Gérer les mappages et les utilisateurs dans les applications qui n'ont pas été associés à des utilisateurs dans Microsoft Entra ID

Lorsque vous intégrez une application existante à Microsoft Entra ID, que ce soit pour l’approvisionnement ou l’authentification unique (SSO), vous pouvez constater qu’il existe des utilisateurs dans le magasin de données de l’application qui ne correspondent pas aux utilisateurs de Microsoft Entra ID ou qui ne correspondent pas à des utilisateurs dans Microsoft Entra ID.

Le service d’approvisionnement Microsoft Entra s’appuie sur des règles de correspondance configurables pour déterminer si un utilisateur dans Microsoft Entra ID correspond à un utilisateur de l’application, en recherchant dans l'application un utilisateur avec la propriété de correspondance d'un utilisateur de Microsoft Entra ID. Par exemple, supposons que la règle de correspondance consiste à comparer l’attribut userPrincipalName de l’utilisateur Microsoft Entra ID à la propriété userName d’une application. Quand un utilisateur dans Microsoft Entra ID avec une valeur userPrincipalName de alice.smith@contoso.com est affecté à un rôle d’application, le service d’approvisionnement Microsoft Entra effectue une recherche de l’application, avec une requête telle que userName eq "alice.smith@contoso.com". Si la recherche d’application ne trouve aucun utilisateur correspondant, le service d’approvisionnement Microsoft Entra crée un utilisateur dans l’application.

Si l’application n’a pas encore d’utilisateurs, ce processus remplit le magasin de données de l’application avec les utilisateurs au fur et à mesure qu’ils sont affectés dans Microsoft Entra ID. Toutefois, si l’application a déjà des utilisateurs, deux situations peuvent survenir. Tout d’abord, il peut y avoir des personnes avec des comptes d’utilisateur dans l’application, mais la correspondance ne parvient pas à les localiser. L’utilisateur est peut-être représenté dans l’application comme asmith@contoso.com plutôt que alice.smith@contoso.com, de sorte que la recherche effectuée par le service de provisionnement Microsoft Entra ne les trouve pas. Dans ce cas, la personne peut se retrouver avec des utilisateurs dupliqués dans l’application. Deuxièmement, il peut y avoir des personnes disposant de comptes d’utilisateur dans l’application qui n’ont aucun utilisateur dans Microsoft Entra ID. Dans ce cas, le service d’approvisionnement Microsoft Entra n’interagit pas avec ces utilisateurs dans l’application. Toutefois, si l’application est configurée pour s’appuyer sur Microsoft Entra ID en tant que seul fournisseur d’identité, ces utilisateurs ne pourront plus se connecter : l’application redirigera la personne vers la connexion avec Microsoft Entra ID, mais la personne n’a pas d’utilisateur dans Microsoft Entra ID.

Ces incohérences entre Microsoft Entra ID et le magasin de données d’une application existante peuvent se produire pour de nombreuses raisons, y compris :

  • l’administrateur de l’application crée directement des utilisateurs dans l’application, comme pour les sous-traitants ou les fournisseurs, qui ne sont pas représentés dans une source de données RH mais qui nécessitent un accès à l'application ;
  • les modifications d’identité et d’attribut, telles qu’une personne changeant son nom, n’étaient pas envoyées ni à Microsoft Entra ID, ni à l’application, et les représentations sont donc obsolètes dans un ou l’autre système ;
  • ou l’organisation utilisait un produit de gestion des identités qui approvisionnait indépendamment Windows Server AD et l’application avec différentes communautés. Par exemple, les employés de magasin avaient besoin d'accéder à l'application mais n'avaient pas besoin de boîtes aux lettres Exchange. Par conséquent, les employés du magasin n’ont pas été représentés dans Windows Server AD ou Microsoft Entra ID.

Avant d’activer l’approvisionnement ou l’authentification unique sur une application avec des utilisateurs existants, vous devez vérifier que les utilisateurs correspondent, et examiner et trouver une solution pour les utilisateurs de l’application qui ne correspondent pas. Cet article décrit les options pour résoudre différentes situations dans lesquelles un utilisateur n'a pas pu être mis en correspondance.

Déterminer s’il existe des utilisateurs dans l’application qui ne correspondent pas

Si vous avez déjà déterminé la liste des utilisateurs de l’application qui ne correspondent pas aux utilisateurs dans Microsoft Entra ID, continuez dans la section suivante.

