分享方式:

在 Microsoft Entra 系統管理中心內管理企業應用程式的使用者帳戶佈建

  • 文章

本文描述為受支援應用程式管理自動使用者帳戶佈建和取消佈建的一般步驟。 使用者帳戶佈建是指在應用程式的本機使用者設定檔儲存中建立、更新及/或停用使用者帳戶記錄的動作。 大部分的雲端和 SaaS 應用程式以及許多內部部署應用程式都會將角色和權限儲存至應用程式自己的本機使用者設定檔存放區。 應用程式本機存放區中「需要」有這類使用者記錄,單一登入和存取才能運作。 若要深入了解自動使用者帳戶佈建,請參閱將使用 Microsoft Entra ID 對於 SaaS 應用程式的使用者佈建和取消佈建自動化

重要

Microsoft Entra ID 資源庫包含數千個預先整合的應用程式,而啟用這些應用程式可使用 Microsoft Entra ID 來進行自動佈建。 建議先在如何整合 SaaS 應用程式與 Microsoft Entra ID 的教學課程清單中尋找應用程式特定的佈建設定教學課程。 您可能會找到設定應用程式和 Microsoft Entra ID 來建立佈建連線的逐步指導。

在入口網站中尋找您的應用程式

提示

根據您開始使用的入口網站,本文中的步驟可能略有不同。

使用 Microsoft Entra 系統管理中心來檢視和管理為目錄中單一登入所設定的所有應用程式。 企業應用程式是您組織內部署和使用的應用程式。 請遵循下列步驟來檢視和管理企業應用程式:

  1. 以至少 應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別] > [應用程式] > [企業應用程式]

  3. 此時會顯示所有已設定的應用程式清單,包括已從資源庫新增的應用程式。

  4. 選取任意應用程式以載入其資源窗格,您可在其中檢視報表及管理應用程式設定。

  5. 選取 [佈建],以管理所選應用程式的使用者帳戶佈建設定。

    管理使用者帳戶佈建設定的佈建畫面

佈建模式

[佈建] 窗格的最前方是 [模式] 功能表,其會顯示企業應用程式所支援的佈建模式,且能夠加以設定。 可用的選項包括:

  • 自動:如果 Microsoft Entra ID 支援對此應用程式進行使用者帳戶的自動 API 型佈建或取消佈建,則會顯示此選項。 選取此模式以顯示可協助系統管理員的介面:

    • 設定 Microsoft Entra ID 以連線至應用程式的使用者管理 API
    • 建立帳戶對應和工作流程,而其定義使用者帳戶資料應如何在 Microsoft Entra ID 與應用程式之間流動
    • 管理 Microsoft Entra 佈建服務

  • 手動:如果 Microsoft Entra ID 不支援對此應用程式的使用者帳戶自動佈建,則會顯示此選項。 在此情況下,必須根據該應用程式提供的使用者管理和佈建功能 (可包括 SAML Just-In-Time 佈建),使用外部程序來管理儲存在應用程式中的使用者帳戶記錄。

設定使用者帳戶自動佈建

選取 [自動] 選項,以指定管理員認證、對應、啟動和停止以及同步等的設定。

管理員認證

展開 [管理員認證] 以輸入 Microsoft Entra ID 連線至應用程式使用者管理 API 所需的認證。 所需的輸入依應用程式而有所不同。 若要深入了解認證類型,以及針對特定應用程式的需求,請參閱 針對該特定應用程式的設定教學課程

選取 [測試連線],讓 Microsoft Entra ID 使用所提供認證來嘗試連線至應用程式的佈建應用程式,以測試認證。

對應

在佈建或更新使用者帳戶時,展開 [對應] 以檢視和編輯在 Microsoft Entra ID 與目標應用程式之間流動的使用者屬性。

在 Microsoft Entra 使用者物件與每個 SaaS 應用程式的使用者物件之間,會有一組預先設定的對應。 有些應用程式也會管理群組物件。 在資料表中選取對應,以開啟對應編輯器,您可在其中進行檢視和自訂。

支援的自訂項目包含:

  • 啟用和停用特定物件的對應,例如 Microsoft Entra 使用者物件對應至 SaaS 應用程式的使用者物件。

  • 編輯會從 Microsoft Entra 使用者物件流向應用程式使用者物件的屬性。 如需有關屬性對應的詳細資訊,請參閱 了解屬性對應類型

  • 篩選 Microsoft Entra 在目標應用程式上執行的佈建動作。 您可以限制執行的動作,而不需要讓 Microsoft Entra ID 完全同步處理物件。

    例如,只選取 [更新],而且 Microsoft Entra 只會更新應用程式中的現有使用者帳戶,但不會建立新帳戶。 若只選取 [建立],則 Azure 只會建立新的使用者帳戶,但不會更新現有帳戶。 這項功能可讓管理員為帳戶建立和更新工作流程建立不同的對應。

  • 新增新的屬性對應。 選取 [屬性對應] 窗格底部的 [新增對應]。 填寫 [編輯屬性] 表單,然後選取 [確定] 將對應新增至清單中。

設定

展開 [設定],以設定要接收通知的電子郵件地址,以及是否要在發生錯誤時收到警示。 也請選取要同步處理的使用者範圍。選擇同步處理所有使用者和群組,或只同步處理所指派的使用者。

佈建狀態

如果是初次為應用程式啟用佈建,將 [佈建狀態] 變更為 [開啟] 即可開啟服務。 此變更會導致 Microsoft Entra 佈建服務執行初始週期。 這會讀取 [使用者和群組] 區段中所指派的使用者,並查詢其目標應用程式,然後執行 Microsoft Entra ID [對應] 區段中所定義的佈建動作。 在此程序期間,佈建服務會儲存所管理使用者帳戶的已快取資料。 此服務會儲存已快取的資料,因此不曾在指派範圍中的目標應用程式內的非受控帳戶將不會受到取消佈建作業的影響。 在初始週期之後,每隔 40 分鐘佈建服務會自動同步使用者和群組物件。

將 [佈建狀態] 變更為 [關閉] 以暫停佈建服務。 在此狀態下,Azure 不會建立、更新或移除應用程式中的任何使用者或群組物件。 將狀態變更回 [開啟],服務就會從中斷處繼續進行。