Toewijzingen en gebruikers beheren in toepassingen die niet overeenkomen met gebruikers in Microsoft Entra-id
Wanneer u een bestaande toepassing integreert met Microsoft Entra ID, voor het inrichten of eenmalige aanmelding (SSO), kunt u vaststellen dat er gebruikers zijn in het gegevensarchief van de toepassing die niet overeenkomen met gebruikers in Microsoft Entra-id of die niet overeenkomen met gebruikers in Microsoft Entra-id.
De Microsoft Entra-inrichtingsservice is afhankelijk van configureerbare overeenkomende regels om te bepalen of een gebruiker in Microsoft Entra-id overeenkomt met een gebruiker in de toepassing, waarbij de toepassing wordt gezocht naar een gebruiker met de overeenkomende eigenschap van een Microsoft Entra ID-gebruiker. Stel dat de overeenkomende regel is om het kenmerk van userPrincipalName een Microsoft Entra ID-gebruiker te vergelijken met de eigenschap van userName een toepassing. Wanneer een gebruiker in Microsoft Entra ID met een userPrincipalName waarde wordt toegewezen aan de rol van alice.smith@contoso.com een toepassing, voert Microsoft Entra-inrichtingsservice een zoekopdracht uit van de toepassing, met een query zoals userName eq "alice.smith@contoso.com". Als de zoekfunctie van de toepassing aangeeft dat er geen gebruikers overeenkomen, maakt Microsoft Entra-inrichtingsservice een nieuwe gebruiker in de toepassing.
Als de toepassing nog geen gebruikers heeft, vult dit proces het gegevensarchief van de toepassing in met gebruikers zoals ze zijn toegewezen in Microsoft Entra-id. Als de toepassing echter al gebruikers heeft, kunnen er twee situaties ontstaan. Ten eerste zijn er mogelijk personen met gebruikersaccounts in de toepassing, maar de overeenkomende zoekopdracht kan niet worden gevonden. Misschien wordt de gebruiker in de toepassing weergegeven als asmith@contoso.com in plaats alice.smith@contoso.com van en dus wordt de zoekfunctie van Microsoft Entra-inrichtingsservice niet gevonden. In dat geval kan de persoon uiteindelijk dubbele gebruikers in de toepassing hebben. Ten tweede zijn er mogelijk personen met gebruikersaccounts in de toepassing die geen gebruiker in Microsoft Entra-id hebben. In dit geval communiceert de Microsoft Entra-inrichtingsservice niet met die gebruikers in de toepassing, maar als de toepassing is geconfigureerd om te vertrouwen op Microsoft Entra-id als enige id-provider, kunnen deze gebruikers zich niet langer aanmelden: de toepassing leidt de persoon om zich aan te melden met Microsoft Entra-id, maar de persoon heeft geen gebruiker in Microsoft Entra ID.
Deze inconsistenties tussen Microsoft Entra ID en het gegevensarchief van een bestaande toepassing kunnen om verschillende redenen optreden, waaronder:
- de toepassingsbeheerder maakt rechtstreeks gebruikers in de toepassing, zoals voor aannemers of leveranciers, die niet worden weergegeven in een systeem van record HR-bron, maar waarvoor wel toegang tot de toepassing is vereist,
- identiteits- en kenmerkwijzigingen, zoals een persoon die de naam wijzigt, werden niet verzonden naar Microsoft Entra-id of de toepassing, en de representaties zijn dus verouderd in een of ander systeem, of
- de organisatie gebruikte een product voor identiteitsbeheer dat onafhankelijk Windows Server AD en de toepassing met verschillende community's heeft ingericht. Sla werknemers bijvoorbeeld toegang tot toepassingen op, maar vereist geen Exchange-postvakken, dus winkelmedewerkers werden niet weergegeven in Windows Server AD of Microsoft Entra-id.
Voordat u inrichting of eenmalige aanmelding inschakelt voor een toepassing met bestaande gebruikers, moet u controleren of gebruikers overeenkomen en deze gebruikers onderzoeken en oplossen vanuit de toepassing die niet overeenkomen. In dit artikel vindt u een overzicht van de opties voor het oplossen van verschillende situaties waarin een gebruiker niet kan worden vergeleken.
