Gerenciar mapeamentos e usuários em aplicativos que não correspondem aos usuários na ID do Microsoft Entra

Ao integrar um aplicativo existente à ID do Microsoft Entra, para provisionamento ou SSO (logon único), você pode determinar que há usuários no repositório de dados do aplicativo que não correspondem aos usuários na ID do Microsoft Entra ou que não corresponderam a nenhum usuário na ID do Microsoft Entra.

O serviço de provisionamento do Microsoft Entra depende de regras de correspondência configuráveis para determinar se um usuário no Microsoft Entra ID corresponde a um usuário no aplicativo, pesquisando no aplicativo um usuário com a propriedade correspondente de um usuário do Microsoft Entra ID. Por exemplo, suponha que a regra de correspondência seja comparar o atributo de um usuário do Microsoft Entra ID userPrincipalName com a propriedade de um aplicativo userName. Quando um usuário no Microsoft Entra ID com valor de userPrincipalNamealice.smith@contoso.com é atribuído a uma função em um aplicativo, o serviço de provisionamento do Microsoft Entra realiza uma busca no aplicativo, utilizando uma consulta como userName eq "alice.smith@contoso.com". Se a pesquisa de aplicativo indicar que nenhum usuário corresponde, o serviço de provisionamento do Microsoft Entra criará um novo usuário no aplicativo.

Se o aplicativo ainda não tiver usuários, esse processo preencherá o armazenamento de dados do aplicativo com os usuários conforme eles são atribuídos na ID do Microsoft Entra. No entanto, se o aplicativo já tiver usuários, duas situações poderão surgir. Primeiro, pode haver pessoas com contas de usuário no aplicativo, mas a correspondência não consegue localizá-las – talvez o usuário seja representado no aplicativo como asmith@contoso.com e não alice.smith@contoso.com e, portanto, a pesquisa que o serviço de provisionamento do Microsoft Entra executa não as encontre. Nessa situação, a pessoa pode acabar com usuários duplicados no aplicativo. Em segundo lugar, pode haver pessoas com contas de usuário no aplicativo que não têm nenhum usuário na ID do Microsoft Entra. Nessa situação, o serviço de provisionamento do Microsoft Entra não interage com esses usuários no aplicativo, no entanto, se o aplicativo estiver configurado para contar com a ID do Microsoft Entra como seu único provedor de identidade, esses usuários não poderão mais entrar: o aplicativo redirecionará a pessoa para entrar com o Microsoft Entra ID, mas a pessoa não tem um usuário na ID do Microsoft Entra.

Essas inconsistências entre a ID do Microsoft Entra e o repositório de dados de um aplicativo existente podem ocorrer por vários motivos, incluindo:

O Administrador de Aplicativos cria usuários diretamente no aplicativo, como para contratados ou fornecedores que não são representados em um sistema de registros de RH, mas exigiram acesso ao aplicativo.
alterações de identidade e de atributos, como o caso de uma pessoa que altera seu nome, não estavam sendo enviadas para o Microsoft Entra ID ou para o aplicativo e, portanto, as representações estão desatualizadas em um ou no outro sistema, ou
a organização estava usando um produto de gerenciamento de identidade que provisionava independentemente o Windows Server AD e o aplicativo com comunidades diferentes. Por exemplo, os funcionários da loja precisavam de acesso ao aplicativo, mas não precisavam de caixas de correio do Exchange, portanto, os funcionários da loja não eram representados no Windows Server AD ou no Microsoft Entra ID.

Antes de habilitar o provisionamento ou o SSO para um aplicativo com usuários existentes, verifique se os usuários estão correspondendo e investigue e resolva os usuários do aplicativo que não corresponderam. Este artigo descreve as opções para resolver diferentes situações em que um usuário não pôde ser correspondido.

Dica

Para aplicativos com suporte, você pode usar a Descoberta de Conta para verificar automaticamente o aplicativo de destino e categorizar os usuários existentes como contas locais, usuários não atribuídos ou usuários atribuídos. Isso fornece visibilidade do cenário de usuário do aplicativo antes de configurar o provisionamento.

