Administrar asignaciones y usuarios en aplicaciones que no coincidieron con usuarios en Microsoft Entra ID

Cuando se integra una aplicación existente con el identificador de Microsoft Entra, para el aprovisionamiento o el inicio de sesión único (SSO), puede determinar que hay usuarios en el almacén de datos de la aplicación que no corresponden a los usuarios de Microsoft Entra ID o que no coinciden con ningún usuario de Microsoft Entra ID.

El servicio de aprovisionamiento de Microsoft Entra se basa en reglas de coincidencia configurables para determinar si un usuario de Microsoft Entra ID corresponde a un usuario de la aplicación, buscando la aplicación para un usuario con la propiedad coincidente de un usuario de Microsoft Entra ID. Por ejemplo, supongamos que la regla de coincidencia consiste en comparar el atributo del usuario de Microsoft Entra ID userPrincipalName con la propiedad de la aplicación userName. Cuando un usuario de Microsoft Entra ID con un valor de userPrincipalName es asignado al rol de alice.smith@contoso.com en una aplicación, el servicio de aprovisionamiento de Microsoft Entra realiza una búsqueda de la aplicación, con una consulta como userName eq "alice.smith@contoso.com". Si la búsqueda de aplicaciones indica que no coinciden los usuarios, el servicio de aprovisionamiento de Microsoft Entra crea un nuevo usuario en la aplicación.

Si la aplicación aún no tiene ningún usuario, este proceso rellena el almacén de datos de la aplicación con los usuarios a medida que se asignan en el identificador de Entra de Microsoft. Sin embargo, si la aplicación ya tiene usuarios, pueden surgir dos situaciones. En primer lugar, puede haber personas con cuentas de usuario en la aplicación, pero la coincidencia no puede localizarlas, quizás el usuario esté representado en la aplicación como asmith@contoso.com en lugar de alice.smith@contoso.com y, por lo tanto, el servicio de aprovisionamiento de Microsoft Entra no los encuentra. En esa situación, la persona puede acabar con usuarios duplicados en la aplicación. En segundo lugar, puede haber personas con cuentas de usuario en la aplicación que no tengan ningún usuario en microsoft Entra ID. En esta situación, el servicio de aprovisionamiento de Microsoft Entra no interactúa con esos usuarios de la aplicación; sin embargo, si la aplicación está configurada para confiar en microsoft Entra ID como su único proveedor de identidades, esos usuarios ya no podrán iniciar sesión: la aplicación redirigirá a la persona para iniciar sesión con el identificador de Microsoft Entra, pero la persona no tiene un usuario en microsoft Entra ID.

Estas incoherencias entre microsoft Entra ID y el almacén de datos de una aplicación existente pueden ocurrir por muchas razones, entre las que se incluyen:

el administrador de aplicaciones crea usuarios en la aplicación directamente, como para contratistas o proveedores, que no están representados en una fuente del sistema de registro de RR. HH., pero que requieren acceso a la aplicación,
los cambios de identidad y atributo, como una persona que cambia su nombre, no se enviaron a Microsoft Entra ID o a la aplicación, por lo que las representaciones no están actualizadas en uno u otro sistema, o bien
la organización usaba un producto de administración de identidades que aprovisionó Windows Server AD de forma independiente y la aplicación con diferentes comunidades. Por ejemplo, los empleados de la tienda necesitaban acceso a la aplicación, pero no requerían buzones de Exchange, por lo que los empleados del almacén no estaban representados en Windows Server AD ni en el id. de Microsoft Entra.

Antes de habilitar el aprovisionamiento o el inicio de sesión único en una aplicación con usuarios existentes, debe verificar que los usuarios coincidan e investigar y resolver los casos de usuarios de la aplicación que no coinciden. En este artículo se describen las opciones para resolver situaciones en las que no se pudo encontrar coincidencia para un usuario.

Sugerencia

Para las aplicaciones admitidas, puede usar Descubrimiento de Cuentas para examinar automáticamente la aplicación de destino y clasificar a los usuarios existentes como cuentas locales, usuarios no asignados o usuarios asignados. Esto proporciona visibilidad sobre el entorno de usuario de la aplicación antes de configurar el aprovisionamiento.

