Condividi tramite


Ignorare l'eliminazione degli account utente che non rientrano più nell'ambito in Microsoft Entra ID

Per impostazione predefinita, il motore di provisioning di Microsoft Entra elimina temporaneamente o disabilita gli utenti che non rientrano più nell'ambito. Tuttavia, per alcuni scenari come Il provisioning in ingresso di utenti da Workday ad Active Directory, questo comportamento predefinito potrebbe non essere quello previsto e potrebbe essere necessario ignorarlo.

Questo articolo descrive come usare l'API Microsoft Graph e il relativo explorer per impostare il flag SkipOutOfScopeDeletions che controlla l'elaborazione degli account che escono dall'ambito.

  • Se SkipOutOfScopeDeletions è impostato su 0 (false), gli account che escono dall'ambito vengono disabilitati nella destinazione.
  • Se SkipOutOfScopeDeletions è impostato su 1 (true), gli account che escono dall'ambito non vengono disabilitati nella destinazione. Questo flag viene impostato a livello di app di provisioning e può essere configurato usando l'API Graph.

Poiché questa configurazione viene ampiamente usata con l'app di provisioning utenti da Workday ad Active Directory, i passaggi seguenti includono screenshot dell'applicazione Workday. Tuttavia, la configurazione può essere usata anche con tutte le altre app, ad esempio ServiceNow, Salesforce e Dropbox. Per completare correttamente questa procedura, è necessario prima di tutto configurare il provisioning per l'app. A ogni app è associato uno specifico articolo sulla configurazione. Ad esempio, per configurare l'applicazione Workday, vedere Esercitazione: Configurare il provisioning utenti da Workday a Microsoft Entra. SkipOutOfScopeDeletions non funziona per la sincronizzazione tra tenant.

Passaggio 1: Recuperare l'ID di entità servizio dell'app di provisioning (ID oggetto)

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore applicazione.
  2. Passare a Identità>Applicazioni>Applicazioni aziendali.
  3. Selezionare l'applicazione e passare alla sezione Proprietà dell'app di provisioning. In questo esempio si usa Workday.
  4. Copiare il valore GUID nel campo ID oggetto. Questo valore è denominato anche ServicePrincipalId dell'app e verrà usato nelle operazioni di Graph explorer.

Passaggio 2: Accedere a Microsoft Graph explorer

  1. Avviare Microsoft Graph Explorer

  2. Fare clic sul pulsante "Accedi con Microsoft" e accedere come utente con almeno il ruolo di amministratore applicazioni.

    Screenshot dell'accesso a Microsoft Graph explorer.

  3. Una volta eseguito l'accesso, nel riquadro sinistro verranno visualizzati i dettagli dell'account utente.

Passaggio 3: Ottenere le credenziali dell'app e i dettagli di connettività esistenti

In Microsoft Graph Explorer, eseguire la query GET seguente, sostituendo [servicePrincipalId] con il ServicePrincipalId estratto dal Passaggio 1.

   GET https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/secrets

Screenshot della query di processo GET.

Copiare la risposta in un file di testo. La risposta sarà simile al testo JSON mostrato, con i valori evidenziati in giallo specifici per la distribuzione. Aggiungere le righe evidenziate in verde alla fine e aggiornare la password di connessione a Workday evidenziata in blu.

Screenshot della risposta di processo GET.

Ecco il blocco JSON da aggiungere al mapping.

{
  "key": "SkipOutOfScopeDeletions",
  "value": "True"
}

Passaggio 4: Aggiornare l'endpoint dei segreti con il flag SkipOutOfScopeDeletions

In Graph explorer eseguire il comando per aggiornare l'endpoint dei segreti con il flag SkipOutOfScopeDeletions.

Nell'URL sostituire [servicePrincipalId] con il valore di ServicePrincipalId estratto nel passaggio 1.

   PUT https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/secrets

Copiare il testo aggiornato dal passaggio 3 nel corpo della richiesta.

Screenshot della richiesta PUT.

Fare clic su "Esegui query".

L'output dovrebbe essere "Operazione completata - Codice di stato 204". Se viene visualizzato un errore, potrebbe essere necessario verificare che l'account abbia le autorizzazioni di lettura/scrittura per ServicePrincipalEndpoint. È possibile trovare questa autorizzazione facendo clic sulla scheda Modifica autorizzazioni in Graph explorer.

Screenshot della risposta PUT.

Passaggio 5: Verificare che gli utenti non inclusi nell'ambito non vengano disabilitati

È possibile testare i risultati di questo flag nel comportamento previsto aggiornando le regole di definizione dell'ambito in modo da ignorare uno specifico utente. Nell'esempio viene escluso il dipendente con ID 21173 (precedentemente incluso nell'ambito) aggiungendo una nuova regola di definizione dell'ambito:

Screenshot che mostra la sezione

Nel ciclo di provisioning successivo il servizio di provisioning di Microsoft Entra identifica che l'utente 21173 è uscito dall'ambito. Se la SkipOutOfScopeDeletions proprietà è abilitata, la regola di sincronizzazione per tale utente visualizza un messaggio.