Verwalten Sie Zuordnungen und Benutzer in Anwendungen, die nicht mit Benutzern in Microsoft Entra ID übereinstimmen.

Wenn Sie eine vorhandene Anwendung mit Microsoft Entra-ID integrieren, können Sie für die Bereitstellung oder einmaliges Anmelden (Single Sign On, SSO) feststellen, dass benutzer im Datenspeicher der Anwendung vorhanden sind, die nicht den Benutzern in der Microsoft Entra-ID entsprechen oder nicht mit benutzern in Microsoft Entra-ID übereinstimmen.

Der Microsoft Entra-Bereitstellungsdienst basiert auf konfigurierbaren Abgleichsregeln, um zu bestimmen, ob ein Benutzer in der Microsoft Entra-ID einem Benutzer in der Anwendung entspricht und die Anwendung für einen Benutzer mit der entsprechenden Eigenschaft von einem Microsoft Entra ID-Benutzer durchsucht. Angenommen, die Übereinstimmungsregel besteht darin, das Attribut eines Microsoft Entra-ID-Benutzers userPrincipalName mit der Eigenschaft einer Anwendung userName zu vergleichen. Wenn einem Benutzer in Microsoft Entra ID mit einem userPrincipalName Wert von alice.smith@contoso.com eine Rolle einer Anwendung zugewiesen ist, führt der Microsoft Entra-Bereitstellungsdienst eine Suche der Anwendung mit einer Abfrage wie userName eq "alice.smith@contoso.com" durch. Wenn die Anwendungssuche angibt, dass keine Benutzer übereinstimmen, erstellt der Microsoft Entra-Bereitstellungsdienst einen neuen Benutzer in der Anwendung.

Wenn die Anwendung noch keine Benutzer hat, füllt dieser Vorgang den Datenspeicher der Anwendung mit Benutzern auf, da sie in der Microsoft Entra-ID zugewiesen sind. Wenn die Anwendung jedoch bereits Benutzer hat, können zwei Situationen auftreten. Erstens kann es Personen mit Benutzerkonten in der Anwendung geben, aber der Abgleich schlägt fehl, sie zu finden. Möglicherweise wird der Benutzer in der Anwendung als asmith@contoso.com anstelle von alice.smith@contoso.com dargestellt, was dazu führt, dass der Microsoft Entra-Suchdienst sie nicht findet. In dieser Situation kann es passieren, dass die Person über doppelte Benutzer in der Anwendung verfügt. Zweitens kann es Personen mit Benutzerkonten in der Anwendung geben, die keinen Benutzer in der Microsoft Entra-ID haben. In diesem Fall interagiert der Microsoft Entra-Bereitstellungsdienst nicht mit diesen Benutzern in der Anwendung, wenn die Anwendung jedoch so konfiguriert ist, dass sie auf die Microsoft Entra-ID als alleiniger Identitätsanbieter angewiesen ist, können sich diese Benutzer nicht mehr anmelden: Die Anwendung leitet die Person um, um sich mit Microsoft Entra-ID anzumelden, die Person verfügt jedoch nicht über einen Benutzer in der Microsoft Entra-ID.

Diese Inkonsistenzen zwischen der Microsoft Entra-ID und dem Datenspeicher einer vorhandenen Anwendung können aus vielen Gründen auftreten, darunter:

der Anwendungsadministrator erstellt Benutzer in der Anwendung direkt, z. B. für Auftragnehmer oder Lieferanten, die nicht in einem System der Datensatz-HR-Quelle vertreten sind, aber den Anwendungszugriff erforderten,
Identitäts- und Attributänderungen, z. B. eine Person, die ihren Namen ändert, wurden nicht an die Microsoft Entra-ID oder die Anwendung gesendet, und daher sind die Darstellungen in einem oder dem anderen System veraltet oder
die Organisation verwendet ein Identitätsverwaltungsprodukt, das Windows Server AD und die Anwendung mit verschiedenen Communitys unabhängig bereitgestellt hat. So benötigten beispielsweise Store-Mitarbeiter Anwendungszugriff, erfordern jedoch keine Exchange-Postfächer, sodass Store-Mitarbeiter nicht in Windows Server AD oder Microsoft Entra-ID dargestellt wurden.

Bevor Sie die Bereitstellung oder SSO für eine Anwendung mit vorhandenen Benutzern aktivieren, sollten Sie überprüfen, ob Benutzer übereinstimmen, und diese Benutzer aus der Anwendung untersuchen und auflösen, die nicht übereinstimmen. In diesem Artikel werden Optionen zur Lösung für verschiedene Situationen beschrieben, in denen ein Benutzer nicht zugeordnet werden konnte.

Tipp

Bei unterstützten Anwendungen können Sie die Kontoermittlung verwenden, um die Zielanwendung automatisch zu scannen und vorhandene Benutzer als lokale Konten, nicht zugewiesene Benutzer oder zugewiesene Benutzer zu kategorisieren. Dadurch erhalten Sie Einen Einblick in die Benutzerlandschaft der Anwendung, bevor Sie die Bereitstellung konfigurieren.

Ermitteln, ob Benutzer in der Anwendung vorhanden sind, die nicht übereinstimmen

Wenn Sie bereits die Liste der Benutzer in der Anwendung bestimmt haben, die nicht mit Benutzern in der Microsoft Entra-ID übereinstimmen, fahren Sie im nächsten Abschnitt fort.

Das Verfahren zum Ermitteln, welche Benutzer in der Anwendung nicht mit Benutzern in Microsoft Entra ID übereinstimmen, hängt davon ab, wie die Anwendung in Die Microsoft Entra-ID integriert oder integriert wird.

Wenn Sie SAP Cloud Identity Services verwenden, führen Sie das SAP Cloud Identity Services-Tutorial gemäß den Schritten aus, um sicherzustellen, dass vorhandene Benutzer der SAP Cloud Identity Services über die erforderlichen übereinstimmenden Attribute verfügen. In diesem Lernprogramm exportieren Sie eine Liste von Benutzern aus SAP Cloud Identity Services in eine CSV-Datei, und verwenden Sie dann PowerShell, um diese Benutzer mit Benutzern in Microsoft Entra ID abzugleichen.
Wenn Ihre Anwendung ein LDAP-Verzeichnis verwendet, folgen Sie dem LDAP-Verzeichnisbereitstellungs-Lernprogramm durch den Schritt zum Sammeln vorhandener Benutzer aus dem LDAP-Verzeichnis. Verwenden Sie in diesem Lernprogramm PowerShell, um diese Benutzer mit Benutzern in der Microsoft Entra-ID abzugleichen.
Für andere Anwendungen, einschließlich Anwendungen mit einer SQL-Datenbank oder Bereitstellungsunterstützung im Anwendungskatalog, führen Sie das Tutorial aus, um die vorhandenen Benutzer einer Anwendung durch den Schritt zu verwalten, der bestätigt, dass Microsoft Entra ID Benutzer enthält, die mit den Benutzern der Anwendung übereinstimmen.
Für andere Anwendungen, die keine Bereitstellungsschnittstelle besitzen, führen Sie das Tutorial aus, um die Benutzer einer Anwendung, die keine Bereitstellungsunterstützung bietet, zu steuern und bestätigen Sie in diesem Schritt, dass die Microsoft Entra-ID Benutzer enthält, die mit den Benutzern aus der Anwendung übereinstimmen.

Wenn das in diesen Lernprogrammen bereitgestellte PowerShell-Skript abgeschlossen ist, wird ein Fehler angezeigt, wenn sich datensätze aus der Anwendung nicht in der Microsoft Entra-ID befinden. Wenn nicht alle Benutzer-Datensätze aus dem Datenspeicher der Anwendung in Microsoft Entra ID gefunden werden können, müssen Sie herausfinden, welche Datensätze nicht übereinstimmen und warum, und anschließend das Übereinstimmungsproblem mit einer der Optionen im nächsten Abschnitt beheben.

Optionen, um sicherzustellen, dass Benutzer zwischen der Anwendung und der Microsoft Entra-ID übereinstimmen

Dieser Abschnitt bietet mehrere Optionen, um die nicht übereinstimmenden Benutzer in der Anwendung zu behandeln. Wählen Sie basierend auf den Zielen Ihrer Organisation und den Datenproblemen zwischen Der Microsoft Entra ID und der Anwendung die entsprechende Option für jeden Benutzer aus. Möglicherweise gibt es keine einzige Option, die alle Benutzer in einer bestimmten Anwendung abdeckt.

Auswahl	Vor der Bereitstellung erforderliche Updates
Löschen von Testbenutzern aus der Anwendung	Benutzer in der Anwendung
Löschen von Benutzern aus den Anwendungen für Personen, die nicht mehr Teil der Organisation sind	Benutzer in der Anwendung
Löschen von Benutzern aus der Anwendung und erneutes Erstellen von Benutzern aus der Microsoft Entra-ID	Benutzer in der Anwendung
Aktualisieren der übereinstimmenden Eigenschaft von Benutzern in der Anwendung	Benutzer in der Anwendung
Aktualisieren von Benutzern in der Anwendung mit einer neuen Eigenschaft	Benutzer in der Anwendung
Ändern übereinstimmener Regeln oder Eigenschaften, wenn die E-Mail-Adresse nicht mit dem Benutzerprinzipalnamen übereinstimmt	Benutzer in Anwendungs- oder Microsoft Entra-Abgleichsregel für Anwendungen
Aktualisieren des übereinstimmenden Attributs von Benutzern in der Microsoft Entra-ID	Benutzer in der Microsoft Entra ID
Aktualisieren sie die Microsoft Entra Connect-Synchronisierungs- oder Cloud Sync-Bereitstellungsregeln, um die erforderlichen Benutzer und Attribute zu synchronisieren.	Microsoft Entra Connect Sync oder Microsoft Entra Cloud Sync, die Benutzer in Microsoft Entra ID aktualisieren.
Aktualisieren von Benutzern in der Microsoft Entra-ID mit einem neuen Attribut	Benutzer in der Microsoft Entra ID
Ändern der Abgleichsregeln auf ein anderes Attribut, das bereits in Microsoft Entra ID ausgefüllt wurde	Übereinstimmungsregel für Microsoft Entra-Anwendungen
Erstellen von Benutzern in Windows Server AD für Benutzer in der Anwendung, die fortgesetzten Anwendungszugriff benötigen	Benutzer in Windows Server AD, die Benutzer Microsoft Entra-ID aktualisieren
Erstellen von Benutzern in Microsoft Entra-ID für Benutzer in der Anwendung, die fortgesetzten Anwendungszugriff benötigen	Benutzer in Microsoft Entra ID
Verwalten separater und nicht übereinstimmender Benutzer in der Anwendung und der Microsoft Entra-ID	Nichts

Löschen von Testbenutzern aus der Anwendung

Es gibt möglicherweise Testbenutzer in der Anwendung, die von der anfänglichen Bereitstellung übrig bleiben. Wenn benutzer nicht mehr benötigt werden, können sie aus der Anwendung gelöscht werden.

Löschen von Benutzern aus den Anwendungen für Personen, die nicht mehr Teil der Organisation sind

Der Benutzer ist möglicherweise nicht mehr mit der Organisation verbunden und benötigt keinen Zugriff mehr auf die Anwendung, ist aber weiterhin ein Benutzer in der Datenquelle der Anwendung. Dies kann passieren, wenn der Anwendungsadministrator den Benutzer weggelassen hat oder nicht darüber informiert wurde, dass die Änderung erforderlich war. Wenn der Benutzer nicht mehr benötigt wird, kann er aus der Anwendung gelöscht werden.

Löschen von Benutzern aus der Anwendung und erneutes Erstellen von Benutzern aus der Microsoft Entra-ID

Wenn die Anwendung derzeit nicht verwendet wird oder keinen Benutzerstatus erhält, besteht eine andere Option darin, Benutzer aus der Anwendung zu löschen, sodass keine nicht übereinstimmenden Benutzer mehr vorhanden sind. Wenn den Benutzern dann die Anwendung in der Microsoft Entra-ID zugewiesen wird oder sie diese anfordern, wird ihnen der Zugriff gewährt.

Aktualisieren der passenden Eigenschaft der Benutzer in der Anwendung

Ein Benutzer kann in einer Anwendung und in der Microsoft Entra-ID vorhanden sein, aber der Benutzer in der Anwendung fehlt entweder eine Eigenschaft, die für den Abgleich erforderlich ist, oder die Eigenschaft hat den falschen Wert.

Wenn beispielsweise ein SAP-Administrator einen Benutzer in SAP Cloud Identity Services mithilfe seiner Administratorkonsole erstellt, verfügt der Benutzer möglicherweise nicht über eine userName Eigenschaft. Diese Eigenschaft kann jedoch für den Abgleich mit Benutzern in der Microsoft Entra-ID verwendet werden. Wenn die userName-Eigenschaft für den Abgleich vorgesehen ist, sollten Sie den SAP-Administrator darum bitten, die vorhandenen SAP Cloud Identity Services-Benutzer zu aktualisieren, damit diese einen Wert für die userName-Eigenschaft haben.

Ein weiteres Beispiel: Der Anwendungsadministrator hat die E-Mail-Adresse des Benutzers als Eigenschaft mail des Benutzers in der Anwendung festgelegt, als der Benutzer zum ersten Mal der Anwendung hinzugefügt wurde. Jedoch werden später die E-Mail-Adresse der Person und userPrincipalName in der Microsoft Entra-ID geändert. Jedoch, wenn die Anwendung die E-Mail-Adresse nicht erforderte oder der E-Mail-Anbieter eine Umleitung hatte, durch die die alte E-Mail-Adresse weitergeleitet werden konnte, dann hat der Anwendungsadministrator möglicherweise übersehen, dass die mail-Eigenschaft in der Datenquelle der Anwendung aktualisiert werden musste. Diese Inkonsistenz kann behoben werden, indem der Anwendungsadministrator die Eigenschaft der Benutzer der mail Anwendung auf einen aktuellen Wert ändert oder die Übereinstimmungsregel geändert wird, wie in den folgenden Abschnitten beschrieben.

Benutzer in der Anwendung um eine neue Eigenschaft aktualisieren

Das vorherige Identitätsverwaltungssystem einer Organisation hat möglicherweise Benutzer in der Anwendung als lokale Benutzer erstellt. Wenn die Organisation zur Zeit keinen einzelnen Identitätsanbieter hat, benötigten diese Benutzer in der Anwendung keine Eigenschaften, um mit einem anderen System korreliert zu werden. Beispielsweise hat ein früheres Identitätsverwaltungsprodukt Benutzer in einer Anwendung erstellt, die auf einer autorisierenden HR-Quelle basiert. Dieses Identitätsverwaltungssystem pflegte die Zuordnung zwischen den Benutzern, die es in der Anwendung erstellt hat, und der HR-Quelle und stellte keine der HR-Quell-Identifikatoren für die Anwendung bereit. Wenn Sie später versuchen, die Anwendung mit einem Microsoft Entra ID-Mandanten zu verbinden, der aus derselben HR-Quelle erstellt wurde, verfügt Microsoft Entra ID möglicherweise über Benutzer für all dieselben Personen, die sich in der Anwendung befinden. Jedoch schlägt der Abgleich für alle Benutzer fehl, da keine gemeinsame Eigenschaft vorhanden ist.

Führen Sie die folgenden Schritte aus, um dieses Abgleichsproblem zu beheben.

Wählen Sie eine vorhandene nicht verwendete Eigenschaft von Benutzern in der Anwendung aus, oder fügen Sie dem Benutzerschema in der Anwendung eine neue Eigenschaft hinzu.
Füllen Sie diese Eigenschaft für alle Benutzer in der Anwendung mit Daten aus einer autorisierenden Quelle auf, z. B. eine Mitarbeiter-ID oder E-Mail-Adresse, die bereits für Benutzer in der Microsoft Entra-ID vorhanden ist.
Aktualisieren Sie die Konfiguration der Microsoft Entra-Anwendungsbereitstellungs-Attributzuordnungen für die Anwendung, sodass diese Eigenschaft in der übereinstimmenden Regel enthalten ist.

Ändern übereinstimmener Regeln oder Eigenschaften, wenn die E-Mail-Adresse nicht mit dem Benutzerprinzipalnamen übereinstimmt

Standardmäßig senden einige Zuordnungen des Microsoft Entra-Bereitstellungsdienstes für Anwendungen das userPrincipalName-Attribut an eine E-Mail-Adresseigenschaft der Anwendung. Einige Organisationen verfügen über primäre E-Mail-Adressen für ihre Benutzer, die sich von ihrem Benutzerprinzipalnamen unterscheiden. Wenn die Anwendung die E-Mail-Adresse als Eigenschaft des Benutzers und nicht als Eigenschaft von userPrincipalName speichert, müssen Sie entweder die Benutzer in der Anwendung oder die Übereinstimmungsregel ändern.

Wenn Sie beabsichtigen, einmaliges Anmelden von Microsoft Entra-ID für die Anwendung zu verwenden, können Sie die Anwendung ändern, um dem Benutzer eine Eigenschaft hinzuzufügen, um den UserPrincipalName zu halten. Füllen Sie dann diese Eigenschaft für jeden Benutzer in der Anwendung mit dem UserPrincipalName aus der Microsoft Entra-ID auf, und aktualisieren Sie die Bereitstellungskonfiguration der Microsoft Entra-Anwendung, sodass diese Eigenschaft in der übereinstimmenden Regel enthalten ist.
Wenn Sie nicht beabsichtigen, Single Sign-On von Microsoft Entra ID zu verwenden, besteht eine Alternative darin, die Attributzuordnungs-Konfiguration der Microsoft Entra-Anwendungsbereitstellung zu aktualisieren, um dem E-Mail-Adressattribut des Microsoft Entra-Benutzers in der übereinstimmenden Regel zu entsprechen.

Aktualisieren des übereinstimmenden Attributs von Benutzern in der Microsoft Entra-ID

In einigen Fällen weist das attribut, das für den Abgleich verwendet wird, einen Wert im Microsoft Entra ID-Benutzer auf, der veraltet ist. Beispielsweise hat eine Person ihren Namen geändert, aber die Namensänderung wurde nicht im Microsoft Entra ID-Benutzer vorgenommen.

Wenn der Benutzer ausschließlich in der Microsoft Entra-ID erstellt und verwaltet wurde, sollten Sie den Benutzer so aktualisieren, dass er die richtigen Attribute hat. Wenn das Benutzerattribut von einem Upstreamsystem stammt, z. B. Windows Server AD oder eine HR-Quelle, müssen Sie den Wert in der Upstreamquelle ändern und warten, bis die Änderung in Microsoft Entra ID sichtbar ist.

Aktualisieren sie die Microsoft Entra Connect-Synchronisierungs- oder Cloud Sync-Bereitstellungsregeln, um die erforderlichen Benutzer und Attribute zu synchronisieren.

In einigen Fällen hat ein früheres Identitätsverwaltungssystem Windows Server AD-Benutzer mit einem passenden Attribut gefüllt, das als übereinstimmendes Attribut mit einer anderen Anwendung funktionieren kann. Wenn beispielsweise das vorherige Identitätsverwaltungssystem mit einer HR-Quelle verbunden war, verfügt der AD-Benutzer über ein employeeId Attribut, das von diesem vorherigen Identitätsverwaltungssystem mit der Mitarbeiter-ID des Benutzers aufgefüllt wurde. Ein weiteres Beispiel: Das vorherige Identitätsverwaltungssystem hat die eindeutige Benutzer-ID der Anwendung als Erweiterungsattribut im Windows Server AD-Schema geschrieben. Wenn jedoch keine dieser Attribute für die Synchronisierung mit der Microsoft Entra-ID ausgewählt wurde oder die Benutzer außerhalb des Synchronisierungsbereichs mit der Microsoft Entra-ID waren, kann die Microsoft Entra-ID-Darstellung der Benutzercommunity unvollständig sein.

Um dieses Problem zu beheben, müssen Sie Ihre Microsoft Entra Connect-Synchronisierungs- oder Microsoft Entra-Cloudsynchronisierungskonfiguration ändern, um sicherzustellen, dass alle geeigneten Benutzer in Windows Server AD, die sich auch in der Anwendung befinden, für die Bereitstellung an Microsoft Entra-ID gelten, und dass die synchronisierten Attribute dieser Benutzer die Attribute enthalten, die zu übereinstimmenden Zwecken verwendet werden. Wenn Sie die Microsoft Entra Connect-Synchronisierung verwenden, lesen Sie Microsoft Entra Connect Sync: Konfigurieren von Filtern und Microsoft Entra Connect Sync: Verzeichniserweiterungen. Wenn Sie die Microsoft Entra-Cloudsynchronisierung verwenden, lesen Sie die Attributzuordnung in Microsoft Entra Cloud Sync und Cloud Sync Verzeichniserweiterungen und benutzerdefinierte Attributzuordnung.

Aktualisieren von Benutzern in der Microsoft Entra-ID mit einem neuen Attribut

In einigen Fällen enthält die Anwendung möglicherweise einen eindeutigen Bezeichner für den Benutzer, der derzeit nicht im Microsoft Entra-ID-Schema für den Benutzer gespeichert ist. Wenn Sie z. B. SAP Cloud Identity Services verwenden, möchten Sie möglicherweise die SAP-Benutzer-ID als übereinstimmende Attribut verwenden, oder wenn Sie ein Linux-System verwenden, möchten Sie möglicherweise die Linux-Benutzer-ID als übereinstimmende Attribut verwenden. Diese Eigenschaften sind jedoch nicht Teil des Microsoft Entra ID-Benutzerschemas. Daher sind diese Eigenschaften wahrscheinlich nicht für alle Benutzer in der Microsoft Entra-ID vorhanden.

Führen Sie die folgenden Schritte aus, um ein neues Attribut für den Abgleich zu verwenden.

