略過刪除 Microsoft Entra 識別碼中超出範圍的用戶帳戶

  • 文章

根據預設,Microsoft Entra 布建引擎會虛刪除或停用超出範圍的使用者。 不過,在某些案例中,例如 Workday 到 AD 用戶輸入布建,此行為可能不是預期的,而且您可能想要覆寫此默認行為。

本文說明如何使用 Microsoft Graph API 和 Microsoft Graph API 總管來設定旗標 SkipOutOfScopeDeletions ,以控制超出範圍的帳戶處理。

  • 如果 SkipOutOfScopeDeletions 設定為 0 (false),則會在目標中停用超出範圍的帳戶。
  • 如果 SkipOutOfScopeDeletions 設定為 1 (true),則不會在目標中停用超出範圍的帳戶。 此旗標是在布 建應用程式 層級設定,而且可以使用圖形 API 進行設定。

由於此設定與 Workday 對 Active Directory 使用者布建應用程式廣泛使用,下列步驟包含 Workday 應用程式的螢幕快照。 不過,設定也可以與所有其他應用程式搭配使用,例如 ServiceNow、Salesforce 和 Dropbox。 若要順利完成此程式,您必須先為應用程式設定應用程式佈建。 每個應用程式都有自己的設定文章。 例如,若要設定 Workday 應用程式,請參閱 教學課程:將 Workday 設定為 Microsoft Entra 使用者布建。 SkipOutOfScopeDeletions 不適用於跨租使用者同步處理。

步驟 1:擷取布建 App Service 主體標識碼 (物件標識符)

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

  1. 以至少應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分>識別應用程式企業應用程式]。>

  3. 選取您的應用程式,然後移至布建應用程式的 [屬性] 區段。 在此範例中,我們使用 Workday。

  4. 複製 [物件識別符] 欄位中的 GUID 值。 這個值也稱為 您應用程式的 ServicePrincipalId ,並用於 Graph 總管作業。

    Screenshot of Workday App Service Principal ID.

步驟 2:登入 Microsoft Graph 總管

  1. 啟動 Microsoft Graph 總管

  2. 按兩下 [使用 Microsoft 登入] 按鈕,並使用 Microsoft Entra Global 管理員 istrator 或 App 管理員 認證登入。

    Screenshot of Microsoft Graph Explorer Sign-in.

  3. 成功登入時,用戶帳戶詳細數據會出現在左側窗格中。

步驟 3:取得現有的應用程式認證和連線詳細數據

在 Microsoft Graph 總管中,執行下列 GET 查詢,將 [servicePrincipalId] 取代為從步驟 1 擷取的 ServicePrincipalId

   GET https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/secrets

Screenshot of GET job query.

將回應複製到文字檔。 它看起來像顯示的 JSON 文字,其值會以您部署特有的黃色醒目提示。 將綠色醒目提示的行新增至結尾,並更新以藍色醒目提示的 Workday 連線密碼。

Screenshot of GET job response.

以下是要新增至對應的 JSON 區塊。

{
  "key": "SkipOutOfScopeDeletions",
  "value": "True"
}

步驟 4:使用 SkipOutOfScopeDeletions 旗標更新秘密端點

在 Graph 總管中,執行 命令,以 SkipOutOfScopeDeletions 旗標更新秘密端點。

在 URL 中,將 [servicePrincipalId] 取代為從步驟 1 擷取的 ServicePrincipalId

   PUT https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/secrets

將步驟 3 中更新的文字複製到「要求本文」。

Screenshot of PUT request.

按兩下 [執行查詢]。

您應該會取得輸出為「成功 – 狀態代碼 204」。 如果您收到錯誤,您可能需要檢查您的帳戶是否具有 ServicePrincipalEndpoint 的讀取/寫入許可權。 您可以按下 [Graph 總管] 中的 [ 修改許可權] 索引標籤來尋找此許可權

Screenshot of PUT response.

步驟 5:確認使用者未停用範圍外

您可以藉由更新範圍規則來略過特定使用者,以測試此旗標結果的預期行為。 在此範例中,我們會新增範圍規則,以排除標識符為 21173 的員工(先前在範圍中是誰):

Screenshot that shows the

在下一個布建週期中,Microsoft Entra 布建服務會識別使用者 21173 已超過範圍。 SkipOutOfScopeDeletions如果已啟用 屬性,則該使用者的同步處理規則會顯示訊息,如下所示:

Screenshot of scoping example.