Determinar se há usuários no aplicativo que não corresponderam

Se você já determinou a lista de usuários no aplicativo que não correspondem aos usuários na ID do Microsoft Entra, continue na próxima seção.

O procedimento para determinar quais usuários no aplicativo não correspondem aos usuários na ID do Microsoft Entra depende de como o aplicativo é ou será integrado à ID do Microsoft Entra.

Se você estiver usando o SAP Cloud Identity Services, siga o tutorial de provisionamento do SAP Cloud Identity Services por meio da etapa para garantir que os usuários existentes do SAP Cloud Identity Services tenham os atributos de correspondência necessários. Nesse tutorial, você exporta uma lista de usuários do SAP Cloud Identity Services para um arquivo CSV e, em seguida, usa o PowerShell para corresponder esses usuários aos usuários na ID do Microsoft Entra.
Se o aplicativo estiver usando um diretório LDAP, siga o tutorial de provisionamento de diretório LDAP por meio da etapa para coletar usuários existentes do diretório LDAP. Nesse tutorial, use o PowerShell para corresponder esses usuários com os usuários na ID do Microsoft Entra.
Para outros aplicativos, incluindo os aplicativos com um banco de dados SQL ou que têm suporte de provisionamento na galeria de aplicativos, siga o tutorial para controlar os usuários existentes de um aplicativo por meio da etapa para confirmar que o Microsoft Entra ID tem usuários que correspondem aos usuários do aplicativo.
Para outros aplicativos que não têm uma interface de provisionamento, siga o tutorial para controlar os usuários de um aplicativo que não dá suporte ao provisionamento por meio da etapa para confirmar que a ID do Microsoft Entra tem usuários que correspondem aos usuários do aplicativo.

Quando o script do PowerShell fornecido nesses tutoriais for concluído, ele exibirá um erro se algum registro do aplicativo não estiver localizado na ID do Microsoft Entra. Caso nem todos os registros de usuários no armazenamento de dados do aplicativo possam ser localizados como usuários no Microsoft Entra ID, você precisará investigar quais registros não corresponderam e por quê, e então resolver o problema de correspondência usando uma das opções na próxima seção.

Opções para garantir que os usuários sejam associados entre o aplicativo e o Microsoft Entra ID.

Esta seção fornece várias opções para abordar os usuários não correspondentes no aplicativo. Com base nas metas da sua organização e nos problemas de dados entre a ID do Microsoft Entra e o aplicativo, selecione a opção apropriada para cada usuário. Pode não haver uma única opção que abrange todos os usuários em um aplicativo específico.

Opção	Atualizações necessárias antes do provisionamento
Excluir usuários de teste do aplicativo	Usuários no aplicativo
Excluir usuários dos aplicativos para pessoas que não fazem mais parte da organização	Usuários no aplicativo
Excluir usuários do aplicativo e recriá-los da ID do Microsoft Entra	Usuários no aplicativo
Atualizar a propriedade correspondente dos usuários no aplicativo	Usuários no aplicativo
Atualizar usuários no aplicativo com uma nova propriedade	Usuários no aplicativo
Alterar regras ou propriedades correspondentes quando o endereço de email não corresponder ao nome principal do usuário	Usuários no aplicativo ou na regra de correspondência de aplicativos do Microsoft Entra
Atualizar o atributo correspondente de usuários na ID do Microsoft Entra	Usuários no Microsoft Entra ID
Atualizar a sincronização do Microsoft Entra Connect ou as regras de provisionamento do Cloud Sync para sincronizar os usuários e atributos necessários	Microsoft Entra Connect Sync ou Microsoft Entra cloud Sync, que atualizará os usuários no Microsoft Entra ID
Atualizar usuários no Microsoft Entra ID com um novo atributo	Usuários do Microsoft Entra Identidade
Alterar regras de correspondência para um atributo diferente já povoado no Microsoft Entra ID	Regra de correspondência de aplicativos do Microsoft Entra
Criar usuários no Windows Server AD para usuários no aplicativo que precisam de acesso contínuo ao aplicativo	Usuários no Active Directory do Windows Server, que atualizarão os dados dos usuários no Microsoft Entra ID
Criar usuários no Microsoft Entra ID para usuários no aplicativo que precisam de acesso contínuo ao aplicativo	Usuários na ID do Microsoft Entra
Manter usuários separados e incompatíveis no aplicativo e na ID do Microsoft Entra	Nenhum