Wählen Sie ein vorhandenes nicht verwendetes Erweiterungsattribut in microsoft Entra ID aus, oder erweitern Sie das Microsoft Entra-Benutzerschema mit einem neuen Attribut.
Füllen Sie dieses Attribut für alle Benutzer in Microsoft Entra ID mit Daten aus einer autorisierten Quelle, z. B. der Anwendung oder einem HR-System. Wenn die Benutzer von Windows Server AD synchronisiert oder von einem HR-System bereitgestellt werden, müssen Sie diese Änderung möglicherweise in dieser upstream-Quelle vornehmen.
Aktualisieren Sie die Konfiguration von Attributzuordnungen der Microsoft Entra-Anwendung , und fügen Sie dieses Attribut in die übereinstimmende Regel ein.

Ändern der Abgleichsregeln auf ein anderes Attribut, das bereits in der Microsoft Entra-ID befüllt wurde

Die Standardabgleichsregeln für Anwendungen in der Anwendungsgalerie basieren auf Attributen, die häufig bei allen Microsoft Entra-ID-Benutzern bei allen Microsoft-Kunden vorhanden sind, wie zum Beispiel userPrincipalName. Diese Regeln eignen sich für allgemeine Tests oder für die Bereitstellung in einer neuen Anwendung, die derzeit keine Benutzer hat. Viele Organisationen haben jedoch möglicherweise bereits Microsoft Entra-ID-Benutzer mit anderen Attributen ausgefüllt, die für ihre Organisation relevant sind, z. B. eine Mitarbeiter-ID. Wenn ein anderes Attribut für den Abgleich geeignet ist, aktualisieren Sie die Konfiguration der Bereitstellung von Attributzuordnungen der Microsoft Entra-Anwendung , und fügen Sie dieses Attribut in die Übereinstimmungsregel ein.

Konfigurieren der eingehenden Bereitstellung von einer HR-Quelle zu Microsoft Entra-ID

Im Idealfall sollten Organisationen, die Benutzer unabhängig in mehreren Anwendungen bereitstellen, auf allgemeine Bezeichner für Benutzer zurückgreifen, die von einer autorisierenden Quelle wie einem HR-System abgeleitet wurden. Viele HR-Systeme verfügen über Eigenschaften, die ebenso funktionieren wie Bezeichner, z. B. employeeId, die als eindeutig behandelt werden können, sodass keine zwei Personen dieselbe Mitarbeiter-ID haben. Wenn Sie über eine HR-Quelle wie Workday oder SuccessFactors verfügen, können Attribute wie eine Mitarbeiter-ID aus dieser Quelle häufig eine geeignete Übereinstimmungsregel darstellen.

Führen Sie die folgenden Schritte aus, um ein Attribut mit Werten zu verwenden, die von einer autorisierenden Quelle für den Abgleich abgerufen wurden.

Wählen Sie ein entsprechendes Microsoft Entra ID-Benutzerschema-Attribut aus, oder erweitern Sie das Microsoft Entra-Benutzerschema mit einem neuen Attribut, dessen Werte einer entsprechenden Eigenschaft eines Benutzers in der Anwendung entsprechen.
Stellen Sie sicher, dass die Eigenschaft auch in einer HR-Quelle für alle Personen vorhanden ist, die über Benutzer in Microsoft Entra-ID und in der Anwendung verfügen.
Konfigurieren Sie die eingehende Bereitstellung von dieser HR-Quelle auf die Microsoft Entra-ID.
Warten Sie, bis die Benutzer in der Microsoft Entra-ID mit neuen Attributen aktualisiert werden.
Aktualisieren Sie die Konfiguration von Attributzuordnungen der Microsoft Entra-Anwendung , und fügen Sie dieses Attribut in die übereinstimmende Regel ein.

Erstellen von Benutzern in Windows Server AD für Benutzer in der Anwendung, die fortgesetzten Anwendungszugriff benötigen

Wenn Benutzer aus der Anwendung vorhanden sind, die keiner Person in einer autorisierenden HR-Quelle entsprechen, aber In Zukunft Zugriff auf Windows Server AD-basierte Anwendungen und microsoft Entra ID-integrierte Anwendungen benötigen und Ihre Organisation Microsoft Entra Connect Sync oder Microsoft Entra Cloud Sync verwendet, um Benutzer von Windows Server AD auf Microsoft Entra ID bereitzustellen, Anschließend können Sie einen Benutzer in Windows Server AD für jeden benutzer erstellen, der noch nicht vorhanden war.

