Ignorar a exclusão de contas de usuário que saem do escopo no Microsoft Entra ID

Por padrão, o mecanismo de provisionamento do Microsoft Entra exclui ou desabilita usuários que saem do escopo. No entanto, para determinados cenários, como o Provisionamento de Entrada de Usuário do Workday para o AD, esse comportamento pode não ser o esperado e talvez você queira substituir esse comportamento padrão.

Este artigo descreve como usar a API do Microsoft Graph e o explorador da API do Microsoft Graph para definir o sinalizador SkipOutOfScopeDeletions que controla o processamento de contas que saem do escopo.

  • Se SkipOutOfScopeDeletions estiver definido como 0 (false), as contas que saem do escopo serão desabilitadas no destino.
  • Se SkipOutOfScopeDeletions estiver definido como 1 (true), as contas que saem do escopo não serão desabilitadas no destino. Esse sinalizador é definido no nível do Aplicativo de Provisionamento e pode ser configurado usando a API do Graph.

Como essa configuração é amplamente usada com o aplicativo de provisionamento de usuário Workday to Ative Directory, as etapas a seguir incluem capturas de tela do aplicativo Workday. No entanto, a configuração também pode ser usada com todos os outros aplicativos, como ServiceNow, Salesforce e Dropbox. Para concluir este procedimento com êxito, você deve ter configurado primeiro o provisionamento do aplicativo para o aplicativo. Cada aplicativo tem seu próprio artigo de configuração. Por exemplo, para configurar o aplicativo Workday, consulte Tutorial: Configurar o Workday para o provisionamento de usuários do Microsoft Entra. SkipOutOfScopeDeletions não funciona para sincronização entre locatários.

Etapa 1: Recuperar a ID Principal do Serviço de Aplicativo de Provisionamento (ID do Objeto)

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.
  2. Navegue até Aplicativos de identidade>>Aplicativos corporativos.
  3. Selecione seu aplicativo e vá para a seção Propriedades do seu aplicativo de provisionamento. Neste exemplo, estamos usando o Workday.
  4. Copie o valor GUID no campo ID do objeto. Esse valor também é chamado de ServicePrincipalId do seu aplicativo e é usado em operações do Graph Explorer.

Etapa 2: Entrar no Microsoft Graph Explorer

  1. Inicie o Microsoft Graph Explorer

  2. Clique no botão "Entrar com a Microsoft" e entre como um usuário com pelo menos a função de Administrador de Aplicativos .

    Captura de ecrã do início de sessão do Microsoft Graph Explorer.

  3. Após o início de sessão bem-sucedido, os detalhes da conta de utilizador aparecem no painel esquerdo.

Etapa 3: obter credenciais de aplicativo existentes e detalhes de conectividade

No Microsoft Graph Explorer, execute a seguinte consulta GET substituindo [servicePrincipalId] pelo ServicePrincipalId extraído da Etapa 1.

   GET https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/secrets

Captura de ecrã da consulta de trabalho GET.

Copie a resposta em um arquivo de texto. Ele se parece com o texto JSON mostrado, com valores realçados em amarelo específicos para sua implantação. Adicione as linhas realçadas em verde ao final e atualize a senha de conexão do Workday realçada em azul.

Captura de tela da resposta do trabalho GET.

Aqui está o bloco JSON para adicionar ao mapeamento.

{
  "key": "SkipOutOfScopeDeletions",
  "value": "True"
}

Etapa 4: Atualizar o ponto de extremidade secretos com o sinalizador SkipOutOfScopeDeletions

No Graph Explorer, execute o comando para atualizar o ponto de extremidade secrets com o sinalizador SkipOutOfScopeDeletions.

Na URL, substitua [servicePrincipalId] pelo ServicePrincipalId extraído da Etapa 1.

   PUT https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/secrets

Copie o texto atualizado da Etapa 3 para o "Corpo da solicitação".

Captura de tela da solicitação PUT.

Clique em "Executar consulta".

Você deve obter a saída como "Sucesso – Código de status 204". Se você receber um erro, talvez seja necessário verificar se sua conta tem permissões de leitura/gravação para ServicePrincipalEndpoint. Você pode encontrar essa permissão clicando na guia Modificar permissões no Graph Explorer.

Captura de ecrã da resposta PUT.

Etapa 5: Verificar se os usuários fora do escopo não são desativados

Você pode testar os resultados desse sinalizador no comportamento esperado atualizando suas regras de escopo para ignorar um usuário específico. No exemplo, estamos excluindo o funcionário com ID 21173 (que estava anteriormente no escopo) adicionando uma nova regra de escopo:

Captura de tela que mostra a seção

No próximo ciclo de provisionamento, o serviço de provisionamento do Microsoft Entra identifica que o usuário 21173 saiu do escopo. Se a SkipOutOfScopeDeletions propriedade estiver habilitada, a regra de sincronização para esse usuário exibirá uma mensagem.