Bepalen of er gebruikers zijn in de toepassing die niet overeenkomen
Als u de lijst met gebruikers in de toepassing al hebt bepaald die niet overeenkomen met gebruikers in Microsoft Entra ID, gaat u verder in de volgende sectie.
De procedure om te bepalen welke gebruikers in de toepassing niet overeenkomen met gebruikers in Microsoft Entra ID, is afhankelijk van hoe de toepassing is of wordt geïntegreerd met Microsoft Entra ID.
Als u SAP Cloud Identity Services gebruikt, volgt u de zelfstudie voor het inrichten van SAP Cloud Identity Services door de stap om ervoor te zorgen dat bestaande SAP Cloud Identity Services-gebruikers over de benodigde overeenkomende kenmerken beschikken. In deze zelfstudie exporteert u een lijst met gebruikers van SAP Cloud Identity Services naar een CSV-bestand en gebruikt u vervolgens PowerShell om deze gebruikers te koppelen aan gebruikers in Microsoft Entra-id.
Als uw toepassing een LDAP-adreslijst gebruikt, volgt u de zelfstudie over het inrichten van LDAP-directory's door de stap voor het verzamelen van bestaande gebruikers uit de LDAP-adreslijst. In deze zelfstudie gebruikt u PowerShell om deze gebruikers te koppelen aan gebruikers in Microsoft Entra ID.
Voor andere toepassingen, waaronder die toepassingen met een SQL-database of die ondersteuning hebben voor het inrichten in de toepassingsgalerie, volgt u de zelfstudie om de bestaande gebruikers van een toepassing te beheren via de stap om te bevestigen dat Microsoft Entra ID gebruikers bevat die overeenkomen met gebruikers uit de toepassing.
Voor andere toepassingen die geen inrichtingsinterface hebben, volgt u de zelfstudie voor het beheren van de gebruikers van een toepassing die geen ondersteuning biedt voor het inrichten via de stap om te bevestigen dat Microsoft Entra ID gebruikers bevat die overeenkomen met gebruikers uit de toepassing.
Wanneer het PowerShell-script in deze zelfstudies is voltooid, wordt er een fout weergegeven als records uit de toepassing zich niet in Microsoft Entra-id bevinden. Als niet alle records voor gebruikers uit het gegevensarchief van de toepassing zich kunnen bevinden als gebruikers in Microsoft Entra ID, moet u onderzoeken welke records niet overeenkomen en waarom, en vervolgens het overeenkomstprobleem oplossen met behulp van een van de opties in de volgende sectie.
Opties om ervoor te zorgen dat gebruikers overeenkomen tussen de toepassing en De Microsoft Entra-id
Deze sectie biedt verschillende opties om de niet-overeenkomende gebruikers in de toepassing aan te pakken. Selecteer op basis van de doelstellingen van uw organisatie en de gegevensproblemen tussen Microsoft Entra ID en de toepassing de juiste optie voor elke gebruiker. Er is mogelijk geen enkele optie die alle gebruikers in een bepaalde toepassing omvat.
Testgebruikers uit de toepassing verwijderen
Er kunnen testgebruikers in de toepassing zijn die zijn overgelaten vanaf de eerste implementatie. Als er gebruikers zijn die niet meer nodig zijn, kunnen ze uit de toepassing worden verwijderd.
Gebruikers verwijderen uit de toepassingen voor personen die geen deel meer uitmaken van de organisatie
De gebruiker is mogelijk niet meer gekoppeld aan de organisatie en heeft geen toegang meer nodig tot de toepassing, maar is nog steeds een gebruiker in de gegevensbron van de toepassing. Dit kan gebeuren als de toepassingsbeheerder deze weglaat om de gebruiker te verwijderen of niet is geïnformeerd dat de wijziging is vereist. Als de gebruiker niet meer nodig is, kan deze worden verwijderd uit de toepassing.
Gebruikers verwijderen uit de toepassing en deze opnieuw laten maken op basis van Microsoft Entra-id
Als de toepassing momenteel niet in gebruik is of geen status per gebruiker onderhoudt, is er een andere optie om gebruikers uit de toepassing te verwijderen, zodat er geen niet-overeenkomende gebruikers meer zijn. Wanneer gebruikers vervolgens de toepassing in Microsoft Entra ID aanvragen of toewijzen, krijgen ze toegang.
