Verwalten von Zuordnungen und Benutzern in Anwendungen, die nicht mit Benutzern in Microsoft Entra ID übereinstimmen
Wenn Sie eine bestehende Anwendung mit Microsoft Entra ID für die Bereitstellung oder das einmalige Anmelden (Single Sign-On, SSO) integrieren, stellen Sie möglicherweise fest, dass es im Datenspeicher der Anwendung Benutzer gibt, die nicht mit Benutzern in Microsoft Entra ID übereinstimmen oder die mit keinem Benutzer in Microsoft Entra ID zugeordnet werden konnten.
Der Microsoft Entra-Bereitstellungsdienst basiert auf konfigurierbaren Vergleichsregeln, um zu bestimmen, ob ein Benutzer in Microsoft Entra ID einem Benutzer in der Anwendung entspricht, indem die Anwendung für einen Benutzer mit der entsprechenden Eigenschaft von einem Microsoft Entra ID Benutzer durchsucht wird. Angenommen, die Vergleichsregel soll das userPrincipalName
-Attribut eines Microsoft Entra ID-Benutzers mit der userName
-Eigenschaft einer Anwendung vergleichen. Wenn ein Benutzer in Microsoft Entra ID mit einem userPrincipalName
-Wert von alice.smith@contoso.com
der Rolle einer Anwendung zugewiesen wird, durchsucht der Microsoft Entra-Bereitstellungsdienst die Anwendung mit einer Abfrage wie userName eq "alice.smith@contoso.com"
. Wenn die Anwendungssuche angibt, dass keine Benutzer übereinstimmen, erstellt der Microsoft Entra-Bereitstellungsdienst einen neuen Benutzer in der Anwendung.
Wenn die Anwendung noch keine Benutzer hat, füllt dieser Vorgang den Datenspeicher der Anwendung so mit Benutzern auf, wie sie in Microsoft Entra ID zugewiesen sind. Wenn die Anwendung jedoch bereits Benutzer hat, können zwei Situationen auftreten. Erstens kann es Personen mit Benutzerkonten in der Anwendung geben, aber der Abgleich kann sie nicht finden. Möglicherweise wird der Benutzer in der Anwendung als asmith@contoso.com
dargestellt, anstatt als alice.smith@contoso.com
, weshalb er vom Microsoft Entra-Bereitstellungsdienst nicht gefunden wird. In diesem Fall kann es passieren, dass die Person doppelte Benutzer in der Anwendung hat. Zweitens kann es Personen mit Benutzerkonten in der Anwendung geben, die keinen Benutzer in der Microsoft Entra ID haben. In diesem Fall interagiert der Microsoft Entra-Bereitstellungsdienst nicht mit diesen Benutzern in der Anwendung. Wenn die Anwendung jedoch so konfiguriert ist, dass sie auf Microsoft Entra ID als alleiniger Identitätsanbieter angewiesen ist, können sich diese Benutzer nicht mehr anmelden: Die Anwendung leitet die Person um, um sich mit Microsoft Entra ID anzumelden, die Person verfügt jedoch nicht über einen Benutzer in Microsoft Entra ID.
Diese Inkonsistenzen zwischen Microsoft Entra ID und dem Datenspeicher einer vorhandenen Anwendung können aus vielen Gründen auftreten, unter anderem:
- Der Anwendungsadministrator erstellt Benutzer in der Anwendung direkt, z. B. für Auftragnehmer oder Lieferanten, die nicht in einem System der Datensatz-HR-Quelle vorhanden sind, aber den Anwendungszugriff benötigten.
- Die Identität und das Attribut ändern sich, das heißt, wenn eine Person ihren Namen ändert, wird dieser nicht an Microsoft Entra ID oder die Anwendung gesendet, und daher sind die Darstellungen in dem einem oder dem anderen System veraltet.
- Die Organisation verwendet ein Identitätsverwaltungsprodukt, das Windows Server AD und die Anwendung mit verschiedenen Communitys unabhängig bereitgestellt hat. So benötigten beispielsweise Store-Mitarbeiter Anwendungszugriff, erfordern jedoch keine Exchange-Postfächer, sodass Store-Mitarbeiter nicht in Windows Server AD oder Microsoft Entra ID vertreten waren.
Bevor Sie die Bereitstellung oder SSO für eine Anwendung mit vorhandenen Benutzern aktivieren, sollten Sie überprüfen, ob Benutzer übereinstimmen, und nicht übereinstimmende Benutzer der Anwendung untersuchen und auflösen. In diesem Artikel werden Optionen für die Lösung für verschiedene Situationen beschrieben, in denen ein Benutzer nicht abgeglichen werden konnte.
Ermitteln, ob es in der Anwendung Benutzer gibt, die nicht übereinstimmen
Wenn Sie bereits die Liste der Benutzer in der Anwendung erstellt haben, die in Microsoft Entra ID nicht zugeordnet werden können, fahren Sie im nächsten Abschnitt fort.
Das Verfahren zum Ermitteln, welche Benutzer in der Anwendung nicht mit Benutzern in Microsoft Entra ID übereinstimmen, hängt davon ab, wie die Anwendung in Microsoft Entra ID integriert ist oder integriert wird.
Wenn Sie SAP Cloud Identity Services verwenden, folgen Sie dem Tutorial für die Bereitstellung von SAP Cloud Identity Services bis zu dem Schritt zum Sicherzustellen, dass vorhandene SAP Cloud Identity Services-Benutzer über die erforderlichen übereinstimmenden Attribute verfügen. In diesem Tutorial exportieren Sie eine Liste von Benutzern aus SAP Cloud Identity Services in eine CSV-Datei, und verwenden dann PowerShell, um diese Benutzer mit Benutzern in Microsoft Entra ID abzugleichen.
Wenn Ihre Anwendung ein LDAP-Verzeichnis verwendet, folgen Sie dem Tutorial für die LDAP-Verzeichnisbereitstellung bis zu dem Schritt zum Erfassen vorhandener Benutzer aus dem LDAP-Verzeichnis. In diesem Tutorial verwenden Sie PowerShell, um diese Benutzer mit Benutzern in Microsoft Entra ID abzugleichen.
Folgen Sie für andere Anwendungen, einschließlich der Anwendungen mit einer SQL-Datenbank oder der Bereitstellungsunterstützung im Anwendungskatalog, dem Tutorial zum Verwalten der vorhandenen Benutzer einer Anwendung bis zu dem Schritt zum Bestätigen, dass Microsoft Entra ID Benutzer hat, die mit Benutzern aus der Anwendung übereinstimmen.
Folgen Sie für andere Anwendungen, die nicht über eine Bereitstellungsschnittstelle verfügen, dem Tutorial zum Verwalten der Benutzer einer Anwendung ohne Bereitstellungsunterstützung bis zu dem Schritt zum Bestätigen, dass Microsoft Entra ID Benutzer enthält, die mit Benutzern aus der Anwendung übereinstimmen.
Wenn das in diesen Tutorial bereitgestellte PowerShell-Skript abgeschlossen ist, wird ein Fehler angezeigt, wenn sich Datensätze aus der Anwendung nicht in Microsoft Entra ID befinden. Sollten nicht alle Datensätze für Benutzer*innen aus dem Datenspeicher der Anwendung als Benutzer*innen in Microsoft Entra ID gefunden werden, müssen Sie untersuchen, welche Datensätze nicht übereinstimmen und warum. Anschließend können Sie das Problem mithilfe der Optionen im nächsten Abschnitt lösen.
Optionen zum Sicherzustellen, dass Benutzer zwischen der Anwendung und Microsoft Entra ID übereinstimmen
Dieser Abschnitt bietet mehrere Optionen, um nicht übereinstimmende Benutzer in der Anwendung zu behandeln. Wählen Sie basierend auf den Zielen Ihrer Organisation und den Datenproblemen zwischen Microsoft Entra ID und der Anwendung die entsprechende Option für jeden Benutzer aus. Möglicherweise gibt es keine einzige Option, die alle Benutzer in einer bestimmten Anwendung abdeckt.
Löschen von Testbenutzern aus der Anwendung
Es gibt möglicherweise Testbenutzer in der Anwendung, die von der anfänglichen Bereitstellung übrig bleiben. Wenn Benutzer nicht mehr benötigt werden, können sie aus der Anwendung gelöscht werden.