Excluir usuários de teste do aplicativo

Pode haver usuários de teste no aplicativo que sobraram de sua implantação inicial. Se houver usuários que não são mais necessários, eles poderão ser excluídos do aplicativo.

Excluir usuários dos aplicativos para pessoas que não fazem mais parte da organização

O usuário pode não estar mais afiliado à organização e não precisa mais de acesso ao aplicativo, mas ainda é um usuário na fonte de dados do aplicativo. Isso pode acontecer se o Administrador do Aplicativo omitiu para remover o usuário ou não foi informado de que a alteração era necessária. Se o usuário não for mais necessário, ele poderá ser excluído do aplicativo.

Excluir os usuários do aplicativo e recriá-los a partir do Microsoft Entra ID

Se o aplicativo não estiver atualmente em uso amplo ou não mantiver nenhum estado por usuário, outra opção é excluir usuários do aplicativo para que não haja mais usuários que não correspondam. Em seguida, à medida que os usuários solicitam ou recebem o aplicativo no Microsoft Entra ID, eles terão acesso provisionado.

Atualizar a propriedade correspondente dos usuários no aplicativo

Um usuário pode existir em um aplicativo e na ID do Microsoft Entra, mas o usuário no aplicativo está perdendo uma propriedade necessária para correspondência ou a propriedade tem o valor incorreto.

Por exemplo, quando um administrador SAP cria um usuário no SAP Cloud Identity Services usando o console de administração, o usuário pode não ter uma userName propriedade. No entanto, essa propriedade pode ser a usada para associação com usuários no Microsoft Entra ID. Se a propriedade userName for a destinada à correspondência, você precisará que o administrador do SAP atualize os usuários existentes do SAP Cloud Identity Services para que tenham o valor da propriedade userName.

Por outro exemplo, o Administrador do Aplicativo definiu o endereço de email do usuário como uma propriedade mail do usuário no aplicativo, quando o usuário foi adicionado pela primeira vez ao aplicativo. No entanto, posteriormente, o endereço de email da pessoa e userPrincipalName foi alterado na ID do Microsoft Entra. No entanto, se o aplicativo não exigisse o endereço de email ou o provedor de email tivesse um redirecionamento que permitisse que o endereço de email antigo continuasse sendo encaminhado, o Administrador do Aplicativo poderia ter perdido a necessidade mail de que a propriedade fosse atualizada na fonte de dados do aplicativo. Essa inconsistência pode ser resolvida pelo Administrador de Aplicativos alterando a mail propriedade nos usuários do aplicativo para ter um valor atual ou alterando a regra de correspondência, conforme descrito nas seções a seguir.

Atualizar usuários no aplicativo com uma nova propriedade

O sistema de gerenciamento de identidade anterior de uma organização pode ter criado usuários no aplicativo como usuários locais. Se a organização não tinha um único provedor de identidade na época, esses usuários no aplicativo não precisavam de nenhuma propriedade para serem correlacionadas com qualquer outro sistema. Por exemplo, um produto de gerenciamento de identidade anterior criou usuários em um aplicativo com base em uma fonte de RH autoritativa. Esse sistema de gerenciamento de identidade manteve a correlação entre os usuários criados no aplicativo com a origem de RH e não forneceu nenhum dos identificadores de origem de RH para o aplicativo. Posteriormente, ao tentar conectar o aplicativo a um locatário do Microsoft Entra ID preenchido a partir da mesma fonte de recursos humanos, o Microsoft Entra ID pode conter usuários para todas as mesmas pessoas que estão no aplicativo, mas a correspondência falha para todos os usuários porque não há uma propriedade comum.

Para resolver esse problema de correspondência, execute as etapas a seguir.

Selecione uma propriedade existente não utilizada de usuários no aplicativo ou adicione uma nova propriedade ao esquema do usuário no aplicativo.
Preencha essa propriedade em todos os usuários do aplicativo com dados de uma fonte confiável, como um número de ID de funcionário ou endereço de email, que já estão presentes nos usuários no Microsoft Entra ID.
Atualize a configuração de mapeamentos de atributos de provisionamento de aplicativos do Microsoft Entra para o aplicativo para que essa propriedade seja incluída na regra de correspondência.

Alterar regras ou propriedades correspondentes quando o endereço de email não corresponder ao nome principal do usuário

Por padrão, alguns dos mapeamentos do serviço de provisionamento do Microsoft Entra para aplicativos enviam o userPrincipalName atributo para corresponder a uma propriedade de endereço de email do aplicativo. Algumas organizações têm endereços de email primários para seus usuários que são distintos de seu nome principal de usuário. Se o aplicativo estiver armazenando o endereço de email como uma propriedade do usuário e não o userPrincipalName, você precisará alterar os usuários no aplicativo ou a regra correspondente.

Se você planeja usar a autenticação única da Microsoft Entra ID para o aplicativo, talvez queira alterar o aplicativo para adicionar uma propriedade ao usuário para armazenar o userPrincipalName. Em seguida, preencha essa propriedade em cada usuário no aplicativo com o userPrincipalName do usuário no Microsoft Entra ID e atualize a configuração de provisionamento de aplicativos do Microsoft Entra para que essa propriedade seja incluída nas regras de correspondência.
Se você não planeja usar o logon único do Microsoft Entra ID, uma alternativa é atualizar a configuração de mapeamentos de atributos de provisionamento de aplicativos do Microsoft Entra para corresponder a um atributo de endereço de email do usuário do Microsoft Entra na regra de correspondência.

Atualizar o atributo de correspondência de usuários no Microsoft Entra ID

Em algumas situações, o atributo usado para correspondência tem um valor desatualizado no usuário do Microsoft Entra ID. Por exemplo, uma pessoa alterou seu nome, mas a alteração de nome não foi feita no usuário da ID do Microsoft Entra.

Se o usuário foi criado e mantido exclusivamente na ID do Microsoft Entra, você deve atualizar o usuário para ter os atributos corretos. Se o atributo de usuário se originar em um sistema upstream, como o Windows Server AD ou uma fonte de RH, você precisará alterar o valor na origem upstream e aguardar a alteração ficar visível na ID do Microsoft Entra.

Atualizar a sincronização do Microsoft Entra Connect ou as regras de provisionamento do Cloud Sync para sincronizar os usuários e atributos necessários

Em algumas situações, um sistema de gerenciamento de identidade anterior preencheu usuários do Windows Server AD com um atributo apropriado que pode funcionar como um atributo correspondente com outro aplicativo. Por exemplo, se o sistema de gerenciamento de identidade anterior estiver conectado a uma fonte de RH, o usuário do AD terá um employeeId atributo preenchido por esse sistema de gerenciamento de identidade anterior com a ID do funcionário do usuário. Por outro exemplo, o sistema de gerenciamento de identidade anterior escreveu a ID de usuário exclusiva do aplicativo como um atributo de extensão no esquema do Windows Server AD. No entanto, se nenhum desses atributos tiver sido selecionado para sincronização na ID do Microsoft Entra ou se os usuários estiverem fora do escopo da sincronização com a ID do Microsoft Entra, a representação da ID do Microsoft Entra da comunidade de usuários poderá estar incompleta.

