共用方式為


在 Microsoft Entra ID 中針對您的多租用戶應用程式啟用自動使用者佈建

自動使用者佈建是自動化流程,可讓您在目標系統 (例如您的軟體即服務應用程式) 中自動建立、維護和移除使用者身分識別。

為何啟用自動使用者佈建?

在使用者第一次登入之前,要求使用者記錄存在於應用程式中的應用程式需要使用者佈建。 有益於作為服務提供者的您,也有益於您的客戶。

讓作為服務提供者的您受益

  • 使用 Microsoft 身分識別平台來提高應用程式的安全性。

  • 減少實際和認知客戶採用您應用程式的工作量。

  • 使用跨網域身分識別管理系統 (SCIM) 型佈建,降低與多個識別提供者 (IdP) 整合以進行自動使用者佈建的成本。

  • 提供豐富的記錄來協助客戶針對使用者佈建問題進行疑難排解,以降低支援成本。

  • Microsoft Entra 應用程式資源庫中,提高您應用程式的可見度。

  • 在 [應用程式教學課程] 頁面中取得優先順序清單。

讓您的客戶受益

  • 針對變更角色或將組織留給您應用程式的使用者,自動移除您應用程式的存取權,以提高安全性。

  • 藉由避免人為錯誤以及與手動佈建相關聯的重複性工作,來簡化您應用程式的使用者管理。

  • 降低裝載和維護自訂開發的佈建解決方案的成本。

選擇佈建方法

Microsoft Entra ID 提供數個整合路徑,為您的應用程式啟用自動使用者佈建。

  • Microsoft Entra 佈建服務可管理使用者從 Microsoft Entra ID 到應用程式 (輸出佈建),以及從應用程式到 Microsoft Entra ID (輸入佈建) 的佈建與取消佈建。 此服務會連線到您應用程式所提供的跨網域身分識別管理系統 (SCIM) 使用者管理 API 端點。

  • 使用 Microsoft Graph 時,您的應用程式會藉由查詢 Microsoft Graph API,管理使用者和群組從 Microsoft Entra ID 到您應用程式的輸入和輸出佈建。

  • 如果您的應用程式使用 SAML 進行同盟,則可以啟用安全性聲明標記語言 Just in Time (SAML JIT) 使用者佈建。 其會使用 SAML 權杖中傳送的宣告資訊來佈建使用者。

若要協助判斷哪個整合選項要用於您的應用程式,請參閱高階比較表,然後查看有關每個選項的更詳細資訊。

自動佈建所啟用或增強的功能 Microsoft Entra 佈建服務 (SCIM 2.0) Microsoft Graph API (OData v4.0) SAML JIT
在 Microsoft Entra ID 中管理使用者與群組 僅限使用者
管理從內部部署 Active Directory 同步的使用者和群組 僅限使用者*
在佈建 Microsoft 365 資料 (Teams、SharePoint、電子郵件、行事曆、文件等) 的存取權期間,存取使用者和群組以外的資料 +X X
根據商務規則建立、讀取和更新使用者
根據商務規則刪除使用者 X
從 Microsoft Entra 系統管理中心管理所有應用程式的自動使用者佈建 X
支援多個識別提供者 X
支援來賓帳戶 (B2B)
支援非企業帳戶 (B2C) X

* – 必須進行 Microsoft Entra Connect 設定,才能將使用者從 AD 同步至 Microsoft Entra ID。
+– 使用 SCIM 進行佈建不會防止您基於其他用途將應用程式與 Microsoft Graph 整合。

Microsoft Entra 佈建服務 (SCIM)

Microsoft Entra 佈建服務會使用 SCIM,這種業界標準適用於許多識別提供者 (IdP) 所支援的佈建,以及應用程式 (例如,Slack、G Suite、Dropbox)。 如果除了 Microsoft Entra ID 之外,您還想要支援 IdP,則建議您使用 Microsoft Entra 佈建服務,因為任何符合 SCIM 規範的 IdP 都可以連線到您的 SCIM 端點。 建置簡單的 /User 端點,您可以啟用佈建,而不必維護您自己的同步引擎。

如需 Microsoft Entra 佈建服務如何使用 SCIM 的詳細資訊,請參閱:

適用於佈建的 Microsoft Graph

當使用 Microsoft Graph 進行佈建時,您可以存取 Graph 中提供的所有豐富使用者資料。 除了使用者和群組的詳細資料之外,您還可以擷取額外的資訊,例如使用者的角色、經理和下屬、擁有和註冊的裝置,以及 Microsoft Graph 中提供的數百個其他資料片段。

超過 1,500 萬個組織和 90% 《財星》500 大企業在訂閱 Microsoft 雲端服務 (例如 Microsoft 365、Microsoft Azure 或 Enterprise Mobility Suite) 之餘,會使用 Microsoft Entra ID。 您可以使用 Microsoft Graph 來整合應用程式與系統管理工作流程,例如員工上線 (和終止)、設定檔維護等等。

深入了解如何使用 Microsoft Graph 進行佈建:

使用 SAML JIT 進行佈建

如果您只想要在第一次登入應用程式時佈建使用者,且不需要自動取消佈建使用者,則可以選擇使用 SAML JIT。 您的應用程式必須支援 SAML 2.0 作為同盟通訊協定,才能使用 SAML JIT。

SAML JIT 會使用 SAML 權杖中的宣告資訊,在應用程式中建立和更新使用者資訊。 客戶可視需求,在 Microsoft Entra 應用程式中設定這些必要的宣告。 有時候,必須從應用程式端啟用 JIT 佈建,才能讓客戶使用這項功能。 SAML JIT 有助於建立和更新使用者,但無法刪除或停用應用程式中的使用者。

後續步驟