A hatókörön kívül eső felhasználói fiókok törlésének kihagyása Azure Active Directory

Alapértelmezés szerint az Azure AD kiépítési motor helyreállítható módon törli vagy letiltja a hatókörön kívül eső felhasználókat. Bizonyos forgatókönyvek, például a Workdayből az AD-be irányuló bejövő kiépítés esetében azonban előfordulhat, hogy ez a viselkedés nem a várt, és érdemes lehet felülbírálni ezt az alapértelmezett viselkedést.

Ez a cikk bemutatja, hogyan használható a Microsoft Graph API és a Microsoft Graph API Explorer a Hatókörön kívüli fiókok feldolgozását vezérlő SkipOutOfScopeDeletions jelző beállításához.

  • Ha a SkipOutOfScopeDeletions értéke 0 (hamis), a hatókörön kívül eső fiókok le lesznek tiltva a célban.
  • Ha a SkipOutOfScopeDeletions értéke 1 (igaz), a hatókörön kívül eső fiókok nem lesznek letiltva a célban. Ez a jelző a kiépítési alkalmazás szintjén van beállítva, és a Graph API használatával konfigurálható.

Mivel ezt a konfigurációt széles körben használják a Workday–Active Directory felhasználóátépítési alkalmazással, a következő lépések képernyőképeket tartalmaznak a Workday alkalmazásról. A konfiguráció azonban minden más alkalmazással, például a ServiceNow-val, a Salesforce-tal és a Dropbox is használható. Vegye figyelembe, hogy az eljárás sikeres végrehajtásához először be kell állítania az alkalmazás kiépítését az alkalmazáshoz. Minden alkalmazás saját konfigurációs cikkel rendelkezik. A Workday-alkalmazás konfigurálásához például tekintse meg az oktatóanyagot: A Workday konfigurálása az Azure AD-felhasználók átadására.

1. lépés: A kiépítési App Service egyszerű azonosító (objektumazonosító) lekérése

  1. Indítsa el a Azure Portal, és lépjen a kiépítési alkalmazás Tulajdonságok szakaszára. Ha például a Workdayt szeretné exportálni az AD-felhasználóátadási alkalmazásleképezésbe , lépjen az alkalmazás Tulajdonságok szakaszára.

  2. A kiépítési alkalmazás Tulajdonságok szakaszában másolja ki az Objektumazonosító mezőhöz társított GUID-értéket. Ezt az értéket az alkalmazás ServicePrincipalId azonosítójának is nevezik, és Graph Explorer-műveletekben fogja használni.

    Workday App Service Principal ID

2. lépés: Bejelentkezés a Microsoft Graph Explorerbe

  1. A Microsoft Graph Explorer indítása

  2. Kattintson a "Bejelentkezés a Microsofttal" gombra, és jelentkezzen be az Azure AD globális rendszergazdai vagy alkalmazás-rendszergazdai hitelesítő adataival.

    Graph Sign-in

  3. A sikeres bejelentkezés után a felhasználói fiók adatait a bal oldali panelen láthatja.

3. lépés: Az alkalmazás meglévő hitelesítő adatainak és kapcsolati adatainak lekérése

A Microsoft Graph Explorerben futtassa a következő GET lekérdezést a [servicePrincipalId] helyére az 1. lépésből kinyert ServicePrincipalId azonosítóval.

   GET https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/secrets

GET job query

Másolja a választ egy szövegfájlba. Az alábbi JSON-szöveghez hasonlóan jelenik meg, az üzemelő példányra jellemző sárga színnel kiemelt értékekkel. Adja hozzá a zöld színnel kiemelt sorokat a végéhez, és frissítse a Workday kapcsolati jelszavát kék színnel kiemelve.

GET job response

Itt található a leképezéshez hozzáadni kívánt JSON-blokk.

        {
            "key": "SkipOutOfScopeDeletions",
            "value": "True"
        }

4. lépés: A titkos kódok végpontjának frissítése a SkipOutOfScopeDeletions jelzővel

Az Graph Explorerben futtassa az alábbi parancsot a titkos kódok végpontjának a SkipOutOfScopeDeletions jelzővel való frissítéséhez.

Az alábbi URL-címben cserélje le a [servicePrincipalId] értéket az 1. lépésből kinyert ServicePrincipalId azonosítóra.

   PUT https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/secrets

Másolja a frissített szöveget a 3. lépésből a "Kérelem törzsébe".

PUT request

Kattintson a "Lekérdezés futtatása" lehetőségre.

A kimenetnek a következőnek kell lennie: "Success – Status Code 204". Ha hibaüzenetet kap, előfordulhat, hogy ellenőriznie kell, hogy a fiókja olvasási/írási engedélyekkel rendelkezik-e a ServicePrincipalEndpointhoz. Ezt az engedélyt az Graph Explorer Engedélyek módosítása lapján találhatja meg.

PUT response

5. lépés: Győződjön meg arról, hogy a hatókörön kívüli felhasználók nem lesznek letiltva

Ha teszteli ezt a jelzőt, az elvárt működést eredményezi, ha frissíti a hatókörkezelési szabályokat, hogy kihagyjon egy adott felhasználót. Az alábbi példában egy új hatókörszabály hozzáadásával kizárjuk a 21173 azonosítójú (korábban hatókörben lévő) alkalmazottat:

Screenshot that shows the

A következő kiépítési ciklusban az Azure AD kiépítési szolgáltatása megállapítja, hogy a 21173-as felhasználó kilépett a hatókörből, és ha a SkipOutOfScopeDeletions tulajdonság engedélyezve van, akkor a felhasználó szinkronizálási szabálya az alábbi módon jelenít meg egy üzenetet:

Scoping example