共用方式為


規劃 Microsoft Entra ID 中的自動使用者佈建部署

許多組織依賴軟體即服務 (SaaS) 應用程式 (例如 ServiceNow、Zscaler 和 Slack) 來提升終端使用者的生產力。 在過去,IT 人員會依賴手動佈建方法,例如上傳 CSV 檔案,或使用自訂指令碼,安全地管理每個 SaaS 應用程式中的使用者身分識別。 這些流程很容易出錯、不安全,且難以管理。

Microsoft Entra 自動使用者佈建可透過在 SaaS 應用程式中,根據商務規則,安全地自動建立、維護和移除使用者身分識別,來簡化此流程。 此自動化可讓您在僅雲端的環境和混合式環境中,有效地調整您的身分識別管理系統,因為您會在雲端解決方案上擴充它們的相依性。

若要進一步了解功能,請參閱使用 Microsoft Entra ID 對於 SaaS 應用程式進行自動使用者佈建和取消佈建

除了佈建至 SaaS 應用程式之外,Microsoft Entra 自動化使用者佈建功能也支援佈建至多種內部部署和私人雲端應用程式。 如需詳細資訊,請參閱 Microsoft Entra 內部部署應用程式識別碼佈建結構

了解

使用者佈建會為進行中的身分識別治理建立基底,並為依賴權威性身分識別資料的商務流程加強品質。

重點優勢

啟用自動使用者佈建的主要優點包括:

  • 提高生產力。 您可以使用單一使用者佈建管理介面,跨 SaaS 應用程式管理使用者身分識別。 此介面具有一組佈建原則。

  • 管理風險。 您可以根據定義角色和/或存取權的員工狀態或群組成員資格,將變更自動化,以提高安全性。

  • 解決合規性和治理問題。 Microsoft Entra ID 支援每個使用者佈建要求的原生佈建記錄。 要求會在來源和目標系統中執行。 佈建記錄可讓您從單一畫面追蹤誰可以存取應用程式。

  • 降低成本。 自動使用者佈建可避免與手動佈建相關聯的效率不彰和人為錯誤,進而降低成本。 它可以減少自訂開發的使用者佈建解決方案、指令碼和佈建記錄的需求。

授權

Microsoft Entra ID 會使用應用程式庫功能表中提供的範本,來提供任何應用程式的自助整合。 如需授權需求的完整清單,請參閱 Microsoft Entra 定價頁面

應用程式授權

您將需要有適當的授權,才能自動佈建所需的應用程式。 與應用程式擁有者討論已指派給應用程式的使用者是否具有適當的應用程式角色授權。 如果 Microsoft Entra ID 會根據角色來管理自動佈建,Microsoft Entra ID 中指派的角色就必須與應用程式授權相符。 若應用程式中擁有的授權不正確,可能就會在佈建/更新使用者期間導致錯誤。

詞彙

本文使用下列字詞:

  • CRUD 作業:對使用者帳戶採取的動作:建立、讀取、更新、刪除。

  • 單一登入 (SSO):使用者只需登入一次,就能存取所有啟用 SSO 的應用程式。 在使用者佈建的內容中,SSO 是使用者擁有單一帳戶來存取所有使用自動使用者佈建之系統的結果。

  • 來源系統 - Microsoft Entra ID 從中佈建的使用者存放庫。 Microsoft Entra ID 是大多數預先整合之佈建連接器的來源系統。 不過,對於雲端應用程式 (例如 SAP、Workday 和 AWS) 有一些例外狀況。 如需範例,請參閱從 Workday 到 AD 的使用者佈建

  • 目標系統 - Microsoft Entra ID 佈建的使用者存放庫。 目標系統通常是 SaaS 應用程式,例如 ServiceNow、Zscaler 和 Slack。 目標系統也可以是內部部署系統 (例如 AD)。

  • 跨網域身分識別管理系統 (SCIM) \(英文\):可讓使用者佈建自動化的開放式標準。 SCIM 會在識別提供者與服務提供者之間,傳達使用者身分識別資料。 Microsoft 是識別提供者的範例。 Salesforce 是服務提供者的範例。 服務提供者需要使用者身分識別資訊,識別提供者則能滿足該需求。 識別提供者和服務提供者會使用 SCIM 機制以來回傳送資訊。

