.

La primera vez que la organización use estos cmdlets para este escenario, deberá tener un rol de administrador global para permitir el uso de PowerShell de Microsoft Graph en el inquilino. Las interacciones posteriores pueden usar un rol con privilegios inferiores, como administrador de usuarios.

1. Si ya tiene una sesión de PowerShell en la que identificó los usuarios de la aplicación que no estaban en Microsoft Entra ID, continúe en el paso 6 siguiente. De lo contrario, abra PowerShell.

2. Si aún no tiene instalados los módulos de PowerShell de Microsoft Graph, instale el módulo Microsoft.Graph.Users y otros mediante este comando:

   Install-Module Microsoft.Graph
   

   Si ya tiene instalados los módulos, asegúrese de que usa una versión reciente:

   Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
   

3. Conéctese a Microsoft Entra ID:

   $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All"
   

4. Si es la primera vez que usó este comando, deberá dar su consentimiento para permitir que las herramientas de la línea de comandos de Microsoft Graph tengan estos permisos.

5. Incluya en el entorno de PowerShell una matriz de los usuarios de la aplicación, que también tiene los campos que son atributos obligatorios de Microsoft Entra ID: el nombre principal de usuario, el alias de correo y el nombre completo del usuario. Este script supone que la matriz $dbu_not_matched_list contiene los usuarios de la aplicación que no coincidieron.

   $filename = ".\Users-to-create.csv"
   $bu_not_matched_list = Import-Csv -Path $filename -Encoding UTF8
   

6. Especifique en la sesión de PowerShell qué columnas de la matriz de usuarios que se van a crear corresponden a las propiedades necesarias de Microsoft Entra ID. Por ejemplo, es posible que tengas usuarios una la base de datos donde el valor de la columna denominada EMail sea el valor que quieres usar como nombre principal de usuario de Microsoft Entra ID, el valor de la columna Alias contenga el alias de correo de Microsoft Entra ID y el valor de la columna Full name contenga el nombre para mostrar del usuario:

   $db_display_name_column_name = "Full name"
   $db_user_principal_name_column_name = "Email"
   $db_mail_nickname_column_name = "Alias"
   

7. Abra el siguiente script en un editor de texto. Es posible que tenga que modificar este script para agregar los atributos de Microsoft Entra necesarios para la aplicación, o si el $azuread_match_attr_name no es mailNickname o userPrincipalName, para proporcionar ese atributo Microsoft Entra.

   $dbu_missing_columns_list = @()
   $dbu_creation_failed_list = @()
   foreach ($dbu in $dbu_not_matched_list) {
      if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
          ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
          ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
         $params = @{
            accountEnabled = $false
            displayName = $dbu.$db_display_name_column_name
            mailNickname = $dbu.$db_mail_nickname_column_name
            userPrincipalName = $dbu.$db_user_principal_name_column_name
            passwordProfile = @{
              Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
            }
         }
         try {
           New-MgUser -BodyParameter $params
         } catch { $dbu_creation_failed_list += $dbu; throw }
      } else {
         $dbu_missing_columns_list += $dbu
      }
   }
   

8. Pegue el script resultante del editor de texto en la sesión de PowerShell. Si se producen errores, debe corregirlos antes de continuar.

Mantener usuarios independientes y no coincidentes en la aplicación y Microsoft Entra ID

Es posible que haya un superadministrador en el origen de datos de la aplicación que no se corresponda con ninguna persona específica de Microsoft Entra ID. Si no crea usuarios de Microsoft Entra para ellos, esos usuarios no podrán administrarse desde el Microsoft Entra ID ni la gobernanza de Microsoft Entra ID. Dado que esos usuarios no podrán iniciar sesión con Microsoft Entra ID, por lo que si configura la aplicación para que use Microsoft Entra ID como proveedor de identidades, asegúrese de que esos usuarios están fuera del ámbito del uso de Microsoft Entra ID para la autenticación.

Volver a exportar usuarios

Después de realizar actualizaciones para los usuarios de Microsoft Entra, los usuarios de la aplicación o las reglas de coincidencia de aplicaciones de Microsoft Entra, debe volver a exportar y realizar el procedimiento coincidente para la aplicación de nuevo, para asegurarse de que todos los usuarios están correlacionados.

• Si utiliza SAP Cloud Identity Services, siga el tutorial de aprovisionamiento de SAP Cloud Identity Services a partir del paso para garantizar que los usuarios existentes de SAP Cloud Identity Services tengan los atributos coincidentes necesarios. En ese tutorial, exportará una lista de usuarios de SAP Cloud Identity Services a un archivo CSV y a continuación, usará PowerShell para que coincidan con los usuarios de Microsoft Entra ID.

• Si la aplicación usa un directorio LDAP, siga el Tutorial de aprovisionamiento de directorios LDAP a partir del paso para recopilar usuarios existentes del directorio LDAP.

• Para otras aplicaciones, incluidas esas aplicaciones con una base de datos SQL o que tienen compatibilidad con el aprovisionamiento en la galería de aplicaciones, siga el tutorial para controlar los usuarios existentes de una aplicación a partir del paso para recopilar usuarios existentes de la aplicación.

Asignación de usuarios a roles de aplicación y habilitación del aprovisionamiento

Una vez que haya completado las actualizaciones necesarias y confirme que todos los usuarios de la aplicación coinciden con los usuarios en el Microsoft Entra ID, debe asignar los usuarios en Microsoft Entra ID que necesitan acceder a la aplicación al rol de aplicación de Microsoft Entra y a continuación, habilitar el aprovisionamiento en la aplicación.

• Si usa SAP Cloud Identity Services, continúe con el tutorial de aprovisionamiento de SAP Cloud Identity Services a partir del paso para asegurarse de que los usuarios existentes de Microsoft Entra tienen los atributos necesarios.

Pasos siguientes

• Integración de aplicaciones con Microsoft Entra ID y establecimiento de una línea de base de acceso revisado
• Control de los usuarios actuales de una aplicación en Microsoft Entra ID con Microsoft PowerShell
• Preparación de una revisión del acceso de los usuarios a una aplicación