Planejar uma implantação do fluxo de trabalho do ciclo de vida
Os fluxos de trabalho do ciclo de vida ajudam a organização a gerenciar os usuários do Microsoft Entra ao aumentar a automação. Com os fluxos de trabalho do ciclo de vida, é possível:
- Estender o processo de provisionamento controlado pelo RH com outros fluxos de trabalho que simplificam e automatizam as tarefas.
- Centralizar o processo do fluxo de trabalho para que seja possível criar e gerenciar facilmente os fluxos de trabalho em um único local.
- Solucionar problemas de cenários do fluxo de trabalho com o histórico de fluxo de trabalho e os logs de auditoria com um mínimo de esforço.
- Gerenciar o ciclo de vida do usuário em escala. À medida que a organização cresce, diminui a necessidade de outros recursos para gerenciar os ciclos de vida do usuário.
- Reduzir ou remover tarefas manuais que foram feitas no passado com fluxos de trabalho do ciclo de vida automatizados
- Aplicar aplicativos lógicos para estender os fluxos de trabalho para cenários mais complexos usando os aplicativos lógicos existentes
Fluxos de Trabalho do Ciclo de Vida são um funcionalidade do Microsoft Entra ID Governance. Os outros recursos são gerenciamento de direitos, revisões de acesso, PIM (Privileged Identity Management) e termos de uso. Juntos, eles ajudam você a responder a estas perguntas:
- Quais usuários devem ter acesso a quais recursos?
- O que esses usuários estão fazendo com esse acesso?
- Existe um controle organizacional eficaz para gerenciar o acesso?
- Auditores podem verificar se os controles estão funcionando?
- Os usuários estão prontos para começar no primeiro dia ou o acesso foi removido em tempo hábil?
Planejar a implantação do fluxo de trabalho do ciclo de vida é essencial para garantir que a estratégia de governança desejada para os usuários na organização seja alcançada.
Para obter mais informações sobre planos de implantação, consulte Planos de implantação do Microsoft Entra.
Requisitos de licença
O uso desse recurso exige licenças do Microsoft Entra ID Governance ou do Suíte do Microsoft Entra. Para encontrar a licença certa para seus requisitos, confira Conceitos básicos de licenciamento do Microsoft Entra ID Governance.
Planejar o projeto de implantação do fluxo de trabalho do ciclo de vida
Considere as necessidades organizacionais para determinar a estratégia de implantação dos fluxos de trabalho do ciclo de vida no ambiente.
Envolva os participantes certos
Quando os projetos de tecnologia falham, isso normalmente ocorre devido a expectativas incompatíveis sobre o impacto, os resultados e as responsabilidades. Para evitar essas armadilhas, certifique-se de que você esteja envolvendo as partes interessadas certas e que as funções do projeto sejam claras.
Para os fluxos de trabalho do ciclo de vida, provavelmente os representantes das seguintes equipes na organização serão incluídos:
A Administração de TI gerencia sua infraestrutura de TI e administra seus investimentos em nuvem e aplicativos SaaS (software como serviço). Essa equipe:
- Revisa os fluxos de trabalho do ciclo de vida para verificar a infraestrutura e os aplicativos, incluindo o Microsoft 365 e o Microsoft Entra ID.
- Agenda e executa os fluxos de trabalho do ciclo de vida em usuários.
- Garante que os fluxos de trabalho do ciclo de vida programáticos, por meio do GRAPH ou de extensibilidade, sejam controlados e revisados.
O Proprietário da Segurança se certifica de que o plano atende aos requisitos de segurança da sua organização. Essa equipe:
- Garante que os fluxos de trabalho do ciclo de vida atendam às políticas de segurança organizacionais
O Gerenciador de conformidade garante que a organização siga a política interna e atenda aos regulamentos. Essa equipe:
- Solicita ou agenda novas avaliações do fluxo de trabalho do ciclo de vida.
- Avalia os processos e os procedimentos para analisar os fluxos de trabalho do ciclo de vida, que incluem a documentação e a manutenção de registros para conformidade.
- Examina os resultados das revisões anteriores para obter os recursos mais críticos.
Representante de RH: auxilia no mapeamento de atributos e no preenchimento de cenários de provisionamento de RH. Essa equipe:
- Ajuda a determinar os atributos usados para preencher employeeHireDate e employeeLeaveDateTime.