Löschen von Benutzern aus den Anwendungen für Personen, die nicht mehr Teil der Organisation sind
Der Benutzer ist möglicherweise nicht mehr mit der Organisation verbunden und benötigt keinen Zugriff mehr auf die Anwendung, ist aber immer noch ein Benutzer in der Datenquelle der Anwendung. Dies kann passieren, wenn der Anwendungsadministrator den Benutzer nicht gelöscht hat oder nicht darüber informiert wurde, dass eine Änderung erforderlich war. Wenn der Benutzer nicht mehr benötigt wird, kann er aus der Anwendung gelöscht werden.
Löschen von Benutzern aus der Anwendung und erneutes Erstellen durch Microsoft Entra ID
Wenn die Anwendung derzeit nicht weit verbreitet ist oder keinen Status pro Benutzer verwaltet, besteht eine weitere Möglichkeit darin, Benutzer aus der Anwendung zu löschen, so dass es keine nicht übereinstimmenden Benutzer mehr gibt. Wenn Benutzer dann die Anwendung in Microsoft Entra ID anfordern oder ihr zugewiesen wurden, wird der Zugriff bereitgestellt.
Aktualisieren der Zuordnungseigenschaft von Benutzern in der Anwendung
Ein Benutzer kann in einer Anwendung und in Microsoft Entra ID vorhanden sein, aber dem Benutzer in der Anwendung fehlt entweder eine Eigenschaft, die für den Abgleich erforderlich ist, oder die Eigenschaft hat den falschen Wert.
Wenn ein SAP-Administrator beispielsweise einen Benutzer in SAP Cloud Identity Services mithilfe seiner Administratorkonsole erstellt, verfügt der Benutzer möglicherweise nicht über die userName
-Eigenschaft. Dabei kann es sich jedoch um die Eigenschaft handeln, die für den Abgleich von Benutzern in Microsoft Entra ID verwendet wird. Wenn die userName
-Eigenschaft für den Abgleich erforderlich ist, muss der SAP-Administrator diese vorhandenen SAP Cloud Identity Services-Benutzer so aktualisieren, dass sie einen Wert der userName
-Eigenschaft haben.
Ein weiteres Beispiel: Der Anwendungsadministrator hat die E-Mail-Adresse des Benutzers als Eigenschaft mail
des Benutzers in der Anwendung festgelegt, als der Benutzer zur Anwendung hinzugefügt wurde. Später wird die E-Mail-Adresse und der userPrincipalName
der Person in Microsoft Entra ID jedoch geändert. Wenn die Anwendung die E-Mail-Adresse allerdings nicht benötigte oder der E-Mail-Anbieter eine Umleitung eingerichtet hatte, die die Weiterleitung der alten E-Mail-Adresse ermöglichte, hat der Anwendungsadministrator möglicherweise übersehen, dass die mail
-Eigenschaft in der Datenquelle der Anwendung aktualisiert werden musste. Diese Inkonsistenz kann entweder vom Anwendungsadministrator gelöst werden, der die mail
-Eigenschaft für die Benutzer der Anwendung auf einen aktuellen Wert ändert, oder durch Ändern der Vergleichsregel, wie in den folgenden Abschnitten beschrieben.
Aktualisieren von Benutzern in der Anwendung mit einer neuen Eigenschaft
Das vorherige Identitätsverwaltungssystem einer Organisation hat Benutzer in der Anwendung möglicherweise als lokale Benutzer erstellt. Wenn die Organisation zu diesem Zeitpunkt keinen einzigen Identitätsanbieter hatte, brauchten diese Benutzer in der Anwendung keine Eigenschaften, die mit einem anderen System korreliert werden konnten. Ein früheres Identitätsverwaltungsprodukt hat beispielsweise Benutzer in einer Anwendung auf der Grundlage einer maßgeblichen HR-Quelle erstellt. Dieses Identitätsverwaltungssystem hat die Korrelation zwischen den in der Anwendung erstellten Benutzern und der HR-Quelle beibehalten und der Anwendung keine Identifikatoren der HR-Quelle zur Verfügung gestellt. Wenn Sie später versuchen, die Anwendung mit einem Microsoft Entra ID-Tenant zu verbinden, der aus derselben HR-Quelle gespeist wird, kann es sein, dass Microsoft Entra ID Benutzer für die gleichen Personen wie in der Anwendung hat, aber der Abgleich schlägt für alle Benutzer fehl, weil es keine gemeinsame Eigenschaft gibt.
Führen Sie die folgenden Schritte aus, um dieses Problem zu beheben.
- Wählen Sie eine vorhandene, nicht verwendete Eigenschaft von Benutzern in der Anwendung aus, oder fügen Sie dem Benutzerschema in der Anwendung eine neue Eigenschaft hinzu.
- Füllen Sie diese Eigenschaft für alle Benutzer in der Anwendung mit Daten aus einer maßgeblichen Quelle, wie z. B. einer Mitarbeiter-ID-Nummer oder einer E-Mail-Adresse, die bereits für Benutzer in Microsoft Entra ID vorhanden sind.
- Aktualisieren Sie die Konfiguration der Attributzuordnungen für die Microsoft Entra-Anwendungsbereitstellung, sodass diese Eigenschaft in der Vergleichsregel enthalten ist.
Ändern von Vergleichsregeln oder Eigenschaften, wenn die E-Mail-Adresse nicht mit dem Benutzerprinzipalnamen übereinstimmt
Standardmäßig senden einige der Microsoft Entra-Bereitstellungsdienstzuordnungen für Anwendungen das Attribut zum Abgleich mit einer Anwendungs-E-Mail-Adresseigenschaft. Einige Organisationen verfügen über primäre E-Mail-Adressen für ihre Benutzer, die sich von ihrem Benutzerprinzipalnamen unterscheiden. Wenn die Anwendung die E-Mail-Adresse anstelle des userPrincipalName
als Eigenschaft des Benutzers speichert, müssen Sie entweder die Benutzer in der Anwendung oder die entsprechende Regel ändern.
- Wenn Sie einmaliges Anmelden von Microsoft Entra ID in der Anwendung verwenden möchten, sollten Sie die Anwendung so ändern, dass sie eine Eigenschaft für den Benutzer hinzufügt, die den userPrincipalName enthält. Füllen Sie dann diese Eigenschaft für jeden Benutzer in der Anwendung mit dem userPrincipalName aus Microsoft Entra ID auf, und aktualisieren Sie die Bereitstellungskonfiguration der Microsoft Entra-Anwendung, sodass diese Eigenschaft in der Vergleichsregel enthalten ist.
- Wenn Sie nicht beabsichtigen, einmaliges Anmelden von Microsoft Entra ID zu verwenden, besteht eine Alternative darin, die Konfiguration der Attributzuordnungen für die Microsoft Entra-Anwendungsbereitstellung so zu aktualisieren, dass sie einem E-Mail-Adressattribut des Microsoft Entra-Benutzers in der Vergleichsregel entsprechen.
Aktualisieren des Zuordnungsattributs von Benutzern in Microsoft Entra ID
In einigen Fällen weist das Attribut, das für den Abgleich verwendet wird, einen Wert im Microsoft Entra ID-Benutzer auf, der veraltet ist. Das kann beispielsweise der Fall sein, wenn eine Person ihren Namen geändert hat, aber die Namensänderung im Microsoft Entra ID-Benutzer nicht vorgenommen wurde.
Wenn der Benutzer ausschließlich in Microsoft Entra ID erstellt und verwaltet wurde, sollten Sie den Benutzer so aktualisieren, dass er die richtigen Attribute hat. Wenn das Benutzerattribut aus einem Upstream-System stammt, z. B. Windows Server AD oder einer HR-Quelle, dann müssen Sie den Wert in der Upstream-Quelle ändern und warten, bis die Änderung in Microsoft Entra ID sichtbar wird.
Aktualisieren der Microsoft Entra Connect-Synchronisierungs- oder Cloud Sync-Bereitstellungsregeln, um die erforderlichen Benutzer und Attribute zu synchronisieren
In einigen Fällen hat ein früheres Identitätsverwaltungssystem Windows Server AD-Benutzer mit einem entsprechenden Attribut gefüllt, das als Zuordnungsattribut mit einer anderen Anwendung fungieren kann. Wenn beispielsweise das vorherige Identitätsverwaltungssystem mit einer HR-Quelle verbunden war, verfügt der AD-Benutzer über ein employeeId
-Attribut, das von diesem vorherigen Identitätsverwaltungssystem mit der Mitarbeiter-ID des Benutzers aufgefüllt wurde. Ein weiteres Beispiel: Das bisherige Identitätsverwaltungssystem hat die eindeutige Benutzer-ID der Anwendung als Erweiterungsattribut in das Windows Server AD-Schema geschrieben. Wenn jedoch keines dieser Attribute für die Synchronisierung mit Microsoft Entra ID ausgewählt wurde oder die Benutzer nicht mit Microsoft Entra ID synchronisiert werden konnten, kann die Darstellung der Benutzercommunity in Microsoft Entra ID unvollständig sein.
Um dieses Problem zu beheben, müssen Sie Ihre Microsoft Entra Connect-Synchronisierungs- oder Microsoft Entra Cloud-Synchronisierungskonfiguration ändern, um sicherzustellen, dass alle entsprechenden Benutzer in Windows Server AD, die sich auch in der Anwendung befinden, für die Bereitstellung in Microsoft Entra ID in Frage kommen und dass die synchronisierten Attribute dieser Benutzer die Attribute enthalten, die für den Abgleich verwendet werden sollen. Wenn Sie Microsoft Entra Connect Sync verwenden, lesen Sie Microsoft Entra Connect-Synchronisierung: Konfigurieren der Filterung und Microsoft Entra Connect-Synchronisierung: Verzeichniserweiterungen. Wenn Sie die Microsoft Entra-Cloudsynchronisierung verwenden, lesen Sie Attributzuordnung bei der Microsoft Entra-Cloudsynchronisierung und Cloudsynchronisierungsverzeichniserweiterungen und benutzerdefinierte Attributzuordnung.
Aktualisieren von Benutzern in Microsoft Entra ID mit einem neuen Attribut
In einigen Fällen enthält die Anwendung möglicherweise einen eindeutigen Bezeichner für den Benutzer, der derzeit nicht im Microsoft Entra ID-Schema für den Benutzer gespeichert ist. Wenn Sie beispielsweise SAP Cloud Identity Services verwenden, möchten Sie vielleicht die SAP-Benutzer-ID als übereinstimmendes Attribut verwenden, oder wenn Sie ein Linux-System verwenden, möchten Sie vielleicht die Linux-Benutzer-ID als übereinstimmendes Attribut verwenden. Diese Eigenschaften sind jedoch nicht Teil des Microsoft Entra ID-Benutzerschemas. Daher sind sie wahrscheinlich nicht für alle Benutzer in Microsoft Entra ID vorhanden.
Führen Sie die folgenden Schritte aus, um ein neues Attribut für den Abgleich zu verwenden.
- Wählen Sie ein vorhandenes nicht verwendetes Erweiterungsattribut in Microsoft Entra ID aus, oder erweitern Sie das Microsoft Entra-Benutzerschema mit einem neuen Attribut.
- Füllen Sie dieses Attribut auf allen Benutzern in Microsoft Entra ID mit Daten aus einer autorisierenden Quelle auf, z. B. der Anwendung oder einem HR-System. Wenn die Benutzer von Windows Server AD synchronisiert oder von einem HR-System bereitgestellt werden, müssen Sie diese Änderung möglicherweise in dieser Upstream-Quelle vornehmen.
- Aktualisieren Sie die Konfiguration der Attributzuordnungen für die Microsoft Entra-Anwendungsbereitstellung, und schließen Sie dieses Attribut in die Vergleichsregel ein.
Ändern von Vergleichsregeln in ein anderes Attribut, das bereits in Microsoft Entra ID vorhanden ist
Die Standardvergleichsregeln für Anwendungen im Anwendungskatalog basieren auf Attributen, die häufig für alle Microsoft Entra ID-Benutzer in allen Microsoft-Kunden vorhanden sind, z. B. userPrincipalName
. Diese Regeln eignen sich für allgemeine Tests oder für die Bereitstellung in einer neuen Anwendung, die derzeit keine Benutzer hat. Viele Organisationen haben jedoch möglicherweise bereits Microsoft Entra ID-Benutzer mit anderen Attributen ausgefüllt, die für ihre Organisation relevant sind, z. B. eine Mitarbeiter-ID. Wenn ein für den Abgleich geeignetes Attribut vorhanden ist, aktualisieren Sie die Konfiguration der Attributzuordnungen für die Microsoft Entra-Anwendungsbereitstellung, und schließen Sie dieses Attribut in die Vergleichsregel ein.
Konfigurieren der eingehenden Bereitstellung von einer HR-Quelle in Microsoft Entra ID
Im Idealfall sollten Organisationen, die Benutzer unabhängig in mehreren Anwendungen bereitstellen, auf allgemeine Bezeichner für Benutzer zurückgreifen, die von einer autorisierenden Quelle wie einem HR-System abgeleitet werden. Viele HR-Systeme verfügen über Eigenschaften, die gut als Bezeichner funktionieren, z. B. employeeId
, die als eindeutig behandelt werden kann, sodass keine zwei Personen dieselbe Mitarbeiter-ID haben. Wenn Sie über eine HR-Quelle verfügen, z. B. Workday oder SuccessFactors, können Attribute wie z. B. eine employeeId aus dieser Quelle häufig eine geeignete Vergleichsregel erstellen.
Führen Sie die folgenden Schritte aus, um ein Attribut mit Werten zu verwenden, die von einer autorisierenden Quelle für den Abgleich abgerufen wurden.
- Wählen Sie ein entsprechendes Microsoft Entra ID-Benutzerschema-Attribut aus, oder erweitern Sie das Microsoft Entra-Benutzerschema mit einem neuen Attribut, dessen Werte einer entsprechenden Eigenschaft eines Benutzers in der Anwendung entsprechen.
- Stellen Sie sicher, dass die Eigenschaft auch in einer HR-Quelle für alle Personen vorhanden ist, die Benutzer in Microsoft Entra ID und in der Anwendung haben.
- Konfigurieren Sie die eingehende Bereitstellung von dieser HR-Quelle in Microsoft Entra ID.
- Warten Sie, bis die Benutzer in Microsoft Entra ID mit neuen Attributen aktualisiert wurden.
- Aktualisieren Sie die Konfiguration der Attributzuordnungen für die Microsoft Entra-Anwendungsbereitstellung, und schließen Sie dieses Attribut in die Vergleichsregel ein.
Erstellen von Benutzern in Windows Server AD für Benutzer in der Anwendung, die fortgesetzten Anwendungszugriff benötigen
Wenn es Benutzer aus der Anwendung gibt, die nicht mit einer Person in einer maßgeblichen HR-Quelle übereinstimmen, aber in Zukunft Zugang sowohl zu Windows Server AD-basierten Anwendungen als auch zu Microsoft Entra ID-integrierten Anwendungen benötigen, und Ihre Organisation Microsoft Entra Connect-Synchronisierung oder Microsoft Entra Cloud-Synchronisierung verwendet, um Benutzer aus Windows Server AD für Microsoft Entra ID bereitzustellen, dann können Sie für jeden dieser Benutzer, der noch nicht vorhanden war, einen Benutzer in Windows Server AD erstellen.
Wenn die Benutzer keinen Zugriff auf Windows Server AD-basierte Anwendungen benötigen, erstellen Sie die Benutzer in Microsoft Entra ID, wie im nächsten Abschnitt beschrieben.
Erstellen von Benutzern in Microsoft Entra ID für Benutzer in der Anwendung, die fortgesetzten Anwendungszugriff benötigen
Wenn Benutzer aus der Anwendung vorhanden sind, die keiner Person in einer autorisierenden HR-Quelle entsprechen, aber weiterhin Zugriff benötigen und von Microsoft Entra verwaltet werden, können Sie dafür Microsoft Entra-Benutzer erstellen. Sie können Benutzer*innen in einem Massenvorgang erstellen, indem Sie eins der folgenden Elemente verwenden:
- Eine CSV-Datei, wie unter Massenerstellen von Benutzer*innen im Microsoft Entra Admin Center beschrieben
- das Cmdlet New-MgUser
Stellen Sie sicher, dass für diese neuen Benutzer die für Microsoft Entra ID erforderlichen Attribute aufgefüllt werden, um sie später mit vorhandenen Benutzer*innen in der Anwendung abzugleichen. Außerdem müssen die Attribute aufgefüllt werden, die von Microsoft Entra ID benötigt werden, einschließlich userPrincipalName
, mailNickname
und displayName
. userPrincipalName
muss im Vergleich zu allen anderen Benutzern im Verzeichnis eindeutig sein.
