Příprava uživatelských účtů pro kurzy pracovních postupů životního cyklu

V případě onboardingu a offboardingu potřebujete účty, pro které se pracovní postupy spouští. Tato část vám pomůže připravit tyto účty, pokud už máte testovací účty, které splňují následující požadavky, můžete přejít přímo na kurzy on-boardingu a off-boardingu. Pro kurzy onboardingu jsou vyžadovány dva účty, jeden účet pro nové zaměstnance a jiný účet, který funguje jako manažer nového zaměstnance. Nový účet hire musí mít nastavené následující atributy:

• employeeHireDate musí být nastaven na dnešek.
• oddělení musí být nastaveno na prodej.
• musí být nastaven atribut správce a účet správce by měl mít poštovní schránku pro příjem e-mailu.

Off-boarding tutorials vyžaduje pouze jeden účet, který má členství ve skupině a Teams, ale účet se odstraní během kurzu.

Požadavky

Použití této funkce vyžaduje zásady správného řízení Microsoft Entra ID nebo licence sady Microsoft Entra Suite. Informace o tom, jak najít správnou licenci pro vaše požadavky, najdete v tématu Základy licencování zásad správného řízení microsoftu Entra ID.

• Tenant Microsoft Entra
• Účet správce s příslušnými oprávněními pro tenanta Microsoft Entra. Tento účet slouží k vytváření uživatelů a pracovních postupů.

Než začnete

Ve většině případů se uživatelům zřídí ID Microsoft Entra buď z místního řešení (například Microsoft Entra Connect nebo synchronizace cloudu), nebo s řešením personálního oddělení. Tito uživatelé mají atributy a hodnoty vyplněné při vytváření. Nastavení infrastruktury pro zřizování uživatelů je mimo rozsah tohoto kurzu. Informace najdete v tématu Kurz: Základní prostředí služby Active Directory a kurz: Integrace jedné doménové struktury s jedním tenantem Microsoft Entra.

Vytvoření uživatelů v Microsoft Entra ID

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Graph Explorer používáme k rychlému vytvoření dvou uživatelů potřebných ke spuštění pracovních postupů životního cyklu v kurzech. Jeden uživatel představuje našeho nového zaměstnance a druhý představuje nadřízený nového zaměstnance.

Musíte upravit POST a nahradit <název vašeho tenanta v> této části názvem vašeho tenanta. Příklad: $UPN_manager = "bsimon@<názvový název tenanta"> pro $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Poznámka:

Mějte na paměti, že pracovní postup se neaktivuje, když je datum přijetí zaměstnance (dny od události) před datem vytvoření pracovního postupu. ZaměstnanecHiredate musíte nastavit v budoucnu podle návrhu. Data použitá v tomto kurzu jsou snímky v čase. Proto byste měli data odpovídajícím způsobem změnit tak, aby vyhovovala této situaci.

Nejdřív vytvoříme našeho zaměstnance, Melva Prince.

1. Teď přejděte do Graph Exploreru.
2. Přihlaste se k Graph Exploreru pomocí účtu správce uživatele pro vašeho tenanta.
3. Nahoře změňte GET na POST a přidejte https://graph.microsoft.com/v1.0/users/ ho do pole.
4. Zkopírujte následující kód do textu požadavku.
5. Nahraďte <your tenant here> v následujícím kódu hodnotu vašeho tenanta Microsoft Entra.
6. Výběr dotazu Spustit
7. Zkopírujte ID, které se vrátí ve výsledcích. Použije se později k přiřazení manažera.

{
  "accountEnabled": true,
  "displayName": "Melva Prince",
  "mailNickname": "mprince",
  "department": "sales",
  "mail": "mprince@<your tenant name here>",
  "employeeHireDate": "2022-04-15T22:10:00Z",
  "userPrincipalName": "mprince@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "<Generated Password>"
  }
}

Dále vytvoříme Britta Simona. Tento účet se používá jako náš nadřízený.

1. Stále v Graph Exploreru.
2. Ujistěte se, že je nahoře nastavená hodnota POST a https://graph.microsoft.com/v1.0/users/ že je v poli.
3. Zkopírujte následující kód do textu požadavku.
4. Nahraďte <your tenant here> v následujícím kódu hodnotu vašeho tenanta Microsoft Entra.
5. Výběr dotazu Spustit
6. Zkopírujte ID, které se vrátí ve výsledcích. Toto ID se použije později k přiřazení manažera.

