Compartir a través de


Planificar una implementación de Flujos de trabajo de ciclo de vida

Los Flujos de trabajo de ciclo de vida ayudan a su organización a administrar los usuarios de Microsoft Entra al aumentar la automatización. Con los Flujos de trabajo del ciclo de vida, puede:

  • Ampliar el proceso de aprovisionamiento controlado por RR. HH. con otros flujos de trabajo que simplifican y automatizan tareas.
  • Centralizar el proceso de flujo de trabajo para poder crear y administrar fácilmente los flujos de trabajo en una sola ubicación.
  • Solucionar los problemas en los escenarios de flujo de trabajo con el historial de flujos de trabajo y los registros de auditoría con un esfuerzo mínimo.
  • Administrar el ciclo de vida de los usuarios a escala. A medida que crece la organización, se reduce la necesidad de que otros recursos administren los ciclos de vida de los usuarios.
  • Reducir o eliminar las tareas manuales que anteriormente eran necesarias, gracias a Flujos de trabajo de ciclo de vida automatizados.
  • Aplicar aplicaciones lógicas para ampliar los flujos de trabajo para escenarios más complejos mediante las aplicaciones lógicas existentes.

Los flujos de trabajo de ciclo de vida son una funcionalidad de Gobierno de Microsoft Entra ID. Otras funcionalidades son la administración de derechos, las revisiones de acceso, Privileged Identity Management (PIM) y las condiciones de uso. Juntas, le ayudarán a abordar estas preguntas:

  • ¿Qué usuarios deben tener acceso a qué recursos?
  • ¿Qué hacen esos usuarios con el acceso concedido?
  • ¿La organización dispone de un sistema de control eficaz para administrar el acceso?
  • ¿Los auditores pueden comprobar qué controles funcionan?
  • ¿Están listos los usuarios para empezar en el día uno o se les retira el acceso de manera oportuna?

Planificar la implementación de los Flujos de trabajo de ciclo de vida es esencial para garantizar el cumplimiento de la estrategia de gobernanza que haya previsto para los usuarios de su organización.

Para obtener más información sobre los planes de implementación, consulte Planes de implementación de Microsoft Entra.

Requisitos de licencia

El uso de esta característica requiere licencias de Gobierno de Microsoft Entra ID o Microsoft Entra Suite. Para encontrar la licencia adecuada para sus requisitos, consulte Aspectos básicos de las licencias gubernamentales de id. de Microsoft Entra.

Planificación del proyecto de implementación de Flujo de trabajo de ciclo de vida

Tenga en cuenta las necesidades de su organización a la hora de determinar la estrategia de implementación de los Flujos de trabajo de ciclo de vida en su entorno.

Interactuar con las partes interesadas adecuadas

Cuando fracasan los proyectos tecnológicos, normalmente se debe a expectativas incorrectas relacionadas con el impacto, los resultados y las responsabilidades. Para evitar estos problemas, asegúrese de que interactúa con las partes interesadas adecuadas y que los roles del proyecto están claros.

En el caso de los Flujos de trabajo de ciclo de vida, probablemente tenga que incluir a representantes de los siguientes equipos de su organización:

  • Administración de TI: administra la infraestructura de TI y las inversiones de su empresa en la nube, junto con las aplicaciones de software como servicio (SaaS). Este equipo:

    • Revisa los Flujos de trabajo de ciclo de vida en la infraestructura y las aplicaciones, incluidos Microsoft 365 y Microsoft Entra ID.
    • Programa y ejecuta los Flujos de trabajo del ciclo de vida en los usuarios.
    • Garantiza que los Flujos de trabajo del ciclo de vida mediante programación, a través de GRAPH o extensibilidad, estén gobernados y se revisen.
  • El propietario de seguridad garantiza que el plan cumpla los requisitos de seguridad de la organización. Este equipo:

    • Se asegura de que los Flujos de trabajo del ciclo de vida cumplan las directivas de seguridad de la organización.
  • El administrador de cumplimiento se asegura de que la organización siga las directivas internas y cumpla la normativa. Este equipo:

