Partager via


Vue d’ensemble des API de workflows de cycle de vie

Workflows de cycle de vie est un service de gouvernance des identités dans Microsoft Entra ID qui permet aux organisations d’automatiser les processus de cycle de vie de base pour leurs utilisateurs à trois niveaux :

  1. Joiner : lorsqu’un individu entre dans l’étendue d’un besoin d’accès ; par exemple, un nouvel employé qui rejoint une entreprise ou une organisation.
  2. Mover : lorsqu’un individu passe d’une limite à l’autre au sein d’une organisation ; par exemple, un utilisateur qui était en marketing est maintenant membre de l’organisation commerciale. Ce déplacement peut nécessiter davantage d’accès ou d’autorisation, ou la révocation d’autres privilèges.
  3. Leaver : lorsqu’une personne quitte l’étendue du besoin d’accès, l’accès doit peut-être être révoqué et l’utilisateur déprovisionné. Par exemple, un employé qui prend sa retraite ou qui est licencié.

Pour cette raison, les workflows de cycle de vie peuvent être appelés flux de travail Joiner-Mover-Leaver (JML).

Les API de flux de vie dans Microsoft Graph vous permettent d’automatiser les fonctionnalités des workflows de cycle de vie pour votre organisation. Cet article a présenté l’ensemble des API qui activent le service Workflows de cycle de vie dans l’ID Microsoft Entra.

Les API des workflows de cycle de vie sont définies dans le sous-espace de nom OData, microsoft.graph.identityGovernance.

Remarque

Cet article explique comment exporter des données personnelles à partir d’un appareil ou d’un service. Ces étapes peuvent être utilisées pour prendre en charge vos obligations en vertu du Règlement général sur la protection des données (RGPD). Les administrateurs de locataires autorisés peuvent utiliser Microsoft Graph pour corriger, mettre à jour ou supprimer des informations d’identification sur les utilisateurs finaux, y compris les profils utilisateur des clients et des employés ou les données personnelles, telles que le nom, le titre professionnel, l’adresse ou le numéro de téléphone d’un utilisateur, dans votre environnement d’ID Microsoft Entra .

Flux de travail

Les flux de travail sont des conteneurs pour les processus impliqués dans la gestion du cycle de vie des utilisateurs de l’organisation. Les tâches et les conditions d’exécution sont à la base.

  • Les tâches sont des actions spécifiques qui s’exécutent automatiquement lorsqu’un workflow est déclenché.
  • Les conditions d’exécution définissent l’étendue de « qui » et le déclencheur de « quand » un workflow s’exécute.

Pour créer des flux de travail, nous vous recommandons d’utiliser l’un des modèles de flux de travail prédéfinis.

Modèles de flux de travail

Microsoft Entra ID fournit les modèles de flux de travail prédéfinis suivants qui définissent les modèles pour les combinaisons de tâches et de conditions d’exécution qui peuvent faire partie d’un workflow. Vous pouvez utiliser les modèles de flux de travail pour créer vos workflows par programmation.

Type de modèle de flux de travail Catégorie de cycle de vie
Intégrer un employé pré-embauché Menuisier
Intégrer un nouvel employé Menuisier
Post-intégration d’un nouvel employé Menuisier
Changement d’employé en temps réel Mover
Modifications de l’appartenance aux groupes d’employés Mover
Changement de profil d’emploi d’employé Mover
Licenciement en temps réel d’un employé Sortant
Pré-désintéglage d’un employé Sortant
Désintégrer un employé Sortant
Post-retrait d’un employé Sortant

Utilisez le type de ressource workflowTemplate et ses méthodes associées pour identifier les modèles préconfigurés, ainsi que les tâches et les conditions d’exécution qu’ils prennent en charge, puis copiez et utilisez les modèles pour créer vos workflows par programmation.

Informations générales sur les flux de travail

Chaque workflow contient des informations descriptives générales telles que son identificateur, son nom, sa description et s’il est activé pour s’exécuter comme planifié ou à la demande.

Tâches de flux de travail

Les tâches de flux de travail sont des actions spécifiques qui s’exécutent automatiquement lorsqu’un workflow est déclenché. Les workflows de cycle de vie définissent les tâches préconfigurées et en lecture seule suivantes autorisées pour les catégories de flux de travail spécifiées. Ces définitions de tâches affichent les paramètres du type de tâche, vous guidant lorsque vous créez des tâches pour votre workflow.

