Microsoft Entra ID 中的隨選佈建
使用隨選佈建可在幾秒內佈建使用者或群組。 此外,您還可以使用這項功能:
- 快速針對設定問題進行疑難排解。
- 驗證您已定義的運算式。
- 測試範圍篩選。
如何使用隨選佈建
提示
根據您開始使用的入口網站,本文中的步驟可能略有不同。
- 以至少應用程式系統管理員的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > 選取您的應用程式。
- 選取 [佈建]
- 瀏覽至 [身分識別] > [外部身分識別] > [跨租用戶同步處理] > [設定]
- 選取設定,然後前往 [佈建] 設定頁面。
提供您的管理員認證來設定佈建。
選取 [隨選佈建]。
依名字、姓氏、顯示名稱、使用者主體名稱或電子郵件地址搜尋使用者。 或者,您可以搜尋群組,並挑選最多 5 位使用者。
注意
若是 Cloud HR 佈建應用程式 (Workday / SuccessFactors 至 Active Directory / Microsoft Entra ID),則輸入值會有所不同。 針對 Workday 案例,請在 Workday 中提供使用者的 "WorkerID" 或 "WID"。 針對 SuccessFactors 案例,請在 SuccessFactors 中提供使用者的 "personIdExternal"。
選取頁面底部的 [佈建]。
了解佈建步驟
隨選佈建程序會嘗試顯示佈建服務在佈建使用者時所採取的步驟。 佈建使用者通常有五個步驟。 下列各節將說明在隨選佈建體驗期間顯示的一或多個步驟。
步驟 1:測試連線
佈建服務會提出「測試使用者」的要求,來嘗試授權存取目標系統。 佈建服務預期會有回應,指出已授權服務繼續執行佈建步驟。 只有在失敗時,才會顯示此步驟。 當步驟成功時,則不會在隨選佈建體驗期間顯示。
疑難排解秘訣
- 確定您已為目標系統提供有效的認證,例如祕密權杖和租用戶 URL。 所需的認證會因應用程式而異。 如需詳細的設定教學課程,請參閱教學課程清單。
- 確定目標系統支援依 [屬性對應] 窗格中定義的相符屬性進行篩選。 您可能需要查看應用程式開發人員提供的 API 文件,以了解支援的篩選。
- 針對跨網域身分識別管理 (SCIM) 應用程式的系統,請使用像是 cURL 的 REST API 工具。 這類工具可協助您確保應用程式以 Microsoft Entra 佈建服務預期的方式回應授權要求。 請參閱範例要求。
步驟 2:匯入使用者
接下來,佈建服務會從來源系統擷取使用者。 稍後會使用服務所擷取的使用者屬性:
- 評估使用者是否在佈建範圍內。
- 檢查現有使用者的目標系統。
- 判斷要將哪些使用者屬性匯出至目標系統。
檢視詳細資料
[檢視詳細資料] 區段會顯示從來源系統 (例如 Microsoft Entra ID) 匯入的使用者屬性。
疑難排解秘訣
當遺漏來源系統中使用者物件的相符屬性時,匯入使用者可能會失敗。 若要解決此失敗,請嘗試下列其中一種方法:
- 使用相符屬性的值更新使用者物件。
- 變更佈建設定中的相符屬性。
如果匯入的清單中遺漏了預期的屬性,請確定屬性具有來源系統中使用者物件的值。 佈建服務目前不支援佈建 Null 屬性。
確定佈建設定的 [屬性對應] 頁面包含您預期的屬性。
步驟 3:判斷使用者是否在範圍內
接下來,佈建服務會判斷使用者是否在佈建範圍內。 服務會考慮以下各方面:
- 是否將使用者指派給應用程式。
- 是否將範圍設定為 [Sync assigned] \(同步已指派\) 或 [全部同步]。
- 在您佈建設定中定義的範圍篩選。
檢視詳細資料
[檢視詳細資料] 區段會顯示已評估的範圍條件。 您可能會看到下列一或多個屬性:
- [在來源系統中為使用中] 表示使用者在 Microsoft Entra ID 中將屬性
IsActive
