» 首页 » 管理配置(新界面) » 用户和权限 » 自定义小部件 » AI 助手自定义小部件

Microsoft Entra ID(Azure AD)用户同步

ServiceDesk Plus 允许您根据特定条件从 Microsoft Entra ID(Azure AD)导入用户。您可以将 Azure AD 用户字段与 ServiceDesk Plus 字段进行映射,以导入特定的用户详细信息。

您还可以将 Microsoft Entra ID 中已删除的用户自动同步到 ServiceDesk Plus。

所需角色:用于 ESM 设置的 Organization Admin;用于非 ESM 设置的 SDAdmin

您可以将来自多个租户的用户导入到应用程序中。每个租户都必须具有单独的应用注册。

ServiceDesk Plus 仅通过 API 从 Azure 读取用户信息,不会修改 Azure 中的数据。     

请对已配置 Microsoft Entra ID 同步的域禁用 AD 导入

 

先决条件  

配置 Microsoft Entra ID

要从 Azure AD 获取用户和组信息,请创建具有所需权限的应用注册。请按照以下步骤注册应用程序。

所需角色:全局管理员

  • 登录 Azure
  • 在左侧窗格中,选择 Microsoft Entra ID
  • 在 Microsoft Entra ID 页面中,从左侧窗格选择 应用注册,然后单击 新注册

 

  • 为应用程序提供名称。
  • 选择应用程序支持的帐户类型。这决定了谁可以访问该应用程序。
 请注意,要从 Entra ID 同步用户,必须选择仅限此组织目录中的帐户选项。 
  • 单击 注册 以保存应用程序。

  • 在已注册的应用程序中,您可以在 ServiceDesk Plus 中找到客户端 ID 和令牌 URL。
    • 客户端 ID:概述部分中的应用程序 ID
    • 令牌 URL:位于 概述 > 终结点 下的OAuth 2.0 令牌终结点 (v2)

 

  • 要获取客户端密钥,请转到 证书和密码 > 客户端密码 > 新建客户端密码。
  • 为客户端密钥提供说明并选择其有效期。
  • 单击 添加

  • 在已注册的应用程序中更新用户同步所需的权限:
    • 转到 API 权限 并单击 添加权限
    • 选择 Microsoft Graph > 应用程序权限
    • 添加权限 User.Read.All Group.Read.All
    • 为添加的权限授予管理员同意。
 设置条件时,如需列出 Azure 用户组,则需要 Group.Read.All  权限。如果您不需要基于组的条件,则不需要此权限。 


 

配置用户同步 

对于 ESM 设置,请在 ESM Directory > 用户管理 > Microsoft Entra ID(Azure AD) 下设置 Microsoft Entra ID 集成以进行用户同步。

对于非 ESM 设置,请在 管理 > 用户和权限 下访问 Microsoft Entra ID(Azure AD) 

请按照以下步骤配置从 Microsoft Entra ID 导入用户:

步骤 1:添加域

添加要从 Microsoft Entra ID 同步用户的域。您可以为多个域设置不同的字段映射和用户导入条件。

  • 转到 ServiceDesk Plus 中的 Microsoft Entra ID(Azure AD)页面。
  • 在域详细信息下,单击 添加新域
  • 在“添加域”弹出窗口中,输入以下详细信息:
    • 域名:域的名称。
    • 客户端 ID:Azure 应用程序 ID
    • 客户端密钥:Azure 中的客户端密钥值。
    • 令牌 URL: 用于获取访问令牌的 Azure 终结点链接。
    • Graph 终结点:指定所使用的 Microsoft Graph API URL。了解更多
  • 单击 保存测试连接

 

 

请参阅此处以从 Azure 获取客户端 ID、客户端密钥和令牌 URL。

测试连接成功后,添加域弹出窗口中将显示 字段映射用户导入设置 部分。

 

步骤 2:字段映射

在“添加域”弹出窗口中映射用于从 Microsoft Entra ID 同步的用户详细信息字段。

  • 在显示的下拉字段中,选择 ServiceDesk Plus 字段并将其映射到 Microsoft Entra ID 中对应的用户字段。
  • 从 ServiceDesk Plus 列中选择字段名称后,相关的 Microsoft Entra ID 字段将自动映射。您可以根据需要更改 Microsoft Entra ID 字段的映射。
  • 使用 图标添加或删除字段。

 

 名称登录名字段是获取 Azure 用户所必需的,不能删除 。

汇报对象字段只能映射到 Azure AD 中的 manager 字段。 

 Object IDuserPrincipalName、 onPremisesUserPrincipalNameonPremisesDomainNameonPremisesSamAccountName 默认会被导入。 

其他字段也可用于 ServiceDesk Plus 中的字段映射。

 

步骤 3:用户导入设置

在“添加域”弹出窗口中,安排用户导入以进行定期同步,或手动导入用户。

  • 计划导入
    • 计划配置选项卡中,选择按条件或不按条件导入用户。
    • 无条件:在计划时间自动导入所有用户。
    • 基于条件:根据指定条件导入用户。从可用的下拉列表中选择条件。

  • 手动导入
    • 导入一次 选项卡中,在文本框中输入用户的 User Principal Name。一次最多可导入五个用户。 
    • 单击 立即导入。此导入将立即执行,无需任何计划安排,并会显示已添加、已覆盖和失败记录的数量。

添加新用户时,用户的经理也会自动作为用户一并包含。要防止这种情况,请在“字段映射”部分中删除 manager 字段。

更改字段映射或用户导入条件时,下一次增量同步将启动全量导入。

步骤 4:为导入的用户设置本地身份验证密码   

为从 Microsoft Entra ID 导入的用户设置默认本地身份验证密码。用户首次登录后可以更改此密码。

  • 在 ServiceDesk Plus 的 Microsoft Entra ID(Azure AD)页面中,将鼠标悬停在本地身份验证密码部分上,然后单击编辑
  • 为每个用户生成随机密码或设置预定义密码。
  • 单击 保存

 请确保预定义密码符合所有密码策略要求。 
 用户将通过电子邮件收到其密码详细信息。请在 管理 > 自动化 > 通知规则 > 请求 > 发送自助服务登录详细信息 下为用户配置电子邮件通知。
 您可以要求用户在首次登录后更新默认密码。非 ESM 设置下路径为 管理 > 安全设置 > 密码策略;ESM 设置下路径为 ESM Directory > 安全设置 > 密码策略
为 AD 导入用户设置的本地身份验证密码也适用于从 CSV 文件导入的用户。

 

步骤 5:计划 Microsoft Entra ID 导入  

计划用户导入以定期同步用户详细信息。用户及其详细信息通过以下两种方式与 ServiceDesk Plus 同步:

  • 全量导入:同步所有用户数据。
  • 增量导入:每小时同步已更新的用户详细信息和新添加的用户帐户。

启用计划后,将自动启用全量导入和增量导入。要启用导入计划,

  • 在 ServiceDesk Plus 的 Microsoft Entra ID(Azure AD)页面中,将鼠标悬停在导入计划字段上,然后单击编辑
  • 使用复选框启用计划并指定导入频率。
  • 设置计划的开始日期和时间。
  • 单击 保存

 

用户将按照计划导入,用户信息每小时更新一次。您可以在导入计划部分查看上次导入时间和下次计划时间。 

导入摘要将通过铃铛通知发送给 Organization Admin(用于 ESM 设置)和 SDAdmins(用于非 ESM 设置)。可在 下查看,并将显示已添加、已更新和失败用户的数量。此外,还将附带一个包含失败用户 User Principal Name 的 CSV 文件。

如果满足特定条件,用户帐户可能会被覆盖。了解更多
在增量同步期间,仅会将导入失败通知 SDAdmin/Organization Admin。 
 请至少每 30 天执行一次全量同步,以确保用户详细信息保持最新。 

 

步骤 6:同步来自 Active Directory 的已删除用户  

配置当用户在 Microsoft Entra ID 中被删除时,ServiceDesk Plus 中用户数据的处理方式。

您可以选择自动或手动删除用户。已删除用户将在配置的全量导入计划期间与 ServiceDesk Plus 同步。

要配置已删除用户的同步,

  • 在 ServiceDesk Plus 的 Microsoft Entra ID(Azure AD)页面中,将鼠标悬停在同步已删除用户部分上,然后单击编辑
  • 选择您的删除方式:自动或手动。请注意,自动删除仅适用于非技术人员用户。
  • 单击 保存

如果选择手动删除,SDAdmin/Organization Admin 将收到铃铛通知,单击通知后将显示已删除用户列表。

如果选择自动删除,

  • 非技术人员将被自动删除,并且会向 SDAdmin/Organization Admin 发送一条指示已删除用户数量的铃铛通知。单击该通知将打开系统日志,其中包含一个带有已删除用户信息的 CSV 文件。
  • 技术人员不会被自动删除。相反,SDAdmin/Organization Admin 将收到铃铛通知,单击通知后将显示已删除用户列表。

此外,已删除用户列表的链接将显示在 ServiceDesk Plus 的 Microsoft Entra ID 页面上,以及 管理 > 用户和权限 > 用户/技术人员 选项卡下。SDAdmin/Organization Admin 可以在从 ServiceDesk Plus 中删除用户之前查看该列表。

身份验证

使用 SAML SSO 对导入的 Entra ID 用户进行身份验证 - https://pitstop.manageengine.com/portal/en/kb/articles/configuring-saml-with-azure-ad-9-8-2020

 覆盖用户的条件  

在以下情况下,用户将被覆盖:

  • Azure 用户的 ObjectID 与现有用户匹配。
  • Azure 用户的 onPremisesUserPrincipalName onPremisesImmutableId 分别与现有用户的 userPrincipalNamelookup_guid 匹配。
  • Azure 用户的 OnPremiseDomainName OnPremiseSamAccountName 与现有用户的域名和登录名匹配。
  • Azure 用户的登录名和域名与现有用户的登录名和域名匹配。
  • Azure 用户的登录名与现有用户的登录名匹配,但该域未与该用户关联。
  • 已启用基于电子邮件 ID 覆盖用户信息,并且 Azure 用户的电子邮件 ID 与现有用户的电子邮件 ID 匹配。
 此选项可在非 ESM 设置的 常规设置 > 高级门户设置 下启用/禁用,在 ESM 设置的 ESM Directory > 常规设置 > 应用设置 下启用/禁用。 

如果以上条件均不满足,则将为 Azure 用户创建一个新帐户。

 onPremisesUserPrincipalNameonPremisesImmutableIdOnPremiseDomainNameOnPremiseSamAccountName 字段仅适用于从本地 Active Directory 同步的用户,才会在 Microsoft Entra ID 中可用。


请参阅以下 Microsoft 文档,详细了解如何从本地 Active Directory 同步用户: 

 添加从 AD 到 Microsoft Entra ID 的属性映射   

 将单个林与单个 Microsoft Entra 租户集成