Gebruikers beheren die vanuit Active Directory-domein Services zijn gesynchroniseerd met Microsoft Entra ID met levenscycluswerkstromen
Levenscycluswerkstromen ondersteunen het beheren van de identiteitslevenscyclus voor gebruikersaccounts die vanuit Active Directory-domein Services (AD DS) met Microsoft Entra-id worden gesynchroniseerd. Voor levenscycluswerkstromen is het essentieel dat een gebruikersaccount bestaat in Microsoft Entra-id, maar hoe het account is gemaakt, of hoe relevante wijzigingen in de levenscyclus in het account worden aangebracht, een secundaire rol speelt als het gaat om het verwerken van werkstromen en bijbehorende taken voor het gebruikersaccount. Deze ondersteuning omvat accounts en wijzigingen die zijn aangebracht via opties zoals HR-gestuurde inrichting, Microsoft Graph-API's, de Microsoft Entra-beheerportal en wijzigingen die worden gesynchroniseerd door Microsoft Entra Connect en Microsoft Cloud Sync.
De volgende tabel bevat algemene automatiseringsscenario's voor gesynchroniseerde gebruikers van AD DS met behulp van Microsoft Entra ID-governance:
Scenario om te automatiseren | Microsoft Entra ID-governance oplossing |
---|---|
Het gebruikersaccount maken in Active Directory-domein Services | Inrichting op basis van HR |
De initiële gebruikersgegevens of het wachtwoord opgeven voor gebruikersaccounts | De taak Tijdelijke Toegangspas genereren en via e-mail naar de manager van de gebruiker verzenden kan worden gebruikt om wachtwoordloze verificatie in te stellen. Voor het instellen van een normaal Active Directory-wachtwoord kunt u selfservice voor wachtwoordherstel van Microsoft Entra gebruiken. |
Licenties toewijzen | De licenties aan gebruikers toewijzen werkstroomtaak kan worden gebruikt om licenties toe te wijzen. U kunt ook licenties toewijzen aan gebruikers via een groep. |
Gebruikers toegang geven tot toepassingen op basis van active Directory-groepen | Toegang tot on-premises Active Directory-toepassingen (Kerberos) beheren |
Gebruikerskenmerken bijwerken in Active Directory wanneer ze organisaties verplaatsen | Filters voor scoping en attribuutmapping plannen |
Gebruikers naar verschillende organisatie-eenheden verplaatsen wanneer ze van organisatie veranderen | OE-containertoewijzing voor Active Directory configureren |
Gebruikers uitschakelen op de laatste dag | De levenscycluswerkstroomtaak Gebruikersaccount uitschakelen kan worden gebruikt om een gebruikersaccount op hun laatste dag uit te schakelen. |
Gebruikers verwijderen op een bepaald aantal dagen na beëindiging | De Verwijder Gebruiker Levenscyclus Werkstroomtaak kan binnen een werkstroomsjabloon worden gebruikt om gebruikers een bepaald aantal dagen na hun einde te verwijderen. |
In dit artikel leert u wat er moet worden overwogen als u levenscycluswerkstromen wilt gebruiken voor gebruikersaccounts die vanuit AD DS met Microsoft Entra-id worden gesynchroniseerd.
Uitvoeringsvoorwaarden voor werkstromen met gebruikers die vanuit Active Directory-domein Services (AD DS) zijn gesynchroniseerd met Microsoft Entra-id
Levenscycluswerkstromen worden verwerkt voor gebruikersaccounts wanneer ze voldoen aan de uitvoeringsvoorwaarden van de werkstroom. Uitvoeringsvoorwaarden bestaan uit een trigger en een bereik. De trigger beschrijft de gebeurtenis die plaatsvindt voor een gebruikersaccount. Het bereik stelt u in staat om verder te definiëren voor wie het werkproces wordt uitgevoerd wanneer de gebeurtenis plaatsvindt.
Werkstroomtriggers
In de volgende tabel ziet u wat er moet worden overwogen voor elke werkstroomtrigger wanneer deze wordt gebruikt met gebruikers die zijn gesynchroniseerd vanuit AD DS:
Werkstroomtrigger | Vereisten |
---|---|
Kenmerkwijzigingen | Er is geen verdere configuratie nodig zolang kenmerken worden gesynchroniseerd. Zie voor meer informatie over gesynchroniseerde kenmerken: Kenmerktoewijzing in Microsoft Entra Cloud Sync en Microsoft Entra Connect Sync: Directory-extensies. Wanneer een wijziging wordt aangebracht in Active Directory, moet de synchronisatie via Microsoft Entra Cloud Sync of Microsoft Entra Connect Sync plaatsvinden voordat wijzigingen kunnen worden opgehaald uit levenscycluswerkstromen. |
Op groepslidmaatschap gebaseerd | Omdat elk type groep wordt ondersteund, is er geen verdere configuratie vereist. Als de groep afkomstig is van Active Directory, moet deze worden gesynchroniseerd met Microsoft Entra. De Synchronisatie van Microsoft Entra Cloud Sync of Microsoft Entra Connect moet plaatsvinden voordat wijzigingen kunnen worden opgehaald uit levenscycluswerkstromen. |
Op aanvraag | Er is geen verdere configuratie nodig. |
Op basis van tijd |
employeeHireDate, employeeLeaveDateTime: deze kenmerken moeten worden gesynchroniseerd voordat ze worden gebruikt. Zie voor meer informatie over dit proces: Kenmerken synchroniseren voor levenscycluswerkstromen. createdDateTime: Geen verdere configuratie nodig. Deze datum is de dag waarop het gebruikersaccount wordt gesynchroniseerd met Microsoft Entra-id, niet wanneer ze zijn gemaakt in Active Directory. |
Bereik van werkstroom
Voor gebruikersattributen binnen de scopefunctionaliteiten van de werkstroom, is er geen verdere configuratie nodig als de geselecteerde attributen al zijn gesynchroniseerd. Zie voor meer informatie over gesynchroniseerde kenmerken: Kenmerktoewijzing in Microsoft Entra Cloud Sync en Microsoft Entra Connect Sync: Directory-extensies. Wanneer een wijziging wordt aangebracht in Active Directory, moet de synchronisatie via Microsoft Entra Cloud Sync of Microsoft Entra Connect Sync plaatsvinden voordat wijzigingen kunnen worden opgehaald uit levenscycluswerkstromen.
Werkstroomtaken voor gebruikers die vanuit Active Directory-domein Services zijn gesynchroniseerd met Microsoft Entra-id
Alle workflow-taken voor de levenscyclus werken standaard voor zowel cloudgebruikers als gebruikers die worden gesynchroniseerd vanuit Active Directory, met uitzondering van de beperkingen die verder in dit artikel worden vermeld voor specifieke taken. Zie voor meer informatie over alle levenscycluswerkstroomtaken: Ingebouwde taken voor de levenscycluswerkstroom.
Taken voor het beheren van groepslidmaatschappen
Scenario: Wanneer u gebruikers van AD DS synchroniseert met Microsoft Entra ID, kunt u gebruikers toevoegen aan of verwijderen uit cloudbeveiligingsgroepen via groepstaken van de levenscycluswerkstroom. Hiermee kunt u groepslidmaatschap van de gesynchroniseerde gebruikers in de cloud beheren en deze groep ook weer toevoegen aan Active Directory met microsoft Entra Cloud Sync-groeps terugschrijven.
Voor groepen die vanuit AD DS met Microsoft Entra ID worden gesynchroniseerd, kunt u geen taken voor de levenscycluswerkstroomgroep gebruiken, zoals vermeld in het scenario. Microsoft Entra ID-governance kan echter worden gebruikt om toegang tot on-premises Active Directory-toepassingen (Kerberos) te beheren met groepen vanuit de cloud, die worden ondersteund binnen levenscycluswerkstromen.
Taken voor gebruikersaccounts
Aanvullende configuratie is vereist voor de taken van de levenscycluswerkstroom om gebruikersaccounts in te schakelen, uit te schakelen en te verwijderen zodat ze kunnen werken met gesynchroniseerd vanuit AD DS. De volgende vereisten moeten worden voltooid voordat u de taken kunt configureren voor het uitvoeren van acties in Active Directory.
- U moet de Microsoft Entra-inrichtingsagent hebben geïnstalleerd in uw omgeving. Voor vereisten voor het installeren van de Microsoft Entra-inrichtingsagent raadpleegt u: Vereisten voor cloudinrichtingsagent. Zie voor een stapsgewijze handleiding voor het installeren van de Microsoft Entra-inrichtingsagent: De Microsoft Entra-inrichtingsagent installeren. Kies tijdens de installatie 'HR-gestuurd inrichten / Microsoft Entra Connect Sync' als 'extensieconfiguratie'. U hoeft geen andere configuratie toe te voegen voor de inrichtingsagent, zoals de configuratie van de cloudsynchronisatie, en u kunt de inrichtingsagent installeren, zelfs niet als u momenteel ook Microsoft Entra Connect Sync gebruikt voor uw gebruikerssynchronisatie.
Notitie
De provisioning agent moet ten minste versie 1.1.1586.0 zijn, die op 13 mei 2024 is vrijgegeven.
Zorg ervoor dat het beheerde serviceaccount (gMSA) dat door de provisioning-agent wordt gebruikt, over de juiste machtigingen beschikt om bewerkingen uit te voeren op gebruikersaccounts.
Als u gebruikersaccounts wilt verwijderen, moet u de Prullenbak van Active Directory inschakelen. Zie voor een stapsgewijze handleiding voor het inschakelen van de Prullenbak van Active Directory stapsgewijs: Prullenbak van Active Directory.
Zie voor een stapsgewijze handleiding voor het instellen van de vlag, zodat gebruikersaccounttaken worden uitgevoerd voor gebruikers die zijn gesynchroniseerd vanuit Active Directory-domein Services: Gesynchroniseerd vanaf Active Directory-domein Services (AD DS) beheren met werkstromen.