當組織採用 Microsoft Entra ID 進行應用程式配置時,目標應用程式通常已包含在配置前建立的使用者帳號。 帳戶發現幫助你找到這些現有帳戶,將它們與 Microsoft Entra ID 使用者配對,並分類,以便你能將未受管理的身份納入治理之下。 啟用配置後,應用程式管理員可以手動在應用程式中建立帳號。 此報告允許組織在初期入職及配置完成後,識別本地或孤兒帳號。
帳號發現會從目標應用程式取得所有使用者帳號,並將其分類為三類:
- Local accounts — 目標應用程式中Microsoft Entra ID中沒有匹配使用者的帳號。 這些帳號可能是前員工、服務帳號、透過不同流程配置的使用者,或因資料品質問題(例如屬性值不匹配或過時)而未匹配的帳號。
- 未指派使用者 — 與Microsoft Entra ID使用者匹配但該使用者未被指派至企業應用程式的帳號。 這些使用者存在於你的目錄中,但沒有必要的應用程式指派來管理他們。
- Assigned Users — 與被指派到企業應用程式的Microsoft Entra ID使用者匹配的帳號。 這些帳戶由配置服務完全管理。
這個分類讓你能看到誰能存取你的應用程式,並幫助你辨識哪些帳戶應該被管理、重新指派或移除。
先決條件
在使用帳戶發現之前,必須先具備以下條件:
- Microsoft Entra ID 控管附加授權或Microsoft Entra 套件。 關於依授權提供的功能詳情,請參見 Microsoft Entra ID 控管 授權基礎。
- 一個已設定為配置、擁有有效憑證及成功測試連線的企業應用程式。
- 直接匹配屬性映射配置於Microsoft Entra ID與目標應用程式之間。 帳號發掘利用第一個匹配的屬性來將使用者在兩個系統間做關聯。
- 以下角色之一: 應用程式管理員、 雲端應用程式管理員或 混合身份管理員。
已知的限制
- 帳號發現需要 一個直接匹配的屬性 來連結使用者相關性。 基於表達式的轉換不支援匹配。
- 若設定多個匹配屬性,則僅使用 第一個 匹配屬性。
應用程式支援
對於基於 SCIM 的連接器,帳戶探索要求應用程式支援 RFC 7644,第 3.4.2.4 節。
具有既定發現行為的連接器
使用以下應用程式進行帳戶發現的客戶,能持續獲得完整的發現結果:
- 阿特拉西安雲
- SCIM
- Salesforce
- SAP 雲端識別服務
- ECMA(透過 SQL、LDAP、Web 服務及 PowerShell 連接器支援本地應用)
- GitHub Enterprise Cloud(限制請參見 here)
不支援探索的連接器
目前以下應用程式不支援帳號發現:
- 人力資源配置(Workday、SAP SuccessFactors、API 驅動配置)
- ServiceNow
- Amazon Web Services (AWS)
- Snowflake
所有其他連接器
帳號發現功能可啟用於所有其他支援的連接器。 發現結果可能因目標應用程式是否支援透過 SCIM API 列出使用者及分頁而有所不同。 如果你的發現報告沒有結果,請確認你的屬性映射中是否設定了一個直接匹配的屬性(沒有表達式)。 接著,向應用程式供應商確認該應用程式是否依據 SCIM 標準 第 3.4.2.4 節支援分頁。
在目標應用程式中發現身份
要在目標應用程式中發現現有的使用者帳號:
- 請至少以Application Administrator身份登入Microsoft Entra 系統管理中心。
- 瀏覽至 Identity>應用程式>企業應用程式。
- 選擇你想尋找身份的應用程式。
- 在左側導覽中,選擇 「配置」。
- 確認配置設定是否具備有效的憑證及成功的測試連線。
- 選擇 「發現身份」。
配置服務會從目標應用程式中檢索所有使用者帳號,並依類別整理顯示。 發現過程至少需要30分鐘才能產生一份報告。 請注意,目標應用程式中包含的帳號越多,報告所需時間就越長。 例如,一個擁有 25 萬帳戶的應用程式可能需要 12 小時甚至更久才能產生發現報告。
審查已發現的帳號
發現程序結束後,請檢視各類別的結果:
本機帳戶
本地帳號存在於目標應用程式中,但在 Microsoft Entra ID 中沒有匹配的使用者。 這些帳目可能代表:
- 前員工的目錄帳號被移除,但他們的應用程式帳號沒有被停用。
- 服務帳號或共用帳號,都是在應用程式中直接建立的。
- 使用者是透過一個不使用 Microsoft Entra ID 的獨立流程來配置的。
- 面臨資料品質問題而無法進行匹配的情況。
請審查這些帳號,判斷是否應該從目標應用程式中移除、配對現有Microsoft Entra ID使用者,或是保留 as-is。
未指派使用者
未指派的使用者會根據 Microsoft Entra ID 的匹配屬性進行對應,但不會被配置到企業級應用程式。 要將這些帳戶納入配置管理:
- 請前往企業應用程式的 使用者與群組 頁面。
- 為應用程式指派適當的使用者或群組。
- 指派後,配置服務會在後續的配置週期中管理這些帳戶。
分配使用者
指派的使用者會與已指派到該應用程式的 Microsoft Entra ID 使用者匹配。 這些帳戶由配置服務完全管理。 除非你想檢視或更新他們的屬性映射,否則不需要任何操作。
篩選與搜尋結果
使用搜尋與篩選功能來尋找特定帳號:
- 請依名稱或屬性值搜尋帳號。
- 依類別篩選結果(本地、未指派或指派)。
- 管理欄位以檢視從目標應用程式匯入的屬性及相關性狀態。
