Gérer les mappages et les utilisateurs dans les applications qui ne correspondent pas aux utilisateurs dans Microsoft Entra ID

Lorsque vous intégrez une application existante à l’ID Microsoft Entra, pour l’approvisionnement ou l’authentification unique (SSO), vous pouvez déterminer qu’il existe des utilisateurs dans le magasin de données de l’application qui ne correspondent pas aux utilisateurs de Microsoft Entra ID ou qui ne correspondent pas à des utilisateurs dans Microsoft Entra ID.

Le service d’approvisionnement Microsoft Entra s’appuie sur des règles de correspondance configurables pour déterminer si un utilisateur dans Microsoft Entra ID correspond à un utilisateur de l’application, en recherchant l’application pour un utilisateur avec la propriété correspondante d’un utilisateur Microsoft Entra ID. Par exemple, supposons que la règle de correspondance consiste à comparer l’attribut userPrincipalName d’un utilisateur Microsoft Entra ID avec la propriété userName d’une application. Lorsqu'un utilisateur dans Microsoft Entra ID, ayant une valeur de userPrincipalName égale à alice.smith@contoso.com, est affecté à un rôle d'une application, le service de provisionnement de Microsoft Entra effectue une recherche de l'application avec une requête telle que userName eq "alice.smith@contoso.com". Si la recherche d’application indique qu’aucun utilisateur ne correspond, le service d’approvisionnement Microsoft Entra crée un utilisateur dans l’application.

Si l’application n’a pas encore d’utilisateurs, ce processus remplit le magasin de données de l’application avec les utilisateurs au fur et à mesure qu’ils sont affectés dans l’ID Microsoft Entra. Toutefois, si l’application a déjà des utilisateurs, deux situations peuvent survenir. Tout d’abord, il peut y avoir des personnes avec des comptes d’utilisateur dans l’application, mais l'appariement échoue à les localiser. L’utilisateur est peut-être représenté dans l’application comme asmith@contoso.com plutôt que alice.smith@contoso.com, et donc le service de provisionnement Microsoft Entra ne les trouve pas lors de la recherche. Dans ce cas, la personne peut se retrouver avec des utilisateurs dupliqués dans l’application. Deuxièmement, il peut y avoir des personnes disposant de comptes d’utilisateur dans l’application qui n’ont aucun utilisateur dans Microsoft Entra ID. Dans ce cas, le service de provisionnement Microsoft Entra n’interagit pas avec ces utilisateurs de l’application. Toutefois, si l’application est configurée pour s’appuyer sur l’ID Microsoft Entra en tant que seul fournisseur d’identité, ces utilisateurs ne pourront plus se connecter : l’application redirigera la personne vers la connexion avec l’ID Microsoft Entra, mais la personne n’a pas d’utilisateur dans Microsoft Entra ID.

Ces incohérences entre l’ID Microsoft Entra et le magasin de données d’une application existante peuvent se produire pour de nombreuses raisons, notamment :

l’administrateur d’application crée directement des utilisateurs dans l’application, comme pour les sous-traitants ou les fournisseurs, qui ne sont pas représentés dans un système de source RH d’enregistrement, mais qui ont besoin d’un accès à l’application,
les modifications d’identité et d’attribut, telles qu’une personne modifiant leur nom, n’étaient pas envoyées à Microsoft Entra ID ou à l’application, et les représentations sont donc obsolètes dans un ou l’autre système, ou
l’organisation utilisait un produit de gestion des identités qui approvisionnait indépendamment Windows Server AD et l’application avec différentes communautés. Par exemple, les employés du magasin avaient besoin d'un accès aux applications mais n'avaient pas besoin de boîtes aux lettres Exchange, donc ils n'étaient pas représentés dans Windows Server AD ou ID Microsoft Entra.

Avant d’activer le provisionnement ou l’authentification unique vers une application contenant déjà des utilisateurs, vous devez vérifier que les utilisateurs correspondent, puis examiner et résoudre les cas des utilisateurs de l’application qui ne correspondent pas. Cet article décrit les options permettant de résoudre les différentes situations dans lesquelles un utilisateur ne peut pas être mis en correspondance.

Conseil / Astuce

Pour les applications prises en charge, vous pouvez utiliser la découverte de compte pour analyser automatiquement l’application cible et catégoriser les utilisateurs existants en tant que comptes locaux, utilisateurs non attribués ou utilisateurs affectés. Cela offre une visibilité sur le paysage utilisateur de l’application avant de configurer l’approvisionnement.

