適用於 Microsoft Graph 的 Microsoft Identity Manager 連接器

  • 發行項

摘要

適用於 Microsoft Graph 的 Microsoft Identity Manager 連接器可針對 P1 或 P2 客戶啟用其他 Microsoft Entra ID 整合案例。 此連接器會顯示在從 Microsoft Graph API v1 與搶鮮版 (Beta) 取得的 MIM 同步 Metaverse 其他物件中。

涵蓋的案例

B2B 帳戶生命週期管理

適用於 Microsoft Graph 的 Microsoft Identity Manager 連接器的初始案例是作為連接器,以協助自動化外部使用者的 AD DS 帳戶生命週期管理。 在此案例中,組織會使用 Microsoft Entra Connect 將員工同步處理至 AD DS Microsoft Entra ID,並已邀請來賓進入其 Microsoft Entra 目錄。 邀請來賓會導致該組織 Microsoft Entra 目錄中的外部用戶物件,而該目錄不在該組織的 AD DS 中。 然後,組織希望透過 Microsoft Entra 應用程式 Proxy 或其他閘道機制,讓來賓能夠存取內部部署 Windows 整合式驗證或 Kerberos 型應用程式。 Microsoft Entra 應用程式 Proxy 要求每個使用者都有自己的 AD DS 帳戶,以進行識別和委派。

若要瞭解如何設定 MIM 同步以自動建立及維護來賓的 AD DS 帳戶,請閱讀本文中的指示之後,請繼續閱讀本文中的 Microsoft Entra 企業對企業 (B2B) 與 MIM 2016 和 Microsoft Entra 應用程式 Proxy 共同作業一文。 本文說明連接器所需的同步規則。

其他身分識別管理案例

連接器可用於其他特定身分識別管理案例,涉及建立、讀取、更新和刪除 Microsoft Entra ID 中的使用者、群組和聯繫人物件,除了使用者和群組同步處理之外,Microsoft Entra ID。 評估潛在案例時,請記住:此連接器無法在案例中運作,這會導致數據流重迭、實際或潛在的同步處理衝突與 Microsoft Entra Connect 部署。 Microsoft Entra Connect 是將內部部署目錄與 Microsoft Entra ID 整合的建議方法,方法是將內部部署目錄的使用者和群組同步處理至 Microsoft Entra ID。 Microsoft Entra Connect 有更多同步處理功能,並啟用密碼和裝置回寫等案例,而 MIM 所建立的物件則無法使用。 例如,如果數據帶入AD DS,請確定它已排除在 Microsoft Entra Connect 嘗試將這些物件比回 Microsoft Entra 目錄。 此連接器也無法用來變更由 Microsoft Entra Connect 所建立 Microsoft Entra 物件。

準備使用適用於 Microsoft Graph 的連接器

授權連接器擷取或管理您 Microsoft Entra 目錄中的物件

  1. 連接器要求在 Microsoft Entra ID 中建立 Web 應用程式/API 應用程式,以便透過 Microsoft Graph 在 Microsoft Entra 物件上操作的適當許可權獲得授權。

    新應用程式註冊按鈕應用程式註冊的影像

    圖 1. 新增應用程式註冊

  2. 在 Azure 入口網站中,開啟您建立的應用程式,並儲存應用程式識別碼,以便稍後作為 MA 連線能力頁面的用戶端識別碼:

    應用程式註冊詳細數據的影像

    圖 2. 應用程式識別碼

  3. 開啟 憑證 & 秘密來產生新的客戶端密碼。 設定一些金鑰描述,然後選取最大持續時間。 儲存變更並擷取客戶端密碼。 離開頁面之後,客戶端密碼值將無法再次檢視。