   {
     "accountEnabled": true,
     "displayName": "Britta Simon",
     "mailNickname": "bsimon",
     "department": "sales",
     "mail": "bsimon@<your tenant name here>",
     "employeeHireDate": "2021-01-15T22:10:00Z",
     "userPrincipalName": "bsimon@<your tenant name here>",
     "passwordProfile" : {
       "forceChangePasswordNextSignIn": true,
       "password": "<Generated Password>"
     }
   }
   

Poznámka:

Musíte změnit <název vašeho tenanta v této> části kódu tak, aby odpovídal vašemu tenantovi Microsoft Entra.

Jako alternativu můžete také použít následující skript PowerShellu k rychlému vytvoření dvou uživatelů potřebných k provedení pracovního postupu životního cyklu. Jeden uživatel představuje našeho nového zaměstnance a druhý představuje nadřízený nového zaměstnance.

Důležité

Následující skript PowerShellu je k dispozici k rychlému vytvoření dvou uživatelů potřebných pro tento kurz. Tyto uživatele je možné vytvořit také v Centru pro správu Microsoft Entra.

Pokud chcete tento krok vytvořit, uložte následující skript PowerShellu do umístění na počítači, který má přístup k Azure.

Dále musíte upravit skript a nahradit <název vašeho tenanta v> této části názvem vašeho tenanta. Příklad: $UPN_manager = "bsimon@<názvový název tenanta"> pro $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Tuto akci musíte provést pro $UPN_employee i $UPN_manager.

Po úpravě skriptu ho uložte a postupujte takto:

1. Otevřete příkazový řádek Windows PowerShellu s oprávněními správce z počítače, který má přístup k Centru pro správu Microsoft Entra.
2. Přejděte do uloženého umístění skriptu PowerShellu a spusťte ho.
3. Pokud se při instalaci modulu PowerShellu zobrazí výzva k výběru možnosti Ano všem.
4. Po zobrazení výzvy se přihlaste do Centra pro správu Microsoft Entra pomocí globálního správce vašeho tenanta.

#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables

$Displayname_employee = "Melva Prince"
$UPN_employee = "mprince<your tenant name here>"
$Name_employee = "mprince"
$Password_employee = "Pass1w0rd"
$EmployeeHireDate_employee = "04/10/2022"
$Department_employee = "Sales"
$Displayname_manager = "Britta Simon"
$Name_manager = "bsimon"
$Password_manager = "Pass1w0rd"
$Department = "Sales"
$UPN_manager = "bsimon@<your tenant name here>"

Install-Module -Name AzureAD
Connect-MgGraph -Confirm

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "<Password>"
New-MgUser -DisplayName $Displayname_manager  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_manager -AccountEnabled $true -MailNickName $Name_manager -Department $Department
New-MgUser -DisplayName $Displayname_employee  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_employee -AccountEnabled $true -MailNickName $Name_employee -Department $Department

Po úspěšném vytvoření uživatele nebo uživatelů v Microsoft Entra ID můžete pokračovat v kurzech pracovních postupů životního cyklu pro vytvoření pracovního postupu.

Další kroky pro předpřipravený scénář

Při testování zprovoznění uživatelů ve vaší organizaci pomocí pracovních postupů životního cyklu pomocí kurzu Centra pro správu Microsoft Entra nebo zprovoznění uživatelů ve vaší organizaci pomocí pracovních postupů životního cyklu s kurzem Microsoft Graphu byste měli mít na paměti některé další kroky.

Úprava atributů uživatelů pomocí Centra pro správu Microsoft Entra

Některé atributy potřebné pro předpřipravení kurzu jsou zpřístupněny prostřednictvím Centra pro správu Microsoft Entra a je možné je nastavit tam.

Jsou to tyto atributy:

Atribut	Popis	Napadnout
pošta	Slouží k oznámení nadřízeným o dočasném přístupu pro nové zaměstnance.	Manažer
manager	Tento atribut používaný pracovním postupem životního cyklu	Zaměstnanec

V tomto kurzu je potřeba nastavit atribut pošty jenom pro účet správce a atribut manažera nastavený na účet zaměstnance. Použijte následující postup:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce uživatelů.
2. Přejděte k >identitě>Uživatelé>všichni uživatelé.
3. Vyberte Melvu Prince.
4. Nahoře vyberte Upravit.
5. V části nadřízený vyberte Změnit a Vybrat Britta Simon.
6. V horní části vyberte Uložit.
7. Vraťte se k uživatelům a vyberte Britta Simon.
8. Nahoře vyberte Upravit.
9. V části E-mail zadejte platnou e-mailovou adresu.
10. Zvolte Uložit.

Upravit employeeHireDate

Atribut employeeHireDate je pro Microsoft Entra ID novinkou. Není přístupný prostřednictvím uživatelského rozhraní a musí se aktualizovat pomocí Graphu. K úpravě tohoto atributu můžeme použít Graph Explorer.

Poznámka:

Mějte na paměti, že pracovní postup se neaktivuje, když je datum přijetí zaměstnance (dny od události) před datem vytvoření pracovního postupu. V budoucnu je nutné nastavit employeeHireDate návrh. Data použitá v tomto kurzu jsou snímky v čase. Proto byste měli data odpovídajícím způsobem změnit tak, aby vyhovovala této situaci.

Abychom to mohli udělat, musíme získat ID objektu pro našeho uživatele Melva Prince.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce uživatelů.

2. Přejděte k >identitě>Uživatelé>všichni uživatelé.

3. Vyberte Melvu Prince.

4. Vyberte znaménko kopírování vedle ID objektu.

5. Teď přejděte do Graph Exploreru.

6. Přihlaste se k Graph Exploreru pomocí účtu globálního správce vašeho tenanta.

7. Nahoře změňte GET na PATCH a přidejte https://graph.microsoft.com/v1.0/users/<id> ho do pole. Nahraďte <id> hodnotou, kterou jsme předtím zkopírovali.

8. Zkopírujte následující text do textu požadavku a vyberte Spustit dotaz.

   {
   "employeeHireDate": "2022-04-15T22:10:00Z"
   }
   

   

9. Změnu ověřte tak, že změníte patch zpět na GET a v1.0 na beta. Vyberte Spustit dotaz. Měly by se zobrazit atributy pro sadu Melva.
   

Úprava atributu manažera na účtu zaměstnance

Atribut správce se používá pro úlohy e-mailových oznámení. E-mailem pošle nadřízený dočasné heslo pro nového zaměstnance. Pomocí následujícího postupu se ujistěte, že uživatelé Microsoft Entra mají hodnotu pro atribut správce.

1. Stále v Graph Exploreru.

2. Ujistěte se, že horní část je pořád nastavená na PUT a https://graph.microsoft.com/v1.0/users/<id>/manager/$ref je v poli. Přejděte <id> na ID Melva Prince.

3. Zkopírujte následující kód do textu požadavku.

4. Nahraďte <managerid> v následujícím kódu hodnotou Britta Simons ID.

5. Výběr dotazu Spustit

   {
     "@odata.id": "https://graph.microsoft.com/v1.0/users/<managerid>"
   }
   

   

6. Teď můžeme ověřit, jestli je správce správně nastavený, a to tak, že změníme put na GET.

7. Ujistěte se, že https://graph.microsoft.com/v1.0/users/<id>/manager/ je v poli. Pořád <id> je to melva Prince.

8. Vyberte Spustit dotaz. V odpovědi by se měla vrátit Britta Simon.

   

Další informace o aktualizaci informací o správci pro uživatele v rozhraní Graph API najdete v dokumentaci k přiřazení správce . Tento atribut můžete také nastavit v Centru pro správu Azure. Další informace najdete v tématu přidání nebo změna informací o profilu.

Povolení dočasného přístupového passu (TAP)

Dočasný přístupový pass je časově omezený průchod vydaný správcem, který splňuje požadavky silného ověřování.

V tomto scénáři používáme tuto funkci ID Microsoft Entra k vygenerování dočasného přístupu pro našeho nového zaměstnance. Je to e-mailem manažerovi zaměstnance.

Pokud chcete tuto funkci použít, musí být povolená v našem tenantovi Microsoft Entra. Pokud chcete tuto funkci povolit, postupujte následovně.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.
2. Přejděte k metodám>ověřování ochrany>– Dočasný přístup
3. Výběrem možnosti Ano povolíte zásadu a přidáte Britta Simon a vyberete, kteří uživatelé zásadu použili, a všechna obecná nastavení.

Důležité informace o scénáři leaveru

Při testování kurzů pro uživatele mimo vaši organizaci pomocí pracovních postupů životního cyklu v Centru pro správu Microsoftu nebo v Microsoft Graphu byste měli vědět o dalších krocích.

Nastavení uživatelů se skupinami a Teams s členstvím v týmu

Uživatel se skupinami a členstvím v Teams se vyžaduje před zahájením kurzů pro scénář opuštění.

Další kroky

• On-boarding users to your organization using Lifecycle workflows with the Microsoft Entra admin center
• On-boarding users to your organization using Lifecycle workflows with Microsoft Graph
• Kurz: Off-boarding users from your organization using Lifecycle workflows with The Microsoft Entra admin center
• Kurz: Off-boarding users from your organization using Lifecycle workflows with Microsoft Graph