Determinar si hay usuarios en la aplicación que no coincidieron

Si ya ha determinado la lista de usuarios de la aplicación que no coinciden con los usuarios de Microsoft Entra ID, continúe en la sección siguiente.

El procedimiento para determinar qué usuarios de la aplicación no coinciden con los usuarios de Microsoft Entra ID depende de cómo se integre la aplicación o se integrará con el identificador de Microsoft Entra.

Si usa SAP Cloud Identity Services, siga el tutorial de aprovisionamiento de SAP Cloud Identity Services a través del paso para asegurarse de que los usuarios existentes de SAP Cloud Identity Services tienen los atributos coincidentes necesarios. En ese tutorial, exportará una lista de usuarios de SAP Cloud Identity Services a un archivo CSV y, a continuación, usará PowerShell para que coincidan con los usuarios de Microsoft Entra ID.
Si la aplicación usa un directorio LDAP, siga el tutorial de aprovisionamiento de directorios LDAP a través del paso para recopilar usuarios existentes del directorio LDAP. En ese tutorial, use PowerShell para hacer coincidir esos usuarios con los usuarios de Microsoft Entra ID.
Para otras aplicaciones, incluidas aquellas con una base de datos SQL o que admiten el aprovisionamiento en la galería de aplicaciones, siga el tutorial para gobernar a los usuarios existentes de una aplicación mediante el paso para confirmar que Microsoft Entra ID tiene usuarios que coinciden con los usuarios de la aplicación.
Para otras aplicaciones que no tienen una interfaz de aprovisionamiento, siga el tutorial para controlar los usuarios de una aplicación que no admite el aprovisionamiento a través del paso para confirmar que el identificador de Entra de Microsoft tiene usuarios que coinciden con los usuarios de la aplicación.

Cuando se complete el script de PowerShell proporcionado en esos tutoriales, se mostrará un error si no se encontraron registros de la aplicación en el identificador de Microsoft Entra. Si no todos los registros de los usuarios del almacén de datos de la aplicación podrían ubicarse como usuarios en el identificador de Entra de Microsoft, deberá investigar qué registros no coincidieron y por qué y, a continuación, resolver el problema de coincidencia con una de las opciones de la sección siguiente.

Opciones para asegurarse de que los usuarios coinciden entre la aplicación y el identificador de Microsoft Entra

En esta sección se proporcionan varias opciones para abordar los usuarios que no coinciden en la aplicación. En función de los objetivos de la organización y de los problemas de datos entre microsoft Entra ID y la aplicación, seleccione la opción adecuada para cada usuario. Puede que no haya una sola opción que abarque a todos los usuarios de una aplicación determinada.

Opción	Actualizaciones necesarias antes del aprovisionamiento
Eliminación de usuarios de prueba de la aplicación	Usuarios de la aplicación
Eliminar usuarios de las aplicaciones para personas que ya no forman parte de la organización	Usuarios de la aplicación
Eliminar usuarios de la aplicación y volver a crearlos a partir de Microsoft Entra ID	Usuarios de la aplicación
Actualizar la propiedad de coincidencia de los usuarios en la aplicación	Usuarios de la aplicación
Actualizar usuarios de la aplicación con una nueva propiedad	Usuarios de la aplicación
Cambiar reglas o propiedades coincidentes cuando la dirección de correo electrónico no coincide con el nombre principal de usuario	Usuarios en la aplicación o en la regla de coincidencia de aplicaciones de Microsoft Entra
Actualizar el atributo de coincidencia de los usuarios en Microsoft Entra ID	Usuarios de Microsoft Entra ID
Actualizar las reglas de aprovisionamiento de Microsoft Entra Connect Sync o Cloud Sync para sincronizar a los usuarios y atributos necesarios	Microsoft Entra Connect Sync o Microsoft Entra Cloud Sync, que actualizará a los usuarios en Microsoft Entra ID.
Actualizar usuarios en Microsoft Entra ID con un nuevo atributo	Usuarios de Microsoft Entra ID
Cambiar las reglas de coincidencia a un atributo diferente ya rellenado en el identificador de Microsoft Entra	Regla de coincidencia de aplicaciones de Microsoft Entra
Creación de usuarios en Windows Server AD para usuarios de la aplicación que necesitan acceso continuado a la aplicación	Usuarios de Windows Server AD, que actualizarán los usuarios de Microsoft Entra ID.
Creación de usuarios en el identificador de Entra de Microsoft para los usuarios de la aplicación que necesitan acceso continuado a la aplicación	Usuarios de Microsoft Entra ID
Mantener usuarios independientes y no coincidentes en la aplicación y el identificador de Microsoft Entra	Ninguno

Eliminación de usuarios de prueba de la aplicación

Puede haber usuarios de prueba que quedaron en la aplicación desde su implementación inicial. Si hay usuarios que ya no son necesarios, se pueden eliminar de la aplicación.

Eliminar usuarios de las aplicaciones para personas que ya no forman parte de la organización

Es posible que el usuario ya no esté afiliado a la organización y ya no necesite acceso a la aplicación, pero sigue siendo un usuario en el origen de datos de la aplicación. Esto puede ocurrir si el administrador de aplicaciones omitió quitar el usuario o no se informó de que se requería el cambio. Si el usuario ya no es necesario, se puede eliminar de la aplicación.

Eliminar usuarios de la aplicación y volver a crearlos a partir de Microsoft Entra ID

Si la aplicación no está actualmente en uso amplio o no mantiene ningún estado por usuario, otra opción es eliminar usuarios de la aplicación para que ya no haya usuarios que no coincidan. A continuación, a medida que los usuarios solicitan o se les asigna la aplicación en el identificador de Entra de Microsoft, se les aprovisionará acceso.

Actualizar la propiedad coincidente de los usuarios en la aplicación

Un usuario puede existir en una aplicación y en Microsoft Entra ID, pero al usuario de la aplicación le falta una propiedad necesaria para la coincidencia, o la propiedad tiene un valor incorrecto.

Por ejemplo, cuando un administrador de SAP crea un usuario en SAP Cloud Identity Services mediante su consola de administración, es posible que el usuario no tenga una userName propiedad . Sin embargo, esa propiedad puede ser la que se usa para buscar coincidencias con los usuarios en el identificador de Microsoft Entra. Si la userName propiedad es la que está pensada para buscar coincidencias, necesitará que el administrador de SAP actualice los usuarios existentes de SAP Cloud Identity Services para que tengan un valor de la userName propiedad .

Por otro ejemplo, el administrador de aplicaciones ha establecido la dirección de correo electrónico del usuario como una propiedad mail del usuario en la aplicación, cuando el usuario se agregó por primera vez a la aplicación. Sin embargo, la dirección de correo electrónico de la persona y userPrincipalName se cambia más adelante en Microsoft Entra ID. Sin embargo, si la aplicación no requería la dirección de correo electrónico, o el proveedor de correo electrónico tenía una redirección que permitía que la dirección de correo electrónico antigua se reenviase, el administrador de aplicaciones podría no haber notado que había una necesidad de que la propiedad mail se actualizara en la fuente de datos de la aplicación. El administrador de aplicaciones puede resolver esta incoherencia cambiando la mail propiedad de los usuarios de la aplicación para que tenga un valor actual o cambiando la regla de coincidencia, como se describe en las secciones siguientes.

Actualizar a los usuarios de la aplicación con una nueva propiedad

Es posible que el sistema de administración de identidades anterior de una organización haya creado usuarios en la aplicación como usuarios locales. Si la organización no tenía un único proveedor de identidades en el momento, esos usuarios de la aplicación no necesitaban que ninguna propiedad se correlacionase con ningún otro sistema. Por ejemplo, un producto anterior de administración de identidades creó usuarios en una aplicación en función de un origen de RR. HH. autoritativo. Ese sistema de administración de identidades mantuvo la correlación entre los usuarios que creó en la aplicación con el origen de RR. HH. y no proporcionó ninguno de los identificadores de origen de RR. HH. a la aplicación. Más adelante, al intentar conectar la aplicación a un inquilino de Microsoft Entra ID poblado desde esa misma fuente de recursos humanos, es posible que Microsoft Entra ID tenga usuarios para todas las personas que están en la aplicación, pero la coincidencia falla para todos los usuarios porque no hay ninguna propiedad en común.

Para resolver este problema coincidente, realice los pasos siguientes.

Seleccione una propiedad no usada existente de los usuarios en la aplicación o agregue una nueva propiedad al esquema de usuario de la aplicación.
Rellene esa propiedad en todos los usuarios de la aplicación con datos de un origen autoritativo, como un número de identificación de empleado o una dirección de correo electrónico, que ya está presente en los usuarios de Microsoft Entra ID.
Actualice la configuración de asignaciones de atributos de aprovisionamiento de la aplicación de Microsoft Entra para que esta propiedad se incluya en la regla de coincidencia.

Cambiar reglas o propiedades coincidentes cuando la dirección de correo electrónico no coincide con el nombre principal de usuario

De forma predeterminada, algunas de las asignaciones del servicio de aprovisionamiento de Microsoft Entra para las aplicaciones envían el userPrincipalName atributo para que coincida con una propiedad de dirección de correo electrónico de la aplicación. Algunas organizaciones tienen direcciones de correo electrónico principales para sus usuarios que son distintas de su nombre principal de usuario. Si la aplicación almacena la dirección de correo electrónico como una propiedad del usuario y no como userPrincipalName, debe cambiar los usuarios de la aplicación o la regla coincidente.

Si tiene previsto usar el inicio de sesión único de Microsoft Entra ID en la aplicación, es posible que desee cambiar la aplicación para agregar una propiedad al usuario para que contenga userPrincipalName. A continuación, rellene esa propiedad en cada usuario de la aplicación con el userPrincipalName del usuario de Microsoft Entra ID y actualice la configuración de aprovisionamiento de aplicaciones de Microsoft Entra para que esta propiedad se incluya en la regla de coincidencia.
Si no tiene previsto usar el inicio de sesión único desde Microsoft Entra ID, una alternativa es actualizar la configuración de asignaciones de atributos de aprovisionamiento de aplicaciones de Microsoft Entra para que coincida con un atributo de dirección de correo electrónico del usuario de Microsoft Entra en la regla de coincidencia.

Actualizar el atributo coincidente de los usuarios en Microsoft Entra ID

En algunas situaciones, el atributo usado para la coincidencia tiene un valor en el usuario de Identificador de Entra de Microsoft que no está actualizado. Por ejemplo, una persona ha cambiado su nombre, pero el cambio de nombre no se realizó en el usuario de Id. de Entra de Microsoft.

Si el usuario se ha creado y mantenido únicamente en microsoft Entra ID, debe actualizar el usuario para que tenga los atributos correctos. Si el atributo de usuario se origina en un sistema ascendente, como Windows Server AD o un origen de RR. HH., debe cambiar el valor en el origen ascendente y esperar a que el cambio se vea en el identificador de Microsoft Entra.

Actualiza las reglas de aprovisionamiento para la Sincronización de Microsoft Entra Connect o la Sincronización en la Nube con el fin de sincronizar los usuarios y atributos necesarios.

En algunas situaciones, un sistema de administración de identidades anterior ha rellenado los usuarios de Windows Server AD con un atributo adecuado que puede funcionar como un atributo coincidente con otra aplicación. Por ejemplo, si el sistema de administración de identidades anterior estaba conectado a un origen de RR. HH., el usuario de AD tiene un employeeId atributo rellenado por ese sistema de administración de identidades anterior con el identificador de empleado del usuario. En otro ejemplo, el sistema de administración de identidades anterior ha escrito el identificador de usuario único de la aplicación como un atributo de extensión en el esquema de Windows Server AD. Sin embargo, si ninguno de esos atributos se seleccionó para la sincronización en el identificador de Entra de Microsoft o los usuarios estaban fuera del ámbito de la sincronización en el identificador de Microsoft Entra, la representación del identificador de Entra de Microsoft de la comunidad de usuarios puede estar incompleta.