Les workflows de cycle de vie prennent actuellement en charge les tâches suivantes :

Tâche taskdefinitionID Catégorie
Envoyer un e-mail de bienvenue à une nouvelle recrue 70b29d51-b59a-4773-9280-8841dfd3f2ea Menuisier
Envoyer un e-mail de rappel d’intégration 3C860712-2D37-42A4-928F-5C93935D26A1 Menuisier
Générer un pass d’accès temporaire et envoyer par e-mail au responsable de l’utilisateur 1b555e50-7f65-41d5-b514-5894a026d10d Menuisier
Demander l’attribution du package d’accès utilisateur c1ec1e76-f374-4375-aaa6-0bb6bd4c60be Joiner, Mover
Attribuer des licences aux utilisateurs 683c87a4-2ad4-420b-97d4-220d90afcd24 Joiner, Mover
Envoyer un e-mail pour avertir le responsable du déplacement de l’utilisateur aab41899-9972-422a-9d97-f626014578b7 Mover
Ajouter un utilisateur à des groupes 22085229-5809-45e8-97fd-270d28d66910 Joiner, Leaver, Mover
Ajouter un utilisateur à teams e440ed8d-25a1-4618-84ce-091ed5be5594 Joiner, Leaver, Mover
Activer un compte d’utilisateur 6fc52c9d-398b-4305-9763-15f42c1676fc Joiner, Leaver
Exécuter une extension de tâche personnalisée 4262b724-8dba-4fad-afc3-43fcbb497a0e Joiner, Leaver, Mover
Désactiver le compte d’utilisateur 1dfdfcc7-52fa-4c2e-bf3a-e3919cc12950 Sortant
Supprimer un utilisateur du groupe sélectionné 1953a66c-751c-45e5-8bfe-01462c70da3c Joiner, Leaver, Mover
Supprimer des utilisateurs de tous les groupes b3a31406-2a15-4c9a-b25b-a658fa5f07fc Sortant
Supprimer un utilisateur d’équipes 06aa7acb-01af-4824-8899-b14e5ed788d6 Joiner, Leaver, Mover
Supprimer un utilisateur de toutes les équipes 81f7b200-2816-4b3b-8c5d-dc556f07b024 Sortant
Supprimer toutes les attributions de licence de l’utilisateur 8fa97d28-3e52-4985-b3a9-a1126f9b8b4e Sortant
Supprimer l’attribution de package d’accès pour l’utilisateur 4a0b64f2-c7ec-46ba-b117-18f262946c50 Leaver, Mover
Supprimer les attributions de licences sélectionnées de l’utilisateur 5fc402a8-daaf-4b7b-9203-da868b05fc5f Leaver, Mover
Supprimer toutes les attributions de package d’accès pour l’utilisateur 42ae2956-193d-4f39-be06-691b8ac4fa1d Sortant
Annuler toutes les demandes d’attribution de package d’accès en attente pour l’utilisateur 498770d9-bab7-4e4c-b73d-5ded82a1d0b3 Sortant
Supprimer un utilisateur 8d18588d-9ad3-4c0f-99d0-ec215f0e3dff Sortant
Envoyer un e-mail au responsable avant le dernier jour de l’utilisateur 52853a3e-f4e5-4eb8-bb24-1ac09a1da935 Sortant
Envoyer un e-mail aux utilisateurs le dernier jour 9c0a1eaf-5bda-4392-9d9e-6e155bb57411 Sortant
Envoyer un e-mail de désintégrage au responsable des utilisateurs après leur dernier jour 6f22ddd4-b3a5-47a4-a846-0d7c201a49ce Sortant

Utilisez le type de ressource taskDefinition et ses méthodes associées pour découvrir toutes les tâches prédéfinies qui peuvent être configurées pour votre flux de travail et les paramètres des propriétés. Le type de ressource de tâche et les méthodes GET associées vous permettent d’afficher les tâches configurées pour votre workflow.

Conditions d’exécution

Pour chaque tâche de flux de travail, il existe une condition d’exécution qui définit l’étendue de « qui » et le déclencheur de « quand » un workflow et ses tâches associées s’exécutent. Par exemple, une condition d’exécution peut spécifier qu’un workflow s’exécute pour les employés qui quittent, sept jours avant leur date de fin d’emploi, s’ils se trouvent dans le service R&D. La tâche associée dans le flux de travail peut spécifier que l’utilisateur est supprimé des équipes et groupes R&D.

