略過刪除 Microsoft Entra 識別碼中超出範圍的用戶帳戶
根據預設,Microsoft Entra 布建引擎會虛刪除或停用超出範圍的使用者。 不過,在某些案例中,例如 Workday 到 AD 用戶輸入布建,此行為可能不是預期的,而且您可能想要覆寫此默認行為。
本文說明如何使用 Microsoft Graph API 和 Microsoft Graph API 總管來設定旗標 SkipOutOfScopeDeletions ,以控制超出範圍的帳戶處理。
- 如果 SkipOutOfScopeDeletions 設定為 0 (false),則會在目標中停用超出範圍的帳戶。
- 如果 SkipOutOfScopeDeletions 設定為 1 (true),則不會在目標中停用超出範圍的帳戶。 此旗標是在布 建應用程式 層級設定,而且可以使用圖形 API 進行設定。
由於此設定與 Workday 對 Active Directory 使用者布建應用程式廣泛使用,下列步驟包含 Workday 應用程式的螢幕快照。 不過,設定也可以與所有其他應用程式搭配使用,例如 ServiceNow、Salesforce 和 Dropbox。 若要順利完成此程式,您必須先為應用程式設定應用程式佈建。 每個應用程式都有自己的設定文章。 例如,若要設定 Workday 應用程式,請參閱 教學課程:將 Workday 設定為 Microsoft Entra 使用者布建。 SkipOutOfScopeDeletions 不適用於跨租使用者同步處理。
步驟 1:擷取布建 App Service 主體標識碼 (物件標識符)
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
以至少應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別應用程式企業應用程式]。>
選取您的應用程式,然後移至布建應用程式的 [屬性] 區段。 在此範例中,我們使用 Workday。
複製 [物件識別符] 欄位中的 GUID 值。 這個值也稱為 您應用程式的 ServicePrincipalId ,並用於 Graph 總管作業。
步驟 2:登入 Microsoft Graph 總管
按兩下 [使用 Microsoft 登入] 按鈕,並使用 Microsoft Entra Global 管理員 istrator 或 App 管理員 認證登入。
成功登入時,用戶帳戶詳細數據會出現在左側窗格中。
步驟 3:取得現有的應用程式認證和連線詳細數據
在 Microsoft Graph 總管中,執行下列 GET 查詢,將 [servicePrincipalId] 取代為從步驟 1 擷取的 ServicePrincipalId。
GET https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/secrets
將回應複製到文字檔。 它看起來像顯示的 JSON 文字,其值會以您部署特有的黃色醒目提示。 將綠色醒目提示的行新增至結尾,並更新以藍色醒目提示的 Workday 連線密碼。
以下是要新增至對應的 JSON 區塊。
{
"key": "SkipOutOfScopeDeletions",
"value": "True"
}
步驟 4:使用 SkipOutOfScopeDeletions 旗標更新秘密端點
在 Graph 總管中,執行 命令,以 SkipOutOfScopeDeletions 旗標更新秘密端點。
在 URL 中,將 [servicePrincipalId] 取代為從步驟 1 擷取的 ServicePrincipalId。
PUT https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/secrets
將步驟 3 中更新的文字複製到「要求本文」。
按兩下 [執行查詢]。
您應該會取得輸出為「成功 – 狀態代碼 204」。 如果您收到錯誤,您可能需要檢查您的帳戶是否具有 ServicePrincipalEndpoint 的讀取/寫入許可權。 您可以按下 [Graph 總管] 中的 [ 修改許可權] 索引標籤來尋找此許可權 。
步驟 5:確認使用者未停用範圍外
您可以藉由更新範圍規則來略過特定使用者,以測試此旗標結果的預期行為。 在此範例中,我們會新增範圍規則,以排除標識符為 21173 的員工(先前在範圍中是誰):
在下一個布建週期中,Microsoft Entra 布建服務會識別使用者 21173 已超過範圍。 SkipOutOfScopeDeletions
如果已啟用 屬性,則該使用者的同步處理規則會顯示訊息,如下所示: