Samouczki dotyczące przygotowywania kont użytkowników na potrzeby przepływów pracy cyklu życia
W przypadku dołączania i odłączania samouczki wymagają kont, dla których są wykonywane przepływy pracy. Ta sekcja ułatwia przygotowanie tych kont, jeśli masz już konta testowe spełniające następujące wymagania, możesz przejść bezpośrednio do samouczków dotyczących dołączania i dołączania. Do samouczków dołączania wymagane są dwa konta, jedno konto dla nowego zatrudnienia i inne konto, które działa jako menedżer nowego zatrudnienia. Nowe konto zatrudnienia musi mieć następujące atrybuty:
- parametr employeeHireDate musi być ustawiony na dzisiaj
- dział musi być ustawiony na sprzedaż
- atrybut manager musi być ustawiony, a konto menedżera powinno mieć skrzynkę pocztową do odbierania wiadomości e-mail
Samouczki off-boarding wymagają tylko jednego konta, które ma członkostwo w grupie i usłudze Teams, ale konto jest usuwane podczas samouczka.
Wymagania wstępne
Korzystanie z tej funkcji wymaga licencji Zarządzanie tożsamością Microsoft Entra lub Microsoft Entra Suite. Aby znaleźć odpowiednią licencję dla wymagań, zobacz Zarządzanie tożsamością Microsoft Entra podstawy licencjonowania.
- Dzierżawa Microsoft Entra
- Konto administratora z odpowiednimi uprawnieniami dla dzierżawy firmy Microsoft Entra. To konto służy do tworzenia użytkowników i przepływów pracy.
Zanim rozpoczniesz
W większości przypadków użytkownicy będą aprowizowani do firmy Microsoft Entra ID z rozwiązania lokalnego (takiego jak Microsoft Entra Connect lub Synchronizacja w chmurze) lub z rozwiązaniem HR. Ci użytkownicy mają atrybuty i wartości wypełnione podczas tworzenia. Konfigurowanie infrastruktury w celu aprowizacji użytkowników wykracza poza zakres tego samouczka. Aby uzyskać informacje, zobacz Samouczek: podstawowe środowisko usługi Active Directory i Samouczek: integrowanie pojedynczego lasu z jedną dzierżawą firmy Microsoft Entra.
Tworzenie użytkowników w identyfikatorze Entra firmy Microsoft
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Za pomocą Eksploratora programu Graph szybko utworzymy dwóch użytkowników potrzebnych do wykonania przepływów pracy cyklu życia w samouczkach. Jeden użytkownik reprezentuje naszego nowego pracownika, a drugi reprezentuje nowego pracownika.
Musisz edytować post i zastąpić <nazwę dzierżawy tutaj> nazwą dzierżawy. Na przykład: $UPN_manager = "bsimon@<nazwa dzierżawy tutaj>" do $UPN_manager = "bsimon@contoso.onmicrosoft.com".
Uwaga
Należy pamiętać, że przepływ pracy nie będzie wyzwalany, gdy data zatrudnienia pracownika (dni od zdarzenia) jest wcześniejsza niż data utworzenia przepływu pracy. Musisz ustawić pracownikaHiredate w przyszłości zgodnie z projektem. Daty używane w tym samouczku to migawka w czasie. W związku z tym należy odpowiednio zmienić daty, aby uwzględnić je w tej sytuacji.
Najpierw tworzymy naszego pracownika, Melva Prince.
- Teraz przejdź do Eksploratora programu Graph.
- Zaloguj się do Eksploratora programu Graph przy użyciu konta administratora użytkowników dla dzierżawy.
- W górnej części zmień pozycję GET na POST i dodaj
https://graph.microsoft.com/v1.0/users/do pola . - Skopiuj następujący kod do treści żądania
- Zastąp
<your tenant here>ciąg w poniższym kodzie wartością dzierżawy firmy Microsoft Entra. - Wybierz pozycję Uruchom zapytanie
- Skopiuj identyfikator zwrócony w wynikach. Jest on używany później do przypisywania menedżera.
{
"accountEnabled": true,
"displayName": "Melva Prince",
"mailNickname": "mprince",
"department": "sales",
"mail": "mprince@<your tenant name here>",
"employeeHireDate": "2022-04-15T22:10:00Z",
"userPrincipalName": "mprince@<your tenant name here>",
"passwordProfile" : {
"forceChangePasswordNextSignIn": true,
"password": "<Generated Password>"
}
}
Następnie utworzymy Użytkownika Britta Simon. To konto jest używane jako menedżer.
- Nadal w Eksploratorze programu Graph.
- Upewnij się, że górna lista jest nadal ustawiona na POST i
https://graph.microsoft.com/v1.0/users/znajduje się w polu . - Skopiuj następujący kod do treści żądania
- Zastąp
<your tenant here>ciąg w poniższym kodzie wartością dzierżawy firmy Microsoft Entra. - Wybierz pozycję Uruchom zapytanie
- Skopiuj identyfikator zwrócony w wynikach. Ten identyfikator jest używany później do przypisywania menedżera.
{ "accountEnabled": true, "displayName": "Britta Simon", "mailNickname": "bsimon", "department": "sales", "mail": "bsimon@<your tenant name here>", "employeeHireDate": "2021-01-15T22:10:00Z", "userPrincipalName": "bsimon@<your tenant name here>", "passwordProfile" : { "forceChangePasswordNextSignIn": true, "password": "<Generated Password>" } }
Uwaga
Musisz zmienić nazwę dzierżawy <w tej> sekcji kodu, aby pasować do dzierżawy firmy Microsoft Entra.
Alternatywnie można użyć następującego skryptu programu PowerShell, aby szybko utworzyć dwóch użytkowników potrzebnych do wykonania przepływu pracy cyklu życia. Jeden użytkownik reprezentuje naszego nowego pracownika, a drugi reprezentuje nowego pracownika.
Ważne
Poniższy skrypt programu PowerShell jest udostępniany w celu szybkiego utworzenia dwóch użytkowników wymaganych w tym samouczku. Tych użytkowników można również utworzyć w centrum administracyjnym firmy Microsoft Entra.
Aby utworzyć ten krok, zapisz następujący skrypt programu PowerShell w lokalizacji na maszynie, która ma dostęp do platformy Azure.
Następnie należy edytować skrypt i zastąpić <w tym miejscu> nazwę dzierżawy nazwą dzierżawy. Na przykład: $UPN_manager = "bsimon@<nazwa dzierżawy tutaj>" do $UPN_manager = "bsimon@contoso.onmicrosoft.com".
Należy wykonać tę akcję zarówno dla $UPN_employee, jak i $UPN_manager
Po edytowaniu skryptu zapisz go i wykonaj następujące kroki:
- Otwórz wiersz polecenia programu Windows PowerShell z uprawnieniami administracyjnymi z komputera, który ma dostęp do centrum administracyjnego firmy Microsoft Entra.
- Przejdź do zapisanej lokalizacji skryptu programu PowerShell i uruchom ją.
- Jeśli podczas instalowania modułu programu PowerShell zostanie wyświetlony monit o wybranie pozycji Tak .
- Po wyświetleniu monitu zaloguj się do centrum administracyjnego firmy Microsoft Entra przy użyciu administratora globalnego dzierżawy.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This
# script is made available to you without any express, implied or
# statutory warranty, not even the implied warranty of
# merchantability or fitness for a particular purpose, or the
# warranty of title or non-infringement. The entire risk of the
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$Displayname_employee = "Melva Prince"
$UPN_employee = "mprince<your tenant name here>"
$Name_employee = "mprince"
$Password_employee = "Pass1w0rd"
$EmployeeHireDate_employee = "04/10/2022"
$Department_employee = "Sales"
$Displayname_manager = "Britta Simon"
$Name_manager = "bsimon"
$Password_manager = "Pass1w0rd"
$Department = "Sales"
$UPN_manager = "bsimon@<your tenant name here>"
Install-Module -Name AzureAD
Connect-MgGraph -Confirm
$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "<Password>"
New-MgUser -DisplayName $Displayname_manager -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_manager -AccountEnabled $true -MailNickName $Name_manager -Department $Department
New-MgUser -DisplayName $Displayname_employee -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_employee -AccountEnabled $true -MailNickName $Name_employee -Department $Department
Po pomyślnym utworzeniu użytkownika lub użytkowników w usłudze Microsoft Entra ID możesz przejść do samouczków przepływu pracy cyklu życia na potrzeby tworzenia przepływu pracy.
Inne kroki scenariusza prehire
Istnieją inne kroki, które należy wziąć pod uwagę podczas testowania użytkowników dołączania do organizacji przy użyciu przepływów pracy cyklu życia z samouczkiem centrum administracyjnego firmy Microsoft Entra lub z samouczkiem dotyczącym dołączania użytkowników do organizacji przy użyciu przepływów pracy cyklu życia w programie Microsoft Graph .
Edytowanie atrybutów użytkowników przy użyciu centrum administracyjnego firmy Microsoft Entra
Niektóre atrybuty wymagane do samouczka dotyczącego dołączania do prehire są udostępniane za pośrednictwem centrum administracyjnego firmy Microsoft Entra i można je tam ustawić.
Te atrybuty są następujące:
| Atrybut | opis | Ustaw |
|---|---|---|
| poczta | Służy do powiadamiania menedżera o tymczasowym dostępie nowych pracowników | Menedżer |
| manager | Ten atrybut używany przez przepływ pracy cyklu życia | Pracownik |
Na potrzeby samouczka atrybut poczty musi być ustawiony tylko na koncie menedżera i atrybut menedżera ustawiony na koncie pracownika. Wykonaj następujące kroki:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.
- Przejdź do pozycji >Użytkownicy tożsamości>>Wszyscy użytkownicy.
- Wybierz pozycję Melva Prince.
- U góry wybierz pozycję Edytuj.
- W obszarze menedżer wybierz pozycję Zmień i wybierz użytkownika Britta Simon.
- W górnej części wybierz pozycję Zapisz.
- Wróć do użytkowników i wybierz użytkownika Britta Simon.
- U góry wybierz pozycję Edytuj.
- W obszarze Adres e-mail wprowadź prawidłowy adres e-mail.
- Wybierz pozycję Zapisz.
Edytowanie pracownikaHireDate
Atrybut employeeHireDate jest nowy dla identyfikatora Entra firmy Microsoft. Nie jest on uwidaczniany za pośrednictwem interfejsu użytkownika i musi zostać zaktualizowany przy użyciu programu Graph. Aby edytować ten atrybut, możemy użyć Eksploratora programu Graph.
Uwaga
Należy pamiętać, że przepływ pracy nie będzie wyzwalany, gdy data zatrudnienia pracownika (dni od zdarzenia) jest wcześniejsza niż data utworzenia przepływu pracy. Należy ustawić element employeeHireDate w przyszłości zgodnie z projektem. Daty używane w tym samouczku to migawka w czasie. W związku z tym należy odpowiednio zmienić daty, aby uwzględnić je w tej sytuacji.
Aby to zrobić, musimy uzyskać identyfikator obiektu dla naszego użytkownika Melva Prince.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.
Przejdź do pozycji >Użytkownicy tożsamości>>Wszyscy użytkownicy.
Wybierz pozycję Melva Prince.
Wybierz znak kopiowania obok identyfikatora obiektu.
Teraz przejdź do Eksploratora programu Graph.
Zaloguj się do Eksploratora programu Graph przy użyciu konta administratora globalnego dzierżawy.
W górnej części zmień pozycję GET na PATCH i dodaj
https://graph.microsoft.com/v1.0/users/<id>do pola . Zastąp wartość<id>skopiowaną wcześniej.Skopiuj następujące elementy do treści żądania i wybierz pozycję Uruchom zapytanie
{ "employeeHireDate": "2022-04-15T22:10:00Z" }
Sprawdź zmianę, zmieniając poprawkę PATCH z powrotem na GET i v1.0 na beta. Wybierz Uruchom zapytanie. Powinny zostać wyświetlone atrybuty zestawu Melva.