Wenn die Benutzer keinen Zugriff auf Windows Server AD-basierte Anwendungen benötigen, erstellen Sie die Benutzer in der Microsoft Entra-ID, wie im nächsten Abschnitt beschrieben.

Erstellen von Benutzern in Microsoft Entra-ID für Benutzer in der Anwendung, die fortgesetzten Anwendungszugriff benötigen

Wenn Benutzer aus der Anwendung vorhanden sind, die keiner Person in einer autorisierenden HR-Quelle entsprechen, aber weiterhin Zugriff benötigen und von Microsoft Entra gesteuert werden, können Sie Microsoft Entra-Benutzer für sie erstellen. Sie können Benutzer in Massen erstellen, indem Sie eine der folgenden Aktionen verwenden:

Eine CSV-Datei, wie unter Massenerstellen von Benutzer*innen im Microsoft Entra Admin Center beschrieben
Das Cmdlet New-MgUser

Stellen Sie sicher, dass diese neuen Benutzer mit den Attributen gefüllt werden, die für Microsoft Entra-ID erforderlich sind, um sie später mit den vorhandenen Benutzern in der Anwendung abzugleichen, sowie mit den Attributen, die von Microsoft Entra ID benötigt werden, einschließlich userPrincipalName, mailNickname und displayName. userPrincipalName muss unter allen Benutzern im Verzeichnis eindeutig sein.

Erstellen von Benutzern in Massen mithilfe von PowerShell

In diesem Abschnitt wird gezeigt, wie Sie mithilfe von Microsoft Graph PowerShell-Cmdlets mit Microsoft Entra ID interagieren.

Wenn Ihre Organisation diese Cmdlets zum ersten Mal für dieses Szenario verwendet, müssen Sie über die Rolle „Globaler Administrator“ verfügen, um die Verwendung von Microsoft Graph PowerShell in Ihrem Mandanten zuzulassen. Nachfolgende Interaktionen können eine Rolle mit niedrigeren Rechten verwenden, z. B. "Benutzeradministrator".

Wenn Sie bereits über eine PowerShell-Sitzung verfügen, in der Sie die Benutzer in der Anwendung identifiziert haben, die sich nicht in der Microsoft Entra-ID befanden, fahren Sie mit Schritt 6 unten fort. Öffnen Sie andernfalls PowerShell.
Wenn die Microsoft Graph PowerShell-Module noch nicht installiert sind, installieren Sie das Microsoft.Graph.Users-Modul und andere Module mit dem folgenden Befehl:
```
Install-Module Microsoft.Graph
```
Wenn die Module bereits installiert sind, stellen Sie sicher, dass Sie eine aktuelle Version verwenden:
```
Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
```

Herstellen einer Verbindung mit Microsoft Entra ID:

$msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All"

Wenn Sie diesen Befehl zum ersten Mal verwendet haben, müssen Sie zustimmen, damit die Microsoft Graph-Befehlszeilentools über diese Berechtigungen verfügen.
Fügen Sie in Ihre PowerShell-Umgebung ein Array der Benutzer aus der Anwendung ein, das auch die Felder enthält, die Microsoft Entra ID erforderliche Attribute sind – den Benutzerprinzipalnamen, den E-Mail-Spitznamen und den vollständigen Namen des Benutzers. Dieses Skript geht davon aus, dass das Array $dbu_not_matched_list die Benutzer aus der Anwendung enthält, die nicht übereinstimmen.
```
$filename = ".\Users-to-create.csv"
$bu_not_matched_list = Import-Csv -Path $filename -Encoding UTF8
```
Geben Sie in Ihrer PowerShell-Sitzung an, welche Spalten im Array der zu erstellenden Benutzer den erforderlichen Eigenschaften der Microsoft Entra-ID entsprechen. Es kann beispielsweise Benutzer*innen in der Datenbank geben, auf die Folgendes zutrifft: Der Wert in der Spalte EMail ist der Wert, den Sie als Microsoft Entra-Benutzerprinzipalnamen verwenden möchten, der Wert in der Spalte Alias enthält den Microsoft Entra ID-E-Mail-Kontonamen, und der Wert in der Spalte Full name enthält den Benutzeranzeigenamen:
```
$db_display_name_column_name = "Full name"
$db_user_principal_name_column_name = "Email"
$db_mail_nickname_column_name = "Alias"
```

Öffnen Sie das folgende Skript in einem Text-Editor. Möglicherweise müssen Sie dieses Skript ändern, um die Microsoft Entra-Attribute hinzuzufügen, die von Ihrer Anwendung benötigt werden, oder falls $azuread_match_attr_name nicht mailNickname oder userPrincipalName ist, um dieses Microsoft Entra-Attribut bereitzustellen.