De overeenkomende eigenschap van gebruikers in de toepassing bijwerken
Een gebruiker kan bestaan in een toepassing en in Microsoft Entra-id, maar de gebruiker in de toepassing ontbreekt een eigenschap die nodig is voor overeenkomend, of de eigenschap heeft de verkeerde waarde.
Wanneer een SAP-beheerder bijvoorbeeld een gebruiker maakt in SAP Cloud Identity Services met behulp van de beheerconsole, heeft userName de gebruiker mogelijk geen eigenschap. Deze eigenschap kan echter de eigenschap zijn die wordt gebruikt voor vergelijking met gebruikers in Microsoft Entra-id. Als de userName eigenschap de eigenschap is die bedoeld is om te overeenkomen, moet u de SAP-beheerder nodig hebben om die bestaande SAP Cloud Identity Services-gebruikers bij te werken om een waarde van de userName eigenschap te hebben.
In een ander voorbeeld heeft de toepassingsbeheerder het e-mailadres van de gebruiker ingesteld als een eigenschap mail van de gebruiker in de toepassing, toen de gebruiker voor het eerst aan de toepassing werd toegevoegd. Later wordt het e-mailadres userPrincipalName van de persoon echter gewijzigd in Microsoft Entra-id. Als de toepassing echter niet het e-mailadres vereist of als de e-mailprovider een omleiding had waardoor het oude e-mailadres doorsturen kon worden bewaard, heeft de toepassingsbeheerder mogelijk gemist dat er behoefte was aan mail een eigenschap die in de gegevensbron van de toepassing werd bijgewerkt. Deze inconsistentie kan worden opgelost door de toepassingsbeheerder die de eigenschap van de mail gebruikers van de toepassing wijzigt in een huidige waarde of door de overeenkomende regel te wijzigen, zoals beschreven in de volgende secties.
Gebruikers in de toepassing bijwerken met een nieuwe eigenschap
Het vorige identiteitsbeheersysteem van een organisatie heeft mogelijk gebruikers in de toepassing gemaakt als lokale gebruikers. Als de organisatie op dat moment geen enkele id-provider heeft, hebben die gebruikers in de toepassing geen eigenschappen nodig om te worden gecorreleerd met een ander systeem. Een eerder identiteitsbeheerproduct heeft bijvoorbeeld gebruikers in een toepassing gemaakt op basis van een gezaghebbende HR-bron. Dat identiteitsbeheersysteem heeft de correlatie gehandhaafd tussen de gebruikers die het in de toepassing heeft gemaakt met de HR-bron en heeft geen van de HR-bron-id's aan de toepassing verstrekt. Wanneer u de toepassing later probeert te verbinden met een Microsoft Entra ID-tenant die is gevuld vanuit dezelfde HR-bron, heeft Microsoft Entra-id mogelijk gebruikers voor dezelfde personen als in de toepassing, maar de overeenkomst mislukt voor alle gebruikers omdat er geen eigenschap gemeenschappelijk is.
Voer de volgende stappen uit om dit overeenkomende probleem op te lossen.
- Selecteer een bestaande ongebruikte eigenschap van gebruikers in de toepassing of voeg een nieuwe eigenschap toe aan het gebruikersschema in de toepassing.
- Vul die eigenschap in voor alle gebruikers in de toepassing met gegevens uit een gezaghebbende bron, zoals een werknemers-id of e-mailadres, die al aanwezig is op gebruikers in Microsoft Entra ID.
- Werk de configuratie van kenmerktoewijzingen voor de microsoft Entra-toepassing bij zodat deze eigenschap is opgenomen in de overeenkomende regel.
Overeenkomende regels of eigenschappen wijzigen wanneer het e-mailadres niet overeenkomt met de principal-naam van de gebruiker
Standaard verzenden sommige van de microsoft Entra-inrichtingsservicetoewijzingen voor toepassingen het kenmerk zodat deze userPrincipalName overeenkomen met de eigenschap van een e-mailadres van een toepassing. Sommige organisaties hebben primaire e-mailadressen voor hun gebruikers die verschillen van hun user principal name. Als de toepassing het e-mailadres opslaat als een eigenschap van de gebruiker en niet de userPrincipalName, moet u de gebruikers in de toepassing of de overeenkomende regel wijzigen.