⁄⁄Sample snippet for the executionConditions object

"executionConditions": {
    "@odata.type": "#microsoft.graph.identityGovernance.triggerAndScopeBasedConditions",
    "scope": {
        "@odata.type": "#microsoft.graph.identityGovernance.ruleBasedSubjectSet",
        "rule": "department eq 'R&D'"
    },
    "trigger": {
        "@odata.type": "#microsoft.graph.identityGovernance.timeBasedAttributeTrigger",
        "timeBasedAttribute": "employeeLeaveDateTime",
        "offsetInDays": -7
    }
}

Lors de la création ou de la mise à jour d’un workflow, utilisez le type de ressource workflowExecutionConditions pour configurer les conditions d’exécution. Utilisez cet objet pour configurer également un workflow qui s’exécute uniquement à la demande.

Créer et gérer des flux de travail

Après avoir identifié les tâches et les conditions d’exécution que vous souhaitez définir pour votre flux de travail, utilisez le type de ressource de flux de travail et les méthodes associées pour créer et gérer le flux de travail. Vous pouvez créer jusqu’à 100 workflows dans un locataire. La catégorie de la tâche doit correspondre à la catégorie du flux de travail. Chaque workflow peut avoir jusqu’à 25 tâches. Donc:

  • Une tâche prise en charge uniquement pour la catégorie de workflow « leaver » ne peut pas être spécifiée dans un scénario de flux de travail « joiner » ou « mover », et inversement.
  • Une tâche prise en charge pour les catégories de flux de travail « joiner », « mover » et « leaver » peut être spécifiée dans un scénario de flux de travail « joiner », « mover » ou « leaver ».

Vous pouvez planifier l’exécution d’un workflow en fonction de la planification à l’échelle du locataire ou l’exécuter à la demande. La planification du locataire peut prendre en charge les nouvelles embauches et les résiliations planifiées, tandis que vous pouvez exécuter un workflow à la demande immédiatement pour mettre fin à l’accès d’un employé en cas d’événement sensible.

Versions de flux de travail

Pendant l’utilisation d’un workflow, vous devrez peut-être mettre à jour les conditions d’exécution et les tâches d’un workflow. Toutefois, les workflows de cycle de vie ne vous permettent pas de mettre à jour ces propriétés pour un flux de travail existant.

Au lieu de créer de nouveaux flux de travail, utilisez le type de ressource workflowVersion et ses méthodes associées pour créer et gérer une nouvelle version de workflow, basée sur un objet de flux de travail existant. La version du workflow peut avoir un ensemble similaire ou différent de tâches et de conditions d’exécution.

Rapports

Les workflows de cycle de vie prennent en charge des fonctionnalités de création de rapports étendues pour suivre l’état du traitement des flux de travail au niveau de l’exécution du flux de travail, au niveau de la tâche et de l’utilisateur.

Pour plus d’informations sur les fonctionnalités de création de rapports pour les workflows de cycle de vie, consultez la vue d’ensemble des API de création de rapports des workflows de cycle de vie.

Extensions

Parfois, les tâches intégrées peuvent ne pas être suffisantes pour répondre à tous vos scénarios métier. Pour étendre vos scénarios de gestion du cycle de vie, les workflows de cycle de vie prennent en charge la définition de tâches personnalisées à intégrer à des systèmes externes via Azure Logic Apps. Par exemple, pour un scénario de « leaver », vous pouvez également accorder au responsable de l’utilisateur l’accès au compte de messagerie de l’utilisateur.

Utilisez le type de ressource customTaskExtension et ses méthodes associées pour définir les paramètres de votre application logique Azure.

Paramètres

Chaque locataire définit une planification à l’échelle du locataire lorsque tous les workflows planifiés sont exécutés. Le locataire peut adopter la planification par défaut définie par l’ID Microsoft Entra où les flux de travail sont exécutés toutes les trois heures, ou modifier la planification pour qu’elle s’exécute entre 1 heure et 24 heures.

Vérifications des licences

L’utilisation de cette fonctionnalité nécessite des licences de gouvernance d’ID Microsoft Entra. Pour trouver la licence adaptée à vos besoins, consultez Comparer les fonctionnalités généralement disponibles de Microsoft Microsoft Entra ID.