$dbu_missing_columns_list = @()
$dbu_creation_failed_list = @()
foreach ($dbu in $dbu_not_matched_list) {
   if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
       ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
       ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
      $params = @{
         accountEnabled = $false
         displayName = $dbu.$db_display_name_column_name
         mailNickname = $dbu.$db_mail_nickname_column_name
         userPrincipalName = $dbu.$db_user_principal_name_column_name
         passwordProfile = @{
           Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
         }
      }
      try {
        New-MgUser -BodyParameter $params
      } catch { $dbu_creation_failed_list += $dbu; throw }
   } else {
      $dbu_missing_columns_list += $dbu
   }
}

Fügen Sie das resultierende Skript aus Ihrem Text-Editor in Ihre PowerShell-Sitzung ein. Wenn Fehler auftreten, müssen Sie sie korrigieren, bevor Sie fortfahren.

Verwalten separater und nicht übereinstimmender Benutzer in der Anwendung und der Microsoft Entra-ID

Möglicherweise befindet sich ein Superadministratorbenutzer in der Datenquelle der Anwendung, der keiner bestimmten Person in der Microsoft Entra-ID entspricht. Wenn Sie keine Microsoft Entra-Benutzer für sie erstellen, können diese Benutzer nicht von Microsoft Entra ID oder Microsoft Entra ID Governance verwaltet werden. Da sich diese Benutzer nicht mit der Microsoft Entra-ID anmelden können. Wenn Sie also die Anwendung für die Verwendung der Microsoft Entra-ID als Identitätsanbieter konfigurieren, stellen Sie sicher, dass diese Benutzer außerhalb des Gültigkeitsbereichs der Verwendung der Microsoft Entra-ID für die Authentifizierung stehen.

Erneutes Exportieren von Benutzern

Nachdem Sie Aktualisierungen an Microsoft Entra-Benutzern, Benutzern in der Anwendung oder den Microsoft Entra-Anwendungsabgleichsregeln vorgenommen haben, sollten Sie das Abgleichsverfahren für Ihre Anwendung erneut exportieren und ausführen, um sicherzustellen, dass alle Benutzer korreliert sind.

Wenn Sie SAP Cloud Identity Services verwenden, folgen Sie dem Bereitstellungslernprogramm für SAP Cloud Identity Services ab dem Schritt, um sicherzustellen, dass vorhandene SAP Cloud Identity Services-Benutzer über die erforderlichen übereinstimmenden Attribute verfügen. In diesem Lernprogramm exportieren Sie eine Liste von Benutzern aus SAP Cloud Identity Services in eine CSV-Datei, und verwenden Sie dann PowerShell, um diese Benutzer mit Benutzern in Microsoft Entra ID abzugleichen.
Wenn Ihre Anwendung ein LDAP-Verzeichnis verwendet, folgen Sie dem LDAP-Verzeichnisbereitstellungs-Lernprogramm , das mit dem Schritt beginnt, um vorhandene Benutzer aus dem LDAP-Verzeichnis zu sammeln.
Bei anderen Anwendungen, einschließlich Anwendungen mit einer SQL-Datenbank oder Bereitstellungsunterstützung im Anwendungskatalog, folgen Sie dem Lernprogramm, um die vorhandenen Benutzer einer Anwendung zu verwalten und beginnen mit dem Schritt, um vorhandene Benutzer aus der Anwendung zu sammeln.

Zuweisen von Benutzern zu Anwendungsrollen und Aktivieren der Bereitstellung

Nachdem Sie die erforderlichen Updates abgeschlossen haben und bestätigt wurde, dass alle Benutzer aus der Anwendung mit den Benutzern in Microsoft Entra ID übereinstimmen, sollten Sie die Benutzer in der Microsoft Entra ID, die Zugriff auf die Anwendung benötigen, der App-Rolle der Microsoft Entra-Anwendung zuweisen und dann die Bereitstellung für die Anwendung aktivieren.

Wenn Sie SAP Cloud Identity Services verwenden, fahren Sie mit dem Bereitstellungslernprogramm für SAP Cloud Identity Services ab dem Schritt fort, um sicherzustellen, dass vorhandene Microsoft Entra-Benutzer über die erforderlichen Attribute verfügen.

Nächste Schritte

Feedback

War diese Seite hilfreich?

Last updated on 2026-03-31