Správa uživatelů synchronizovaných z Doména služby Active Directory Services do Microsoft Entra ID s pracovními postupy životního cyklu
Pracovní postupy životního cyklu podporují řízení životního cyklu identit pro uživatelské účty synchronizované z Doména služby Active Directory Services (AD DS) do Microsoft Entra ID. U pracovních postupů životního cyklu je nezbytné, aby uživatelský účet existoval v ID Microsoft Entra, ale způsob vytvoření účtu nebo způsob provádění změn souvisejících s životním cyklem účtu, hraje vedlejší roli při zpracování pracovních postupů a přidružených úloh pro uživatelský účet. Tato podpora zahrnuje účty a změny provedené prostřednictvím možností, jako je zřizování řízené personálním oddělením, rozhraní Microsoft Graph API, portál pro správu Microsoft Entra a změny synchronizované službou Microsoft Entra Connect a Microsoft Cloud Sync.
Následující tabulka uvádí běžné scénáře automatizace pro synchronizované uživatele ze služby AD DS pomocí zásad správného řízení ID Microsoft Entra:
| Scénář automatizace | Řešení zásad správného řízení pro Microsoft Entra ID |
|---|---|
| Vytvoření uživatelského účtu ve službě Doména služby Active Directory Services | Zřizování řízené personálním oddělením |
| Zadání počátečních přihlašovacích údajů nebo hesla pro uživatelské účty | K nastavení přihlašovacích údajů bez hesla je možné použít vygenerování dočasného přístupového passu a odeslat e-mailem úlohu správce uživatele. K nastavení běžného hesla služby Active Directory můžete použít samoobslužné resetování hesla Microsoft Entra. |
| Přiřazení licencí | K přiřazení licencí je možné použít úlohu Přiřadit licence k pracovnímu postupu životního cyklu uživatele . Licence můžete přiřadit také uživatelům prostřednictvím skupiny. |
| Udělení přístupu uživatelům k aplikacím založeným na skupinách služby Active Directory | Řízení přístupu k aplikacím místní Active Directory (Kerberos) |
| Aktualizace atributů uživatelů ve službě Active Directory při přesouvání organizací | Filtry oborů plánu a mapování atributů |
| Přesun uživatelů do různých organizačních jednotek při přesouvání organizací | Konfigurace přiřazení kontejneru organizační jednotky služby Active Directory |
| Zakázání uživatelů za poslední den | Úkol Zakázat životní cyklus životního cyklu uživatelského účtu lze použít k zakázání uživatelského účtu v poslední den. |
| Odstranění uživatelů v nastaveném počtu dnů po ukončení | Úkol Odstranit pracovní postup životního cyklu uživatele lze použít v šabloně pracovního postupu k odstranění uživatelů s nastaveným počtem dnů po ukončení. |
V tomto článku se dozvíte, co je potřeba zvážit, pokud chcete použít pracovní postupy životního cyklu pro uživatelské účty synchronizované ze služby AD DS do Microsoft Entra ID.
Podmínky provádění pracovního postupu s uživateli synchronizovanými ze služby Doména služby Active Directory Services (AD DS) do Microsoft Entra ID
Pracovní postupy životního cyklu se zpracovávají pro uživatelské účty, když splňují podmínky provádění pracovního postupu. Spouštění podmínek se skládá z triggeru a oboru. Trigger popisuje událost, která se vyskytuje pro uživatelský účet. Obor umožňuje dále definovat, pro koho pracovní postup běží, když dojde k události.