訓練資源

資源 連結與描述
隨選網路研討會 使用 Microsoft Entra ID 管理企業應用程式
‎了解 Microsoft Entra ID 如何協助您達成企業 SaaS 應用程式的 SSO,以及控制存取的最佳做法。
影片 Azure Active Directory 中的使用者佈建為何?(英文)
如何在 Azure Active Directory 中部署使用者佈建? \(英文\)
將 Salesforce 與 Microsoft Entra ID 整合:如何將使用者佈建自動化
線上課程 SkillUp Online:管理身分識別 \(英文\)
了解如何整合 Microsoft Entra ID 與多個 SaaS 應用程式,以及保護使用者對那些應用程式的存取。
書籍 使用 Microsoft Entra ID 針對 Web 應用程式進行新式驗證 (開發人員參考) 第一版
‎這是針對這些新環境建置 Active Directory 驗證解決方案的權威深入指南。
教學課程 如何整合 SaaS 應用程式與 Microsoft Entra ID 的教學課程清單
常見問題集 有關自動使用者佈建的常見問題集

解決方案架構

Microsoft Entra 佈建服務會透過連線到每家應用程式廠商所提供的使用者管理 API 端點,將使用者佈建到 SaaS 應用程式和其他系統。 這些使用者管理 API 端點可以讓 Microsoft Entra ID 以程式設計方式建立、更新和移除使用者。

適用於混合式企業的自動使用者佈建

在此範例中,會在連線到內部部署目錄的 HR 資料庫中建立使用者和/或群組。 Microsoft Entra 佈建服務會管理對目標 SaaS 應用程式的自動使用者佈建。

使用者佈建

工作流程的描述:

  1. 使用者/群組均建立於內部部署 HR 應用程式/系統 (例如 SAP) 中。

  2. Microsoft Entra Connect 代理程式會針對身分識別 (使用者和群組),執行從本機 AD 到 Microsoft Entra ID 的已排程同步。

  3. Microsoft Entra 佈建服務會針對來源系統和目標系統啟動初始週期

  4. Microsoft Entra 佈建服務會在來源系統中查詢自初始週期以來已變更的任何使用者和群組,並將變更推送至增量週期

適用於僅雲端之企業的自動使用者佈建

在此範例中,會在 Microsoft Entra ID 中建立使用者,而 Microsoft Entra 佈建服務會管理對目標 (SaaS) 應用程式的自動使用者佈建。

此圖表顯示從內部部署 HR 應用程式透過 Microsoft Entra 佈建服務至目標 SAAS 應用程式的使用者/群組建立程序。

工作流程的描述:

  1. 使用者/群組會在 Microsoft Entra ID 中建立。

  2. Microsoft Entra 佈建服務會針對來源系統和目標系統啟動初始週期

  3. Microsoft Entra 佈建服務會在來源系統中查詢自初始週期以來已更新的任何使用者和群組,並執行任何增量週期

適用於雲端 HR 應用程式的自動使用者佈建

在此範例中,會在雲端 HR 應用程式 (例如 Workday 和 SuccessFactors) 中建立使用者和/或群組。 Microsoft Entra 佈建服務和 Microsoft Entra Connect 佈建代理程式會將使用者資料從雲端 HR 應用程式租用戶佈建至 AD。 在 AD 中更新帳戶之後,它會透過 Microsoft Entra Connect 來與 Microsoft Entra ID 同步,而且可將電子郵件地址和使用者名稱屬性回寫至雲端 HR 應用程式租用戶。

圖 2

  1. HR 小組會在雲端 HR 應用程式租用戶中執行交易。
  2. Microsoft Entra 佈建服務會從雲端 HR 應用程式租用戶執行已排程的週期,並識別需要處理以便與 AD 同步的變更。
  3. Microsoft Entra 佈建服務會使用包含 AD 帳戶建立/更新/啟用/停用作業的要求承載,來叫用 Microsoft Entra Connect 佈建代理程式。
  4. Microsoft Entra Connect 佈建代理程式會使用服務帳戶來管理 AD 帳戶資料。
  5. Microsoft Entra Connect 會執行差異同步來提取 AD 中的更新。
  6. AD 會與 Microsoft Entra ID 同步更新。
  7. Microsoft Entra 佈建服務會將電子郵件屬性和使用者名稱從 Microsoft Entra ID 回寫到雲端 HR 應用程式租用戶。

規劃部署專案

請考慮貴組織需要判斷在您的環境中部署使用者佈建的策略。

包含正確的專案關係人

當技術專案失敗時,通常是因為對影響、結果和責任不符預期。 若要避免這些錯誤,請務必包含正確的專案關係人,並透過記錄專案關係人及其專案投入和責任,使該專案關係人清楚了解其在專案中的角色。