    新增秘密按鈕的影像

    圖 3. 新用戶端密碼

  4. 開啟「API 許可權」,將適當的 『Microsoft Graph』 許可權授與應用程式

    新增許可權按鈕的影像 圖片 4. 新增 API

    選取 [Microsoft Graph] [應用程式許可權]。 應用程式許可權的影像

    撤銷所有不必要的許可權。

    未授與應用程式許可權的影像

    您應依據案例將下列權限新增至應用程式,以允許它使用 Microsoft Graph API:

    對物件執行的作業 必要權限 權限類型
    架構偵測 Application.Read.All 應用程式
    匯入群組 Group.Read.AllGroup.ReadWrite.All 應用程式
    匯入使用者 User.Read.AllUser.ReadWrite.AllDirectory.Read.AllDirectory.ReadWrite.All 應用程式

    如需有關必要許可權的詳細資訊,請參閱 許可權參考

注意

Application.Read.All 許可權是架構偵測的必要許可權,而且不論物件類型連接器是否使用,都必須授與。

  1. 授與管理員同意選取的許可權。 授與系統管理員同意的影像

安裝連接器

  1. 安裝連接器之前,請確認同步伺服器上具備下列項目:
  • Microsoft .NET 4.6.2 Framework 或更新版本
  • Microsoft Identity Manager 2016 SP2,而且必須使用 Hotfix 4.4.1642.0 KB4021562或更新版本。

  1. 除了適用於 Microsoft Identity Manager 2016 SP2 的其他連接器之外,Microsoft Graph 的連接器也可從 Microsoft 下載中心下載。

  2. 重新啟動 MIM 同步處理服務。

連接器設定

  1. 在 Synchronization Service Manager UI 中,選取 [連接器] 和 [建立]。 選取 [Graph (Microsoft) ],建立連接器,並提供描述性名稱。

新增連接器映像

  1. 在 MIM 同步處理服務 UI 中,指定應用程式識別碼和產生的客戶端密碼。 MIM 同步中設定的每個管理代理程式都應該有自己的應用程式 Microsoft Entra ID,以避免對相同的應用程式平行執行匯入。

具有連線詳細數據的連接器設定映像

圖 5. [連線能力] 頁面

連線能力頁面 (圖 5) 包含使用的圖形 API 版本和租用戶名稱。 [用戶端識別符] 和 [客戶端密碼] 代表先前在 Microsoft Entra ID 中建立之應用程式的 [應用程式識別符] 和 [金鑰] 值。

連接器預設為 v1.0 和 Microsoft Graph 全域服務的登入和圖形端點。 如果您的租用戶位於國家雲端,則必須變更您的設定,以使用 國家雲端的端點。 請注意,位於全球服務中的 Graph 某些功能可能無法在所有國家雲端中使用。

  1. 在 [全域參數] 頁面上,進行任何必要的變更:

全域參數頁面影像

圖 6. [全域參數] 頁面

[全域參數] 頁面包含下列設定:

  • 日期時間格式:此格式會用於具有 Edm.DateTimeOffset 類型的任何屬性。 系統於匯入期間會使用該格式將所有日期轉換成字串。 系統會將設定的格式套用至任何屬性,這將會儲存日期。

  • HTTP 逾時 (秒) – 在每個 HTTP 呼叫 Graph 期間使用的秒數逾時。

  • 針對建立的使用者於下次登入時強制變更密碼:此選項是用於會在匯出期間建立的新使用者。 如果啟用此選項,forceChangePasswordNextSignIn \(英文\) 屬性會設為 true,否則將會設為 false。

設定連接器的結構描述和作業

  1. 設定結構描述。 當與 Graph v1.0 端點搭配使用時,連接器支援下列物件類型清單:

  • User

    • 完整/差異匯入

    • 匯出 (新增、更新、刪除)

  • 群組

    • 完整/差異匯入

    • 匯出 (新增、更新、刪除)

當您將連接器設定為使用 Graph Beta 端點時,可能會顯示其他物件類型。

支援的屬性類型清單:

  • Edm.Boolean

  • Edm.String

  • Edm.DateTimeOffset (連接器空間中的字串)