Triggery pracovního postupu
Následující tabulka uvádí, co by se mělo při použití s uživateli synchronizovanými ze služby AD DS zvážit pro každý trigger pracovního postupu:
| Trigger pracovního postupu | Požadavky |
|---|---|
| Změny atributů | Pokud se atributy synchronizují, není potřeba žádná další konfigurace. Informace o synchronizovanýchatributch Při změně ve službě Active Directory je potřeba provést synchronizaci prostřednictvím synchronizace Microsoft Entra Cloud Sync nebo Microsoft Entra Connect Sync, aby bylo možné provést změny z pracovních postupů životního cyklu. |
| Členství ve skupinách | Protože se podporuje jakýkoli typ skupiny, nevyžaduje se žádná další konfigurace. Pokud skupina pochází ze služby Active Directory, musí se synchronizovat s Microsoft Entra. Synchronizace Microsoft Entra Cloud Sync nebo Microsoft Entra Connect Sync musí proběhnout před vyzvednutím změn z pracovních postupů životního cyklu. |
| Na vyžádání | Není potřeba žádná další konfigurace. |
| Na základě času | employeeHireDate, employeeLeaveDateTime: Tyto atributy musí být před používáním synchronizovány. Další informace o tomto procesu najdete v tématu: Jak synchronizovat atributy pracovních postupů životního cyklu. createdDateTime: Nevyžaduje se žádná další konfigurace. Toto datum je den, kdy se uživatelský účet synchronizuje s ID Microsoft Entra, ne při jejich vytvoření v rámci služby Active Directory. |
Vymezení rozsahu pracovního postupu
Pro atributy uživatele používané v rámci možností oborů pracovního postupu není potřeba žádná další konfigurace, pokud jsou vybrané atributy již synchronizovány. Informace o synchronizovanýchatributch Při změně ve službě Active Directory je potřeba provést synchronizaci prostřednictvím synchronizace Microsoft Entra Cloud Sync nebo Microsoft Entra Connect Sync, aby bylo možné provést změny z pracovních postupů životního cyklu.
Úlohy pracovního postupu pro uživatele synchronizované z Doména služby Active Directory Services do Microsoft Entra ID
Všechny úlohy pracovního postupu životního cyklu fungují pro cloud i synchronizované ze služby Active Directory, uživatelé mimo omezení uvedená na konkrétních úkolech dále v tomto článku. Další informace o všech úlohách pracovního postupu životního cyklu najdete v tématu: Předdefinované úlohy pracovního postupu životního cyklu.
Úkoly pro řízení členství ve skupinách
Scénář: Při synchronizaci uživatelů ze služby AD DS do Microsoft Entra ID můžete přidávat nebo odebírat uživatele z cloudových skupin zabezpečení prostřednictvím úloh skupiny pracovního postupu životního cyklu. To vám umožní řídit členství ve skupinách synchronizovaných uživatelů v cloudu a také tuto skupinu přidat zpět do služby Active Directory pomocí zpětného zápisu skupiny Microsoft Entra Cloud Sync.
U skupin, které jsou synchronizované ze služby AD DS do Microsoft Entra ID, byste nemohli používat úlohy skupiny pracovních postupů životního cyklu, jak je uvedeno ve scénáři. Zásady správného řízení id Microsoft Entra se ale dají použít k řízení přístupu k aplikacím místní Active Directory (Kerberos) pomocí skupin z cloudu, které jsou podporovány v rámci pracovních postupů životního cyklu.
Úlohy uživatelského účtu
Pro úlohy pracovního postupu životního cyklu se vyžaduje další konfigurace, aby bylo možné povolit, zakázat a odstranit uživatelské účty pro práci se synchronizovanými ze služby AD DS. Před konfigurací úloh pro provádění akcí ve službě Active Directory je nutné splnit následující požadavky.
- Ve vašem prostředí musíte mít nainstalovaného agenta zřizování Microsoft Entra. Požadavky na instalaci agenta zřizování Microsoft Entra najdete v tématu: Požadavky agenta zřizování cloudu. Podrobný průvodce instalací agenta Microsoft Entra Provisioning najdete v tématu: Instalace agenta Microsoft Entra Provisioning. Během instalace zvolte "zřizování řízené hrou / Microsoft Entra Connect Sync" jako "konfigurace rozšíření". Nemusíte přidávat žádné další konfigurace pro agenta zřizování, jako je konfigurace cloudové synchronizace, a agenta zřizování můžete nainstalovat i v případě, že pro synchronizaci uživatelů aktuálně používáte Microsoft Entra Connect Sync.
Poznámka:
Nainstalovaný agent zřizování musí mít alespoň verzi 1.1.1586.0, která byla vydána 13. května 2024.
Ujistěte se, že účet spravované služby (gMSA) skupiny používaný agentem zřizování má příslušná oprávnění k provádění operací s uživatelskými účty.
Pokud chcete odstranit uživatelské účty, musíte povolit koš služby Active Directory. Podrobný průvodce povolením koše najdete v tématu: Koš služby Active Directory krok za krokem.
Podrobný průvodce nastavením příznaku tak, aby se úlohy uživatelského účtu spouštěly pro uživatele synchronizované ze služeb Doména služby Active Directory, najdete v tématu: Správa synchronizovaných ze služby Doména služby Active Directory Services (AD DS) s pracovními postupy.