方案通訊

溝通對於任何新服務的成功非常重要。 主動與使用者溝通,以了解其使用體驗、使用體驗的變化情況、預期會出現任何變化的時機,並說明在遇到問題時該如何取得支援。

規劃試驗

建議您先將自動使用者佈建的初始設定放置於只包含一小組使用者的測試環境之中,然後再將其範圍擴大為實際執行環境中的所有使用者。 請參閱執行試驗最佳做法

試驗的最佳做法

試驗可讓您使用小型群組進行測試,然後再為所有人員部署功能。 確定在測試過程中,貴組織內的每個使用案例都會經過徹底測試。

在您的第一波,將目標設定為 IT、可用性,以及其他可測試並提供意見反應的適當使用者。 使用此意見反應,進一步開發您傳送給使用者的通訊和指示,並讓您能夠深入了解支援人員可能會看到的問題類型。

透過擴大目標群組的範圍,將推出範圍擴大到更大型的使用者群組。 透過組動態成員資格群組,或手動將使用者新增至目標群組,以擴大群組完成的範圍。

規劃應用程式連線和管理

使用 Microsoft Entra 系統管理中心,來檢視和管理支援佈建的所有應用程式。 請參閱在入口網站中尋找您的應用程式

判斷要使用的連接器類型

啟用及設定自動佈建所需的實際步驟會因應用程式而有所不同。 如果您想要自動佈建的應用程式會列在 Microsoft Entra SaaS 應用程式庫中,則您應該選取應用程式特定的整合教學課程,以設定其預先整合的使用者佈建連接器。

如果沒有,請遵循下列步驟:

  1. 針對預先整合的使用者佈建連接器建立要求。 如果您的應用程式支援 SCIM,我們的小組將與您和應用程式開發人員合作,以將您的應用程式上線到我們的平台。

  2. 針對應用程式使用 BYOA SCIM 一般使用者佈建支援。 必須使用 SCIM 才能使用 Microsoft Entra ID,以便將使用者佈建至應用程式,而不需要預先整合的佈建連接器。

  3. 如果應用程式能夠利用 BYOA SCIM 連接器,則請參閱 BYOA SCIM 整合教學課程,以設定適用於應用程式的 BYOA SCIM 連接器。

如需詳細資訊,請參閱哪些應用程式和系統可以搭配使用 Microsoft Entra 自動使用者佈建?

收集資訊以授權應用程式存取

設定自動使用者佈建是每個應用程式的流程。 針對每個應用程式,您需要提供管理員認證,以連線到目標系統的使用者管理端點。

圖片顯示其中一個必要的管理員認證版本:

管理使用者帳戶佈建設定的佈建畫面

儘管有些應用程式需要管理員使用者名稱和密碼,但其他應用程式可能需要持有人權杖。

規劃使用者與群組佈建

如果您針對企業應用程式啟用了使用者佈建,Microsoft Entra 系統管理中心將透過屬性對應控制其屬性值。

判斷適用於每個 SaaS 應用程式的作業

每個應用程式可能都有唯一的使用者或群組屬性,而這些屬性必須對應至您 Microsoft Entra ID 中的屬性。 應用程式只能使用 CRUD 作業的子集。

針對每個應用程式,記載下列資訊:

  • 要在目標系統的使用者和群組物件上執行的 CRUD 佈建作業。 例如,每個 SaaS 應用程式商務擁有者可能不需要所有可能的作業。

  • 來源系統中的可用屬性

  • 目標系統中的可用屬性

  • 系統之間的屬性對應。

選擇要佈建的使用者和群組

在實作自動使用者佈建之前,您必須先判斷要佈建到應用程式的使用者和群組。

  • 使用範圍篩選來定義以屬性為基礎的規則,以判斷要將哪些使用者佈建到應用程式。

  • 接下來,視需要使用使用者和群組指派進行更多篩選。

定義使用者和群組屬性對應

若要實作自動使用者佈建,您必須定義應用程式所需的使用者和群組屬性。 在 Microsoft Entra 使用者物件和每個 SaaS 應用程式的使用者物件之間,有一組預先設定的屬性和屬性對應。 並非所有的 SaaS 應用程式都會啟用群組屬性。

Microsoft Entra ID 支援屬性對屬性的直接對應、提供常數值,或撰寫屬性對應的運算式。 這種彈性可讓您精確控制目標系統屬性中填入的內容。 您可以使用 Microsoft Graph API 和 Graph 總管,將您的使用者佈建屬性對應和結構描述匯出成 JSON 檔案,然後將其匯回到 Microsoft Entra ID 中。

如需詳細資訊,請參閱在 Microsoft Entra ID 中自訂 SaaS 應用程式的使用者佈建屬性對應

使用者佈建的特殊考量

請考慮下列各項,以減少部署後的問題:

  • 確定在來源與目標應用程式之間用來對應使用者/群組物件的屬性具有復原能力。 如果屬性變更 (例如,使用者移至公司的不同位置),則其不應導致使用者/群組的佈建不正確。