  • microsoft.graph.directoryObject (連接器空間中針對任何支援物件的參考)

  • microsoft.graph.contact

上述清單中的任何類型也支援多值屬性 (集合)。

連接器使用 'id' 屬性作為所有物件的錨點與 DN。 因此,不需要重新命名,因為 圖形 API 不允許物件變更其id屬性。

存取權杖存留期

Graph 應用程式需要存取權杖以存取圖形 API。 連接器會針對每個匯入反覆項目要求新的存取權杖 (匯入反覆項目取決於頁面大小)。 例如:

  • Microsoft Entra ID 包含10000個物件

  • 連接器中設定的頁面大小為 5000

在此情況下,匯入期間將會有兩個反覆項目,每一個都會傳回 5000 個物件以進行同步處理。因此,系統會要求新的存取權杖兩次。

在匯出期間,系統會對每個必須新增/更新/刪除的物件要求新的存取權杖。

查詢篩選

圖形 API 端點引進 $filter 參數,讓您能夠限制 GET 查詢所傳回的物件數量。

若要啟用使用查詢篩選來改善完整匯入效能週期,請在連接器屬性的 [ 架構 1] 頁面上,啟用 [ 新增物件篩選 ] 複選框。

已核取 [新增物件篩選] 複選框的連接器設定第一頁影像

之後,在 [架構 2 ] 頁面上,輸入用來篩選使用者、群組、聯繫人或服務主體的表達式。

連接器設定頁面兩個影像,範例篩選會啟動With (displayName,『J』)

在上述螢幕快照上,篩選 條件 startsWith (displayName,'J') 設定為只讀使用者,其 displayName 屬性值開頭為 'J'。

請確定已在連接器屬性中選取篩選表示式中使用的屬性。

已選取 displayName 屬性的連接器設定頁面影像

如需 $filter 查詢參數使用方式的詳細資訊,請參閱這篇文章: 使用查詢參數來自定義回應

注意

差異查詢端點目前不提供篩選功能,因此篩選的使用僅限於完整匯入。 您會在啟用查詢篩選條件時,嘗試啟動差異匯入執行時發生錯誤。

疑難排解

啟用記錄檔

如果 Graph 中發生任何問題,則可以使用記錄檔來定位問題。 因此,追蹤的啟用方式也和一般連接器相同。 或者,您可以直接將下列內容新增至 miiserver.exe.config (在 system.diagnostics/sources 區段中):

<source name="ConnectorsLog" switchValue="Verbose">
<listeners>
<add initializeData="ConnectorsLog"
type="System.Diagnostics.EventLogTraceListener, System, Version=4.0.0.0,
Culture=neutral, PublicKeyToken=b77a5c561934e089"
name="ConnectorsLogListener" traceOutputOptions="LogicalOperationStack,
DateTime, Timestamp, Callstack" />
<remove name="Default" />
</listeners>
</source>

注意

如果已啟用 [以個別處理序執行此管理代理程式],則應該使用 dllhost.exe.config,而不是 miiserver.exe.config

存取權杖過期錯誤

連接器可能會傳回 HTTP 錯誤 401 未經授權,訊息為「存取權杖已過期。」:

錯誤詳細數據影像

圖 7. 「存取權杖已過期。」 錯誤

發生此問題的原因可能是 Azure 端的存取權杖存留期設定。 根據預設,存取權杖會在 1 小時後到期。 若要增加到期時間,請參閱 這篇文章

使用 Azure AD PowerShell 模組公開預覽版本 \(英文\) 的範例

存取令牌存留期映像

New-AzureADPolicy -Definition @ ('{“TokenLifetimePolicy”:{“Version”:1, “AccessTokenLifetime”:“5:00:00”}}') -DisplayName “OrganizationDefaultPolicyScenario” -IsOrganizationDefault $true -Type “TokenLifetimePolicy”

後續步驟