Gestire mapping e utenti nelle applicazioni che non corrispondono agli utenti in Microsoft Entra ID

Quando si integra un'applicazione esistente con Microsoft Entra ID, per il provisioning o l'accesso Single Sign-On (SSO), è possibile determinare che esistono utenti nell'archivio dati dell'applicazione che non corrispondono agli utenti in Microsoft Entra ID o che non corrispondono ad alcun utente in Microsoft Entra ID.

Il servizio di provisioning Microsoft Entra si basa su regole di corrispondenza configurabili per determinare se un utente in Microsoft Entra ID corrisponde a un utente nell'applicazione, cercando un utente con la proprietà corrispondente da un utente di Microsoft Entra ID. Si supponga, ad esempio, che la regola corrispondente sia confrontare l'attributo di un utente di userPrincipalName Microsoft Entra ID con la proprietà di userName un'applicazione. Quando un utente in Microsoft Entra ID con valore userPrincipalNamealice.smith@contoso.com è assegnato al ruolo di un'applicazione, il servizio di provisioning Microsoft Entra esegue una ricerca dell'applicazione, con una query come userName eq "alice.smith@contoso.com". Se la ricerca dell'applicazione indica che non corrisponde alcun utente, il servizio di provisioning Microsoft Entra crea un nuovo utente nell'applicazione.

Se l'applicazione non ha già utenti, questo processo popola l'archivio dati dell'applicazione con gli utenti quando vengono assegnati in Microsoft Entra ID. Tuttavia, se l'applicazione ha già utenti, possono verificarsi due situazioni. In primo luogo, potrebbero esserci persone con account utente nell'applicazione, ma la corrispondenza non riesce a individuarli, ad esempio l'utente è rappresentato nell'applicazione invece asmith@contoso.com che alice.smith@contoso.com e quindi il servizio di provisioning di Microsoft Entra di ricerca non li trova. In tale situazione, la persona può finire con utenti duplicati nell'applicazione. In secondo luogo, potrebbero esserci persone con account utente nell'applicazione che non dispongono di alcun utente in Microsoft Entra ID. In questo caso, il servizio di provisioning Di Microsoft Entra non interagisce con gli utenti nell'applicazione, tuttavia, se l'applicazione è configurata in modo da basarsi sull'ID Di Microsoft Entra come unico provider di identità, tali utenti non potranno più accedere: l'applicazione reindirizzerà la persona a eseguire l'accesso con Microsoft Entra ID, ma la persona non ha un utente in Microsoft Entra ID.

Queste incoerenze tra l'ID Microsoft Entra e l'archivio dati di un'applicazione esistente possono verificarsi per molti motivi, tra cui:

• L'amministratore dell'applicazione crea direttamente gli utenti nell'applicazione, ad esempio per i fornitori o i terzisti, che non sono rappresentati in un sistema di origine HR record, ma richiedevano l'accesso alle applicazioni,
• modifiche all'identità e all'attributo, ad esempio una persona che modifica il nome, non sono state inviate a Microsoft Entra ID o all'applicazione e quindi le rappresentazioni non sono aggiornate in uno o nell'altro sistema o
• l'organizzazione usava un prodotto di gestione delle identità che effettuava il provisioning indipendente di Windows Server AD e dell'applicazione con community diverse. Ad esempio, i dipendenti dello Store avevano bisogno dell'accesso alle applicazioni ma non richiedevano cassette postali di Exchange, quindi i dipendenti dello Store non erano rappresentati in Windows Server AD o microsoft Entra ID.

Prima di abilitare il provisioning o l'accesso SSO a un'applicazione con utenti esistenti, è necessario verificare che gli utenti corrispondano e analizzare e risolvere gli utenti dall'applicazione che non corrispondono. Questo articolo illustra le opzioni per la risoluzione di situazioni diverse di cui non è stato possibile trovare una corrispondenza con un utente.

Determinare se nell'applicazione sono presenti utenti che non corrispondono

Se è già stato determinato l'elenco di utenti nell'applicazione che non corrispondono agli utenti in Microsoft Entra ID, continuare nella sezione successiva.

La procedura per determinare quali utenti nell'applicazione non corrispondono agli utenti in Microsoft Entra ID dipende dal modo in cui l'applicazione è o verrà integrata con Microsoft Entra ID.