- Garante que os atributos de origem sejam preenchidos e tenham valores
- Identifica e sugere atributos alternativos que podem ser mapeados para employeeHireDate e employeeLeaveDateTime
As equipes de desenvolvimento criam e mantêm aplicativos para sua organização. Essa equipe:
- Desenvolve os fluxos de trabalho personalizados usando o GRAPH
- Integra os fluxos de trabalho de ciclo de vida com Aplicativos Lógicos por meio de extensibilidade.
Planejar a comunicação
A comunicação é fundamental para o sucesso de qualquer novo processo de negócios. Comunique proativamente aos usuários como e quando a experiência deles mudará. Avise-os sobre como obter suporte caso eles encontrem problemas.
Comunicar alterações na responsabilidade
Os fluxos de trabalho do ciclo de vida dão suporte para o deslocamento da responsabilidade dos processos manuais aos proprietários de negócios. Estabeleça um processo claro e a compreensão das responsabilidades de cada equipe. Dissociar esses processos do departamento de TI gera mais precisão e automação. Essa é uma mudança cultural na responsabilidade dos proprietários de recursos. Comunique essa alteração de forma proativa e garanta que os proprietários de recursos sejam treinados e possam usar os insights para tomar boas decisões.
Introdução aos fluxos de trabalho do ciclo de vida
Esta seção apresenta os conceitos de fluxo de trabalho do ciclo de vida que você deverá conhecer antes de planejar a implantação.
Pré-requisitos para implantar os fluxos de trabalho do ciclo de vida
As informações a seguir são importantes para a organização e as tecnologias que deverão ser implementadas antes de implantar os fluxos de trabalho do ciclo de vida. Antes de tentar implantar os fluxos de trabalho do ciclo de vida, verifique se é possível responder afirmativamente para cada um dos itens.
| Item | Descrição | Documentação |
|---|---|---|
| Provisionamento de entrada | Você tem um processo para criar contas de usuário para funcionários no Microsoft Entra, como entrada de RH do Workday ou SuccessFactors, ou MIM. Como alternativa, você tem um processo para criar contas de usuário no Active Directory e essas contas são provisionadas para o Microsoft Entra ID. |
Workday para Active Directory Workday para o Microsoft Entra ID SuccessFactors para Active Directory SuccessFactors para Microsoft Entra ID Microsoft Entra Connect Sincronização de nuvem do Microsoft Entra Connect Provisionamento de entrada controlado por API (versão prévia pública) |
| Sincronização de atributo | As contas no Microsoft Entra ID têm os atributos employeeHireDate e employeeLeaveDateTime preenchidos. Os valores podem ser preenchidos quando as contas são criadas a partir de um sistema de RH ou sincronizadas do AD usando o Microsoft Entra Connect ou a sincronização de nuvem. Você tem atributos extras que são usados para determinar o escopo, como departamento, preenchido ou a capacidade de preencher, com dados. | Como sincronizar atributos para fluxos de trabalho do ciclo de vida |
Reconhecimento das partes de um fluxo de trabalho
Antes de começar a planejar uma implantação do fluxo de trabalho do ciclo de vida, será necessário familiarizar-se com as partes do fluxo de trabalho e com a terminologia dos fluxos de trabalho do ciclo de vida.
O documento Noções básicas sobre fluxos de trabalho do ciclo de vida usa o portal para explicar as partes de um fluxo de trabalho. O documento fluxos de trabalho de ciclo de vida de referência da API do Desenvolvedor usa um exemplo do Graph para explicar as partes de um fluxo de trabalho.
Você pode usar esse documento para se familiarizar com as partes do fluxo de trabalho antes de implantá-las.
Limitações e restrições
A tabela a seguir fornece informações que você precisa conhecer para criar e implantar os fluxos de trabalho do ciclo de vida.
| Item | Descrição |
|---|---|
| Fluxos de trabalho | Limite de 50 fluxos de trabalho por locatário |
| Número de tarefas personalizadas | Limite de 25 por fluxo de trabalho |
| Faixa de valores para offsetInDays | Entre -180 e 180 dias |
| Agendamento de execução do fluxo de trabalho | Padrão a cada 3 horas: pode ser configurado para executar em qualquer lugar de 1 a 24 horas |
| Extensões de tarefas personalizadas | Limite de 100 |
| Limite de usuários sob demanda | É possível executar um fluxo de trabalho sob demanda para um máximo de 10 usuários |
| Tempo limite de retorno de chamada de extensibilidade | Mínimo de 3 minutos, máximo de 5 horas |
A seguir, informações adicionais que você precisa estar ciente.