將相關使用者指派到您的企業應用程式和/或存取套件
在發現應用程式中的使用者後,您可以輕鬆將這些使用者指派到企業應用程式或存取套件。 下載 Assign-CorrelatedUsersWithRules.ps1 檔案並執行 PowerShell 指令來指派使用者。 腳本應該用 PowerShell 7.X 執行。
選擇性參數
| 參數 | Description |
|---|---|
-DryRun |
展示不做任何改動 會 發生什麼事。 |
-SkipAppRoleAssignment |
只管理存取套件,跳過指派應用程式角色 |
| 重複資料偵測 | 在建立新指派前,先檢查現有的分配 |
| 用戶端狀態過濾器 | 驗證 API 結果符合預期狀態(防範 API 怪異行為) |
-OutputFile |
完整的稽核軌跡以 CSV 格式呈現,包含時間戳記、動作和錯誤細節 |
| 嚴格模式 | 在發現突發問題時,Set-StrictMode -Version Latest 和 $ErrorActionPreference = "Stop" 可快速失敗 |
範例案例
將所有相關用戶指派到企業應用程式:
pwsh -File '.\Assign-CorrelatedUsers.ps1' -ServicePrincipalId "7A22..."將所有相關使用者指派到特定的存取套件(範例 規則 檔案):
pwsh -File '.\Assign-CorrelatedUsers.ps1' -ServicePrincipalId '7A22...' -RulesFile '.\access-package-rules-internal.csv' -DryRun -OutputFile '.\results-dryrun.csv'根據你定義的規則(範例規則檔案)來指派使用者到套件:
pwsh -ExecutionPolicy Bypass -File '.\Assign-CorrelatedUsers.ps1' -ServicePrincipalId "7A22..." `-RulesFile ".\access-package-rules.csv"指派使用者存取套件,如果使用者不符合任何定義的規則,則分配一個備用套件。
pwsh -ExecutionPolicy Bypass -File '.\Assign-CorrelatedUsers.ps1' -ServicePrincipalId "7A22..." `-RulesFile ".\access-package-rules.csv" `-AccessPackageId "fallback-pkg-id" -PolicyId "fallback-policy-id" `-FallbackBehavior UseFallback指派使用者存取套件並跳過應用程式角色分配:
pwsh -ExecutionPolicy Bypass -File '.\Assign-CorrelatedUsers.ps1' -ServicePrincipalId "7A22..." `-RulesFile ".\access-package-rules.csv" -SkipAppRoleAssignment
規則檔案說明
規則檔案為標準 CSV 格式,欄位如下:
| 資料行 | Purpose |
|---|---|
RuleGroup |
屬於同一組號的列會進行 AND 運算合併。 不同群組會獨立評估。 |
PropertyName |
在目標 SCIM 屬性集合中輸入(例如 userType,urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department)。 屬性名稱可在點擊個別使用者的檢視屬性時,在發現 UX 中找到,或是在你的配置屬性映射中。 |
Operator |
eq | ne | contains | startswith | endswith | regex |
Value |
比較用的值(不區分大小寫)。 |
AccessPackageId |
當群組匹配時,分配存取套件。 當您導航至 Microsoft Entra 管理中心中的存取套件時,可以在網址中找到此資訊。 |
PolicyId |
該存取套件的指派政策。 當您導航至 Microsoft Entra 管理中心中的存取套件時,可以在網址中找到此資訊。 |
整合身份識別治理
帳戶發現與 Microsoft Entra ID 控管 協同運作,協助你管理完整的身份生命週期。 當您在目標應用程式中識別出身份後,您可以:
- 將現有使用者指派到你的存取套件中,以管理未來的存取,對存取套件進行審查以認證存取權,並配置生命週期工作流程以自動化生命週期管理。
- 設定 權限管理 以規範誰可以申請應用程式存取權。
- 建立 生命週期工作流程 ,根據使用者生命週期事件自動配置與取消配置。
欲了解更多有關應用程式存取控制的資訊,請參閱使用中環境內應用程式的存取控制。
相關內容
- 為企業應用程式設定自動使用者配置
- Microsoft Entra ID 中應用程式配置的運作方式
- 管理應用程式未配對使用者
- 自訂應用程式屬性映射
- 什麼是透過 Microsoft Entra ID 進行的佈建?
適用於應用程式開發人員
為了讓帳號發現能與目標應用程式合作,該應用程式必須支援 RFC 7644 第 3.4.2.4 節所描述的 SCIM 分頁。 配置服務在發現過程中使用分頁技術,從目標應用程式中取得所有使用者帳號。