Déterminer s’il existe des utilisateurs dans l’application qui ne correspondent pas

Si vous avez déjà déterminé la liste des utilisateurs de l’application qui ne correspondent pas aux utilisateurs dans Microsoft Entra ID, continuez dans la section suivante.

La procédure permettant de déterminer quels utilisateurs de l’application ne correspondent pas aux utilisateurs de Microsoft Entra ID dépend de la façon dont l’application est ou sera intégrée à l’ID Microsoft Entra.

Si vous utilisez SAP Cloud Identity Services, suivez le didacticiel de provisionnement SAP Cloud Identity Services tout au long de l’étape pour vous assurer que les utilisateurs sap Cloud Identity Services existants disposent des attributs correspondants nécessaires. Dans ce tutoriel, vous exportez une liste d’utilisateurs de SAP Cloud Identity Services vers un fichier CSV, puis utilisez PowerShell pour faire correspondre ces utilisateurs à des utilisateurs dans Microsoft Entra ID.
Si votre application utilise un répertoire LDAP, suivez le didacticiel de provisionnement d’annuaire LDAP à l’étape de collecte des utilisateurs existants à partir du répertoire LDAP. Dans ce tutoriel, utilisez PowerShell pour faire correspondre ces utilisateurs avec des utilisateurs dans Microsoft Entra ID.
Pour d’autres applications, y compris celles avec une base de données SQL ou qui ont une prise en charge de l’approvisionnement dans la galerie d’applications, suivez le tutoriel pour régir les utilisateurs existants d’une application tout au long de l’étape pour confirmer que l’ID Microsoft Entra a des utilisateurs qui correspondent aux utilisateurs de l’application.
Pour les autres applications qui n’ont pas d’interface d’approvisionnement, suivez le tutoriel pour régir les utilisateurs d’une application qui ne prend pas en charge l’approvisionnement via l’étape pour confirmer que l’ID Microsoft Entra a des utilisateurs qui correspondent aux utilisateurs de l’application.

Une fois le script PowerShell fourni dans ces didacticiels terminé, il affiche une erreur si des enregistrements de l’application n’étaient pas situés dans l’ID Microsoft Entra. Si tous les enregistrements des utilisateurs du magasin de données de l’application ne peuvent pas être situés en tant qu’utilisateurs dans l’ID Microsoft Entra, vous devez examiner les enregistrements qui ne correspondent pas et pourquoi, puis résoudre le problème de correspondance à l’aide de l’une des options de la section suivante.

Options permettant de s’assurer que les utilisateurs sont mis en correspondance entre l’application et l’ID Microsoft Entra

Cette section fournit plusieurs options pour traiter les utilisateurs non correspondants dans l’application. En fonction des objectifs de votre organisation et des problèmes de données entre Microsoft Entra ID et l’application, sélectionnez l’option appropriée pour chaque utilisateur. Il se peut qu’il n’existe pas d’option unique qui couvre tous les utilisateurs d’une application particulière.

Choix	Mises à jour nécessaires avant l’approvisionnement
Supprimer les utilisateurs de test de l’application	Utilisateurs dans l’application
Supprimer des utilisateurs des applications pour les personnes qui ne font plus partie de l’organisation	Utilisateurs dans l’application
Supprimer des utilisateurs de l’application et les recréer à partir de l’ID Microsoft Entra	Utilisateurs dans l’application
Mettre à jour la propriété correspondante des utilisateurs dans l’application	Utilisateurs dans l’application
Mettre à jour les utilisateurs dans l’application avec une nouvelle propriété	Utilisateurs dans l’application
Modifier les règles ou propriétés correspondantes lorsque l’adresse e-mail ne correspond pas au nom d’utilisateur principal	Utilisateurs dans l’application ou règle de correspondance d’application Microsoft Entra
Mettre à jour l’attribut correspondant des utilisateurs dans l’ID Microsoft Entra	Utilisateurs dans Microsoft Entra ID
Mettre à jour les règles de synchronisation ou de provisionnement de Microsoft Entra Connect ou Cloud Sync pour synchroniser les utilisateurs et attributs nécessaires	Microsoft Entra Connect Sync ou Microsoft Entra Cloud Sync, qui met à jour les utilisateurs dans Microsoft Entra ID
Mettre à jour les utilisateurs dans Microsoft Entra ID avec un nouvel attribut	Utilisateurs dans Microsoft Entra ID
Modifier les règles de correspondance en un autre attribut déjà renseigné dans l’ID Microsoft Entra	Règle de correspondance d’application Microsoft Entra
Créer des utilisateurs dans Windows Server AD pour les utilisateurs de l’application qui ont besoin d’un accès continu à l’application	Utilisateurs dans Windows Server AD, qui mettra à jour les utilisateurs dans Microsoft Entra ID
Créer des utilisateurs dans Microsoft Entra ID pour les utilisateurs de l’application qui ont besoin d’un accès continu à l’application	Utilisateurs dans Microsoft Entra ID
Gérer des utilisateurs distincts et sans correspondance dans l’application et l’ID Microsoft Entra	Aucun

Supprimer les utilisateurs de test de l’application

Il peut y avoir des utilisateurs de test dans l’application, restants depuis son déploiement initial. S’il existe des utilisateurs qui ne sont plus nécessaires, ils peuvent être supprimés de l’application.

Supprimer des utilisateurs des applications pour les personnes qui ne font plus partie de l’organisation

L’utilisateur peut ne plus être affilié à l’organisation et n’a plus besoin d’accéder à l’application, mais il est toujours un utilisateur dans la source de données de l’application. Cela peut se produire si l’administrateur de l’application n’a pas omis de supprimer l’utilisateur ou n’a pas été informé que la modification a été requise. Si l’utilisateur n’est plus nécessaire, il peut être supprimé de l’application.

Supprimer des utilisateurs de l’application et les recréer à partir de l’ID Microsoft Entra

Si l’application n’est actuellement pas utilisée à grande échelle ou ne conserve aucun état par utilisateur, une autre option consiste à supprimer les utilisateurs de l’application afin qu’il n’y ait plus d’utilisateurs non correspondants. Ensuite, lorsque les utilisateurs demandent ou se voient attribuer l’application dans Microsoft Entra ID, leur accès sera provisionné.

Mettre à jour la propriété correspondante des utilisateurs dans l’application

Un utilisateur peut exister dans une application et dans l’ID Microsoft Entra, mais l’utilisateur de l’application ne dispose pas d’une propriété nécessaire à la correspondance, ou la propriété a la valeur incorrecte.

Par exemple, lorsqu’un administrateur SAP crée un utilisateur dans SAP Cloud Identity Services à l’aide de sa console d’administration, l’utilisateur n’a peut-être pas de userName propriété. Toutefois, cette propriété peut être celle qui est utilisée pour associer des utilisateurs dans Microsoft Entra ID. Si la userName propriété est celle destinée à la correspondance, vous devez demander à l’administrateur SAP de mettre à jour ces utilisateurs existants de SAP Cloud Identity Services pour qu'ils aient une valeur de la userName propriété.

Pour un autre exemple, l’administrateur d’application a défini l’adresse e-mail de l’utilisateur comme propriété mail de l’utilisateur dans l’application, lorsque l’utilisateur a été ajouté pour la première fois à l’application. Toutefois, plus tard, l’adresse e-mail de la personne et userPrincipalName sont modifiés dans l’ID Microsoft Entra. Toutefois, si l'application n'avait pas besoin de l'adresse e-mail, ou si le fournisseur de messagerie avait une redirection qui permettait à l'ancienne adresse de continuer à transférer, l'administrateur de l'application a peut-être omis de remarquer qu'il était nécessaire de mettre à jour la propriété mail dans la source de données de l'application. Cette incohérence peut être résolue par l’administrateur de l’application qui modifie la mail propriété sur les utilisateurs de l’application pour avoir une valeur actuelle ou en modifiant la règle de correspondance, comme décrit dans les sections suivantes.

Mettre à jour les utilisateurs dans l’application avec une nouvelle propriété

Le système de gestion des identités précédent d’une organisation peut avoir créé des utilisateurs dans l’application en tant qu’utilisateurs locaux. Si l’organisation n’avait pas de fournisseur d’identité unique à l’époque, ces utilisateurs de l’application n’avaient pas besoin de propriétés pour être corrélés avec n’importe quel autre système. Par exemple, un produit de gestion des identités précédent a créé des utilisateurs dans une application en fonction d’une source RH faisant autorité. Ce système de gestion des identités a maintenu la corrélation entre les utilisateurs qu’il a créés dans l’application avec la source RH et n’a fourni aucun identificateur de source RH à l’application. Plus tard, lors de la tentative de connexion de l’application à un locataire Microsoft Entra ID alimenté à partir de cette même source RH, Microsoft Entra ID peut contenir des utilisateurs pour les mêmes personnes que celles présentes dans l’application, mais la correspondance échoue pour tous les utilisateurs car aucune propriété commune n’existe.

Pour résoudre ce problème de correspondance, procédez comme suit.

Sélectionnez une propriété inutilisée existante des utilisateurs de l’application ou ajoutez une nouvelle propriété au schéma utilisateur de l’application.
Renseignez cette propriété sur tous les utilisateurs de l’application avec des données provenant d’une source faisant autorité, comme un numéro d’ID d’employé ou une adresse e-mail, qui est déjà présente sur les utilisateurs de Microsoft Entra ID.
Mettez à jour la configuration des mappages d’attributs de provisionnement d’application Microsoft Entra pour l’application afin que cette propriété soit incluse dans la règle de correspondance.

Modifier les règles ou propriétés correspondantes lorsque l’adresse e-mail ne correspond pas au nom d’utilisateur principal

Par défaut, certains mappages du service de provisionnement Microsoft Entra pour les applications envoient l’attribut userPrincipalName afin de le faire correspondre à une propriété d’adresse e-mail de l’application. Certaines organisations ont des adresses e-mail principales pour leurs utilisateurs distincts de leur nom d’utilisateur principal. Si l’application stocke l’adresse e-mail en tant que propriété de l’utilisateur, et non comme un élément userPrincipalName, vous devez soit modifier les utilisateurs dans l’application, soit la règle de correspondance.

Si vous prévoyez d’utiliser l’authentification unique depuis Microsoft Entra ID vers l’application, vous pouvez envisager de modifier l’application pour ajouter une propriété sur l’utilisateur afin de stocker le userPrincipalName. Ensuite, renseignez cette propriété sur chaque utilisateur de l’application avec userPrincipalName de l’utilisateur à partir de l’ID Microsoft Entra et mettez à jour la configuration de provisionnement de l’application Microsoft Entra afin que cette propriété soit incluse dans la règle de correspondance.
Si vous n’envisagez pas d’utiliser l’authentification unique à partir de l’ID Microsoft Entra, une alternative consiste à mettre à jour la configuration des mappages d’attributs d’approvisionnement d’application Microsoft Entra pour correspondre à un attribut d’adresse e-mail de l’utilisateur Microsoft Entra dans la règle de correspondance.

Mettre à jour l’attribut correspondant des utilisateurs dans l’ID Microsoft Entra

Dans certains cas, l’attribut utilisé pour la correspondance a une valeur obsolète dans le profil de l'utilisateur Microsoft Entra ID. Par exemple, une personne a changé son nom, mais la modification du nom n’a pas été apportée dans l’utilisateur Microsoft Entra ID.

Si l’utilisateur a été créé et géré uniquement dans l’ID Microsoft Entra, vous devez mettre à jour l’utilisateur pour avoir les attributs appropriés. Si l’attribut utilisateur provient d’un système en amont, tel que Windows Server AD ou une source RH, vous devez modifier la valeur dans la source en amont et attendre que la modification devienne visible dans l’ID Microsoft Entra.

Mettre à jour les règles de provisionnement Microsoft Entra Connect ou Cloud Sync pour synchroniser les utilisateurs et attributs nécessaires

Dans certains cas, un système de gestion des identités précédent a rempli les utilisateurs Windows Server AD avec un attribut approprié qui peut fonctionner en tant qu’attribut correspondant avec une autre application. Par exemple, si le système de gestion des identités précédent était connecté à une source RH, l’utilisateur AD dispose d’un employeeId attribut rempli par ce système de gestion des identités précédent avec l’ID d’employé de l’utilisateur. Pour un autre exemple, le système de gestion des identités précédent a écrit l’ID utilisateur unique de l’application en tant qu’attribut d’extension dans le schéma Windows Server AD. Toutefois, si aucun de ces attributs n’a été sélectionné pour la synchronisation dans l’ID Microsoft Entra ou si les utilisateurs n’étaient pas autorisés à se synchroniser avec l’ID Microsoft Entra, la représentation microsoft Entra ID de la communauté d’utilisateurs peut être incomplète.

Pour résoudre ce problème, vous devez modifier votre configuration de synchronisation Microsoft Entra Connect ou de synchronisation cloud Microsoft Entra pour vous assurer que tous les utilisateurs appropriés dans Windows Server AD qui se trouvent également dans l’application sont dans l’étendue d’être approvisionnés sur l’ID Microsoft Entra, et que les attributs synchronisés de ces utilisateurs incluent les attributs qui seront utilisés à des fins correspondantes. Si vous utilisez la synchronisation Microsoft Entra Connect, consultez Microsoft Entra Connect Sync : Configure filtering and Microsoft Entra Connect Sync : Directory extensions. Si vous utilisez Microsoft Entra Cloud Sync, consultez le mappage d'attributs dans Microsoft Entra Cloud Sync et les extensions d'annuaire de synchronisation cloud et le mappage d'attributs personnalisés.

Mettre à jour les utilisateurs dans Microsoft Entra ID avec un nouvel attribut

Dans certains cas, l’application peut contenir un identificateur unique pour l’utilisateur qui n’est pas actuellement stocké dans le schéma d’ID Microsoft Entra pour l’utilisateur. Par exemple, si vous utilisez SAP Cloud Identity Services, vous souhaiterez peut-être que l’ID d’utilisateur SAP soit l’attribut correspondant, ou si vous utilisez un système Linux, vous souhaiterez peut-être que l’ID d’utilisateur Linux soit l’attribut correspondant. Toutefois, ces propriétés ne font pas partie du schéma utilisateur microsoft Entra ID et ne sont donc probablement pas présentes sur l’un des utilisateurs de l’ID Microsoft Entra.

Pour utiliser un nouvel attribut pour la correspondance, procédez comme suit.

Sélectionnez un attribut d’extension inutilisé existant dans l’ID Microsoft Entra ou étendez le schéma utilisateur Microsoft Entra avec un nouvel attribut.
Remplissez cet attribut sur tous les utilisateurs de Microsoft Entra ID avec des données provenant d’une source faisant autorité, telles que l’application ou un système RH. Si les utilisateurs sont synchronisés à partir de Windows Server AD ou approvisionnés à partir d’un système RH, vous devrez peut-être effectuer cette modification dans cette source en amont.
Mettez à jour la configuration des mappages d’attributs d’approvisionnement des applications Microsoft Entra et incluez cet attribut dans la règle de correspondance.

Modifier les règles de correspondance pour un autre attribut déjà défini dans Microsoft Entra ID.

Les règles de correspondance par défaut pour les applications de la galerie d’applications s’appuient sur des attributs couramment présents sur tous les utilisateurs d’ID Microsoft Entra dans tous les clients Microsoft, tels que userPrincipalName. Ces règles conviennent pour les tests à usage général ou pour l’approvisionnement dans une nouvelle application qui n’a actuellement aucun utilisateur. Toutefois, de nombreuses organisations ont peut-être déjà rempli les utilisateurs microsoft Entra ID avec d’autres attributs pertinents pour leur organisation, tels qu’un ID d’employé. S’il existe un autre attribut adapté à la correspondance, mettez à jour la configuration des mappages d’attributs d’approvisionnement d’application Microsoft Entra et incluez cet attribut dans la règle de correspondance.

Configurer le provisionnement entrant depuis une source RH vers Microsoft Entra ID

Dans l’idéal, les organisations qui ont approvisionné des utilisateurs dans plusieurs applications indépendamment doivent s’appuyer sur des identificateurs communs pour les utilisateurs dérivés d’une source faisant autorité, comme un système RH. De nombreux systèmes RH ont des propriétés qui fonctionnent en tant qu'identificateurs, tels que employeeId qui peuvent être traités comme uniques afin qu’aucune personne n’ait le même identifiant d’employé. Si vous disposez d’une source RH, telle que Workday ou SuccessFactors, l’introduction d’attributs tels qu’un employeeId de cette source peut souvent créer une règle de correspondance appropriée.

Pour utiliser un attribut avec des valeurs obtenues à partir d’une source faisant autorité pour la correspondance, procédez comme suit.

Sélectionnez un attribut de schéma utilisateur Microsoft Entra ID approprié ou étendez le schéma utilisateur Microsoft Entra avec un nouvel attribut, dont les valeurs correspondent à une propriété équivalente d’un utilisateur dans l’application.
Vérifiez que cette propriété est également présente dans une source RH pour toutes les personnes qui ont des utilisateurs dans Microsoft Entra ID et l’application.
Configurer le provisionnement entrant depuis cette source RH vers Microsoft Entra ID.
Attendez que les utilisateurs de Microsoft Entra ID soient mis à jour avec de nouveaux attributs.
Mettez à jour la configuration des mappages d’attributs d’approvisionnement des applications Microsoft Entra et incluez cet attribut dans la règle de correspondance.

Créer des utilisateurs dans Windows Server AD pour les utilisateurs de l’application qui ont besoin d’un accès continu à l’application

S’il existe des utilisateurs à partir de l’application qui ne correspondent pas à une personne dans une source RH faisant autorité, mais qui nécessite l’accès aux applications Windows Server AD et aux applications intégrées à Microsoft Entra ID à l’avenir, et votre organisation utilise Microsoft Entra Connect Sync ou Microsoft Entra Cloud Sync pour approvisionner les utilisateurs de Windows Server AD à Microsoft Entra ID, vous pouvez ensuite créer un utilisateur dans Windows Server AD pour chacun de ces utilisateurs qui n’étaient pas déjà présents.

Si les utilisateurs n’auront pas besoin d’accéder aux applications Windows Server AD, créez les utilisateurs dans Microsoft Entra ID, comme décrit dans la section suivante.

Créer des utilisateurs dans Microsoft Entra ID pour les utilisateurs de l’application qui ont besoin d’un accès continu à l’application

S’il existe des utilisateurs de l’application qui ne correspondent pas à une personne dans une source RH faisant autorité, mais qui ont besoin d’un accès continu et sont régis à partir de Microsoft Entra, vous pouvez créer des utilisateurs Microsoft Entra pour eux. Vous pouvez créer des utilisateurs en bloc à l’aide des éléments suivants :

Fichier CSV comme décrit dans Créer des utilisateurs en bloc dans le centre d’administration Microsoft Entra
La cmdlet New-MgUser

Vérifiez que ces nouveaux utilisateurs sont remplis avec les attributs requis pour que l’ID Microsoft Entra les corresponde ultérieurement aux utilisateurs existants de l’application, ainsi que les attributs requis par l’ID Microsoft Entra, y compris userPrincipalName, mailNicknameet displayName. Le userPrincipalName doit être unique parmi tous les utilisateurs de l’annuaire.

Création d’utilisateurs en bloc à l’aide de PowerShell

Cette section montre comment interagir avec Microsoft Entra ID à l’aide de cmdlets Microsoft Graph PowerShell.

La première fois que votre organisation utilise ces cmdlets pour ce scénario, vous devez avoir un rôle d’administrateur général pour autoriser l’utilisation de Microsoft Graph PowerShell dans votre locataire. Les interactions suivantes peuvent utiliser un rôle à privilèges inférieurs, tel que l’administrateur d’utilisateurs.

Si vous disposez déjà d’une session PowerShell dans laquelle vous avez identifié les utilisateurs de l’application qui n’étaient pas dans l’ID Microsoft Entra, passez à l’étape 6 ci-dessous. Sinon, ouvrez PowerShell.
Si les modules Microsoft Graph PowerShell ne sont pas déjà installés, installez le module Microsoft.Graph.Users et les autres à l’aide de cette commande :
```
Install-Module Microsoft.Graph
```
Si les modules sont déjà installés, vérifiez que vous utilisez une version récente :
```
Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
```

Connectez-vous à Microsoft Entra ID :

$msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All"

Si c’est la première fois que vous avez utilisé cette commande, vous devez donner votre consentement pour autoriser les outils de ligne de commande Microsoft Graph à disposer de ces autorisations.
Intégrez dans votre environnement PowerShell un tableau des utilisateurs de l'application, qui possède également les champs requis par Microsoft Entra ID : le nom d'utilisateur principal, le surnom de messagerie et le nom complet de l'utilisateur. Ce script suppose que le tableau $dbu_not_matched_list contient les utilisateurs de l’application qui n’ont pas été mis en correspondance.
```
$filename = ".\Users-to-create.csv"
$bu_not_matched_list = Import-Csv -Path $filename -Encoding UTF8
```
Spécifiez dans votre session PowerShell les colonnes du tableau d’utilisateurs à créer correspondent aux propriétés requises de l’ID Microsoft Entra. Par exemple, vous pouvez avoir des utilisateurs dans la base de données où la valeur dans la colonne nommée EMail est celle que vous voulez utiliser comme nom d’utilisateur principal Microsoft Entra, où la valeur dans la colonne Alias contient le pseudonyme de messagerie Microsoft Entra ID et où la valeur dans la colonne Full name contient le nom complet de l’utilisateur :
```
$db_display_name_column_name = "Full name"
$db_user_principal_name_column_name = "Email"
$db_mail_nickname_column_name = "Alias"
```

Ouvrez le script suivant dans un éditeur de texte. Vous devrez peut-être modifier ce script pour ajouter les attributs Microsoft Entra nécessaires à votre application ou, si ce $azuread_match_attr_name n’est pas mailNickname ou userPrincipalName, afin de fournir cet attribut Microsoft Entra.

$dbu_missing_columns_list = @()
$dbu_creation_failed_list = @()
foreach ($dbu in $dbu_not_matched_list) {
   if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
       ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
       ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
      $params = @{
         accountEnabled = $false
         displayName = $dbu.$db_display_name_column_name
         mailNickname = $dbu.$db_mail_nickname_column_name
         userPrincipalName = $dbu.$db_user_principal_name_column_name
         passwordProfile = @{
           Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
         }
      }
      try {
        New-MgUser -BodyParameter $params
      } catch { $dbu_creation_failed_list += $dbu; throw }
   } else {
      $dbu_missing_columns_list += $dbu
   }
}

Collez le script résultant de votre éditeur de texte dans votre session PowerShell. Si des erreurs se produisent, vous devez les corriger avant de continuer.

Gérer des utilisateurs distincts et sans correspondance dans l’application et l’ID Microsoft Entra

Il peut y avoir un utilisateur super-administrateur dans la source de données de l’application qui ne correspond à aucune personne spécifique dans l’ID Microsoft Entra. Si vous ne créez pas d’utilisateurs Microsoft Entra pour eux, ces utilisateurs ne pourront pas être gérés à partir de l’ID Microsoft Entra ou de la gouvernance des ID Microsoft Entra. Comme ces utilisateurs ne pourront pas se connecter avec l’ID Microsoft Entra. Par conséquent, si vous configurez l’application pour utiliser l’ID Microsoft Entra en tant que fournisseur d’identité, assurez-vous que ces utilisateurs ne peuvent pas utiliser l’ID Microsoft Entra pour l’authentification.

Réexporter les utilisateurs

Après avoir apporté des mises à jour aux utilisateurs de Microsoft Entra, aux utilisateurs de l’application ou aux règles de correspondance de l’application Microsoft Entra, vous devez réexporter et effectuer à nouveau la procédure de correspondance de votre application pour vous assurer que tous les utilisateurs sont corrélés.

Si vous utilisez SAP Cloud Identity Services, suivez le didacticiel de provisionnement SAP Cloud Identity Services en commençant à l’étape pour vous assurer que les utilisateurs sap Cloud Identity Services existants disposent des attributs correspondants nécessaires. Dans ce tutoriel, vous exportez une liste d’utilisateurs de SAP Cloud Identity Services vers un fichier CSV, puis utilisez PowerShell pour faire correspondre ces utilisateurs à des utilisateurs dans Microsoft Entra ID.
Si votre application utilise un répertoire LDAP, suivez le didacticiel de provisionnement de répertoire LDAP.
Pour d’autres applications, notamment celles avec une base de données SQL ou qui ont une prise en charge de l’approvisionnement dans la galerie d’applications, suivez le tutoriel pour régir les utilisateurs existants d’une application.

Affecter des utilisateurs aux rôles d’application et activer l’approvisionnement

Une fois que vous avez terminé les mises à jour nécessaires et confirmé que tous les utilisateurs de l’application correspondent aux utilisateurs de l’ID Microsoft Entra, vous devez affecter les utilisateurs dans Microsoft Entra ID qui ont besoin d’accéder à l’application au rôle d’application Microsoft Entra, puis activer l’approvisionnement de l’application.

Si vous utilisez SAP Cloud Identity Services, poursuivez le didacticiel de provisionnement SAP Cloud Identity Services en commençant à l’étape pour vous assurer que les utilisateurs Microsoft Entra existants ont les attributs nécessaires.

Étapes suivantes

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-03-31