    • Solicita o programa nuevas revisiones de Flujos de trabajo de ciclo de vida.
    • Evalúa los procesos y procedimientos para revisar los Flujos de trabajo de ciclo de vida, lo que incluye la documentación y el mantenimiento de registros con fines de cumplimiento.
    • Examina los resultados de las revisiones anteriores para los recursos más críticos.
  • El representante de RR. HH ayuda con la asignación de atributos y el rellenado en escenarios de aprovisionamiento de RR. HH. Este equipo:

    • Ayuda a determinar los atributos que se usan para rellenar employeeHireDate y employeeLeaveDateTime.
    • Garantiza que los atributos de origen se rellenen y tengan valores.
    • Identifica y sugiere atributos alternativos que se podrían asignar a employeeHireDate y employeeLeaveDateTime.
  • Equipos de desarrollo: desarrollan y mantienen las aplicaciones para su organización. Este equipo:

    • Desarrolla flujos de trabajo personalizados mediante GRAPH.
    • Integra los Flujos de trabajo del ciclo de vida en Logic Apps a través de la extensibilidad.

Planeamiento de las comunicaciones

La comunicación es fundamental para que cualquier nuevo proceso de negocio tenga éxito. Hay que comunicar proactivamente a los usuarios cómo y cuándo cambiará su experiencia. Indíqueles cómo obtener soporte técnico si tienen problemas.

Comunicar cambios que afectan a la rendición de cuentas

Los Flujos de trabajo del ciclo de vida admiten trasladar la responsabilidad de los procesos manuales a los propietarios empresariales. Establecer un proceso claro y el reconocimiento de las responsabilidades de cada equipo. Desacoplar estos procesos del departamento de TI impulsa una mayor precisión y automatización. Esto supone un cambio cultural en términos de rendición de cuentas y responsabilidad del propietario del recurso. Comunique de forma proactiva este cambio y asegúrese de que los propietarios de recursos estén preparados y capacitados para utilizar la información con el fin de tomar buenas decisiones.

Introducción a los Flujos de trabajo del ciclo de vida

En esta sección se presentan los conceptos relacionados con los Flujos de trabajo de ciclo de vida que debería conocer antes de planificar su implementación.

Requisitos previos para implementar Flujos de trabajo del ciclo de vida

A continuación se muestra información importante sobre su organización y las tecnologías que deben estar presentes antes de implementar Flujos de trabajo del ciclo de vida. Asegúrese de que puede responder afirmativamente a cada uno de los puntos antes de intentar implementar Flujos de trabajo del ciclo de vida.

Elemento Descripción Documentación
Aprovisionamiento de entrada Tiene un proceso para crear cuentas de usuario para los empleados en Microsoft Entra, como entrada de RR. HH., SuccessFactors o MIM.

Como alternativa, tiene un proceso para crear cuentas de usuario en Active Directory y esas cuentas se aprovisionan en Microsoft Entra ID.
Workday a Active Directory

Workday a Microsoft Entra ID

SuccessFactors a Active Directory

SuccessFactors a Microsoft Entra ID

Microsoft Entra Connect

Sincronización en la nube de Microsoft Entra Connect

Aprovisionamiento de entrada controlado por API (versión preliminar pública)
Sincronización de atributos Las cuentas de Microsoft Entra ID tienen rellenados los atributos employeeHireDate y employeeLeaveDateTime. Los valores se pueden rellenar cuando las cuentas se crean a partir de un sistema de RR. HH. o se sincronizan desde AD mediante Microsoft Entra Connect o la sincronización en la nube. Dispone de atributos adicionales que se usan para determinar el ámbito, como el departamento, rellenado o con la capacidad de rellenarlo, con datos. Sincronización de atributos para Flujos de trabajo de ciclo de vida

Descripción de los elementos de un flujo de trabajo

Antes de empezar a planificar una implementación de Flujos de trabajo de ciclo de vida, debe familiarizarse con los elementos del flujo de trabajo y la terminología relativa a los Flujos de trabajo del ciclo de vida.