  • 應用程式可能會有需要符合的特定限制和/或需求,才能讓使用者佈建正常運作。 例如,Slack 會截斷某些屬性的值。 請參閱每個應用程式專屬的自動使用者佈建教學課程

  • 確認來源與目標系統之間的結構描述一致性。 常見問題包括 UPN 或郵件之類的屬性不相符。 例如,Microsoft Entra ID 中的 UPN 會設定為 john_smith@contoso.com,但在應用程式中,則為 jsmith@contoso.com。 如需詳細資訊,請參閱使用者和群組結構描述參考

規劃測試與安全性

在您部署的每個階段中,確定您會測試結果是否符合預期,以及稽核佈建週期。

規劃測試

首先,設定應用程式的自動化使用者佈建。 然後執行測試案例,以確認解決方案符合組織的需求。

案例 預期的結果
將使用者新增至指派給目標系統的群組。 使用者物件會佈建於目標系統中。
使用者可以登入目標系統,並執行所需的動作。
從指派給目標系統的群組中移除使用者。 在目標系統中取消佈建使用者物件。
使用者無法登入目標系統。
透過任何方法更新 Microsoft Entra ID 中的使用者資訊。 更新的使用者屬性會在累加週期之後反映在目標系統中。
使用者超出範圍。 使用者物件已停用或刪除。
注意:已針對 Workday 佈建覆寫此行為。

規劃安全性

在部署過程中,需要進行安全性檢閱是很常見的。 如果您需要安全性檢閱,請參閱許多 Microsoft Entra ID 白皮書,其中提供身分識別即服務的概觀。

規劃復原

如果自動使用者佈建實作無法在實際執行環境中正常運作,下列復原步驟可協助您還原為先前已知良好的狀態:

  1. 請檢閱佈建記錄,以判斷受影響的使用者和/或群組上發生了哪些不正確的作業。

  2. 使用佈建記錄,來判斷受影響的使用者和/或群組最後已知的良好狀態。 另請檢閱來源系統 (Microsoft Entra ID 或 AD)。

  3. 與應用程式擁有者合作,使用最後一個已知良好的狀態值,來更新在應用程式中直接受到影響的使用者和/或群組。

部署自動使用者佈建服務

選擇符合您解決方案需求的步驟。

準備初始週期

當 Microsoft Entra 佈建服務第一次執行時,針對來源系統和目標系統的初始週期會針對每個目標系統建立所有使用者物件的快照集。

為應用程式啟用自動佈建時,初始週期需要 20 分鐘到數小時的時間。 持續時間取決於 Microsoft Entra 目錄的大小,以及佈建範圍中的使用者數目。

佈建服務會在初始週期之後儲存這兩個系統的狀態,以改進後續增量週期的效能。

設定使用者自動佈建

使用 Microsoft Entra 系統管理中心來管理自動使用者帳戶佈建和解除佈建,以用於支援它的應用程式。 遵循如何對應用程式設定自動佈建?中的步驟。

您也可以使用 Microsoft Graph API來設定和管理 Microsoft Entra 使用者佈建服務。

管理自動使用者佈建

現在您已部署,您需要管理解決方案。

監視使用者佈建作業健康情況

初始週期成功之後,Microsoft Entra 佈建服務將會以每個應用程式特有的間隔,無限期執行增量更新,直到發生下列其中一個事件為止:

  • 手動停止該服務,並使用 Microsoft Entra 系統管理中心或使用適當的 Microsoft Graph API 命令,來觸發新的初始週期。

  • 新的初始週期會觸發屬性對應或範圍篩選中的變更。

  • 佈建流程因為高錯誤率而進入隔離狀態,並停留在隔離狀態超過四週之後,即會自動停用它。

若要檢閱這些事件,以及佈建服務所執行的所有其他活動,請參閱 Microsoft Entra 佈建記錄

若要了解佈建週期需要花費多少時間,以及監視佈建作業的進度,您可以檢查使用者佈建的狀態

從報告中獲得見解

Microsoft Entra ID 可以透過佈建記錄和報表,提供組織使用者佈建使用方式和作業健康情況的更多深入解析。 若要進一步了解使用者深入解析,請參閱檢查使用者佈建的狀態

管理員應該檢查佈建摘要報告,以監視佈建作業的作業健康情況。 佈建服務所執行的所有活動都會記錄在 Microsoft Entra 佈建記錄中。 請參閱教學課程︰關於使用者帳戶自動佈建的報告

建議您取得所有權,並以符合組織需求的步調來取用這些報告。 Microsoft Entra ID 最多會保留 30 天的稽核資料。

疑難排解

請參閱下列連結,以針對可能在佈建期間啟動的任何問題進行疑難排解:

實用的文件

資源

下一步