Para resolver este problema, debe cambiar la configuración de sincronización de Microsoft Entra Connect o de sincronización en la nube de Microsoft Entra para asegurar que todos los usuarios adecuados de Windows Server AD que también están en la aplicación estén incluidos en el alcance para ser aprovisionados a Microsoft Entra ID, y que los atributos sincronizados de esos usuarios incluyan los atributos que se utilizarán para fines de coincidencia. Si usa la sincronización de Microsoft Entra Connect, consulte Sincronización de Microsoft Entra Connect: Configurar el filtrado y Microsoft Entra Connect Sync: Extensiones de directorio. Si usa la sincronización en la nube de Microsoft Entra, consulte Asignación de atributos en Microsoft Entra Cloud Sync y extensiones de directorio de sincronización en la nube y asignación de atributos personalizados.

Actualizar usuarios en Microsoft Entra ID con un nuevo atributo

En algunas situaciones, la aplicación puede contener un identificador único para el usuario que no está almacenado actualmente en el esquema de identificador de Entra de Microsoft para el usuario. Por ejemplo, si usa SAP Cloud Identity Services, puede que desee que el identificador de usuario de SAP sea el atributo coincidente o, si usa un sistema Linux, puede que desee que el identificador de usuario de Linux sea el atributo coincidente. Sin embargo, esas propiedades no forman parte del esquema de usuario de Id. de Microsoft Entra, por lo que es probable que no estén presentes en ninguno de los usuarios de Microsoft Entra ID.

Para usar un nuevo atributo para buscar coincidencias, realice los pasos siguientes.

Seleccione un atributo de extensión sin usar existente en microsoft Entra ID o amplíe el esquema de usuario de Microsoft Entra con un nuevo atributo.
Rellene ese atributo en todos los usuarios de Microsoft Entra ID con datos de un origen autoritativo, como la aplicación o un sistema de RR. HH. Si los usuarios se sincronizan desde Windows Server AD o se aprovisionan desde un sistema de RR. HH., es posible que deba realizar ese cambio en ese origen ascendente.
Actualice la configuración de asignación de atributos de aprovisionamiento de la aplicación Microsoft Entra e incluya dicho atributo en la regla de coincidencia.

Cambiar las reglas de coincidencia a un atributo diferente ya rellenado en el identificador de Microsoft Entra

Las reglas de coincidencia predeterminadas para las aplicaciones de la galería de aplicaciones se basan en atributos que normalmente están presentes en todos los usuarios de Id. de Entra de Microsoft en todos los clientes de Microsoft, como userPrincipalName. Estas reglas son adecuadas para pruebas de uso general o para el aprovisionamiento en una nueva aplicación que actualmente no tiene usuarios. Sin embargo, es posible que muchas organizaciones ya hayan rellenado los usuarios de Id. de Entra de Microsoft con otros atributos relevantes para su organización, como un identificador de empleado. Si hay otro atributo adecuado para la coincidencia, actualice la configuración de asignaciones de atributos de aprovisionamiento de aplicaciones de Microsoft Entra e incluya este atributo en la regla de coincidencia.

Configurar el aprovisionamiento de entrada desde un origen de RR. HH. a Microsoft Entra ID

Idealmente, las organizaciones que han estado aprovisionando usuarios en varias aplicaciones de forma independiente deben depender de identificadores comunes para los usuarios derivados de un origen autoritativo, como un sistema de RR. HH. Muchos sistemas de RR. HH. tienen propiedades que funcionan así como identificadores, como employeeId que se pueden tratar como únicos para que ninguna persona tenga el mismo identificador de empleado. Si tiene un origen de RR. HH., como Workday o SuccessFactors, incorporar atributos como employeeId de ese origen a menudo puede crear una regla de coincidencia adecuada.

Para usar un atributo con valores obtenidos de un origen autoritativo para buscar coincidencias, realice los pasos siguientes.