Para resolver esse problema, você precisa alterar a sincronização do Microsoft Entra Connect ou a configuração de sincronização de nuvem do Microsoft Entra para garantir que todos os usuários apropriados no Windows Server AD que também estão no aplicativo estejam no escopo para serem provisionados para a ID do Microsoft Entra e que os atributos sincronizados desses usuários incluam os atributos que serão usados para fins de correspondência. Se você estiver usando a sincronização do Microsoft Entra Connect, consulte Microsoft Entra Connect Sync: Configure filtering e Microsoft Entra Connect Sync: Directory extensions. Se você estiver usando a Sincronização de Nuvem do Microsoft Entra, consulte Mapa de Atributos em Sincronização de Nuvem do Microsoft Entra e extensões de diretório da Sincronização de Nuvem e mapeamento de atributos personalizados.

Atualizar usuários no Microsoft Entra ID com um novo atributo

Em algumas situações, o aplicativo pode conter um identificador exclusivo para o usuário que não está armazenado no esquema da ID do Microsoft Entra para o usuário. Por exemplo, se você estiver usando o SAP Cloud Identity Services, talvez queira que a ID de usuário do SAP seja o atributo correspondente ou, se estiver usando um sistema Linux, convém que a ID de usuário do Linux seja o atributo correspondente. No entanto, essas propriedades não fazem parte do esquema de usuário da ID do Microsoft Entra e, portanto, provavelmente não estão presentes em nenhum dos usuários na ID do Microsoft Entra.

Para usar um novo atributo para correspondência, execute as etapas a seguir.

Selecione um atributo de extensão não utilizado existente na ID do Microsoft Entra ou estenda o esquema de usuário do Microsoft Entra com um novo atributo.
Preencha esse atributo em todos os usuários na ID do Microsoft Entra com dados de uma fonte autoritativa, como o aplicativo ou um sistema de RH. Se os usuários forem sincronizados do Windows Server AD ou provisionados de um sistema de RH, talvez seja necessário fazer essa alteração nessa fonte upstream.
Atualize a configuração de mapeamentos de atributos de provisionamento de aplicativos do Microsoft Entra e inclua esse atributo na regra de correspondência.

Alterar regras de correspondência para um atributo diferente previamente preenchido na Microsoft Entra ID

As regras de correspondência padrão para aplicativos na galeria de aplicativos dependem de atributos que geralmente estão presentes em todos os usuários da ID do Microsoft Entra em todos os clientes da Microsoft, como userPrincipalName. Essas regras são adequadas para testes de uso geral ou para provisionamento em um novo aplicativo que atualmente não tem usuários. No entanto, muitas organizações podem já ter preenchido usuários da ID do Microsoft Entra com outros atributos relevantes para sua organização, como uma ID de funcionário. Se houver outro atributo adequado para correspondência, atualize a configuração de mapeamentos de atributos de provisionamento de aplicativos do Microsoft Entra e inclua esse atributo na regra de correspondência.

Configurar o provisionamento de entrada a partir de uma fonte de RH para o Microsoft Entra ID

Idealmente, as organizações que têm provisionado usuários em vários aplicativos de forma independente devem contar com identificadores comuns para usuários derivados de uma fonte autoritativa, como um sistema de RH. Muitos sistemas de RH têm propriedades que funcionam bem como identificadores, como employeeId elas podem ser tratadas como exclusivas para que nenhuma pessoa tenha a mesma ID de funcionário. Se você tiver uma origem de RH, como Workday ou SuccessFactors, trazer atributos como um ID de funcionário dessa origem pode muitas vezes fazer uma regra de correspondência adequada.

Para usar um atributo com valores obtidos de uma fonte autoritativa para correspondência, execute as etapas a seguir.

Selecione um atributo de esquema de usuário do Microsoft Entra ID apropriado ou estenda o esquema de usuário do Microsoft Entra com um novo atributo, cujos valores correspondem a uma propriedade equivalente de um usuário no aplicativo.
Certifique-se de que a propriedade também esteja presente em uma fonte de RH para todas as pessoas que possuem contas de usuário no Microsoft Entra ID e no aplicativo.
Configure o provisionamento de entrada dessa fonte de RH para o Microsoft Entra ID.
Aguarde até que os usuários na ID do Microsoft Entra sejam atualizados com novos atributos.
Atualize a configuração de mapeamentos de atributos de provisionamento de aplicativos do Microsoft Entra e inclua esse atributo na regra de correspondência.

Criar usuários no Windows Server AD para usuários no aplicativo que precisam de acesso contínuo ao aplicativo

Se houver usuários do aplicativo que não correspondam a uma pessoa em uma fonte de RH autoritativa, mas exigirão acesso a aplicativos baseados no Windows Server AD e aplicativos integrados à ID do Microsoft Entra no futuro, e sua organização está usando o Microsoft Entra Connect Sync ou o Microsoft Entra Cloud Sync para provisionar usuários do Windows Server AD para o Microsoft Entra ID, em seguida, você pode criar um usuário no Windows Server AD para cada um dos usuários que ainda não estavam presentes.

Se os usuários não precisarem de acesso a aplicativos baseados no Windows Server AD, crie os usuários na ID do Microsoft Entra, conforme descrito na próxima seção.

Criar usuários no Microsoft Entra ID para usuários no aplicativo que precisam de acesso contínuo ao aplicativo

Se houver usuários do aplicativo que não correspondam a uma pessoa em uma fonte de RH autoritativa, mas precisarão de acesso contínuo e serão regidos do Microsoft Entra, você poderá criar usuários do Microsoft Entra para eles. Você pode criar usuários em massa usando:

Um arquivo CSV, conforme descrito em Criação em massa de usuários no centro de administração do Microsoft Entra
O New-MgUser cmdlet

Verifique se esses novos usuários são preenchidos com os atributos necessários para que a ID do Microsoft Entra corresponda posteriormente aos usuários existentes no aplicativo e os atributos exigidos pela ID do Microsoft Entra, incluindo userPrincipalName, mailNicknamee displayName. O userPrincipalName deve ser único entre todos os usuários no diretório.

Criando usuários em massa usando o PowerShell

Esta seção mostra como interagir com o Microsoft Entra ID usando os cmdlets do Microsoft Graph PowerShell.

Na primeira vez que sua organização usar esses cmdlets nesse cenário, você precisará ter a função de Administrador global para permitir que o PowerShell do Microsoft Graph seja usado no seu locatário. Interações subsequentes podem usar uma função com privilégios inferiores, como Administrador de Usuário.

Se você já tiver uma sessão do PowerShell em que identificou os usuários no aplicativo que não estavam na ID do Microsoft Entra, continue na etapa 6 abaixo. Caso contrário, abra o PowerShell.
Se você ainda não tiver os módulos do PowerShell do Microsoft Graph instalados, instale o módulo Microsoft.Graph.Users e os demais usando este comando:
```
Install-Module Microsoft.Graph
```
Se você já tiver os módulos instalados, verifique se está usando uma versão recente:
```
Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
```

Conecte-se ao Microsoft Entra ID:

$msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All"

Se esta for a primeira vez que você usou esse comando, será necessário consentir para permitir que as ferramentas de Linha de Comando do Microsoft Graph tenham essas permissões.
Traga para o ambiente do PowerShell uma matriz de usuários do aplicativo, que também possui os campos que são atributos obrigatórios para o Microsoft Entra ID - o nome principal do usuário, o apelido de email e o nome completo do usuário. Esse script pressupõe que a matriz $dbu_not_matched_list contém os usuários do aplicativo que não foram correspondidos.
```
$filename = ".\Users-to-create.csv"
$bu_not_matched_list = Import-Csv -Path $filename -Encoding UTF8
```
Especifique em sua sessão do PowerShell quais colunas na matriz de usuários a serem criados correspondem às propriedades necessárias para a ID do Microsoft Entra. Por exemplo, é possível ter usuários em um banco de dados em que o valor na coluna EMail é o valor que você quer usar como o nome UPN do Microsoft Entra, o valor na coluna Alias contém o apelido de email do Microsoft Entra ID e o valor na coluna Full name contém o nome de exibição do usuário:
```
$db_display_name_column_name = "Full name"
$db_user_principal_name_column_name = "Email"
$db_mail_nickname_column_name = "Alias"
```

Abra o script a seguir em um editor de texto. Talvez seja necessário modificar esse script para adicionar os atributos do Microsoft Entra necessários para seu aplicativo ou, se $azuread_match_attr_name não for mailNickname ou userPrincipalName, para fornecer esse atributo do Microsoft Entra.