- Não é possível habilitar o agendamento para um cenário de Desligamento e Transferência em tempo real. Isso ocorre por design.
Lista de verificação de criação do fluxo de trabalho do ciclo de vida
A tabela a seguir fornece uma lista de verificação rápida das etapas que poderão ser utilizadas ao projetar e planejar os fluxos de trabalho.
| Etapa | Descrição |
|---|---|
| Determinar o cenário | Determine qual cenário você está abordando com um fluxo de trabalho |
| Determinar as condições de execução | Determine quem e quando o fluxo de trabalho será executado |
| Revisar as tarefas | Revise e adicione tarefas extras ao fluxo de trabalho |
| Criar o fluxo de trabalho | Crie o fluxo de trabalho após o planejamento e o design. |
| Planejar um piloto | Planeje o piloto, a execução e o teste do fluxo de trabalho. |
Determinar o cenário
Antes de compilar um fluxo de trabalho do ciclo de vida no portal, será necessário determinar qual cenário ou quais cenários deseja implantar. Você pode usar a tabela a seguir para ver uma lista atual dos cenários disponíveis. Eles se baseiam nos modelos disponíveis no portal e listam a tarefa associada a cada um.
| Cenário | Tarefas Predefinidas |
|---|---|
| Integrar um funcionário pré-contratado | Gerar TAP e enviar por email |
| Integrar novo funcionário contratado | Habilitar conta de usuário Enviar email de boas-vindas Adicionar usuário a grupos |
| Desligamento de funcionário em tempo real | Remover usuário de todos os grupos Remover usuário de todos os grupos do Teams Excluir conta do usuário |
| Pré-desligamento de um funcionário | Remover usuário de grupos selecionados Remover usuário de grupos do Teams selecionados |
| Remover um funcionário | Desabilitar conta de usuário Remover usuário de todos os grupos Remover usuário de todos os grupos do Teams |
| Pós-remoção de um funcionário | Remover todas as licenças do usuário Remover usuário de todos os grupos do Teams Excluir conta do usuário |
| Mudança de funcionário em tempo real | Executar uma extensão de tarefa personalizada |
| Alterações na associação ao grupo de funcionários | Remover a atribuição de pacote de acesso para o usuário Remover usuário do Teams selecionado Enviar email para notificar o gerente de movimentação do usuário |
| Alteração do perfil de trabalho do funcionário | Enviar email para notificar o gerente de movimentação do usuário Remover usuário de grupos selecionados Remover usuário do Teams selecionado Solicitar atribuição de pacote de acesso do usuário |
Alterações na associação ao grupo de funcionários
Para obter mais informações sobre os modelos internos, consulte Modelos de fluxo de trabalho do ciclo de vida.
Determinar as condições de execução
Agora que você determinou seus cenários, precisa analisar a quais usuários da sua organização os cenários se aplicam.
Uma condição de execução é a parte de um fluxo de trabalho que define o escopo de quem e o gatilho de quando um fluxo de trabalho será executado.
O escopo determina para quem o fluxo de trabalho será executado. Isso é definido por uma regra que filtrará os usuários com base em uma condição. Por exemplo, a regra "rule": "(department eq 'sales')" executa a tarefa somente em usuários que são membros do departamento de vendas.
O gatilho determina quando o fluxo de trabalho será executado. Isso pode ser sob demanda, que é imediato, ou baseado em tempo. A maioria dos modelos predefinidos no portal baseia-se na execução em um agendamento quando o gatilho é atendido.
Informações de atributo
O escopo de um fluxo de trabalho usa atributos na seção de regras. É possível adicionar as seguintes condicionais extras para quem as tarefas se aplicam.
- And
- E não
- Ou
- Ou não
Também é possível escolher entre os vários atributos de usuário.
No entanto, antes de selecionar um atributo a ser utilizado na condição de execução, será necessário garantir que o atributo será preenchido com dados ou que você poderá começar a preenchê-lo com os dados obrigatórios.
Nem todos esses atributos são preenchidos por padrão, portanto, consulte o administrador de RH ou os administradores de TI ao usar provisionamento somente de nuvem de entrada de RH, o Microsoft Entra Connect ou sincronização de nuvem.
Informações de hora
A seguir, são apresentadas algumas informações importantes sobre os fusos horários que deverão ser de seu conhecimento quando projetar os fluxos de trabalho.
- O Workday e o SAP SF sempre enviarão a hora em UTC, ou seja, Tempo Universal Coordenado.
