Zarządzanie użytkownikami synchronizowanymi z usług usług domenowych Active Directory do Microsoft Entra ID z wykorzystaniem przepływów pracy związanych z cyklem życia
Przepływy pracy cyklu życia obsługują zarządzanie cyklem życia tożsamości dla kont użytkowników, które są synchronizowane z Usług domenowych Active Directory (AD DS) do Microsoft Entra ID. W przypadku przepływów pracy cyklu życia ważne jest, aby konto użytkownika istniało w identyfikatorze Entra firmy Microsoft, ale sposób tworzenia konta lub sposób wprowadzania istotnych zmian w cyklu życia na koncie odgrywa niewielką rolę w przypadku przetwarzania przepływów pracy i skojarzonych zadań dla konta użytkownika. Ta obsługa obejmuje konta i zmiany wprowadzone za pośrednictwem opcji, takich jak aprowizowanie sterowane przez HR, interfejsy API Microsoft Graph, portal administracyjny Microsoft Entra oraz zmiany synchronizowane przez Microsoft Entra Connect i Microsoft Cloud Sync.
W poniższej tabeli wymieniono typowe scenariusze automatyzacji dla synchronizowanych użytkowników z usług AD DS za pomocą Microsoft Entra ID Governance.
| Scenariusz do automatyzacji | rozwiązanie Microsoft Entra do zarządzania tożsamościami |
|---|---|
| Tworzenie konta użytkownika w usługach domenowych Active Directory | Aprowizacja napędzana przez HR |
| Podawanie początkowych poświadczeń lub hasła dla kont użytkowników | W celu skonfigurowania poświadczeń bez hasła można użyć zadania Generowanie dostępu tymczasowego i wysyłanie za pośrednictwem poczty e-mail do menedżera użytkownika. Aby skonfigurować standardowe hasło usługi Active Directory, możesz użyć usługi samoobsługowego resetowania hasła Microsoft Entra. |
| Przypisywanie licencji | Zadanie Przypisywanie licencji użytkownikowi w cyklu życia może służyć do przypisywania licencji. Możesz również przypisać licencje do użytkowników za pośrednictwem grupy. |
| Przyznawanie użytkownikom dostępu do aplikacji opartych na grupach usługi Active Directory | Zarządzanie dostępem do aplikacji lokalnie zarządzanych Active Directory (Kerberos) |
| Aktualizowanie atrybutów użytkownika w usłudze Active Directory podczas przenoszenia organizacji | Planowanie filtrowania zakresów i mapowania atrybutów |
| Przenoszenie użytkowników do różnych jednostek organizacyjnych podczas zmiany organizacji | Konfigurowanie przypisania kontenera jednostki organizacyjnej Active Directory |
| Wyłączanie użytkowników w ostatnim dniu | Zadanie Wyłącz konto użytkownika w przepływie pracy cyklu życia może być użyte do wyłączenia konta użytkownika w ich ostatnim dniu. |
| Usuwanie użytkowników w określonej liczbie dni po zakończeniu | Zadanie Usuń użytkownika w cyklu życia można użyć w szablonie przepływu pracy, aby usunąć użytkowników określoną liczbę dni po zakończeniu ich zatrudnienia. |
W tym artykule dowiesz się, co należy wziąć pod uwagę, jeśli chcesz używać przepływów pracy cyklu życia dla kont użytkowników synchronizowanych z usług AD DS do identyfikatora Entra firmy Microsoft.
Warunki wykonywania przepływu pracy z użytkownikami zsynchronizowanymi z usług domenowych Active Directory (AD DS) do Microsoft Entra ID
Przepływy pracy cyklu życia są przetwarzane dla kont użytkowników, gdy spełniają one warunki ich realizacji. Warunki wykonywania składają się z wyzwalacza i zakresu. Wyzwalacz opisuje zdarzenie, które występuje dla konta użytkownika. Zakres umożliwia dalsze definiowanie, dla których przepływ pracy jest uruchamiany w momencie wystąpienia zdarzenia.
Wyzwalacze przepływu pracy
W poniższej tabeli przedstawiono, co należy wziąć pod uwagę dla każdego wyzwalacza przepływu pracy w przypadku użycia z użytkownikami zsynchronizowanymi z usług AD DS:
| Wyzwalacz przepływu pracy | Wymagania |
|---|---|
| Zmiany atrybutów | Nie jest wymagana żadna dalsza konfiguracja, o ile atrybuty są synchronizowane. Aby uzyskać informacje na temat synchronizowanych atrybutów, zobacz: Mapowanie atrybutów w programie Microsoft Entra Cloud Sync oraz Microsoft Entra Connect Sync: rozszerzenia katalogu. Po wprowadzeniu zmiany w usłudze Active Directory należy przeprowadzić synchronizację za pośrednictwem usługi Microsoft Entra Cloud Sync lub Microsoft Entra Connect Sync, zanim zmiany zostaną pobrane z przepływów pracy cyklu życia. |
| Oparte na grupowym członkostwie | Ponieważ dowolny typ grupy jest obsługiwany, nie jest wymagana żadna dalsza konfiguracja. Jeśli grupa pochodzi z usługi Active Directory, należy ją zsynchronizować z firmą Microsoft Entra. Przed pobraniem zmian z przepływów pracy cyklu życia, synchronizacja za pomocą Microsoft Entra Cloud Sync lub Microsoft Entra Connect Sync musi się odbyć. |
| Na żądanie | Nie jest wymagana żadna dalsza konfiguracja. |
| Na podstawie czasu |
employeeHireDate, employeeLeaveDateTime: te atrybuty muszą być synchronizowane przed ich zastosowaniem. Aby uzyskać więcej informacji na temat tego procesu, zobacz: Jak synchronizować atrybuty dla przepływów pracy cyklu życia. createdDateTime: nie jest wymagana żadna dalsza konfiguracja. Data ta to dzień, w którym konto użytkownika jest synchronizowane z Microsoft Entra ID, a nie kiedy zostało utworzone w usłudze Active Directory. |
Określanie zakresu przepływu pracy
W przypadku atrybutów użytkownika używanych w ramach możliwości określania zakresu przepływu pracy nie jest wymagana żadna dalsza konfiguracja, jeśli wybrane atrybuty są już zsynchronizowane. Aby uzyskać informacje na temat synchronizowanych atrybutów, zobacz: Mapowanie atrybutów w programie Microsoft Entra Cloud Sync i Microsoft Entra Connect Sync: rozszerzenia katalogu. Po wprowadzeniu zmiany w usłudze Active Directory należy przeprowadzić synchronizację za pośrednictwem usługi Microsoft Entra Cloud Sync lub Microsoft Entra Connect Sync, zanim zmiany zostaną pobrane z przepływów pracy cyklu życia.
Zadania przepływu pracy dla użytkowników synchronizowanych z usług domenowych Active Directory do Microsoft Entra ID
Wszystkie zadania przepływu pracy cyklu życia działają od razu zarówno dla użytkowników w chmurze, jak i dla użytkowników zsynchronizowanych z usługi Active Directory, z wyjątkiem ograniczeń wymienionych w określonych zadaniach w dalszej części tego artykułu. Aby uzyskać więcej informacji na temat wszystkich zadań przepływu pracy cyklu życia, zobacz: Wbudowane zadania przepływu pracy cyklu życia.
Zadania zarządzania członkostwem w grupach
Scenariusz: Synchronizując użytkowników z AD DS do Microsoft Entra ID, można dodawać lub usuwać użytkowników z grup zabezpieczeń opartych na chmurze za pomocą funkcji grupowej w Przepływie pracy cyklu życia. Dzięki temu można zarządzać członkostwem w grupie synchronizowanych użytkowników w chmurze, a także przywrócić tę grupę do usługi Active Directory przy użyciu funkcji zwrotnego zapisu grup w ramach Microsoft Entra Cloud Sync.
W przypadku grup synchronizowanych z usług AD DS do Microsoft Entra ID nie można używać zadań grupy Lifecycle Workflow, jak wspomniano w tym scenariuszu. Można jednak użyć usługi Microsoft Entra ID Governance do zarządzania dostępem do aplikacji opartych na lokalnym Active Directory (Kerberos) przy użyciu grup z chmury, które są obsługiwane w ramach przepływów pracy związanych z cyklem życia.
Zadania konta użytkownika
Dodatkowa konfiguracja jest wymagana, aby zadania przepływu pracy cyklu życia mogły włączać, wyłączać i usuwać konta użytkowników w celu pracy z kontami zsynchronizowanymi z AD DS. Przed skonfigurowaniem zadań do wykonywania działań w usłudze Active Directory, należy spełnić następujące wymagania wstępne.
- W środowisku musi być zainstalowany agent aprowizacji firmy Microsoft Entra. Aby uzyskać wymagania wstępne dotyczące instalowania agenta aprowizacji firmy Microsoft, zobacz Wymagania dotyczące agenta aprowizacji w chmurze. Aby uzyskać instrukcje krok po kroku dotyczące instalowania agenta Microsoft Entra Provisioning, zobacz: Instalowanie agenta Microsoft Entra Provisioning. Podczas instalacji wybierz pozycję "Aprowizowanie oparte na HR / Microsoft Entra Connect Sync" jako "konfigurację rozszerzenia". Nie musisz dodawać żadnej innej konfiguracji agenta aprowizacji, takiej jak konfiguracja synchronizacji w chmurze, i można zainstalować agenta aprowizacji, nawet jeśli obecnie używasz programu Microsoft Entra Connect Sync na potrzeby synchronizacji użytkowników.
Uwaga
Zainstalowany agent aprowizacji musi mieć co najmniej wersję 1.1.1586.0, która została wydana 13 maja 2024 r.
Upewnij się, że konto usługi zarządzane przez grupę (gMSA) używane przez agenta aprowizacji ma odpowiednie uprawnienia do wykonywania operacji na kontach użytkowników.
Aby usunąć konta użytkowników, należy włączyć Kosz Active Directory. Aby zapoznać się z przewodnikiem krok po kroku dotyczącym włączania Kosza usługi Active Directory, zobacz: Kosz usługi Active Directory krok po kroku.
Aby zapoznać się z przewodnikiem krok po kroku dotyczącym ustawiania flagi, aby zadania konta użytkownika były uruchamiane dla użytkowników synchronizowanych z usługami domenowymi Active Directory Domain Services, zobacz: Zarządzanie użytkownikami zsynchronizowanymi z usługami domenowymi Active Directory (AD DS) za pomocą przepływów pracy.