En el documento Descripción de los flujos de trabajo de ciclo de vida, se usa el portal para explicar los elementos de un flujo de trabajo. En el documento Referencia de la API de desarrollador para flujos de trabajo del ciclo de vida, se usa un ejemplo de GRAPH para explicar los elementos de un flujo de trabajo.

Puede usar este documento para familiarizarse con los elementos de un flujo de trabajo antes de la implementación.

Limitaciones y restricciones

En la tabla siguiente, encontrará información que debe tener en cuenta a medida que crea e implementa Flujos de trabajo de ciclo de vida.

Elemento Descripción
Workflows Límite de 50 flujos de trabajo por inquilino
Número de tareas personalizadas Límite de 25 por flujo de trabajo
Rango de valores para offsetInDays Entre -180 y 180 días
Programación de ejecución del flujo de trabajo Valor predeterminado: cada 3 horas; se puede establecer para ejecutarse en cualquier rango entre 1 y 24 horas
Extensiones de tareas personalizadas Límite de 100
Límite de usuarios a petición Puede ejecutar un flujo de trabajo a petición en un máximo de 10 usuarios
Límite de tiempo de espera para devolución de llamada de extensibilidad Mínimo de 3 minutos; máximo de 5 horas

A continuación se muestra información adicional que debe tener en cuenta.

  • No se puede habilitar la programación para el escenario en tiempo real Abandonar y Mover. es así por diseño.

Lista de comprobación de creación de un flujo de trabajo del ciclo de vida

En la tabla siguiente se proporciona una lista de comprobación rápida de los pasos que puede seguir al diseñar y planificar los flujos de trabajo.

Paso Descripción
Determinación del escenario Determine qué escenario va a abordar con un flujo de trabajo.
Determinación de las condiciones de ejecución Determine quién y cuándo se ejecuta el flujo de trabajo.
Revisión de las tareas Revise y agregue tareas adicionales al flujo de trabajo.
Creación del flujo de trabajo Cree el flujo de trabajo después de planificar y diseñar.
Planeamiento de un piloto Planee la prueba piloto, la ejecución y la prueba del flujo de trabajo.

Determinación del escenario

Antes de crear un flujo de trabajo de ciclo de vida en el portal, debe determinar qué escenarios desea implementar. Puede usar la tabla siguiente para ver una lista actual de los escenarios disponibles. Se basan en las plantillas que están disponibles en el portal y enumeran la tarea asociada a cada una.

Escenario Tareas predefinidas
Incorporación de un empleado precontratado Generar el TAP y enviarlo por correo electrónico
Incorporar al empleado recién contratado Habilitar la cuenta de usuario
Enviar el correo electrónico de bienvenida
Agregar el usuario a los grupos
Cese del empleado en tiempo real Quitar el usuario de todos los grupos
Quitar el usuario de todos los equipos
Eliminar la cuenta de usuario
Prerretirada de un empleado Quitar el usuario de los grupos seleccionados
Quitar el usuario de los equipos seleccionados
Desvinculación de un empleado Deshabilitar la cuenta de usuario
Quitar el usuario de todos los grupos
Quitar el usuario de todos los equipos
Posretirada de un empleado Quitar todas las licencias del usuario
Quitar el usuario de todos los equipos
Eliminar la cuenta de usuario
Cambio de empleado en tiempo real Ejecutar una extensión de tarea personalizada
Cambios de pertenencia a grupos de empleados Quitar la asignación de paquete de acceso para el usuario
Quitar usuario de los grupos de Teams seleccionados
Enviar correo electrónico para notificar al administrador un movimiento del usuario
Cambio de perfil de trabajo del empleado Enviar correo electrónico para notificar al administrador un movimiento del usuario
Quitar usuario de los grupos seleccionados
Quitar usuario de los grupos de Teams seleccionados
Solicitar la asignación de paquete de acceso para el usuario

Cambios de pertenencia a grupos de empleados

Para obtener más información sobre las plantillas integradas, consulte Plantillas de Flujos de trabajo de ciclo de vida.