設定為 true。 - [已指派給應用程式] 表示已將使用者指派給 Microsoft Entra ID 中的應用程式。
- [Scope sync all]\(範圍全部同步\) 表示範圍設定允許租用戶中的所有使用者和群組。
- [User has required role] \(使用者具有必要角色\) 表示使用者具有佈建到應用程式中的必要角色。
- 如果您已為應用程式定義範圍篩選,也會顯示 [Scoping filters] \(範圍篩選\)。 篩選會以下列格式顯示:{範圍篩選標題} {範圍篩選屬性} {範圍篩選運算子} {範圍篩選值}。
疑難排解秘訣
- 確定您已定義有效的範圍角色。 例如,避免搭配非整數值使用 Greater_Than 運算子。
- 如果使用者沒有必要角色,請檢閱佈建指派給預設存取角色之使用者的秘訣。
步驟 4:比對來源與目標的使用者
在此步驟中,服務會嘗試將在匯入步驟中擷取的使用者與目標系統中的使用者進行比對。
檢視詳細資料
[檢視詳細資料] 頁面會顯示目標系統中相符使用者的屬性。 內容窗格會變更,如下所示:
- 如果目標系統中沒有相符使用者,則不會顯示屬性。
- 如果目標系統中有一個使用者相符,則會顯示該使用者地屬性。
- 如果有多個使用者相符,則會顯示兩個使用者的屬性。
- 如果多個相符屬性屬於您屬性對應的一部分,則會依序評估每個相符屬性,並顯示該屬性的相符使用者。
疑難排解秘訣
- 佈建服務可能無法將來源系統中的使用者與目標中的使用者進行唯一比對。 請確定相符屬性是唯一的,以解決此問題。
- 確定目標系統支援依定義為相符屬性的屬性進行篩選。
步驟 5:執行動作
最後,佈建服務會採取動作,例如建立、更新、刪除或略過使用者。
以下是您在成功隨選佈建使用者之後可能會看到的範例:
檢視詳細資料
[檢視詳細資料] 區段會顯示已在目標系統中修改的屬性。 此顯示畫面代表佈建服務活動的最終輸出及已匯出的屬性。 如果此步驟失敗,則顯示的屬性代表佈建服務嘗試修改的屬性。
疑難排解秘訣
- 匯出變更的失敗可能會有很大的差異。 請參閱佈建記錄的文件以了解常見的失敗。
- 隨選佈建表示群組或使用者無法佈建,因為未將這些項目指派給應用程式。 將物件指派給應用程式,以及隨選佈建中接受的指派之間,最多會有幾分鐘的複寫延遲。 您可能需要等候幾分鐘,然後再試一次。
常見問題集
您需要關閉佈建才能使用隨選佈建嗎? 如果是對使用長期持有人權杖或使用者名稱和密碼取得授權的應用程式,不需要進行其他步驟。 使用 OAuth 取得授權的應用程式目前需要先停止佈建作業,才能使用隨選佈建。 G Suite、Box、Workplace by Facebook 和 Slack 等應用程式都屬於此類別。 工作會繼續進行,以支援所有應用程式的隨選佈建,而不需要停止佈建作業。
隨選佈建需要多久的時間? 隨選佈建通常需要不到 30 秒的時間。
已知的限制
隨選佈建目前有一些已知限制。 張貼您的建議和意見反應,讓我們可以更清楚地判斷接下來要做什麼改進。
注意
以下是隨選佈建功能特定的限制。 如需應用程式是否支援佈建群組、刪除或其他功能的資訊,請參閱該應用程式的教學課程。
- 群組的隨選佈建支援一次更新最多五個成員。 跨租用戶同步處理、Workday 等連接器不支援群組佈建,因此不支援隨選佈建群組。
- 隨選佈建要求 API 一次只能接受最多 5 個成員的單一群組。
- 跨租用戶同步處理不支援群組的隨選佈建。
- 隨選佈建支援透過 Microsoft Entra 系統管理中心一次佈建一位使用者。
- 不支援還原在目標租用戶中先前已虛刪除且隨選佈建的使用者。 若嘗試以隨選佈建來虛刪除使用者之後還原使用者,可能會導致使用者重複。
- 不支援隨選佈建角色。
- 隨選佈建支援停用已從應用程式取消指派的使用者。 不過,不支援停用或刪除已從 Microsoft Entra ID 停用或刪除的使用者。 搜尋使用者時,畫面不會顯示這些使用者。
- 隨選佈建不支援未直接指派給應用程式的巢狀群組。