Lewati penghapusan akun pengguna yang keluar dari cakupan di Microsoft Entra ID

Secara default, mesin provisi Microsoft Entra menghapus sementara atau menonaktifkan pengguna yang keluar dari cakupan. Namun, untuk skenario tertentu seperti Provisi Masuk Pengguna Workday hingga AD, perilaku ini mungkin bukan yang diharapkan dan Anda mungkin ingin mengambil alih perilaku default ini.

Artikel ini menjelaskan cara menggunakan Microsoft Graph API dan microsoft Graph API explorer untuk mengatur bendera SkipOutOfScopeDeletions yang mengontrol pemrosesan akun yang keluar dari cakupan.

  • Jika SkipOutOfScopeDeletions diatur ke 0 (false), akun yang keluar dari cakupan dinonaktifkan di target.
  • Jika SkipOutOfScopeDeletions diatur ke 1 (true), akun yang keluar dari cakupan tidak dinonaktifkan di target. Bendera ini diatur pada tingkat Provisioning App dan dapat dikonfigurasi menggunakan Graph API.

Karena konfigurasi ini sering digunakan bersama aplikasi Workday untuk penyediaan pengguna Direktori Aktif, langkah-langkah berikut mencakup cuplikan layar aplikasi Workday. Namun, konfigurasi juga dapat digunakan dengan semua aplikasi lain, seperti ServiceNow, Salesforce, dan Dropbox. Agar berhasil menyelesaikan prosedur ini, Anda harus terlebih dahulu menyiapkan penyediaan aplikasi. Setiap aplikasi memiliki artikel konfigurasinya sendiri. Misalnya, untuk mengonfigurasi aplikasi Workday, lihat Tutorial: Mengonfigurasi Workday untuk provisioning pengguna Microsoft Entra. SkipOutOfScopeDeletions tidak berfungsi untuk sinkronisasi lintas tenan.

Langkah 1: Ambil ID Aplikasi Penyiapan Layanan Principal Anda (ID Objek)

  1. Masuk ke pusat admin Microsoft Entra setidaknya sebagai Administrator Application.
  2. Telusuri ke Entra ID>Aplikasi Perusahaan.
  3. Pilih aplikasi Anda dan buka bagian Properti dari aplikasi provisi Anda. Dalam contoh ini, kita menggunakan Workday.
  4. Salin nilai GUID di bidang ID Objek . Nilai ini juga disebut ServicePrincipalId aplikasi Anda dan digunakan dalam operasi Graph Explorer.

Langkah 2: Masuk ke Microsoft Graph Explorer

  1. Luncurkan Microsoft Graph Explorer

  2. Pilih tombol "Sign-In dengan Microsoft" dan masuk sebagai pengguna dengan setidaknya peran Admin Aplikasi.

    Screenshot dari Microsoft Graph Explorer Sign-in.

  3. Setelah berhasil masuk, detail akun pengguna muncul di panel sebelah kiri.

  4. Pilih tab Ubah izin dan setujui Synchronization.ReadWrite.All izin. Izin ini diperlukan untuk kueri Graph API dalam langkah-langkah berikut.

Langkah 3: Mendapatkan info masuk aplikasi dan detail konektivitas yang sudah ada

Di Microsoft Graph Explorer, jalankan kueri GET berikut menggantikan [servicePrincipalId] dengan ServicePrincipalId yang diekstrak dari Step 1.

   GET https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/secrets

Cuplikan layar kueri pekerjaan GET.

Salin Respons ke dalam file teks. Tampaknya teks JSON ditampilkan dengan nilai-nilai yang disorot dalam warna kuning yang khusus untuk penyebaran Anda. Tambahkan garis yang disorot dengan warna hijau ke akhir dan perbarui kata sandi koneksi Workday yang disorot dengan warna biru.

Cuplikan layar respons pekerjaan GET.

Berikut adalah blok JSON untuk ditambahkan ke pemetaan.

{
  "key": "SkipOutOfScopeDeletions",
  "value": "True"
}

Langkah 4: Memperbarui titik akhir rahasia dengan bendera SkipOutOfScopeDeletions

Di Graph Explorer, jalankan perintah untuk memperbarui titik akhir rahasia dengan bendera SkipOutOfScopeDeletions .

Di URL, ganti [servicePrincipalId] dengan ServicePrincipalId yang diekstrak dari Langkah 1.

   PUT https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/secrets

Salin teks yang diperbarui dari Langkah 3 ke "Badan Permintaan".

Cuplikan layar permintaan PUT.

Pilih "Jalankan Kueri".

Anda harus mendapatkan output sebagai "Sukses - Kode Status 204". Jika Anda menerima kesalahan, Anda mungkin perlu memeriksa bahwa akun Anda memiliki izin Baca/Tulis untuk ServicePrincipalEndpoint. Anda dapat menemukan izin ini dengan mengklik tab Ubah izin di Graph Explorer.

Cuplikan layar respons PUT.

Langkah 5: Memverifikasi bahwa pengguna di luar cakupan tidak dinonaktifkan

Anda dapat menguji flag ini untuk memastikan perilaku yang diharapkan dengan memperbarui aturan cakupan agar melewati pengguna tertentu. Dalam contoh, kami mengecualikan karyawan dengan ID 21173 (yang lebih awal dalam cakupan) dengan menambahkan aturan cakupan baru:

Cuplikan layar yang memperlihatkan bagian

Dalam siklus provisi berikutnya, layanan provisi Microsoft Entra mengidentifikasi bahwa pengguna 21173 berada di luar cakupan. SkipOutOfScopeDeletions Jika properti diaktifkan, maka aturan sinkronisasi untuk pengguna tersebut menampilkan pesan.

  • Last updated on