Seleccione un atributo de esquema de usuario de Id. de Microsoft Entra adecuado o amplíe el esquema de usuario de Microsoft Entra con un nuevo atributo, cuyos valores corresponden a una propiedad equivalente de un usuario de la aplicación.
Asegúrese de que la propiedad también esté presente en una fuente de RR. HH. para todas las personas que tienen un usuario en Microsoft Entra ID y la aplicación.
Configure el aprovisionamiento de entrada desde ese origen de RR. HH. a Microsoft Entra ID.
Espere a que los usuarios de Microsoft Entra ID se actualicen con nuevos atributos.
Actualice la configuración de asignación de atributos de aprovisionamiento de la aplicación Microsoft Entra e incluya dicho atributo en la regla de coincidencia.

Creación de usuarios en Windows Server AD para usuarios de la aplicación que necesitan acceso continuado a la aplicación

Si hay usuarios de la aplicación que no corresponden a una persona en una fuente autorizada de RR. HH., pero requerirán acceso tanto a aplicaciones basadas en Active Directory de Windows Server como a aplicaciones integradas en Microsoft Entra ID en el futuro, y su organización usa Microsoft Entra Connect Sync o Microsoft Entra Cloud Sync para provisionar usuarios desde Windows Server AD a Microsoft Entra ID, entonces puede crear un usuario en Windows Server AD para cada uno de los usuarios que aún no estaban presentes.

Si los usuarios no necesitan acceso a las aplicaciones basadas en Windows Server AD, entonces cree a los usuarios en Microsoft Entra ID, según se describe en la siguiente sección.

Creación de usuarios en el identificador de Entra de Microsoft para los usuarios de la aplicación que necesitan acceso continuado a la aplicación

Si hay usuarios de la aplicación que no correspondan a una persona en un origen autoritativo de RR. HH., pero necesiten acceso continuo y gestión a través de Microsoft Entra, puede crear usuarios de Microsoft Entra para ellos. Puede crear usuarios de forma masiva mediante:

Un archivo CSV, como se describe en Creación masiva de usuarios en el Centro de administración de Microsoft Entra
El cmdlet New-MgUser

Asegúrese de que estos nuevos usuarios se rellenen con los atributos necesarios para que Microsoft Entra ID los asocie más adelante con los usuarios existentes de la aplicación y los atributos requeridos por Microsoft Entra ID, incluidos userPrincipalName, mailNickname y displayName. El valor de userPrincipalName debe ser único entre todos los usuarios del directorio.

Creación de usuarios de forma masiva mediante PowerShell

En esta sección se muestra cómo interactuar con Microsoft Entra ID mediante cmdlets de Microsoft Graph PowerShell.

La primera vez que tu organización use estos cmdlets para este escenario, deberás tener un rol de administrador global para permitir que se use Microsoft Graph PowerShell en tu entidad. Las interacciones posteriores pueden usar un rol con privilegios inferiores, como administrador de usuarios.

Si ya tiene una sesión de PowerShell en la que identificó los usuarios de la aplicación que no estaban en el identificador de Entra de Microsoft, continúe en el paso 6 siguiente. De lo contrario, abra PowerShell.
Si aún no tiene instalados los módulos de PowerShell de Microsoft Graph , instale el módulo y otros mediante este comando:
```
Install-Module Microsoft.Graph
```
Si ya tiene instalados los módulos, asegúrese de que usa una versión reciente:
```
Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
```

Conéctese a Microsoft Entra ID:

$msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All"

Si es la primera vez que usó este comando, deberá dar su consentimiento para permitir que las herramientas de la línea de comandos de Microsoft Graph tengan estos permisos.
Incluya en el entorno de PowerShell una matriz de los usuarios de la aplicación, que también tiene los campos que son atributos obligatorios de Id. de Entra de Microsoft: el nombre principal de usuario, el alias de correo y el nombre completo del usuario. Este script supone que la matriz $dbu_not_matched_list contiene los usuarios de la aplicación que no coincidieron.
```
$filename = ".\Users-to-create.csv"
$bu_not_matched_list = Import-Csv -Path $filename -Encoding UTF8
```
Especifique en la sesión de PowerShell qué columnas de la matriz de usuarios que se van a crear corresponden a las propiedades necesarias del identificador de Entra de Microsoft. Por ejemplo, es posible que tengas usuarios una la base de datos donde el valor de la columna denominada EMail sea el valor que quieres usar como nombre principal de usuario de Microsoft Entra ID, el valor de la columna Alias contenga el alias de correo de Microsoft Entra ID y el valor de la columna Full name contenga el nombre para mostrar del usuario:
```
$db_display_name_column_name = "Full name"
$db_user_principal_name_column_name = "Email"
$db_mail_nickname_column_name = "Alias"
```

Abra el siguiente script en un editor de texto. Es posible que tenga que modificar este script para agregar los atributos de Microsoft Entra necesarios para su aplicación, o si $azuread_match_attr_name no es mailNickname o userPrincipalName, con el fin de proporcionar ese atributo de Microsoft Entra.

$dbu_missing_columns_list = @()
$dbu_creation_failed_list = @()
foreach ($dbu in $dbu_not_matched_list) {
   if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
       ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
       ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
      $params = @{
         accountEnabled = $false
         displayName = $dbu.$db_display_name_column_name
         mailNickname = $dbu.$db_mail_nickname_column_name
         userPrincipalName = $dbu.$db_user_principal_name_column_name
         passwordProfile = @{
           Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
         }
      }
      try {
        New-MgUser -BodyParameter $params
      } catch { $dbu_creation_failed_list += $dbu; throw }
   } else {
      $dbu_missing_columns_list += $dbu
   }
}

Pegue el script resultante del editor de texto en la sesión de PowerShell. Si se producen errores, debe corregirlos antes de continuar.

Mantener usuarios independientes y no coincidentes en la aplicación y el identificador de Microsoft Entra

Es posible que haya un superadministrador en el origen de datos de la aplicación que no se corresponda con ninguna persona específica de Microsoft Entra ID. Si no crea usuarios de Microsoft Entra para ellos, esos usuarios no podrán administrarse desde el identificador de Microsoft Entra ni la gobernanza de identificadores de Microsoft Entra. Dado que esos usuarios no podrán iniciar sesión con el identificador de Entra de Microsoft, por lo que si configura la aplicación para que use el id. de Microsoft Entra como proveedor de identidades, asegúrese de que esos usuarios están fuera del ámbito del uso de Microsoft Entra ID para la autenticación.

Volver a exportar usuarios

Después de realizar actualizaciones en los usuarios de Microsoft Entra, en los usuarios de la aplicación o en las reglas de coincidencia de la aplicación de Microsoft Entra, debe volver a exportar y realizar el procedimiento de coincidencia para la aplicación nuevamente, para asegurarse de que todos los usuarios están correctamente correlacionados.

Si usa SAP Cloud Identity Services, siga el tutorial de aprovisionamiento de SAP Cloud Identity Services a partir del paso para asegurarse de que los usuarios existentes de SAP Cloud Identity Services tienen los atributos coincidentes necesarios. En ese tutorial, exportará una lista de usuarios de SAP Cloud Identity Services a un archivo CSV y, a continuación, usará PowerShell para que coincidan con los usuarios de Microsoft Entra ID.
Si la aplicación usa un directorio LDAP, siga el tutorial de aprovisionamiento de directorios LDAP.
Para otras aplicaciones, incluidas esas aplicaciones con una base de datos SQL o que tienen compatibilidad con el aprovisionamiento en la galería de aplicaciones, siga el tutorial para controlar los usuarios existentes de una aplicación.

Asignación de usuarios a roles de aplicación y habilitación del aprovisionamiento

Una vez que haya completado las actualizaciones necesarias y confirme que todos los usuarios de la aplicación coinciden con los usuarios en Microsoft Entra ID, debe asignar a los usuarios de Microsoft Entra ID que necesitan acceder a la aplicación al rol de aplicación de Microsoft Entra y, a continuación, habilitar el aprovisionamiento en la aplicación.

Si usa SAP Cloud Identity Services, continúe con el tutorial de aprovisionamiento de SAP Cloud Identity Services a partir del paso para asegurarse de que los usuarios existentes de Microsoft Entra tienen los atributos necesarios.

Pasos siguientes

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-03-31