Erstellen von Benutzern in einem Massenvorgang mithilfe von PowerShell
In diesem Abschnitt wird gezeigt, wie Sie mithilfe von Microsoft Graph PowerShell-Cmdlets mit Microsoft Entra ID interagieren.
Wenn Ihre Organisation diese Cmdlets zum ersten Mal für dieses Szenario verwendet, müssen Sie über die Rolle „Globaler Administrator“ verfügen, um die Verwendung von Microsoft Graph PowerShell in Ihrem Mandanten zuzulassen. Für nachfolgende Interaktionen können Rollen mit geringerem Berechtigungsumfang verwendet werden. Dazu zählen z. B. Benutzeradministrator.
Wenn Sie bereits über eine PowerShell-Sitzung verfügen, in der Sie die Benutzer in der Anwendung identifiziert haben, die sich nicht in Microsoft Entra ID befanden, fahren Sie mit Schritt 6 unten fort. Öffnen Sie andernfalls PowerShell.
Wenn die Microsoft Graph PowerShell-Module noch nicht installiert sind, installieren Sie das
Microsoft.Graph.Users
-Modul und andere Module mit dem folgenden Befehl:Install-Module Microsoft.Graph
Wenn die Module bereits installiert sind, stellen Sie sicher, dass Sie eine aktuelle Version verwenden:
Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
Herstellen einer Verbindung mit Microsoft Entra ID:
$msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All"
Wenn Sie diesen Befehl zum ersten Mal verwendet haben, müssen Sie einwilligen, dass die Microsoft Graph-Befehlszeilentools über diese Berechtigungen verfügen.
Fügen Sie in Ihre PowerShell-Umgebung ein Array der Benutzer aus der Anwendung ein, das auch die Felder enthält, die in Microsoft Entra ID erforderliche Attribute sind – den Benutzerprinzipalnamen, den E-Mail-Kontonamen und den vollständigen Namen des Benutzers. Dieses Skript setzt voraus, dass das Array
$dbu_not_matched_list
die Benutzer aus der Anwendung enthält, die nicht übereinstimmen.$filename = ".\Users-to-create.csv" $bu_not_matched_list = Import-Csv -Path $filename -Encoding UTF8
Geben Sie in Ihrer PowerShell-Sitzung an, welche Spalten im Array der zu erstellenden Benutzer den erforderlichen Eigenschaften von Microsoft Entra ID entsprechen. Es kann beispielsweise Benutzer*innen in der Datenbank geben, auf die Folgendes zutrifft: Der Wert in der Spalte
EMail
ist der Wert, den Sie als Microsoft Entra-Benutzerprinzipalnamen verwenden möchten, der Wert in der SpalteAlias
enthält den Microsoft Entra ID-E-Mail-Kontonamen, und der Wert in der SpalteFull name
enthält den Benutzeranzeigenamen:$db_display_name_column_name = "Full name" $db_user_principal_name_column_name = "Email" $db_mail_nickname_column_name = "Alias"
Öffnen Sie das folgende Skript in einem Text-Editor. Möglicherweise müssen Sie dieses Skript ändern, um die von Ihrer Anwendung benötigten Microsoft Entra-Attribute hinzuzufügen, oder um das entsprechende Microsoft Entra-Attribut bereitzustellen, wenn der
$azuread_match_attr_name
weder einmailNickname
noch einuserPrincipalName
ist.$dbu_missing_columns_list = @() $dbu_creation_failed_list = @() foreach ($dbu in $dbu_not_matched_list) { if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) { $params = @{ accountEnabled = $false displayName = $dbu.$db_display_name_column_name mailNickname = $dbu.$db_mail_nickname_column_name userPrincipalName = $dbu.$db_user_principal_name_column_name passwordProfile = @{ Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_}) } } try { New-MgUser -BodyParameter $params } catch { $dbu_creation_failed_list += $dbu; throw } } else { $dbu_missing_columns_list += $dbu } }
Fügen Sie das resultierende Skript aus Ihrem Text-Editor in Ihre PowerShell-Sitzung ein. Wenn Fehler auftreten, müssen Sie sie korrigieren, bevor Sie fortfahren.
Verwalten separater und nicht übereinstimmender Benutzer in der Anwendung und in Microsoft Entra ID
Möglicherweise gibt es einen Superadministratorbenutzer in der Datenquelle der Anwendung, die keiner bestimmten Person in Microsoft Entra ID entspricht. Wenn Sie dafür keine Microsoft Entra-Benutzer erstellen, können diese Benutzer nicht von Microsoft Entra ID oder Microsoft Entra ID Governance verwaltet werden. Der Grund dafür ist, dass sich diese Benutzer nicht mit Microsoft Entra ID anmelden können. Wenn Sie also die Anwendung so konfigurieren, dass sie Microsoft Entra ID als Identitätsanbieter verwendet, stellen Sie sicher, dass diese Benutzer nicht für die Authentifizierung mit Microsoft Entra ID in Frage kommen.
Erneutes Exportieren der Benutzer
Nachdem Sie Aktualisierungen an Microsoft Entra-Benutzern, Benutzern in der Anwendung oder den Vergleichsregeln für die Microsoft Entra-Anwendung vorgenommen haben, sollten Sie das Abgleichsverfahren für Ihre Anwendung erneut exportieren und ausführen, um sicherzustellen, dass alle Benutzer korreliert sind.
Wenn Sie SAP Cloud Identity Services verwenden, folgen Sie dem Tutorial für die Bereitstellung von SAP Cloud Identity Services ab dem Schritt zum Sicherzustellen, dass vorhandene SAP Cloud Identity Services-Benutzer über die erforderlichen übereinstimmenden Attribute verfügen. In diesem Tutorial exportieren Sie eine Liste von Benutzern aus SAP Cloud Identity Services in eine CSV-Datei, und verwenden dann PowerShell, um diese Benutzer mit Benutzern in Microsoft Entra ID abzugleichen.
Wenn Ihre Anwendung ein LDAP-Verzeichnis verwendet, folgen Sie dem Tutorial für die LDAP-Verzeichnisbereitstellung ab dem Schritt zum Erfassen vorhandener Benutzer aus dem LDAP-Verzeichnis.
Folgen Sie für andere Anwendungen, einschließlich der Anwendungen mit einer SQL-Datenbank oder der Bereitstellungsunterstützung im Anwendungskatalog, dem Tutorial zum Verwalten der vorhandenen Benutzer einer Anwendung ab dem Schritt zum Erfassen von Benutzern aus der Anwendung.
Zuweisen von Benutzern zu Anwendungsrollen und Aktivieren der Bereitstellung
Sobald Sie die notwendigen Updates durchgeführt und bestätigt haben, dass alle Benutzer der Anwendung mit den Benutzern in Microsoft Entra ID übereinstimmen, sollten Sie den Benutzern in Microsoft Entra ID, die Zugriff auf die Anwendung benötigen, die Microsoft Entra-Anwendungs-App-Rolle zuweisen und dann die Bereitstellung für die Anwendung aktivieren.
- Wenn Sie SAP Cloud Identity Services verwenden, folgen Sie dem Tutorial für die Bereitstellung von SAP Cloud Identity Services ab dem Schritt zum Sicherzustellen, dass vorhandene Microsoft Entra-Benutzer über die erforderlichen Attribute verfügen.
Nächste Schritte
- Integrieren von Anwendungen mit Microsoft Entra ID und Einrichten eines Basisplans für den überprüften Zugriff
- Verwalten und Steuern der vorhandenen Benutzer*innen einer Anwendung in Microsoft Entra ID mit Microsoft PowerShell
- Vorbereiten einer Zugriffsüberprüfung des Benutzerzugriffs auf eine Anwendung