Determinación de las condiciones de ejecución

Ahora que ha determinado los escenarios, tiene que examinar a qué usuarios de su organización se aplican los escenarios.

Una condición de ejecución es el elemento de un flujo de trabajo que define el ámbito de quién y el desencadenador de cuándo tendrá lugar un flujo de trabajo.

El ámbito determina para quién se ejecuta el flujo de trabajo. Esto se define mediante una regla que filtrará los usuarios en función de una condición. Por ejemplo, la regla "rule": "(department eq 'sales')" ejecuta la tarea solo en los usuarios que son miembros del Departamento de Ventas.

El desencadenador determina cuándo se ejecuta el flujo de trabajo. Esto puede ser, a petición, que es inmediato, o ejecutarse según una programación. La mayoría de las plantillas predefinidas del portal se basan en la ejecución según una programación cuando se cumple su desencadenador.

Información de los atributos

El ámbito de un flujo de trabajo usa atributos en la sección de reglas. Puede agregar los siguientes condicionales adicionales para refinar aún más a quién se aplican las tareas.

  • And
  • Y no
  • Or
  • O no

También puede elegir entre los diversos atributos de usuario.

Captura de pantalla de la regla de flujo de trabajo de ciclo de vida

Sin embargo, antes de seleccionar un atributo para usarlo en la condición de ejecución, debe asegurarse de que el atributo se rellene con datos o que pueda empezar a rellenarlo con los datos necesarios.

No todos estos atributos se rellenan de manera predeterminada, por lo que debe comprobarlo con el administrador de RR. HH. o con los administradores de TI al usar el aprovisionamiento solo en la nube de entrada de RR. HH., Microsoft Entra Connect o la sincronización en la nube.

Información sobre la hora

A continuación se muestra información importante sobre las zonas horarias que debe tener en cuenta al diseñar flujos de trabajo.

  • Workday y SAP SF siempre enviarán la hora en hora universal coordinada o UTC.
  • Si se encuentra en una única zona horaria, se recomienda codificar de forma rígida la parte de hora en algo que le resulte útil. Un ejemplo sería las 5 a. m. para los escenarios de nuevas contrataciones y las 10 p. m. para los escenarios de último día de trabajo.
  • Se recomienda que, si usa el pase de acceso temporal (TAP), establezca la duración máxima en 24 horas. Esto ayudará a garantizar que el TAP no haya expirado después de enviarse a un empleado que pueda estar en otra zona horaria. Para obtener más información, consulte Configuración de un pase de acceso temporal en Microsoft Entra ID para registrar métodos de autenticación sin contraseña.

Para obtener más información, consulte Sincronización de atributos para Flujos de trabajo de ciclo de vida.

Revisión de las tareas

Ahora que hemos determinado el escenario y el quién y el cuándo, debe analizar si las tareas predefinidas son suficientes o si necesitará tareas adicionales. En la tabla siguiente se incluye una lista de las tareas predefinidas que se encuentran actualmente en el portal. Úsela para decidir si quiere agregar más tareas.