Edytowanie atrybutu menedżera na koncie pracownika
Atrybut menedżera jest używany do zadań powiadomień e-mail. Wysłanie do kierownika wiadomości e-mail z tymczasowym hasłem dla nowego pracownika. Wykonaj poniższe kroki, aby upewnić się, że użytkownicy firmy Microsoft Entra mają wartość atrybutu menedżera.
Nadal w Eksploratorze programu Graph.
Upewnij się, że górna lista jest nadal ustawiona na PUT i
https://graph.microsoft.com/v1.0/users/<id>/manager/$refznajduje się w polu . Zmień<id>na identyfikator księcia Melva.Skopiuj następujący kod do treści żądania
Zastąp
<managerid>ciąg w poniższym kodzie wartością identyfikatora Britta Simons.Wybierz pozycję Uruchom zapytanie
{ "@odata.id": "https://graph.microsoft.com/v1.0/users/<managerid>" }
Teraz możemy sprawdzić, czy menedżer jest poprawnie ustawiony, zmieniając put na GET.
Upewnij się, że
https://graph.microsoft.com/v1.0/users/<id>/manager/znajduje się w polu . Nadal<id>jest to, że z Księcia Melva.Wybierz Uruchom zapytanie. W odpowiedzi powinien zostać zwrócony użytkownik Britta Simon.
Aby uzyskać więcej informacji na temat aktualizowania informacji o menedżerze dla użytkownika w interfejsie API programu Graph, zobacz dokumentację przypisywania menedżera . Ten atrybut można również ustawić w centrum administracyjnym platformy Azure. Aby uzyskać więcej informacji, zobacz Dodawanie lub zmienianie informacji o profilu.
Włączanie dostępu tymczasowego (TAP)
Dostęp tymczasowy to ograniczony czasowo dostęp wystawiony przez administratora, który spełnia wymagania silnego uwierzytelniania.
W tym scenariuszu używamy tej funkcji identyfikatora entra firmy Microsoft do wygenerowania tymczasowego dostępu dla naszego nowego pracownika. Jest on e-mail do kierownika pracownika.
Aby korzystać z tej funkcji, należy ją włączyć w naszej dzierżawie firmy Microsoft Entra. Aby włączyć tę funkcję, wykonaj następujące kroki.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.
- Przejdź do sekcji Metody>uwierzytelniania ochrony>— dostęp tymczasowy — dostęp próbny
- Wybierz pozycję Tak , aby włączyć zasady, a następnie dodać użytkownika Britta Simon i wybrać użytkowników, którzy mają zastosowane zasady i wszystkie ustawienia ogólne .
Zagadnienia dotyczące scenariusza urlopu
Istnieje dodatkowy krok, który należy wziąć pod uwagę podczas testowania samouczków dla użytkowników off-boarding z organizacji przy użyciu przepływów pracy cyklu życia z samouczkiem centrum administracyjnego firmy Microsoft Entra lub programu Microsoft Graph.
Konfigurowanie użytkowników przy użyciu grup i aplikacji Teams z członkostwem w zespole
Użytkownik z grupami i członkostwem w usłudze Teams jest wymagany przed rozpoczęciem samouczków dotyczących scenariusza urlopu.
Następne kroki
- Dołączanie użytkowników do organizacji przy użyciu przepływów pracy cyklu życia w centrum administracyjnym firmy Microsoft Entra
- Dołączanie użytkowników do organizacji przy użyciu przepływów pracy cyklu życia w programie Microsoft Graph
- Samouczek: dołączanie użytkowników z organizacji przy użyciu przepływów pracy cyklu życia w centrum administracyjnym firmy Microsoft Entra
- Samouczek: dołączanie użytkowników z organizacji przy użyciu przepływów pracy cyklu życia w programie Microsoft Graph