Tutorial: Configurar o MobileIron para provisionamento automático de usuários

Este tutorial descreve as etapas que você precisa para executar no MobileIron e no Microsoft Entra ID para configurar o provisionamento automático de usuários e grupos. Quando configurado, o Microsoft Entra ID provisiona e desprovisiona automaticamente os usuários para o MobileIron usando o serviço de provisionamento do Microsoft Entra. Para obter detalhes importantes sobre o que esse serviço faz, como ele funciona e perguntas frequentes, confira Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.

Funcionalidades com suporte

• Criar usuários no MobileIron.
• Remover usuários no MobileIron quando não precisarem mais de acesso.
• Manter os atributos do usuário sincronizados entre o Microsoft Entra ID e o MobileIron.
• Provisionar grupos e associações a um grupo no MobileIron.
• Logon único no MobileIron (recomendado).

Pré-requisitos

O cenário descrito neste tutorial pressupõe que você já tem os seguintes pré-requisitos:

• Um locatário do Microsoft Entra
• Uma das seguintes funções: Administrador de Aplicativos, Administrador de Aplicativos de Nuvem ou Proprietário de Aplicativos.
• Uma conta de usuário no MobileIron com permissões de administrador.

Etapa 1: Planeje a implantação do provisionamento

• Saiba mais sobre como funciona o serviço de provisionamento.
• Determine quem estará no escopo de provisionamento.
• Determine quais dados devem ser mapeados entre o Microsoft Entra ID e o MobileIron.

Etapa 2: Configurar o MobileIron para dar suporte ao provisionamento com o Microsoft Entra ID

Entre em contato com o suporte do MobileIron para configurar o MobileIron para dar suporte ao provisionamento com o Microsoft Entra ID.

Etapa 3: Adicionar o MobileIron por meio da galeria de aplicativos do Microsoft Entra

Adicione o MobileIron por meio da galeria de aplicativos do Microsoft Entra para começar a gerenciar o provisionamento para o MobileIron. Se você já tiver configurado o MobileIron para SSO, poderá usar o mesmo aplicativo. No entanto, recomendamos que criar um aplicativo diferente ao testar a integração no início. Saiba mais sobre como adicionar um aplicativo da galeria aqui.

Etapa 4: Defina quem estará no escopo de provisionamento

O serviço de provisionamento do Microsoft Entra permite definir o escopo de quem será provisionado com base na atribuição do aplicativo e/ou nos atributos de usuários e de grupos. Se você optar por definir quem estará no escopo de provisionamento com base na atribuição, poderá usar as etapas a seguir para atribuir usuários e grupos ao aplicativo. Se você optar por definir quem estará no escopo de provisionamento com base somente em atributos dos usuário e grupos, poderá usar um filtro de escopo, conforme descrito aqui.

• Comece pequeno. Teste com um pequeno conjunto de usuários e grupos antes de implementar para todos. Quando o escopo de provisionamento é definido para usuários e grupos atribuídos, é possível controlar isso atribuindo um ou dois usuários e grupos ao aplicativo. Quando o escopo é definido para todos os usuários e grupos, é possível especificar um atributo com base no filtro de escopo.

• Caso você precise de mais funções, atualize o manifesto do aplicativo para adicionar novas funções.

Etapa 5: Configurar o provisionamento automático de usuários para o MobileIron

Esta seção o orienta nas etapas para configurar o serviço de provisionamento do Microsoft Entra para criar, atualizar e desativar usuários no MobileIron com base nas atribuições de usuários no Microsoft Entra ID.

Para configurar o provisionamento automático de usuários para o MobileIron no Microsoft Entra ID:

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

2. Navegue até Identidade>Aplicativos>Aplicativos empresariais

   

3. Na lista de aplicativos, selecione MobileIron.

   

4. Selecione a guia Provisionamento.

   

5. Defina o Modo de Provisionamento como Automático.

   

6. Na seção Credenciais de Administrador, insira a URL do Locatário e o Token Secreto do MobileIron. Clique em Testar conexão para garantir que o Microsoft Entra ID possa se conectar ao MobileIron. Se a conexão falhar, verifique se a sua conta do MobileIron tem permissões de administrador e tente novamente.

   

7. No campo Notificação por Email, insira o endereço de email de quem deverá receber as notificações de erro de provisionamento e marque a caixa de seleção Enviar uma notificação por email quando ocorrer uma falha.

   

8. Selecione Salvar.

9. Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com o MobileIron.

10. Examine os atributos de usuário que serão sincronizados do Microsoft Entra ID para o MobileIron na seção Mapeamento de atributos. Os atributos selecionados como propriedades Correspondentes são usados para fazer a correspondência das contas de usuário no MobileIron em operações de atualização. Se você optar por alterar o atributo de destino correspondente, precisará se certificar de que a API do MobileIron dá suporte à filtragem de usuários com base nesse atributo. Selecione o botão Salvar para confirmar as alterações.

    Atributo	Type	Com suporte para filtragem	Exigido pelo MobileIron
    userName	String	✓	✓
    ativo	Boolean		✓
    displayName	String
    emails[type eq "work"].value	String		✓
    name.givenName	String
    name.familyName	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	String
    externalId	String

11. Na seção Mapeamentos, selecione Sincronizar grupos do Microsoft Entra com o MobileIron.

12. Examine os atributos de grupo que serão sincronizados do Microsoft Entra ID para o MobileIron na seção Mapeamento de atributos. Os atributos selecionados como propriedades Correspondentes são usados para fazer a correspondência dos grupos no MobileIron em operações de atualização. Selecione o botão Salvar para confirmar as alterações.

    Atributo	Type	Com suporte para filtragem	Exigido pelo MobileIron
    displayName	String	✓	✓
    membros	Referência

13. Para configurar filtros de escopo, consulte as seguintes instruções fornecidas no tutorial do Filtro de Escopo.

14. Para habilitar o serviço de provisionamento do Microsoft Entra para o MobileIron, altere o Status de provisionamento para Ativado na seção Configurações.

    

15. Defina os usuários e/ou grupos que você gostaria de provisionar para o MobileIron escolhendo os valores desejados em Escopo na seção Configurações.

    

16. Quando você estiver pronto para provisionar, clique em Salvar.

    

Essa operação começa o ciclo de sincronização inicial de todos os usuários e grupos definidos no Escopo na seção Configurações. O ciclo inicial leva mais tempo para ser executado do que os ciclos subsequentes, que ocorrem aproximadamente a cada 40 minutos, desde que o serviço de provisionamento do Microsoft Entra esteja em execução.

Etapa 6: Monitorar a implantação

Depois de configurar o provisionamento, use os seguintes recursos para monitorar a implantação:

• Use os logs de provisionamento para determinar quais usuários e grupos foram provisionados com êxito ou não
• Confira a barra de progresso para ver o status do ciclo de provisionamento e quanto falta para a conclusão
• Se a configuração de provisionamento parecer estar em um estado não íntegro, o aplicativo entrará em quarentena. Saiba mais sobre os estados de quarentena aqui.

Mais recursos

• Gerenciamento do provisionamento de conta de usuário para Aplicativos Empresariais
• O que é o acesso a aplicativos e logon único com o Microsoft Entra ID?

Próximas etapas

• Saiba como fazer revisão de logs e obter relatórios sobre atividade de provisionamento