Bagikan melalui

Lewati penghapusan akun pengguna yang keluar dari cakupan di ID Microsoft Entra

  • Artikel

Secara default, mesin provisi Microsoft Entra menghapus sementara atau menonaktifkan pengguna yang keluar dari cakupan. Namun, untuk skenario tertentu seperti Provisi Masuk Pengguna Workday hingga AD, perilaku ini mungkin bukan yang diharapkan dan Anda mungkin ingin mengambil alih perilaku default ini.

Artikel ini menjelaskan cara menggunakan Microsoft Graph API dan penjelajah Microsoft Graph API untuk mengatur bendera SkipOutOfScopeDeletions yang mengontrol pemrosesan akun yang keluar dari cakupan.

  • Jika SkipOutOfScopeDeletions diatur ke 0 (false), akun yang keluar dari cakupan dinonaktifkan di target.
  • Jika SkipOutOfScopeDeletions diatur ke 1 (true), akun yang keluar dari cakupan tidak dinonaktifkan di target. Flag ini diatur pada tingkat Provisioning App dan dapat dikonfigurasi menggunakan Graph API.

Karena konfigurasi ini banyak digunakan dengan aplikasi provisi pengguna Workday ke Active Directory , langkah-langkah berikut mencakup cuplikan layar aplikasi Workday. Namun, konfigurasi juga dapat digunakan dengan semua aplikasi lain, seperti ServiceNow, Salesforce, dan Dropbox. Agar berhasil menyelesaikan prosedur ini, Anda harus terlebih dahulu menyiapkan provisi aplikasi untuk aplikasi. Setiap aplikasi memiliki artikel konfigurasinya sendiri. Misalnya, untuk mengonfigurasi aplikasi Workday, lihat Tutorial: Mengonfigurasi Workday untuk penyediaan pengguna Microsoft Entra. SkipOutOfScopeDeletions tidak berfungsi untuk sinkronisasi lintas tenan.

Langkah 1: Mengambil ID Perwakilan Layanan Aplikasi Provisi Anda (ID Objek)

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi.
  2. Telusuri ke aplikasi Entra ID>Enterprise.
  3. Pilih aplikasi Anda dan buka bagian Properti dari aplikasi provisi Anda. Dalam contoh ini, kita menggunakan Workday.
  4. Salin nilai GUID di bidang ID Objek . Nilai ini juga disebut ServicePrincipalId aplikasi Anda dan digunakan dalam operasi Graph Explorer.

Langkah 2: Masuk ke Penjelajah Microsoft Graph

  1. Luncurkan Microsoft Graph Explorer

  2. Pilih tombol "Sign-In dengan Microsoft" dan masuk sebagai pengguna dengan peran Administrator Aplikasi setidaknya.

    Cuplikan layar Masuk Microsoft Graph Explorer.

  3. Setelah berhasil masuk, detail akun pengguna muncul di panel sebelah kiri.

Langkah 3: Mendapatkan info masuk aplikasi dan detail konektivitas yang sudah ada

Di Microsoft Graph Explorer, jalankan kueri GET berikut menggantikan [servicePrincipalId] dengan ServicePrincipalId yang diekstrak dari Langkah 1.

   GET https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/secrets

Cuplikan layar kueri pekerjaan GET.

Salin Respons ke dalam file teks. Sepertinya teks JSON ditampilkan, dengan nilai disorot dalam warna kuning khusus untuk penyebaran Anda. Tambahkan garis yang disorot dengan warna hijau ke akhir dan perbarui kata sandi koneksi Workday yang disorot dengan warna biru.

Cuplikan layar respons pekerjaan GET.

Berikut adalah blok JSON untuk ditambahkan ke pemetaan.

{
  "key": "SkipOutOfScopeDeletions",
  "value": "True"
}

Langkah 4: Memperbarui titik akhir rahasia dengan bendera SkipOutOfScopeDeletions

Di Graph Explorer, jalankan perintah untuk memperbarui titik akhir rahasia dengan bendera SkipOutOfScopeDeletions .

Di URL, ganti [servicePrincipalId] dengan ServicePrincipalId yang diekstrak dari Langkah 1.

   PUT https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/secrets

Salin teks yang diperbarui dari Langkah 3 ke "Badan Permintaan".

Cuplikan layar permintaan PUT.

Pilih "Jalankan Kueri".

Anda harus mendapatkan output sebagai "Sukses - Kode Status 204". Jika Anda menerima kesalahan, Anda mungkin perlu memeriksa bahwa akun Anda memiliki izin Baca/Tulis untuk ServicePrincipalEndpoint. Anda dapat menemukan izin ini dengan mengklik tab Ubah izin di Graph Explorer.

Cuplikan layar respons PUT.

Langkah 5: Memverifikasi bahwa pengguna di luar cakupan tidak dinonaktifkan

Anda dapat menguji bendera ini menghasilkan perilaku yang diharapkan dengan memperbarui aturan cakupan untuk melompati pengguna tertentu. Dalam contoh, kami mengecualikan karyawan dengan ID 21173 (yang lebih awal dalam cakupan) dengan menambahkan aturan cakupan baru:

Cuplikan layar yang memperlihatkan bagian

Dalam siklus provisi berikutnya, layanan provisi Microsoft Entra mengidentifikasi bahwa pengguna 21173 berada di luar cakupan. SkipOutOfScopeDeletions Jika properti diaktifkan, maka aturan sinkronisasi untuk pengguna tersebut menampilkan pesan.