La procédure permettant de déterminer les utilisateurs de l’application qui ne correspondent pas aux utilisateurs de Microsoft Entra ID dépend de la façon dont l’application est ou sera intégrée à Microsoft Entra ID.

  • Si vous utilisez SAP Cloud Identity Services, suivez le tutoriel d’approvisionnement SAP Cloud Identity Services jusqu’à l’étape pour vous assurer que les utilisateurs SAP Cloud Identity Services existants disposent des attributs correspondants nécessaires. Dans ce tutoriel, vous exportez une liste d’utilisateurs de SAP Cloud Identity Services vers un fichier CSV, puis vous utilisez PowerShell pour faire correspondre ces utilisateurs à des utilisateurs dans Microsoft Entra ID.

  • Si votre application utilise un annuaire LDAP, suivez le tutoriel sur l’approvisionnement d’annuaires LDAP jusqu’à l’étape de collecte des utilisateurs existants à partir de l’annuaire LDAP. Dans ce tutoriel, utilisez PowerShell pour faire correspondre ces utilisateurs avec les utilisateurs dans Microsoft Entra ID.

  • Pour d’autres applications, y compris celles avec une base de données SQL ou qui ont une prise en charge de l’approvisionnement dans la galerie d’applications, suivez le tutoriel pour régir les utilisateurs existants d’une application jusqu’à l’étape pour confirmer que Microsoft Entra ID contient des utilisateurs qui correspondent aux utilisateurs de l’application.

  • Pour d’autres applications qui n’ont pas d’interface d’approvisionnement, suivez le tutoriel pour gérer les utilisateurs d’une application qui ne prend pas en charge l’approvisionnement jusqu’à l’étape pour confirmer que Microsoft Entra ID a des utilisateurs qui correspondent aux utilisateurs de l’application.

Une fois le script PowerShell fourni dans ces tutoriels terminé, il affiche une erreur si des enregistrements de l’application ne se trouvaient pas dans Microsoft Entra ID. Si tous les enregistrements des utilisateurs du magasin de données de l'application ne pouvaient pas être trouvés en tant qu'utilisateurs dans Microsoft Entra ID, vous devrez enquêter sur les enregistrements qui n'ont pas correspondu et pour quelle raison, puis résoudre le problème de correspondance en utilisant l'une des options dans la section suivante.

Options permettant de s’assurer que les utilisateurs sont mis en correspondance entre l’application et Microsoft Entra ID

Cette section fournit plusieurs options pour traiter les utilisateurs qui ne correspondent pas dans l’application. En fonction des objectifs de votre organisation et des problèmes de données entre Microsoft Entra ID et l’application, sélectionnez l’option appropriée pour chaque utilisateur. Il se peut qu’il n’existe pas d’option unique qui couvre tous les utilisateurs d’une application particulière.

Option Mises à jour nécessaires avant l’approvisionnement
Supprimer les utilisateurs de test de l’application Utilisateurs dans l’application
Supprimer les utilisateurs des applications pour les personnes qui ne font plus partie de l’organisation Utilisateurs dans l’application
Supprimer les utilisateurs de l’application et les recréer à partir de Microsoft Entra ID Utilisateurs dans l’application
Mettre à jour la propriété de correspondance des utilisateurs dans l’application Utilisateurs dans l’application
Mettre à jour les utilisateurs dans l’application avec une nouvelle propriété Utilisateurs dans l’application
Modifier les règles ou les propriétés de correspondance lorsque l’adresse e-mail ne correspond pas au nom d’utilisateur principal Règle de correspondance des utilisateurs dans l'application ou dans l'application Microsoft Entra
Mettre à jour l’attribut de correspondance des utilisateurs dans Microsoft Entra ID Utilisateurs dans Microsoft Entra ID
Mettre à jour les règles d’approvisionnement de Microsoft Entra Connect Sync ou de Cloud Sync pour synchroniser les utilisateurs et les attributs nécessaires La synchronisation cloud Microsoft Entra Connect ou Microsoft Entra, qui mettra à jour les utilisateurs dans Microsoft Entra ID
Mettre à jour les utilisateurs dans Microsoft Entra ID avec un nouvel attribut Utilisateurs dans Microsoft Entra ID
Modifier les règles de correspondance avec un autre attribut déjà renseigné dans Microsoft Entra ID Règle de correspondance d’application Microsoft Entra
Créer des utilisateurs dans Windows Server AD pour les utilisateurs de l’application qui ont besoin d’un accès continu à l’application Utilisateurs dans Windows Server AD, qui mettra à jour les utilisateurs Microsoft Entra ID
Créer des utilisateurs dans Microsoft Entra ID pour les utilisateurs de l’application qui ont besoin d’un accès continu à l’application Utilisateurs dans Microsoft Entra ID
Conserver des utilisateurs distincts et sans correspondance dans l’application et Microsoft Entra ID Aucun

Supprimer les utilisateurs de test de l’application

Il peut y avoir des utilisateurs de test dans l'application qui ont été laissés lors de son déploiement initial. S’il existe des utilisateurs qui ne sont plus nécessaires, ils peuvent être supprimés de l’application.

Supprimer les utilisateurs des applications pour les personnes qui ne font plus partie de l’organisation

L’utilisateur peut ne plus être affilié à l’organisation et ne plus avoir besoin d’accéder à l’application, mais il est toujours un utilisateur dans la source de données de l’application. Cela peut se produire si l'administrateur de l'application a omis de supprimer l'utilisateur ou n'a pas été informé que le changement était requis. Si l’utilisateur n’est plus nécessaire, il peut être supprimé de l’application.

Supprimer les utilisateurs de l’application et les recréer à partir de Microsoft Entra ID

Si l’application n’est actuellement pas utilisée à grande échelle ou ne conserve aucun état spécifique par utilisateur, une autre option consiste à supprimer les utilisateurs de l'application afin qu'il n'y ait plus d'utilisateurs non appariés. Ensuite, lorsque les utilisateurs demandent ou se voient attribuer l'application dans Microsoft Entra ID, ils obtiennent un accès provisionné.

Mettre à jour la propriété de correspondance des utilisateurs dans l’application

Un utilisateur peut exister dans une application et dans Microsoft Entra ID, mais l'utilisateur dans l'application ne dispose pas d’une propriété nécessaire à la correspondance, ou la propriété a la mauvaise valeur.

Par exemple, lorsqu’un administrateur SAP crée un utilisateur dans les services d'identité cloud de SAP en utilisant sa console d'administration, l'utilisateur peut ne pas avoir une propriété userName. Toutefois, cette propriété peut être celle utilisée pour la correspondance avec les utilisateurs dans Microsoft Entra ID. Si la propriété userName est celle destinée à la correspondance, vous avez besoin que l'administrateur SAP mette à jour ces utilisateurs existants des services d'identité cloud de SAP pour avoir une valeur de la propriété userName.

Autre exemple, l’administrateur de l’application a défini l’adresse e-mail de l’utilisateur en tant que propriété mail de l’utilisateur dans l’application, lorsque l’utilisateur a été ajouté pour la première fois à l’application. Toutefois, plus tard, l’adresse e-mail de la personne et la propriété userPrincipalName sont modifiées dans Microsoft Entra ID. Cependant, si l'application n'exigeait pas l'adresse e-mail, ou si le fournisseur de messagerie avait une redirection permettant à l'ancienne adresse e-mail de continuer à être redirigée, alors l'administrateur de l'application pourrait avoir manqué la nécessité de mettre à jour la propriété mail dans la source de données de l’application. Cette incohérence peut être résolue soit par l’administrateur de l’application en modifiant la propriété mail des utilisateurs de l'application pour avoir une valeur actuelle, soit en modifiant la règle de correspondance, comme décrit dans les sections suivantes.

Mettre à jour les utilisateurs dans l’application avec une nouvelle propriété

Le système de gestion des identités précédent de l'organisation a peut-être créé des utilisateurs dans l'application en tant qu'utilisateurs locaux. Si l’organisation n’avait pas de fournisseur d’identité unique à l’époque, ces utilisateurs de l’application n’avaient pas besoin de propriétés pour être mis en corrélation avec n’importe quel autre système. Par exemple, un produit de gestion des identités précédent a créé des utilisateurs dans une application en se basant sur une source RH autorisée. Ce système de gestion des identités a maintenu la corrélation entre les utilisateurs qu’il a créés dans l’application avec la source RH et n’a fourni aucun des identificateurs de la source RH à l’application. Plus tard, lors de la tentative de connexion de l’application à un locataire Microsoft Entra ID renseigné à partir de cette même source RH, Microsoft Entra ID peut avoir des utilisateurs pour toutes les mêmes personnes que celles présentes dans l'application, mais la correspondance échoue pour tous les utilisateurs car il n'y a aucune propriété en commun.

Pour résoudre ce problème de correspondance, procédez comme suit.

  1. Sélectionnez une propriété inutilisée existante d’utilisateurs dans l'application, ou ajoutez une nouvelle propriété au schéma utilisateur dans l'application.
  2. Renseignez cette propriété pour tous les utilisateurs dans l'application avec des données provenant d'une source autorisée, comme un numéro d'identification d'employé ou une adresse e-mail, qui est déjà présente chez les utilisateurs dans Microsoft Entra ID.
  3. Mettez à jour la configuration des mappages d’attributs d’approvisionnement de l’application Microsoft Entra pour l’application, de sorte que cette propriété soit incluse dans la règle de correspondance.

Modifier les règles ou les propriétés de correspondance lorsque l’adresse e-mail ne correspond pas au nom d’utilisateur principal

Par défaut, certains mappages de service d’approvisionnement Microsoft Entra pour les applications envoient l’attribut userPrincipalName pour le mettre en correspondance avec une propriété d’adresse e-mail d’application. Certaines organisations ont des adresses e-mail principales pour leurs utilisateurs qui sont distinctes de leur nom d’utilisateur principal. Si l’application stocke l’adresse e-mail en tant que propriété de l’utilisateur, et non l’attribut userPrincipalName, vous devez modifier soit les utilisateurs dans l’application, soit la règle de correspondance.

  • Si vous envisagez d’utiliser l’authentification unique de Microsoft Entra ID vers l’application, vous pouvez modifier l’application pour ajouter une propriété à l’utilisateur pour contenir userPrincipalName. Ensuite, renseignez cette propriété pour chaque utilisateur dans l’application avec l’attribut userPrincipalName de l’utilisateur depuis Microsoft Entra ID, et mettez à jour la configuration de l’approvisionnement de l’application Microsoft Entra afin que cette propriété soit incluse dans la règle de correspondance.
  • Si vous n’envisagez pas d’utiliser l’authentification unique à partir de Microsoft Entra ID, une alternative consiste à mettre à jour la configuration des mappages d’attributs d’approvisionnement de l’application Microsoft Entra, pour correspondre à un attribut d’adresse e-mail de l’utilisateur Microsoft Entra dans la règle de correspondance.

Mettre à jour l’attribut de correspondance des utilisateurs dans Microsoft Entra ID

Dans certains cas, l’attribut utilisé pour la correspondance a une valeur dans l’utilisateur Microsoft Entra ID obsolète. Par exemple, une personne a changé de nom, mais le changement de nom n'a pas été effectué dans l'utilisateur Microsoft Entra ID.

Si l'utilisateur a été créé et maintenu uniquement dans Microsoft Entra ID, vous devez mettre à jour l’utilisateur pour avoir les attributs appropriés. Si l'attribut de l'utilisateur provient d'un système en amont, tel que Windows Server AD ou une source RH, vous devez modifier la valeur dans la source en amont et attendre que la modification devienne visible dans Microsoft Entra ID.

Mettre à jour les règles d’approvisionnement de Microsoft Entra Connect Sync ou de Cloud Sync pour synchroniser les utilisateurs et les attributs nécessaires

Dans certains cas, un système de gestion des identités précédent a renseigné les utilisateurs Windows Server AD avec un attribut approprié qui peut fonctionner en tant qu’attribut de correspondance avec une autre application. Par exemple, si le système de gestion des identités précédent était connecté à une source RH, l’utilisateur AD dispose d’un attribut employeeId renseigné par le système de gestion des identités précédent avec l’identifiant d’employé de l’utilisateur. Autre exemple, le système de gestion des identités précédent a écrit l’identifiant utilisateur unique de l’application en tant qu’attribut d’extension dans le schéma Windows Server AD. Toutefois, si aucun de ces attributs n'a été sélectionné pour la synchronisation dans Microsoft Entra ID, ou si les utilisateurs étaient hors du champ de la synchronisation dans Microsoft Entra ID, alors la représentation des utilisateurs dans Microsoft Entra ID pourrait être incomplète.

Pour résoudre ce problème, vous devez modifier la configuration de la synchronisation cloud Microsoft Entra Connect ou de Microsoft Entra pour vous assurer que tous les utilisateurs appropriés dans Windows Server AD qui se trouvent également dans l’application sont inclus dans la portée de l’approvisionnement sur Microsoft Entra ID, et que les attributs synchronisés de ces utilisateurs incluent les attributs qui seront utilisés à des fins de correspondance. Si vous utilisez Microsoft Entra Connect Sync, consultez Microsoft Entra Connect Sync : configurer le filtrage et Microsoft Entra Connect Sync : extensions d’annuaire. Si vous utilisez la synchronisation cloud Microsoft Entra, consultez Mappage d’attributs dans la synchronisation cloud Microsoft Entra et Extensions d’annuaire Cloud Sync et mappage d’attributs personnalisés.

Mettre à jour les utilisateurs dans Microsoft Entra ID avec un nouvel attribut

Dans certains cas, l’application peut contenir un identificateur unique pour l’utilisateur qui n’est pas actuellement stocké dans le schéma de Microsoft Entra ID pour l’utilisateur. Par exemple, si vous utilisez SAP Cloud Identity Services, vous souhaiterez peut-être que l’ID d’utilisateur SAP soit l’attribut de correspondance, ou si vous utilisez un système Linux, vous souhaiterez peut-être que l’ID d’utilisateur Linux soit l’attribut de correspondance. Toutefois, ces propriétés ne font pas partie du schéma utilisateur Microsoft Entra ID et ne sont donc probablement pas présentes chez les utilisateurs dans Microsoft Entra ID.

Pour utiliser un nouvel attribut pour la correspondance, procédez comme suit.

  1. Sélectionnez un attribut d’extension inutilisé existant dans Microsoft Entra ID ou étendez le schéma utilisateur Microsoft Entra avec un nouvel attribut.
  2. Renseignez cet attribut pour tous les utilisateurs de Microsoft Entra ID avec des données provenant d’une source faisant autorité, telles que l’application ou un système RH. Si les utilisateurs sont synchronisés à partir de Windows Server AD ou approvisionnés à partir d’un système RH, vous devrez peut-être effectuer cette modification dans cette source en amont.
  3. Mettez à jour la configuration des mappages d’attributs d’approvisionnement dans l’application Microsoft Entra et incluez cet attribut dans la règle de correspondance.

Modifier les règles de correspondance avec un autre attribut déjà renseigné dans Microsoft Entra ID

Les règles de correspondance par défaut pour les applications de la galerie d’applications s’appuient sur des attributs qui sont généralement présents chez tous les utilisateurs de Microsoft Entra ID pour tous les clients Microsoft, tels que userPrincipalName. Ces règles conviennent pour les tests à usage général ou pour l’approvisionnement dans une nouvelle application qui n’a actuellement aucun utilisateur. Toutefois, de nombreuses organisations ont peut-être déjà renseigné les utilisateurs de Microsoft Entra ID avec d’autres attributs pertinents pour leur organisation, tels qu’un identifiant d’employé. Si un autre attribut est adapté pour la correspondance, mettez à jour la configuration des mappages d’attributs d’approvisionnement de l’application Microsoft Entra et incluez cet attribut dans la règle de correspondance.

Configurer l’approvisionnement entrant d’une source RH vers Microsoft Entra ID

Dans l’idéal, les organisations qui ont approvisionné des utilisateurs dans plusieurs applications de manière indépendante devraient s'appuyer sur des identifiants communs pour les utilisateurs provenant d'une source autorisée telle qu'un système RH. De nombreux systèmes RH ont des propriétés qui fonctionnent bien comme identifiants, comme employeeId qui peuvent être considérés comme uniques afin qu’aucune autre personne n’ait le même identifiant d’employé. Si vous disposez d’une source RH, telle que Workday ou SuccessFactors, l'inclusion d'attributs tels qu'un identifiant d'employé de cette source peut souvent constituer une règle de correspondance appropriée.

Pour utiliser un attribut avec des valeurs obtenues à partir d’une source faisant autorité pour la correspondance, procédez comme suit.

  1. Sélectionnez un attribut approprié du schéma utilisateur de Microsoft Entra ID, ou étendez le schéma utilisateur de Microsoft Entra avec un nouvel attribut, dont les valeurs correspondent à une propriété équivalente d'un utilisateur dans l'application.
  2. Vérifiez que cette propriété est également présente dans une source RH pour toutes les personnes qui ont des utilisateurs dans Microsoft Entra ID et l’application.
  3. Configurez l’approvisionnement entrant de cette source RH vers Microsoft Entra ID.
  4. Attendez que les utilisateurs de Microsoft Entra ID soient mis à jour avec de nouveaux attributs.
  5. Mettez à jour la configuration des mappages d’attributs d’approvisionnement dans l’application Microsoft Entra et incluez cet attribut dans la règle de correspondance.

Créer des utilisateurs dans Windows Server AD pour les utilisateurs de l’application qui ont besoin d’un accès continu à l’application

Si certains utilisateurs de l'application ne correspondent à aucune personne dans une source RH autorisée, mais nécessitent l’accès aux applications Windows Server AD et aux applications intégrées à Microsoft Entra ID à l’avenir, et que votre organisation utilise la synchronisation Microsoft Entra Connect ou la synchronisation cloud Microsoft Entra pour approvisionner les utilisateurs de Windows Server AD vers Microsoft Entra ID, vous pouvez créer un utilisateur dans Windows Server AD pour chacun de ces utilisateurs qui n’étaient pas déjà présents.

Si les utilisateurs n’ont pas besoin d’accéder aux applications basées sur Windows Server AD, créez les utilisateurs dans Microsoft Entra ID, comme décrit dans la section suivante.

Créer des utilisateurs dans Microsoft Entra ID pour les utilisateurs de l’application qui ont besoin d’un accès continu à l’application

Si certains utilisateurs de l'application ne correspondent à aucune personne dans une source RH autorisée, mais qu’ils ont besoin d’un accès continu et sont régis à partir de Microsoft Entra, vous pouvez créer des utilisateurs Microsoft Entra pour eux. Vous pouvez créer des utilisateurs en bloc de deux manières :

Veillez à ce que ces nouveaux utilisateurs soient renseignés avec les attributs nécessaires à Microsoft Entra ID pour les mettre en correspondance par la suite avec les utilisateurs existants de l’application et avec les attributs nécessaires à Microsoft Entra ID, y compris userPrincipalName, mailNickname et displayName. Le userPrincipalName doit être unique parmi tous les utilisateurs de l’annuaire.

Création d’utilisateurs en bloc à l’aide de PowerShell

Cette section montre comment interagir avec Microsoft Entra ID à l’aide de cmdlets Microsoft Graph PowerShell.

La première fois que votre organisation utilise ces cmdlets pour ce scénario, vous devez avoir un rôle d’administrateur général pour autoriser l’utilisation de Microsoft Graph PowerShell dans votre locataire. Les interactions suivantes peuvent utiliser un rôle avec des privilèges inférieurs, tel qu’administrateur d’utilisateurs.

  1. Si vous disposez déjà d’une session PowerShell dans laquelle vous avez identifié les utilisateurs de l’application qui n’étaient pas dans Microsoft Entra ID, passez à l’étape 6 ci-dessous. Sinon, ouvrez PowerShell.

  2. Si les modules Microsoft Graph PowerShell ne sont pas déjà installés, installez le module Microsoft.Graph.Users et les autres à l’aide de cette commande :

    Install-Module Microsoft.Graph
    

    Si les modules sont déjà installés, vérifiez que vous utilisez une version récente :

    Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
    
  3. Connectez-vous à Microsoft Entra ID :

    $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All"
    
  4. Si c’est la première fois que vous utilisez cette commande, vous devrez consentir à ce que les outils en ligne de commande Microsoft Graph disposent de ces autorisations.

  5. Intégrez votre environnement PowerShell à un tableau des utilisateurs de l’application, qui possède également les champs qui sont les attributs requis par Microsoft Entra ID : le nom d’utilisateur principal, le pseudonyme de messagerie et le nom complet de l’utilisateur. Ce script suppose que le tableau $dbu_not_matched_list contient les utilisateurs de l’application qui n’ont pas été mis en correspondance.

    $filename = ".\Users-to-create.csv"
    $bu_not_matched_list = Import-Csv -Path $filename -Encoding UTF8
    
  6. Spécifiez dans votre session PowerShell quelles colonnes dans le tableau des utilisateurs à créer correspondent aux propriétés requises par Microsoft Entra ID. Par exemple, vous pouvez avoir des utilisateurs dans la base de données où la valeur dans la colonne nommée EMail est celle que vous voulez utiliser comme nom d’utilisateur principal Microsoft Entra, où la valeur dans la colonne Alias contient le pseudonyme de messagerie Microsoft Entra ID et où la valeur dans la colonne Full name contient le nom complet de l’utilisateur :

    $db_display_name_column_name = "Full name"
    $db_user_principal_name_column_name = "Email"
    $db_mail_nickname_column_name = "Alias"
    
  7. Ouvrez le script suivant dans un éditeur de texte. Vous devrez peut-être modifier ce script pour ajouter les attributs Microsoft Entra nécessaires à votre application, ou si le $azuread_match_attr_name n’est pas mailNickname ou userPrincipalName, afin de fournir cet attribut Microsoft Entra.

    $dbu_missing_columns_list = @()
    $dbu_creation_failed_list = @()
    foreach ($dbu in $dbu_not_matched_list) {
       if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
          $params = @{
             accountEnabled = $false
             displayName = $dbu.$db_display_name_column_name
             mailNickname = $dbu.$db_mail_nickname_column_name
             userPrincipalName = $dbu.$db_user_principal_name_column_name
             passwordProfile = @{
               Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
             }
          }
          try {
            New-MgUser -BodyParameter $params
          } catch { $dbu_creation_failed_list += $dbu; throw }
       } else {
          $dbu_missing_columns_list += $dbu
       }
    }
    
  8. Collez le script résultant de votre éditeur de texte dans votre session PowerShell. Si des erreurs se produisent, vous devez les corriger avant de continuer.

Conserver des utilisateurs distincts et sans correspondance dans l’application et Microsoft Entra ID

Il peut y avoir un utilisateur super administrateur dans la source de données de l’application qui ne correspond à aucune personne spécifique dans Microsoft Entra ID. Si vous ne créez pas d’utilisateurs Microsoft Entra pour eux, ces utilisateurs ne pourront pas être gérés à partir de Microsoft Entra ID ou de la gouvernance Microsoft Entra ID. Comme ces utilisateurs ne pourront pas se connecter avec Microsoft Entra ID, assurez-vous que ces utilisateurs ne sont pas inclus dans la portée de l'utilisation de Microsoft Entra ID pour l'authentification, si vous configurez l'application pour utiliser Microsoft Entra ID comme fournisseur d'identité.

Réexporter les utilisateurs

Après avoir apporté des mises à jour aux utilisateurs de Microsoft Entra, aux utilisateurs dans l’application ou aux règles de correspondance de l’application Microsoft Entra, vous devez réexporter et effectuer à nouveau la procédure de correspondance de votre application pour vous assurer que tous les utilisateurs sont mis en corrélation.

  • Si vous utilisez SAP Cloud Identity Services, suivez le tutoriel d’approvisionnement SAP Cloud Identity Services à parti de l’étape pour vous assurer que les utilisateurs SAP Cloud Identity Services existants disposent des attributs correspondants nécessaires. Dans ce tutoriel, vous exportez une liste d’utilisateurs de SAP Cloud Identity Services vers un fichier CSV, puis vous utilisez PowerShell pour faire correspondre ces utilisateurs à des utilisateurs dans Microsoft Entra ID.

  • Si votre application utilise un annuaire LDAP, suivez le tutoriel sur l’approvisionnement d’annuaires LDAP à partir de l’étape de collecte des utilisateurs existants à partir de l’annuaire LDAP.

  • Pour d’autres applications, y compris celles avec une base de données SQL ou qui ont une prise en charge de l’approvisionnement dans la galerie d’applications, suivez le tutoriel pour régir les utilisateurs existants d’une application à partir de l’étape pour collecter des utilisateurs existants à partir de l’application.

Affecter des utilisateurs aux rôles d’application et activer l’approvisionnement

Une fois que vous avez terminé les mises à jour nécessaires et confirmé que tous les utilisateurs de l’application correspondent aux utilisateurs de Microsoft Entra ID, vous devez attribuer aux utilisateurs dans Microsoft Entra ID qui ont besoin d'accéder à l'application le rôle d'application dans Microsoft Entra, puis activer le provisionnement vers l'application.

Étapes suivantes