Tarea Descripción Escenarios pertinentes
Agregar el usuario a grupos Agregar el usuario a los grupos seleccionados Usuario que se une, usuario que abandona, usuario que se mueve
Agregar el usuario a los equipos seleccionados Agregar el usuario a equipos Usuario que se une, usuario que abandona, usuario que se mueve
Asignar licencias a usuarios Asignación de licencias a usuarios Usuario que se une, usuario que se mueve
Eliminar cuenta de usuario Eliminar cuenta de usuario en Microsoft Entra ID Usuario que abandona
Deshabilitar cuenta de usuario Deshabilitar la cuenta de usuario en el directorio Usuario que se une, usuario que abandona
Habilitar cuenta de usuario Habilitar la cuenta de usuario en el directorio Usuario que se une, usuario que abandona
Generar el TAP y enviarlo por correo electrónico Generar el pase de acceso temporal y enviarlo por correo electrónico al administrador del usuario Usuario que se une
Quitar todas las licencias del usuario Quitar todas las licencias asignadas al usuario Usuario que abandona
Eliminación de un usuario de todos los grupos Quitar al usuario de todas las pertenencias a grupos de Microsoft Entra Usuario que abandona
Quitar el usuario de todos los equipos Quitar el usuario de todas las pertenencias a equipos Usuario que abandona
Quitar usuario de los grupos seleccionados Quitar usuario de la pertenencia a los grupos de Microsoft Entra seleccionados Usuario que se une, usuario que abandona, usuario que se mueve
Quitar usuario de los equipos seleccionados Quitar el usuario de la pertenencia a los equipos seleccionados Usuario que se une, usuario que abandona, usuario que se mueve
Ejecutar una extensión de tarea personalizada Ejecutar una extensión de tarea personalizada para llamar a un sistema externo Usuario que se une, usuario que abandona, usuario que se mueve
Enviar correo electrónico tras el último día del usuario Enviar al administrador del usuario el correo electrónico de desvinculación después del último día de trabajo Usuario que abandona
Enviar correo electrónico antes del último día del usuario Enviar al administrador del usuario el correo electrónico de desvinculación antes del último día de trabajo Usuario que abandona
Enviar correo electrónico el último día del usuario Enviar al administrador del usuario el correo electrónico de desvinculación el último día de trabajo Usuario que abandona
Enviar correo electrónico de bienvenida Enviar el correo electrónico de bienvenida a la nueva contratación Usuario que se une
Enviar correo electrónico de aviso de incorporación Enviar un correo electrónico de recordatorio de incorporación al responsable del usuario Usuario que se une
Solicitar asignación de paquete de acceso del usuario Solicitud de asignación de usuarios a paquetes de acceso seleccionados Usuario que se une, usuario que se mueve
Eliminar la asignación de paquete de acceso para el usuario Quitar la asignación de usuarios de los paquetes de acceso seleccionados Usuario que abandona, usuario que se mueve
Eliminar todas las asignaciones de paquetes de acceso para el usuario Quitar todos los paquetes de acceso asignados al usuario Usuario que abandona
Quitar las asignaciones de licencia seleccionadas del usuario Quitar la asignación de licencia seleccionada del usuario Usuario que abandona, usuario que se mueve
Cancelación de todas las solicitudes de asignación de paquetes de acceso pendientes para el usuario Cancelación de todas las solicitudes de asignación de paquetes de acceso pendientes para el usuario Usuario que abandona

Para obtener más información sobre las tareas, consulte Tareas de Flujos de trabajo del ciclo de vida.

Tareas de grupos y equipos

Si usa una tarea de grupo o equipo, el flujo de trabajo le pedirá que especifique el o los grupos. En la captura de pantalla siguiente, verá el triángulo amarillo en la tarea, lo que indica que falta información.

Captura de pantalla de incorporación de nueva contratación.

Al seleccionar la tarea, se le mostrará una barra de navegación para agregar o quitar grupos. Seleccione el vínculo "x grupos seleccionados" para agregar grupos.

Captura de pantalla de Agregar grupos.

Extensiones de tareas personalizadas

Los Flujos de trabajo del ciclo de vida le permiten crear flujos de trabajo que se pueden desencadenar en función de escenarios de usuarios que se unen, se transfieren o abandonan. Aunque los Flujos de trabajo de ciclo de vida proporcionan varias tareas integradas para automatizar escenarios comunes a lo largo del ciclo de vida de los usuarios, es posible que alcance los límites de estas tareas integradas. Con la característica de extensibilidad, puede usar el concepto de extensiones de tareas personalizadas para llamar a sistemas externos como parte de un Flujo de trabajo del ciclo de vida.