- Se você estiver em um único fuso horário, é recomendável codificar a parte da hora que seja ideal para você. Um exemplo seria 5h para cenários de nova contratação e 22h para cenários de último dia de trabalho.
- É recomendável, se você estiver usando TAP (senha de acesso temporária), definir a vida útil máxima para 24 horas. Isso ajudará a garantir que o TAP não expire após ser enviado a um funcionário que talvez esteja em um fuso horário diferente. Para obter mais informações, consulte: Como configurar senha de acesso temporária no Microsoft Entra ID para registrar métodos de autenticação sem senha.
Para obter mais informações, consulte Como sincronizar atributos para Fluxos de Trabalho do Ciclo de Vida.
Revisar as tarefas
Agora que determinamos o cenário, quem e quando, você deve considerar se as tarefas predefinidas são suficientes ou se você precisará de tarefas extras. A tabela a seguir tem uma lista das tarefas predefinidas que estão atualmente no portal. Use esta tabela para determinar se quer adicionar mais tarefas.
| Tarefa | Descrição | Cenários relevantes |
|---|---|---|
| Adicionar usuário a grupos | Adicionar usuário a grupos selecionados | Ingressante – Desligado – Transferência |
| Adicionar usuário às equipes selecionadas | Adicionar usuário ao Teams | Ingressante – Desligado – Transferência |
| Atribuir licenças a usuários | Atribuir licenças aos usuários | Ingressante – Transferência |
| Excluir conta de usuário | Excluir conta de usuário no Microsoft Entra ID | Desligamento |
| Desabilitar conta de usuário | Desabilitar conta de usuário no diretório | Ingresso – Desligamento |
| Habilitar conta de usuário | Habilitar conta de usuário no diretório | Ingresso – Desligamento |
| Gerar TAP e enviar por email | Gerar Senha de Acesso Temporária e enviar por email ao gerente do usuário | Ingresso |
| Remover todas as licenças do usuário | Remover todas as licenças atribuídas ao usuário | Desligamento |
| Remover usuário de todos os grupos | Remover o usuário de todas as associações de grupo do Microsoft Entra | Desligamento |
| Remover usuário de todos os grupos do Teams | Remover usuário de todas as associações do Teams | Desligamento |
| Remover usuário dos grupos selecionados | Remover o usuário da associação de grupos do Microsoft Entra selecionados | Ingressante – Desligado – Transferência |
| Remover usuário dos grupos do Teams selecionados | Remover usuário da associação de grupos do Teams selecionados | Ingressante – Desligado – Transferência |
| Executar uma extensão de tarefa personalizada | Executar uma extensão de tarefa personalizada para chamar um sistema externo | Ingressante – Desligado – Transferência |
| Enviar email após o último dia do usuário | Enviar um email de desligamento ao gerente do usuário após o último dia de trabalho | Desligamento |
| Enviar email antes do último dia do usuário | Enviar email de desligamento ao gerente do usuário antes do último dia de trabalho | Desligamento |
| Enviar email no último dia do usuário | Enviar email de desligamento ao gerente do usuário no último dia de trabalho | Desligamento |
| Enviar email de boas-vindas | Enviar email de boas-vindas ao novo contratado | Ingresso |
| Enviar lembrete de integração por email | Enviar email de lembrete de integração para o gerente do usuário | Entrada |
| Solicitar a atribuição do pacote de acesso do usuário | Solicitar atribuição de usuário para pacotes de acesso selecionados | Ingressante – Transferência |
| Remover a atribuição do pacote de acesso do usuário | Remover atribuição de usuário de pacotes de acesso selecionados | De saída – Transferência |
| Remover todas as atribuições de pacotes de acesso do usuário | Remover todos os pacotes de acesso atribuídos ao usuário | Saída |
| Remover atribuições de licença selecionadas do usuário | Remover a atribuição de licença de seleção do usuário | De saída – Transferência |
| Cancelar todas as solicitações de atribuição de pacote de acesso pendentes para usuários | Cancelar todas as solicitações de atribuição de pacote de acesso pendentes para usuários | Saída |
Para obter mais informações sobre tarefas, consulte Tarefas do fluxo de trabalho do ciclo de vida.
Tarefas em equipe ou grupo
Se você estiver usando uma tarefa em grupo ou equipe, o fluxo de trabalho precisará especificar o grupo ou grupos. Na captura de tela a seguir, você vê o triângulo amarelo na tarefa indicando a ausência de informações.
Ao selecionar a tarefa, você verá uma barra de navegação para adicionar ou remover grupos. Selecione o link "x grupos selecionados" para adicionar grupos.