$dbu_missing_columns_list = @()
$dbu_creation_failed_list = @()
foreach ($dbu in $dbu_not_matched_list) {
   if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
       ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
       ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
      $params = @{
         accountEnabled = $false
         displayName = $dbu.$db_display_name_column_name
         mailNickname = $dbu.$db_mail_nickname_column_name
         userPrincipalName = $dbu.$db_user_principal_name_column_name
         passwordProfile = @{
           Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
         }
      }
      try {
        New-MgUser -BodyParameter $params
      } catch { $dbu_creation_failed_list += $dbu; throw }
   } else {
      $dbu_missing_columns_list += $dbu
   }
}

Cole o script resultante do editor de texto na sessão do PowerShell. Se ocorrerem erros, você deverá corrigi-los antes de prosseguir.

Manter usuários separados e incompatíveis no aplicativo e na ID do Microsoft Entra

Pode haver um usuário super administrador na fonte de dados do aplicativo que não corresponda a nenhuma pessoa específica na ID do Microsoft Entra. Se você não criar usuários do Microsoft Entra para eles, esses usuários não poderão ser gerenciados da ID do Microsoft Entra ou da Governança de ID do Microsoft Entra. Como esses usuários não poderão entrar com a ID do Microsoft Entra, portanto, se você estiver configurando o aplicativo para usar a ID do Microsoft Entra como um provedor de identidade, verifique se esses usuários estão fora do escopo do uso da ID do Microsoft Entra para autenticação.

Exportar novamente usuários

Depois de fazer atualizações para usuários do Microsoft Entra, usuários no aplicativo ou regras de correspondência de aplicativos do Microsoft Entra, você deve exportar novamente e executar o procedimento correspondente para seu aplicativo novamente, para garantir que todos os usuários estejam correlacionados.

Se você estiver usando o SAP Cloud Identity Services, siga o tutorial de provisionamento do SAP Cloud Identity Services a partir da etapa para garantir que os usuários existentes do SAP Cloud Identity Services tenham os atributos de correspondência necessários. Nesse tutorial, você exporta uma lista de usuários do SAP Cloud Identity Services para um arquivo CSV e, em seguida, usa o PowerShell para corresponder esses usuários aos usuários na ID do Microsoft Entra.
Se o aplicativo estiver usando um diretório LDAP, siga o tutorial de provisionamento de diretório LDAP começando na etapa para coletar usuários existentes do diretório LDAP.
Para outros aplicativos, incluindo os aplicativos com um banco de dados SQL ou que têm suporte de provisionamento na galeria de aplicativos, siga o tutorial para controlar os usuários existentes de um aplicativo a partir da etapa para coletar usuários existentes do aplicativo.

Atribuir usuários a funções de aplicativo e habilitar o provisionamento

Depois de concluir as atualizações necessárias e confirmar que todos os usuários do aplicativo correspondem aos usuários na ID do Microsoft Entra, você deve atribuir os usuários na ID do Microsoft Entra que precisam de acesso ao aplicativo à função de aplicativo do Microsoft Entra e habilitar o provisionamento para o aplicativo.

Se você estiver usando o SAP Cloud Identity Services, continue o tutorial de provisionamento do SAP Cloud Identity Services começando na etapa para garantir que os usuários existentes do Microsoft Entra tenham os atributos necessários.

Próximas Etapas

Comentários

Esta página foi útil?

Last updated on 2026-03-31