• Se si usa SAP Cloud Identity Services, seguire l'esercitazione sul provisioning di SAP Cloud Identity Services tramite il passaggio per assicurarsi che gli utenti esistenti di SAP Cloud Identity Services abbiano gli attributi di corrispondenza necessari. In questa esercitazione si esporta un elenco di utenti da SAP Cloud Identity Services in un file CSV e quindi si usa PowerShell per associare tali utenti agli utenti in Microsoft Entra ID.

• Se l'applicazione usa una directory LDAP, seguire l'esercitazione sul provisioning della directory LDAP tramite il passaggio per raccogliere gli utenti esistenti dalla directory LDAP. In questa esercitazione usare PowerShell per trovare le corrispondenze con gli utenti in Microsoft Entra ID.

• Per altre applicazioni, incluse quelle con un database SQL o che dispongono del supporto per il provisioning nella raccolta di applicazioni, seguire l'esercitazione per gestire gli utenti esistenti di un'applicazione tramite il passaggio per verificare che Microsoft Entra ID abbia utenti che corrispondono agli utenti dell'applicazione.

• Per altre applicazioni che non dispongono di un'interfaccia di provisioning, seguire l'esercitazione per gestire gli utenti di un'applicazione che non supporta il provisioning tramite il passaggio per verificare che l'ID Microsoft Entra abbia utenti che corrispondono agli utenti dell'applicazione.

Al termine dello script di PowerShell fornito in tali esercitazioni, viene visualizzato un errore se i record dell'applicazione non si trovano nell'ID Microsoft Entra. Se non tutti i record per gli utenti dell'archivio dati dell'applicazione potrebbero trovarsi come utenti in Microsoft Entra ID, è necessario analizzare quali record non corrispondono e perché e quindi risolvere il problema di corrispondenza usando una delle opzioni nella sezione successiva.

Opzioni per assicurarsi che gli utenti corrispondano tra l'applicazione e l'ID Microsoft Entra

Questa sezione offre diverse opzioni per gestire gli utenti non corrispondenti nell'applicazione. In base agli obiettivi dell'organizzazione e ai problemi relativi ai dati tra Microsoft Entra ID e l'applicazione, selezionare l'opzione appropriata per ogni utente. Potrebbe non essere disponibile un'unica opzione che copre tutti gli utenti in una determinata applicazione.

Opzione	Aggiornamenti necessario prima del provisioning
Eliminare gli utenti di test dall'applicazione	Utenti nell'applicazione
Eliminare gli utenti dalle applicazioni per le persone che non fanno più parte dell'organizzazione	Utenti nell'applicazione
Eliminare gli utenti dall'applicazione e crearli nuovamente da Microsoft Entra ID	Utenti nell'applicazione
Aggiornare la proprietà corrispondente degli utenti nell'applicazione	Utenti nell'applicazione
Aggiornare gli utenti nell'applicazione con una nuova proprietà	Utenti nell'applicazione
Modificare le regole o le proprietà corrispondenti quando l'indirizzo di posta elettronica non corrisponde al nome dell'entità utente	Utenti nell'applicazione o nella regola di corrispondenza dell'applicazione Microsoft Entra
Aggiornare l'attributo corrispondente degli utenti in Microsoft Entra ID	Utenti in Microsoft Entra ID
Aggiornare le regole di provisioning di Microsoft Entra Connessione o Cloud Sync per sincronizzare gli utenti e gli attributi necessari	Microsoft Entra Connessione Sync o Microsoft Entra cloud Sync, che aggiornerà gli utenti in Microsoft Entra ID
Aggiornare gli utenti in Microsoft Entra ID con un nuovo attributo	Utenti in Microsoft Entra ID
Modificare le regole di corrispondenza con un attributo diverso già popolato in Microsoft Entra ID	Regola di corrispondenza dell'applicazione Microsoft Entra
Creare utenti in Windows Server AD per gli utenti dell'applicazione che necessitano di accesso continuo alle applicazioni	Utenti in Windows Server AD, che aggiorneranno gli utenti Microsoft Entra ID
Creare utenti in Microsoft Entra ID per gli utenti nell'applicazione che necessitano di accesso continuo alle applicazioni	Utenti in Microsoft Entra ID
Mantenere utenti separati e non corrispondenti nell'applicazione e nell'ID Microsoft Entra	None

Eliminare gli utenti di test dall'applicazione

Potrebbero essere presenti utenti di test nell'applicazione rimasti dalla distribuzione iniziale. Se sono presenti utenti che non sono più necessari, è possibile eliminarli dall'applicazione.

Eliminare gli utenti dalle applicazioni per le persone che non fanno più parte dell'organizzazione

L'utente potrebbe non essere più associato all'organizzazione e non deve più accedere all'applicazione, ma è ancora un utente nell'origine dati dell'applicazione. Ciò può verificarsi se l'amministratore dell'applicazione omesso per rimuovere l'utente o non è stato informato che la modifica è stata necessaria. Se l'utente non è più necessario, può essere eliminato dall'applicazione.

Eliminare gli utenti dall'applicazione e crearli nuovamente da Microsoft Entra ID

Se l'applicazione non è attualmente in uso su larga scala o non mantiene alcuno stato per utente, un'altra opzione consiste nell'eliminare gli utenti dall'applicazione in modo che non siano più presenti utenti non corrispondenti. Quindi, quando gli utenti richiedono o vengono assegnati all'applicazione in Microsoft Entra ID, verrà effettuato il provisioning dell'accesso.

Aggiornare la proprietà corrispondente degli utenti nell'applicazione

Un utente può esistere in un'applicazione e in Microsoft Entra ID, ma l'utente nell'applicazione non dispone di una proprietà necessaria per la corrispondenza oppure la proprietà ha il valore errato.

Ad esempio, quando un amministratore SAP crea un utente in SAP Cloud Identity Services usando la console di amministrazione, l'utente potrebbe non avere una userName proprietà. Tuttavia, tale proprietà può essere quella usata per la corrispondenza con gli utenti in Microsoft Entra ID. Se la userName proprietà è quella destinata alla corrispondenza, è necessario che l'amministratore SAP aggiorni gli utenti esistenti di SAP Cloud Identity Services per avere un valore della userName proprietà .

Per un altro esempio, l'amministratore dell'applicazione ha impostato l'indirizzo di posta elettronica dell'utente come proprietà mail dell'utente nell'applicazione, quando l'utente è stato aggiunto per la prima volta all'applicazione. Tuttavia, in seguito l'indirizzo di posta elettronica della persona e userPrincipalName viene modificato in Microsoft Entra ID. Tuttavia, se l'applicazione non richiedeva l'indirizzo di posta elettronica o il provider di posta elettronica aveva un reindirizzamento che consentiva al vecchio indirizzo di posta elettronica di continuare l'inoltro, l'amministratore dell'applicazione potrebbe aver perso la necessità mail di aggiornare la proprietà nell'origine dati dell'applicazione. Questa incoerenza può essere risolta dall'amministratore dell'applicazione modificando la mail proprietà per gli utenti dell'applicazione in modo che abbia un valore corrente o modificando la regola di corrispondenza, come descritto nelle sezioni seguenti.

Aggiornare gli utenti nell'applicazione con una nuova proprietà

Il sistema di gestione delle identità precedente di un'organizzazione potrebbe aver creato utenti nell'applicazione come utenti locali. Se l'organizzazione non ha un singolo provider di identità al momento, tali utenti nell'applicazione non hanno bisogno di alcuna proprietà da correlare con altri sistemi. Ad esempio, un prodotto di gestione delle identità precedente ha creato utenti in un'applicazione in base a un'origine HR autorevole. Tale sistema di gestione delle identità ha mantenuto la correlazione tra gli utenti creati nell'applicazione con l'origine HR e non ha fornito alcun identificatore di origine HR all'applicazione. Successivamente, quando si tenta di connettere l'applicazione a un tenant di Microsoft Entra ID popolato dalla stessa origine HR, Microsoft Entra ID potrebbe avere utenti per tutte le stesse persone dell'applicazione, ma la corrispondenza ha esito negativo per tutti gli utenti perché non esiste alcuna proprietà in comune.

Per risolvere questo problema di corrispondenza, seguire questa procedura.

1. Selezionare una proprietà inutilizzata esistente degli utenti nell'applicazione oppure aggiungere una nuova proprietà allo schema utente nell'applicazione.
2. Popolare tale proprietà su tutti gli utenti dell'applicazione con i dati di un'origine autorevole, ad esempio un numero ID dipendente o un indirizzo di posta elettronica, già presente negli utenti in Microsoft Entra ID.
3. Aggiornare la configurazione dei mapping degli attributi di provisioning delle applicazioni Di Microsoft Entra per l'applicazione in modo che questa proprietà sia inclusa nella regola di corrispondenza.

Modificare le regole o le proprietà corrispondenti quando l'indirizzo di posta elettronica non corrisponde al nome dell'entità utente

Per impostazione predefinita, alcuni mapping del servizio di provisioning di Microsoft Entra per le applicazioni inviano l'attributo userPrincipalName in modo che corrispondano a una proprietà dell'indirizzo di posta elettronica dell'applicazione. Alcune organizzazioni hanno indirizzi di posta elettronica primari per i propri utenti distinti dal nome dell'entità utente. Se l'applicazione archivia l'indirizzo di posta elettronica come proprietà dell'utente e non di userPrincipalName, è necessario modificare gli utenti nell'applicazione o la regola di corrispondenza.

• Se si prevede di usare l'accesso Single Sign-On da Microsoft Entra ID all'applicazione, è possibile modificare l'applicazione per aggiungere una proprietà all'utente in modo che contenga userPrincipalName. Popolare quindi tale proprietà in ogni utente dell'applicazione con userPrincipalName dell'utente da Microsoft Entra ID e aggiornare la configurazione del provisioning dell'applicazione Microsoft Entra in modo che questa proprietà sia inclusa nella regola di corrispondenza.
• Se non si prevede di usare l'accesso Single Sign-On da Microsoft Entra ID, un'alternativa consiste nell'aggiornare la configurazione dei mapping degli attributi di provisioning delle applicazioni Di Microsoft Entra, in modo che corrisponda a un attributo dell'indirizzo di posta elettronica dell'utente Microsoft Entra nella regola di corrispondenza.

Aggiornare l'attributo corrispondente degli utenti in Microsoft Entra ID

In alcune situazioni, l'attributo usato per la corrispondenza ha un valore nell'utente microsoft Entra ID non aggiornato. Ad esempio, una persona ha modificato il nome, ma la modifica del nome non è stata apportata nell'utente microsoft Entra ID.

Se l'utente è stato creato e gestito esclusivamente in Microsoft Entra ID, è necessario aggiornare l'utente in modo che disponga degli attributi corretti. Se l'attributo utente ha origine in un sistema upstream, ad esempio Windows Server AD o un'origine HR, è necessario modificare il valore nell'origine upstream e attendere che la modifica diventi visibile in Microsoft Entra ID.

Aggiornare le regole di provisioning di Microsoft Entra Connessione o Cloud Sync per sincronizzare gli utenti e gli attributi necessari

In alcune situazioni, un sistema di gestione delle identità precedente ha popolato gli utenti di Windows Server AD con un attributo appropriato che può funzionare come attributo corrispondente con un'altra applicazione. Ad esempio, se il sistema di gestione delle identità precedente è stato connesso a un'origine HR, l'utente di Ad ha un employeeId attributo popolato da tale sistema di gestione delle identità precedente con l'ID dipendente dell'utente. Per un altro esempio, il sistema di gestione delle identità precedente ha scritto l'ID utente univoco dell'applicazione come attributo di estensione nello schema di Windows Server AD. Tuttavia, se nessuno di questi attributi è stato selezionato per la sincronizzazione in Microsoft Entra ID o gli utenti non rientrano nell'ambito della sincronizzazione in Microsoft Entra ID, la rappresentazione dell'ID Microsoft Entra della community degli utenti potrebbe essere incompleta.

Per risolvere questo problema, è necessario modificare la configurazione di sincronizzazione di Microsoft Entra Connessione o sincronizzazione cloud di Microsoft Entra per garantire che tutti gli utenti appropriati in Windows Server AD che si trovino anche nell'applicazione siano inclusi nell'ambito del provisioning in Microsoft Entra ID e che gli attributi sincronizzati di tali utenti includono gli attributi che verranno usati per scopi di corrispondenza. Se si usa la sincronizzazione di Microsoft Entra Connessione, vedere Microsoft Entra Connessione Sync: Configure filtering and Microsoft Entra Connessione Sync: Directory extensions ( Microsoft Entra Connessione Sync: Configure filtering and Microsoft Entra Connessione Sync: Directory extensions). Se si usa la sincronizzazione cloud Di Microsoft Entra, vedere Mapping degli attributi in Microsoft Entra Cloud Sync and Cloud sync directory extensions and Cloud sync mapping and custom attribute mapping (Mapping degli attributi in Microsoft Entra Cloud Sync and Cloud sync extensions and Cloud sync mapping) e mapping di attributi personalizzati.

Aggiornare gli utenti in Microsoft Entra ID con un nuovo attributo

In alcune situazioni, l'applicazione può contenere un identificatore univoco per l'utente che non è attualmente archiviato nello schema MICROSOFT Entra ID per l'utente. Ad esempio, se si usa SAP Cloud Identity Services, potrebbe essere necessario che l'ID utente SAP sia l'attributo corrispondente o se si usa un sistema Linux, è possibile che l'ID utente Linux sia l'attributo corrispondente. Tuttavia, tali proprietà non fanno parte dello schema utente di Microsoft Entra ID e quindi probabilmente non sono presenti in nessuno degli utenti in Microsoft Entra ID.

Per usare un nuovo attributo per la corrispondenza, seguire questa procedura.

1. Selezionare un attributo di estensione inutilizzato esistente in Microsoft Entra ID oppure estendere lo schema utente di Microsoft Entra con un nuovo attributo.
2. Popolare tale attributo su tutti gli utenti in Microsoft Entra ID con i dati di un'origine autorevole, ad esempio l'applicazione o un sistema HR. Se gli utenti vengono sincronizzati da Windows Server AD o ne viene effettuato il provisioning da un sistema HR, potrebbe essere necessario apportare tale modifica nell'origine upstream.
3. Aggiornare la configurazione dei mapping degli attributi di provisioning delle applicazioni Di Microsoft Entra e includere questo attributo nella regola di corrispondenza.

Modificare le regole di corrispondenza con un attributo diverso già popolato in Microsoft Entra ID

Le regole di corrispondenza predefinite per le applicazioni nella raccolta di applicazioni si basano su attributi comunemente presenti in tutti gli utenti di Microsoft Entra ID in tutti i clienti Microsoft, ad esempio userPrincipalName. Queste regole sono adatte per i test per utilizzo generico o per il provisioning in una nuova applicazione che attualmente non ha utenti. Tuttavia, molte organizzazioni potrebbero avere già popolato gli utenti di Microsoft Entra ID con altri attributi rilevanti per la propria organizzazione, ad esempio un ID dipendente. Se è presente un altro attributo adatto per la corrispondenza, aggiornare la configurazione dei mapping degli attributi di provisioning dell'applicazione Microsoft Entra e includere questo attributo nella regola di corrispondenza.

Configurare il provisioning in ingresso da un'origine HR a Microsoft Entra ID

Idealmente, le organizzazioni che hanno effettuato il provisioning degli utenti in più applicazioni in modo indipendente, devono basarsi su identificatori comuni per gli utenti derivati da un'origine autorevole, ad esempio un sistema HR. Molti sistemi HR hanno proprietà che funzionano e identificatori, ad esempio employeeId che possono essere considerati univoci in modo che nessuna persona abbia lo stesso ID dipendente. Se si dispone di un'origine HR, ad esempio Workday o SuccessFactors, l'uso di attributi come employeeId da tale origine può spesso creare una regola di corrispondenza appropriata.

Per usare un attributo con valori ottenuti da un'origine autorevole per la corrispondenza, seguire questa procedura.

1. Selezionare un attributo di schema utente di Microsoft Entra ID appropriato oppure estendere lo schema utente di Microsoft Entra con un nuovo attributo, i cui valori corrispondono a una proprietà equivalente di un utente nell'applicazione.
2. Assicurarsi che la proprietà sia presente anche in un'origine HR per tutte le persone che hanno utenti in Microsoft Entra ID e nell'applicazione.
3. Configurare il provisioning in ingresso dall'origine HR all'ID Microsoft Entra.
4. Attendere che gli utenti in Microsoft Entra ID vengano aggiornati con nuovi attributi.
5. Aggiornare la configurazione dei mapping degli attributi di provisioning delle applicazioni Di Microsoft Entra e includere questo attributo nella regola di corrispondenza.

Creare utenti in Windows Server AD per gli utenti dell'applicazione che necessitano di accesso continuo alle applicazioni

Se ci sono utenti dell'applicazione che non corrispondono a una persona in un'origine HR autorevole, ma richiederà l'accesso alle applicazioni basate su Windows Server AD e alle applicazioni integrate con ID Microsoft Entra in futuro e l'organizzazione sta usando Microsoft Entra Connessione Sync o Microsoft Entra Cloud Sync per effettuare il provisioning degli utenti da Windows Server AD a Microsoft Entra ID, è quindi possibile creare un utente in Windows Server AD per ognuno di questi utenti che non erano già presenti.

Se gli utenti non richiedono l'accesso alle applicazioni basate su Windows Server AD, creare gli utenti in Microsoft Entra ID, come descritto nella sezione successiva.

Creare utenti in Microsoft Entra ID per gli utenti nell'applicazione che necessitano di accesso continuo alle applicazioni

Se ci sono utenti dell'applicazione che non corrispondono a una persona in un'origine HR autorevole, ma avrà bisogno di accesso continuo e sarà disciplinato da Microsoft Entra, è possibile creare utenti di Microsoft Entra per loro. È possibile creare utenti in blocco usando:

• Un file CSV, come descritto in Creare utenti in blocco nell'interfaccia di amministrazione di Microsoft Entra
• Cmdlet New-MgUser

Assicurarsi che questi nuovi utenti vengano popolati con gli attributi necessari per l'ID Di Microsoft Entra per associarli in un secondo momento agli utenti esistenti nell'applicazione e gli attributi richiesti dall'ID Microsoft Entra, inclusi userPrincipalName, mailNicknamee displayName. Deve userPrincipalName essere univoco tra tutti gli utenti nella directory.

Creazione di utenti in blocco con PowerShell

Questa sezione illustra come interagire con Microsoft Entra ID usando i cmdlet di PowerShell di Microsoft Graph.

La prima volta che l'organizzazione usa questi cmdlet per questo scenario, è necessario trovarsi in un ruolo globale Amministrazione istrator per consentire l'uso di Microsoft Graph PowerShell nel tenant. Le interazioni successive possono usare un ruolo con privilegi inferiori, ad esempio User Amministrazione istrator.

1. Se si ha già una sessione di PowerShell in cui sono stati identificati gli utenti nell'applicazione che non erano in Microsoft Entra ID, continuare con il passaggio 6 seguente. In caso contrario, aprire PowerShell.

2. Se i moduli di Microsoft Graph PowerShell non sono già installati, installare il Microsoft.Graph.Users modulo e altri usando questo comando:

   Install-Module Microsoft.Graph
   

   Se i moduli sono già installati, assicurarsi di usare una versione recente:

   Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
   

3. Connessione a Microsoft Entra ID:

   $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All"
   

4. Se è la prima volta che è stato usato questo comando, sarà necessario fornire il consenso per consentire agli strumenti della riga di comando di Microsoft Graph di avere queste autorizzazioni.

5. Inserire nell'ambiente PowerShell una matrice di utenti dell'applicazione, che include anche i campi che sono gli attributi obbligatori dell'ID Di Microsoft Entra, ovvero il nome dell'entità utente, il nome alternativo della posta elettronica e il nome completo dell'utente. Questo script presuppone che la matrice $dbu_not_matched_list contenga gli utenti dell'applicazione non corrispondenti.

   $filename = ".\Users-to-create.csv"
   $bu_not_matched_list = Import-Csv -Path $filename -Encoding UTF8
   

6. Specificare nella sessione di PowerShell le colonne nella matrice di utenti da creare corrispondono alle proprietà obbligatorie dell'ID Entra Di Microsoft. Ad esempio, si potrebbero avere utenti in un database in cui il valore nella colonna denominata EMail è il valore che si vuole usare come nome dell'entità utente Microsoft Entra, il valore nella colonna Alias contiene il nome alternativo della posta elettronica microsoft Entra ID e il valore nella colonna Full name contiene il nome visualizzato dell'utente:

   $db_display_name_column_name = "Full name"
   $db_user_principal_name_column_name = "Email"
   $db_mail_nickname_column_name = "Alias"
   

7. Aprire lo script seguente in un editor di testo. Potrebbe essere necessario modificare questo script per aggiungere gli attributi di Microsoft Entra necessari per l'applicazione oppure se non mailNickname è o userPrincipalName, per specificare l'attributo $azuread_match_attr_name Microsoft Entra.

   $dbu_missing_columns_list = @()
   $dbu_creation_failed_list = @()
   foreach ($dbu in $dbu_not_matched_list) {
      if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
          ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
          ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
         $params = @{
            accountEnabled = $false
            displayName = $dbu.$db_display_name_column_name
            mailNickname = $dbu.$db_mail_nickname_column_name
            userPrincipalName = $dbu.$db_user_principal_name_column_name
            passwordProfile = @{
              Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
            }
         }
         try {
           New-MgUser -BodyParameter $params
         } catch { $dbu_creation_failed_list += $dbu; throw }
      } else {
         $dbu_missing_columns_list += $dbu
      }
   }
   

8. Incollare lo script risultante dall'editor di testo nella sessione di PowerShell. Se si verificano errori, è necessario correggerli prima di procedere.

Mantenere utenti separati e non corrispondenti nell'applicazione e nell'ID Microsoft Entra

Potrebbe essere presente un utente con privilegi avanzati nell'origine dati dell'applicazione che non corrisponde a una persona specifica nell'ID Microsoft Entra. Se non si creano utenti di Microsoft Entra per loro, tali utenti non potranno essere gestiti da Microsoft Entra ID o Microsoft Entra ID Governance. Poiché questi utenti non saranno in grado di accedere con Microsoft Entra ID, quindi se si sta configurando l'applicazione per l'uso di Microsoft Entra ID come provider di identità, assicurarsi che tali utenti non siano inclusi nell'ambito di utilizzo di Microsoft Entra ID per l'autenticazione.

Esportare nuovamente gli utenti

Dopo aver apportato aggiornamenti agli utenti di Microsoft Entra, agli utenti nell'applicazione o alle regole di corrispondenza dell'applicazione Microsoft Entra, è necessario esportare nuovamente ed eseguire di nuovo la procedura di corrispondenza per l'applicazione, per assicurarsi che tutti gli utenti siano correlati.

• Se si usa SAP Cloud Identity Services, seguire l'esercitazione sul provisioning di SAP Cloud Identity Services a partire dal passaggio per assicurarsi che gli utenti di SAP Cloud Identity Services abbiano gli attributi di corrispondenza necessari. In questa esercitazione si esporta un elenco di utenti da SAP Cloud Identity Services in un file CSV e quindi si usa PowerShell per associare tali utenti agli utenti in Microsoft Entra ID.

• Se l'applicazione usa una directory LDAP, seguire l'esercitazione sul provisioning della directory LDAP a partire dal passaggio per raccogliere gli utenti esistenti dalla directory LDAP.

• Per altre applicazioni, incluse quelle con un database SQL o che dispongono del supporto per il provisioning nella raccolta di applicazioni, seguire l'esercitazione per gestire gli utenti esistenti di un'applicazione a partire dal passaggio per raccogliere gli utenti esistenti dall'applicazione.

Assegnare utenti ai ruoli dell'applicazione e abilitare il provisioning

Dopo aver completato gli aggiornamenti necessari e aver verificato che tutti gli utenti dell'applicazione corrispondano agli utenti in Microsoft Entra ID, è necessario assegnare gli utenti in Microsoft Entra ID che devono accedere all'applicazione al ruolo dell'app applicazione Microsoft Entra e quindi abilitare il provisioning nell'applicazione.

• Se si usa SAP Cloud Identity Services, continuare l'esercitazione sul provisioning di SAP Cloud Identity Services a partire dal passaggio per assicurarsi che gli utenti di Microsoft Entra esistenti abbiano gli attributi necessari.

Passaggi successivi

• Integrazione di applicazioni con Microsoft Entra ID e definizione di una baseline di accesso esaminato
• Gestire gli utenti esistenti di un'applicazione in Microsoft Entra ID con Microsoft PowerShell
• Preparare la verifica dell'accesso degli utenti a un'applicazione