Extensões de tarefas personalizadas
Os fluxos de trabalho do ciclo de vida permitem criar fluxos de trabalho que poderão ser disparados com base em cenários de ingresso, transferência ou desligamento. Embora os Fluxos de Trabalho do Ciclo de Vida forneçam várias tarefas internas para automatizar os cenários comuns ao longo do ciclo de vida dos usuários, você poderá atingir eventualmente os limites dessas tarefas internas. Com o recurso de extensibilidade, você pode utilizar o conceito de extensões de tarefas personalizadas para chamada de sistemas externos como parte de um Fluxo de Trabalho do Ciclo de Vida.
Os cenários de como uma extensão de tarefa personalizada interage com fluxos de trabalho do ciclo de vida podem ser uma das três maneiras:
- Cenário do tipo disparar e esquecer: o Aplicativo Lógico inicia e a execução de tarefa sequencial continua imediatamente sem nenhuma resposta esperada do Aplicativo Lógico.
- Execução de tarefa sequencial aguardando resposta do Aplicativo Lógico: o Aplicativo Lógico inicia e a execução da tarefa sequencial aguarda a resposta do Aplicativo Lógico.
- Execução de tarefa sequencial aguardando a resposta de um sistema de terceiros: o Aplicativo Lógico inicia e a execução de tarefa sequencial aguarda a resposta de um sistema de terceiros que dispara o Aplicativo Lógico para informar à extensão de tarefa personalizada se executou com êxito ou não.
- Para obter mais informações sobre extensões personalizadas, confira Extensibilidade do fluxo de trabalho do ciclo de vida
Criar o fluxo de trabalho
Agora que você projetou e planejou o fluxo de trabalho, poderá criá-lo no portal. Para obter informações detalhadas sobre como criar um fluxo de trabalho, consulte Crie um fluxo de trabalho do ciclo de vida.
Planejar um piloto
É recomendável que os clientes testem inicialmente os fluxos de trabalho do ciclo de vida com um pequeno grupo de usuários ou um único usuário de teste. O teste piloto pode ajudar você a ajustar processos e comunicações conforme necessário. Ele pode ajudar a aumentar a capacidade dos usuários e revisores de atender aos requisitos de segurança e conformidade.
No piloto, é recomendável que você:
- Comece com os fluxos de trabalho do ciclo de vida em que os resultados são aplicados a um pequeno subconjunto de usuários.
- Monitore os logs de auditoria para garantir que todos os eventos sejam auditados corretamente.
Para obter mais informações, consulte Melhores práticas para um piloto..
Testar e executar o fluxo de trabalho
Após criar um fluxo de trabalho, será necessário testá-lo executando o fluxo de trabalho sob demanda.
O uso do recurso sob demanda permite testar e avaliar se o Fluxo de Trabalho do Ciclo de Vida está funcionando conforme o esperado.
Após concluir os testes, você poderá retrabalhar o fluxo de trabalho do ciclo de vida ou preparar para uma distribuição mais ampla.
Logs de auditoria
Também é possível obter mais informações nos logs de auditoria. Esses logs podem ser acessados no portal em Microsoft Entra ID/monitoramento. Para obter mais informações, consulte Logs de auditoria no Microsoft Entra ID e Histórico do fluxo de trabalho do ciclo de vida.
Exemplo de plano de fluxo de trabalho do ciclo de vida
| Estágio | Descrição |
|---|---|
| Determinar o cenário | Um fluxo de trabalho de pré-contratação que envia emails para o novo gerente. |
| Determinar as condições de execução | O fluxo de trabalho é executado nos novos funcionários no departamento de vendas, dois (2) dias antes da employeeHireDate. |
| Revisar as tarefas. | Usamos as tarefas predefinidas no fluxo de trabalho. Nenhuma tarefa extra adicionada. |
| Criar o fluxo de trabalho no portal | Use o modelo predefinido para novas contratações no portal. |
| Habilitar e testar o fluxo de trabalho | Use o recurso sob demanda para testar o fluxo de trabalho em um usuário. |
| Revisar os resultados do teste | Revise os resultados do teste e verifique se o fluxo de trabalho do ciclo de vida está funcionando conforme o esperado. |
| Distribuir o fluxo de trabalho a um público mais amplo | Comunique-se com os stakeholders informando que está em andamento e que o RH não precisará mais enviar um email ao gerente de contratação. |
Próximas etapas
Saiba mais sobre as seguintes tecnologias relacionadas: