操作说明:导出预配配置并回退到已知良好状态

  • 项目

在本文中,学习如何:

  • 从 Microsoft Entra 管理中心导出和导入预配配置
  • 使用 Microsoft Graph API 导出和导入预配配置

从 Microsoft Entra 管理中心导出和导入预配配置

导出预配配置

提示

本文中的步骤可能因开始使用的门户而略有不同。

若要导出配置:

  1. 至少以应用程序管理员的身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“应用程序”>“企业应用程序”,选择你的应用。
  3. 在左侧导航窗格中,选择“预配”。 从“预配配置”页中,单击“属性映射”,然后单击“显示高级选项”,最后单击“检查架构”。 架构编辑器会打开。
  4. 在页面顶部的命令栏中单击下载来下载架构。

灾难恢复 - 回退到已知良好状态

导出和保存配置,配置可以回退到以前的版本。 建议导出预配配置并保存,以便在以后对属性映射或范围筛选器进行更改时使用。 打开下载的 JSON 文件,复制整个内容。 接下来,在架构编辑器中替换 JSON 有效负载的全部内容,然后保存。 如果有活动的预配周期,该周期完成后,下一个周期会使用更新后的架构。 下一个周期还是一个初始周期,它根据新配置重新评估每个用户和组。

回滚到以前的配置时要考虑的一些事项:

  • 再次评估用户以确定其是否应在范围内。 如果范围筛选器已更改,则用户不再处于范围内,因为他们被禁用。 虽然在大多数情况下这种行为是符合期望的,但有时你可能不希望它发生。 若要防止出现此行为,请使用跳过范围外删除功能。
  • 更改预配配置将重新启动该服务,并触发初始周期

使用 Microsoft Graph API 导出和导入预配配置

可以使用 Microsoft Graph API 和 Microsoft Graph 浏览器将用户预配属性映射和架构导出到 JSON 文件并将其导回 Microsoft Entra ID。 还可以使用此处获取的步骤来创建预配配置的备份。

步骤 1:检索预配应用服务主体 ID(对象 ID)

  1. 登录到 Microsoft Entra 管理中心,然后导航到预配应用程序的“属性”部分。 例如,如果要导出 Workday 到 AD 用户预配应用程序 映射,请导航到该应用的属性部分。

  2. 在预配应用的“属性”部分中,复制与“对象 ID”字段关联的 GUID 值。 此值也称为应用的 ServicePrincipalId,它用于 Microsoft Graph Explorer 操作。

    Workday App Service Principal ID

步骤 2:登录到 Microsoft Graph 浏览器

  1. 启动 Microsoft Graph 浏览器

  2. 单击“使用 Microsoft 登录”按钮,然后使用 Microsoft Entra 全局管理员或应用管理员凭据登录。

    Microsoft Graph Sign-in

  3. 成功登录后,你会在左侧窗格中看到用户帐户详细信息。

步骤 3:检索预配应用的预配作业 ID

在 Microsoft Graph 浏览器中,运行以下 GET 查询,将 [servicePrincipalId] 替换为从步骤 1 中提取的 ServicePrincipalId。

   GET https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/jobs

你会获得的响应如下所示。 复制响应中显示的 id 特性。 此值为 ProvisioningJobId,它用于检索基础架构元数据。

Provisioning Job ID

步骤 4:下载预配架构

在 Microsoft Graph 浏览器中,运行以下 GET 查询,将 [servicePrincipalId] 和 [ProvisioningJobId] 替换为在前述步骤中检索到的 ServicePrincipalId 和 ProvisioningJobId。

   GET https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/jobs/[ProvisioningJobId]/schema

复制响应中的 JSON 对象,并将其保存到要用于创建架构备份的文件中。

步骤 5:导入预配架构

注意

仅当需要修改无法使用 Microsoft Entra 管理中心更改的配置架构,或者需要通过带有有效且正在工作的架构的先前备份文件还原配置时,才执行此步骤。

在 Microsoft Graph 浏览器中,配置以下 PUT 查询,将 [servicePrincipalId] 和 [ProvisioningJobId] 替换为在前述步骤中检索到的 ServicePrincipalId 和 ProvisioningJobId。

    PUT https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/jobs/[ProvisioningJobId]/schema

在“请求正文”选项卡中,复制 JSON 架构文件的内容。

Request Body

在“请求标头”选项卡中,添加值为“application/json”的 Content-Type 标头属性

Request Headers

选择“运行查询”以导入新架构。