- Als u van plan bent eenmalige aanmelding van Microsoft Entra ID te gebruiken voor de toepassing, kunt u de toepassing wijzigen om een eigenschap toe te voegen aan de gebruiker om de userPrincipalName op te slaan. Vul vervolgens die eigenschap in voor elke gebruiker in de toepassing met de userPrincipalName van Microsoft Entra-id en werk de inrichtingsconfiguratie van de Microsoft Entra-toepassing bij zodat deze eigenschap is opgenomen in de overeenkomende regel.
- Als u van plan bent om eenmalige aanmelding van Microsoft Entra ID te gebruiken, is het een alternatief om de configuratie van de microsoft Entra-toepassingstoewijzingen voor het inrichten van kenmerken bij te werken, zodat deze overeenkomt met een e-mailadreskenmerk van de Microsoft Entra-gebruiker in de overeenkomende regel.
Het overeenkomende kenmerk van gebruikers in Microsoft Entra ID bijwerken
In sommige situaties heeft het kenmerk dat wordt gebruikt voor vergelijking een waarde in de Microsoft Entra ID-gebruiker die verouderd is. Een persoon heeft bijvoorbeeld zijn naam gewijzigd, maar de naamwijziging is niet aangebracht in de Microsoft Entra ID-gebruiker.
Als de gebruiker alleen in Microsoft Entra-id is gemaakt en onderhouden, moet u de gebruiker bijwerken om de juiste kenmerken te hebben. Als het gebruikerskenmerk afkomstig is van een upstream-systeem, zoals Windows Server AD of een HR-bron, moet u de waarde in de upstream-bron wijzigen en wachten tot de wijziging zichtbaar is in Microsoft Entra-id.
Werk de microsoft Entra-Verbinding maken-synchronisatie- of cloudsynchronisatieregels bij om de benodigde gebruikers en kenmerken te synchroniseren
In sommige situaties heeft een eerder identiteitsbeheersysteem Windows Server AD-gebruikers gevuld met een geschikt kenmerk dat kan functioneren als een overeenkomend kenmerk met een andere toepassing. Als het vorige identiteitsbeheersysteem bijvoorbeeld is verbonden met een HR-bron, heeft de AD-gebruiker een employeeId kenmerk dat is ingevuld door dat vorige identiteitsbeheersysteem met de werknemers-id van de gebruiker. In een ander voorbeeld heeft het vorige identiteitsbeheersysteem de unieke gebruikers-id van de toepassing geschreven als een extensiekenmerk in het Windows Server AD-schema. Als geen van deze kenmerken echter zijn geselecteerd voor synchronisatie met Microsoft Entra-id, of als de gebruikers buiten het bereik van synchronisatie in Microsoft Entra-id waren, kan de Microsoft Entra-id-weergave van de gebruikerscommunity onvolledig zijn.
Om dit probleem op te lossen, moet u uw Microsoft Entra-Verbinding maken-synchronisatie of de configuratie van Microsoft Entra-cloudsynchronisatie wijzigen om ervoor te zorgen dat alle juiste gebruikers in Windows Server AD die ook in de toepassing zijn opgenomen, binnen het bereik vallen om te worden ingericht voor Microsoft Entra-id en dat de gesynchroniseerde kenmerken van deze gebruikers de kenmerken bevatten die voor overeenkomende doeleinden worden gebruikt. Als u Microsoft Entra Verbinding maken sync gebruikt, raadpleegt u Microsoft Entra Verbinding maken Sync: Filtering configureren en Microsoft Entra Verbinding maken Sync: Directory-extensies. Als u Microsoft Entra-cloudsynchronisatie gebruikt, raadpleegt u Kenmerktoewijzing in Microsoft Entra Cloud Sync - en Cloudsynchronisatiemapextensies en aangepaste kenmerktoewijzingen.
Gebruikers bijwerken in Microsoft Entra ID met een nieuw kenmerk
In sommige situaties kan de toepassing een unieke id bevatten voor de gebruiker die momenteel niet is opgeslagen in het Microsoft Entra ID-schema voor de gebruiker. Als u bijvoorbeeld SAP Cloud Identity Services gebruikt, wilt u mogelijk dat de SAP-gebruikers-id het overeenkomende kenmerk is of als u een Linux-systeem gebruikt, wilt u mogelijk dat de Linux-gebruikers-id het overeenkomende kenmerk is. Deze eigenschappen maken echter geen deel uit van het gebruikersschema van Microsoft Entra ID en zijn dus waarschijnlijk niet aanwezig op een van de gebruikers in Microsoft Entra ID.
Voer de volgende stappen uit om een nieuw kenmerk te gebruiken voor overeenkomende waarden.
- Selecteer een bestaand ongebruikt extensiekenmerk in Microsoft Entra ID of breid het Microsoft Entra-gebruikersschema uit met een nieuw kenmerk.
- Vul dat kenmerk in voor alle gebruikers in Microsoft Entra ID met gegevens uit een gezaghebbende bron, zoals de toepassing of een HR-systeem. Als de gebruikers worden gesynchroniseerd vanuit Windows Server AD of worden ingericht vanuit een HR-systeem, moet u deze wijziging mogelijk aanbrengen in die upstream-bron.
- Werk de configuratie van de microsoft Entra-toepassingstoewijzingen voor het inrichten van kenmerken bij en neem dit kenmerk op in de overeenkomende regel.
Overeenkomende regels wijzigen in een ander kenmerk dat al is ingevuld in Microsoft Entra-id
De standaardkoppelingsregels voor toepassingen in de toepassingsgalerie zijn afhankelijk van kenmerken die vaak aanwezig zijn voor alle Microsoft Entra ID-gebruikers in alle Microsoft-klanten, zoals userPrincipalName. Deze regels zijn geschikt voor algemene tests of voor inrichting in een nieuwe toepassing die momenteel geen gebruikers heeft. Veel organisaties hebben microsoft Entra ID-gebruikers mogelijk al gevuld met andere kenmerken die relevant zijn voor hun organisatie, zoals een werknemers-id. Als er een ander kenmerk is dat geschikt is voor overeenkomende functies, werkt u de configuratie van de microsoft Entra-toepassingsinrichting kenmerktoewijzingen bij en neemt u dit kenmerk op in de overeenkomende regel.
Binnenkomende inrichting van een HR-bron configureren naar Microsoft Entra-id
In het ideale geval moeten organisaties die gebruikers afzonderlijk in meerdere toepassingen inrichten, afhankelijk zijn van algemene id's voor gebruikers die zijn afgeleid van een gezaghebbende bron, zoals een HR-systeem. Veel HR-systemen hebben eigenschappen die goed functioneren als id's, zoals employeeId die kunnen worden behandeld als uniek, zodat geen twee personen dezelfde werknemers-id hebben. Als u een HR-bron hebt, zoals Workday of SuccessFactors, kunnen kenmerken zoals een employeeId van die bron vaak een geschikte overeenkomende regel maken.
Voer de volgende stappen uit om een kenmerk te gebruiken met waarden die zijn verkregen uit een gezaghebbende bron voor overeenkomende waarden.
- Selecteer een geschikt Microsoft Entra ID-gebruikersschemakenmerk of breid het Microsoft Entra-gebruikersschema uit met een nieuw kenmerk, waarvan de waarden overeenkomen met een equivalente eigenschap van een gebruiker in de toepassing.
- Zorg ervoor dat de eigenschap ook aanwezig is in een HR-bron voor alle personen die gebruikers hebben in Microsoft Entra-id en de toepassing.
- Configureer binnenkomende inrichting van die HR-bron naar Microsoft Entra-id.
- Wacht totdat de gebruikers in Microsoft Entra ID zijn bijgewerkt met nieuwe kenmerken.
- Werk de configuratie van de microsoft Entra-toepassingstoewijzingen voor het inrichten van kenmerken bij en neem dit kenmerk op in de overeenkomende regel.
Gebruikers maken in Windows Server AD voor gebruikers in de toepassing die continue toegang tot toepassingen nodig hebben
Als er gebruikers van de toepassing zijn die niet overeenkomen met een persoon in een gezaghebbende HR-bron, maar die toegang nodig hebben tot zowel Windows Server AD-toepassingen als geïntegreerde Microsoft Entra ID-toepassingen in de toekomst, en uw organisatie microsoft Entra Verbinding maken Sync of Microsoft Entra Cloud Sync gebruikt om gebruikers van Windows Server AD in te richten op Microsoft Entra ID, vervolgens kunt u een gebruiker maken in Windows Server AD voor elk van deze gebruikers die nog niet aanwezig waren.
Als de gebruikers geen toegang nodig hebben tot windows Server AD-toepassingen, maakt u de gebruikers in Microsoft Entra-id, zoals beschreven in de volgende sectie.
Gebruikers maken in Microsoft Entra ID voor gebruikers in de toepassing die continue toegang tot toepassingen nodig hebben
Als er gebruikers van de toepassing zijn die niet overeenkomen met een persoon in een gezaghebbende HR-bron, maar die wel permanente toegang nodig hebben en worden beheerd vanuit Microsoft Entra, kunt u Microsoft Entra-gebruikers voor hen maken. U kunt bulksgewijs gebruikers maken met behulp van:
- Een CSV-bestand, zoals beschreven in gebruikers bulksgewijs maken in het Microsoft Entra-beheercentrum
- De cmdlet New-MgUser
Zorg ervoor dat deze nieuwe gebruikers worden gevuld met de kenmerken die vereist zijn voor Microsoft Entra-id, zodat deze later overeenkomen met de bestaande gebruikers in de toepassing, en de kenmerken die zijn vereist voor Microsoft Entra-id, inclusief userPrincipalName, mailNicknameen displayName. Deze userPrincipalName moet uniek zijn voor alle gebruikers in de directory.
Gebruikers bulksgewijs maken met Behulp van PowerShell
In deze sectie wordt beschreven hoe u kunt communiceren met Microsoft Entra ID met behulp van Microsoft Graph PowerShell-cmdlets .
De eerste keer dat uw organisatie deze cmdlets gebruikt voor dit scenario, moet u de rol Globale beheerder hebben om Microsoft Graph PowerShell te kunnen gebruiken in uw tenant. Volgende interacties kunnen een rol met lagere bevoegdheden gebruiken, zoals Gebruiker Beheer istrator.
Als u al een PowerShell-sessie hebt waarin u de gebruikers hebt geïdentificeerd in de toepassing die zich niet in Microsoft Entra-id bevonden, gaat u verder met stap 6 hieronder. Anders opent u PowerShell.
Als u de Microsoft Graph PowerShell-modules nog niet hebt geïnstalleerd, installeer dan de module
Microsoft.Graph.Usersen andere met behulp van deze opdracht:Install-Module Microsoft.GraphAls u de modules al hebt geïnstalleerd, controleer dan of u een recente versie gebruikt:
Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applicationsVerbinding maken naar Microsoft Entra-id:
$msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All"Als dit de eerste keer is dat u deze opdracht hebt gebruikt, moet u toestemming geven om de Microsoft Graph-opdrachtregelprogramma's deze machtigingen te geven.
Breng in uw PowerShell-omgeving een matrix van de gebruikers uit de toepassing, die ook de velden bevat die vereist zijn voor Microsoft Entra ID: de principal-naam van de gebruiker, de bijnaam van de e-mail en de volledige naam van de gebruiker. In dit script wordt ervan uitgegaan dat de matrix
$dbu_not_matched_listde gebruikers bevat uit de toepassing die niet overeenkomen.$filename = ".\Users-to-create.csv" $bu_not_matched_list = Import-Csv -Path $filename -Encoding UTF8Geef in uw PowerShell-sessie op welke kolommen in de matrix van gebruikers moeten worden gemaakt, overeenkomen met de vereiste eigenschappen van De Microsoft Entra-id. U hebt bijvoorbeeld gebruikers in een database waarin de waarde in de kolom met de naam
EMailde waarde is die u wilt gebruiken als microsoft Entra user principal Name, de waarde in de kolomAliasbevat de e-mailnaam van Microsoft Entra ID en de waarde in de kolomFull namebevat de weergavenaam van de gebruiker:$db_display_name_column_name = "Full name" $db_user_principal_name_column_name = "Email" $db_mail_nickname_column_name = "Alias"Open het volgende script in een teksteditor. Mogelijk moet u dit script wijzigen om de Microsoft Entra-kenmerken toe te voegen die nodig zijn voor uw toepassing, of als dit
$azuread_match_attr_namenietmailNicknamehet is ofuserPrincipalName, om dat Microsoft Entra-kenmerk op te geven.$dbu_missing_columns_list = @() $dbu_creation_failed_list = @() foreach ($dbu in $dbu_not_matched_list) { if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) { $params = @{ accountEnabled = $false displayName = $dbu.$db_display_name_column_name mailNickname = $dbu.$db_mail_nickname_column_name userPrincipalName = $dbu.$db_user_principal_name_column_name passwordProfile = @{ Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_}) } } try { New-MgUser -BodyParameter $params } catch { $dbu_creation_failed_list += $dbu; throw } } else { $dbu_missing_columns_list += $dbu } }Plak het resulterende script uit uw teksteditor in uw PowerShell-sessie. Als er fouten optreden, moet u deze corrigeren voordat u doorgaat.
Afzonderlijke en niet-overeenkomende gebruikers in de toepassing en Microsoft Entra-id onderhouden
Mogelijk is er een superbeheerder in de gegevensbron van de toepassing die niet overeenkomt met een specifieke persoon in Microsoft Entra-id. Als u geen Microsoft Entra-gebruikers voor hen maakt, kunnen deze gebruikers niet worden beheerd vanuit Microsoft Entra-id of Microsoft Entra ID-governance. Omdat deze gebruikers zich niet kunnen aanmelden met Microsoft Entra ID, dus als u de toepassing configureert voor het gebruik van Microsoft Entra ID als id-provider, moet u ervoor zorgen dat deze gebruikers buiten het bereik vallen van het gebruik van Microsoft Entra ID voor verificatie.
Gebruikers opnieuw exporteren
Nadat u updates hebt uitgevoerd voor Microsoft Entra-gebruikers, gebruikers in de toepassing of de overeenkomende regels voor Microsoft Entra-toepassingen, moet u de overeenkomende procedure voor uw toepassing opnieuw exporteren en uitvoeren om ervoor te zorgen dat alle gebruikers worden gecorreleerd.
Als u SAP Cloud Identity Services gebruikt, volgt u de zelfstudie over het inrichten van SAP Cloud Identity Services, te beginnen bij de stap om ervoor te zorgen dat bestaande SAP Cloud Identity Services-gebruikers over de benodigde overeenkomende kenmerken beschikken. In deze zelfstudie exporteert u een lijst met gebruikers van SAP Cloud Identity Services naar een CSV-bestand en gebruikt u vervolgens PowerShell om deze gebruikers te koppelen aan gebruikers in Microsoft Entra-id.
Als uw toepassing een LDAP-adreslijst gebruikt, volgt u de zelfstudie over het inrichten van LDAP-directory's die beginnen bij de stap om bestaande gebruikers uit de LDAP-adreslijst te verzamelen.
Voor andere toepassingen, waaronder die toepassingen met een SQL-database of die ondersteuning hebben voor het inrichten in de toepassingsgalerie, volgt u de zelfstudie om de bestaande gebruikers van een toepassing te beheren die beginnen bij de stap om bestaande gebruikers van de toepassing te verzamelen.
Gebruikers toewijzen aan toepassingsrollen en inrichting inschakelen
Zodra u de benodigde updates hebt voltooid en alle gebruikers uit de toepassing overeenkomen met gebruikers in Microsoft Entra ID, moet u de gebruikers in Microsoft Entra ID toewijzen die toegang nodig hebben tot de toepassing naar de rol van de Microsoft Entra-toepassingstoepassing en vervolgens inrichting voor de toepassing inschakelen.
- Als u SAP Cloud Identity Services gebruikt, gaat u verder met de zelfstudie over het inrichten van SAP Cloud Identity Services, te beginnen bij de stap om ervoor te zorgen dat bestaande Microsoft Entra-gebruikers over de benodigde kenmerken beschikken.