Al crear extensiones de tareas personalizadas, los escenarios de cómo interactúan con los flujos de trabajo del ciclo de vida pueden ser de tres maneras:

  • Escenario de activar y olvidar: Se inicia la aplicación lógica, y la ejecución de la tarea secuencial continúa inmediatamente sin ninguna respuesta esperada de la aplicación lógica.
  • Ejecución de tareas secuenciales en espera de respuesta de la aplicación lógica: Se inicia la aplicación lógica, y la ejecución de tareas secuencial espera la respuesta de la aplicación lógica.
  • Ejecución de tareas secuenciales en espera de la respuesta de un sistema externo: Se inicia la aplicación lógica, y la ejecución de la tarea secuencial espera la respuesta de un sistema externo que desencadena la aplicación lógica para indicar a la extensión de tareas personalizadas si se ejecutó correctamente o no.
  • Para obtener más información sobre las extensiones personalizadas, consulte Extensibilidad de flujos de trabajo de ciclo de vida.

Creación del flujo de trabajo

Ahora que ha diseñado y planificado el flujo de trabajo, puede crearlo en el portal. Para obtener información detallada sobre cómo crear un flujo de trabajo, consulte Creación de un Flujo de trabajo de ciclo de vida.

Planeamiento de un piloto

Animamos a los clientes a que prueben inicialmente los Flujos de trabajo del ciclo de vida con un pequeño grupo de usuarios o un único usuario de prueba. La prueba piloto puede ayudar a ajustar los procesos y las comunicaciones según sea necesario. Puede ayudar a aumentar la capacidad de los usuarios y los revisores para cumplir con los requisitos de seguridad y cumplimiento.

Para la prueba piloto, se recomienda lo siguiente:

  • Comience con los Flujos de trabajo del ciclo de vida donde los resultados se apliquen a un pequeño subconjunto de usuarios.
  • Supervise los registros de auditoría para asegurarse de que todos los eventos se auditan correctamente.

Para obtener más información, consulte los Procedimientos recomendados para una prueba piloto.

Prueba y ejecución del flujo de trabajo

Una vez que haya creado un flujo de trabajo, debe probarlo mediante su ejecución a petición.

El uso de la característica a petición le permite probar y evaluar si el flujo de trabajo del ciclo de vida funciona según lo previsto.

Una vez que haya completado las pruebas, puede volver a trabajar en el Flujo de trabajo del ciclo de vida o prepararse para una distribución más amplia.

Registros de auditoría

También puede obtener más información de los registros de auditoría. Se puede acceder a estos registros en el portal en Microsoft Entra ID/Supervisión. Para obtener más información, consulte Registros de auditoría en Microsoft Entra ID e Historial del flujo de trabajo de ciclo de vida.

Ejemplo de plan de flujo de trabajo de ciclo de vida

Fase Descripción
Determinación del escenario Flujo de trabajo previo a la contratación que envía un correo electrónico al nuevo administrador.
Determinación de las condiciones de ejecución El flujo de trabajo se ejecuta para los nuevos empleados del Departamento de Ventas dos (2) días antes de employeeHireDate.
Revisión de las tareas Usamos las tareas predefinidas en el flujo de trabajo. No se han agregado tareas adicionales.
Creación del flujo de trabajo en el portal Use la plantilla predefinida para la nueva contratación en el portal.
Habilitación y prueba del flujo de trabajo Use la característica a petición para probar el flujo de trabajo en un usuario.
Revisar los resultados de pruebas Revise los resultados de la prueba y asegúrese de que el Flujo de trabajo del ciclo de vida funcione según lo previsto.
Implementación del flujo de trabajo en un público más amplio Comuníquese con las partes interesadas, infórmeles que se va a activar y que RR. HH. ya no tendrá que enviar un correo electrónico al administrador de contratación.

Pasos siguientes

Más información sobre las siguientes tecnologías relacionadas: