Gerir utilizadores sincronizados dos Serviços de Domínio Active Directory para o Microsoft Entra ID com fluxos de trabalho do ciclo de vida
Os Fluxos de Trabalho do Ciclo de Vida suportam o controlo do ciclo de vida da identidade para contas de utilizador sincronizadas dos Serviços de Domínio Ative Directory (AD DS) para o Microsoft Entra ID. Para Fluxos de Trabalho do Ciclo de Vida, é essencial que exista uma conta de usuário no ID do Microsoft Entra, mas a forma como a conta foi criada ou como as alterações relevantes ao ciclo de vida estão sendo feitas na conta desempenha um papel menor quando se trata de processar fluxos de trabalho e tarefas associadas para a conta de usuário. Esse suporte inclui contas e alterações feitas por meio de opções como provisionamento orientado por RH, APIs do Microsoft Graph, Portal de Administração do Microsoft Entra e alterações sincronizadas pelo Microsoft Entra Connect e Microsoft Cloud Sync.
A tabela a seguir lista cenários comuns de automação para usuários sincronizados do AD DS usando a Governança de ID do Microsoft Entra:
| Cenário para automatizar | Solução de governança do Microsoft Entra ID |
|---|---|
| Criando a conta de usuário nos Serviços de Domínio Ative Directory | Provisionamento orientado por RH |
| Fornecer credenciais iniciais ou senha para contas de usuário | A tarefa Gerar Passe de Acesso Temporário e enviar por e-mail para o gerente do usuário pode ser usada para configurar credenciais sem senha. Para configurar uma palavra-passe regular do Active Directory, pode utilizar a redefinição de palavra-passe de autoatendimento do Microsoft Entra. |
| Atribuição de licenças | A tarefa Atribuir licenças ao fluxo de trabalho do ciclo de vida do usuário pode ser usada para atribuir licenças. Também pode atribuir licenças aos utilizadores através de um grupo. |
| Dê aos usuários acesso a aplicativos baseados em grupo do Ative Directory | Controlar o acesso ao aplicativo Ative Directory (Kerberos) local |
| Atualizar atributos de utilizador no Active Directory à medida que mudam de organização | Planejar filtros de escopo e mapeamento de atributos |
| Mover utilizadores para UOs diferentes conforme mudam de organização | Configurar a atribuição de contentor de OU do Active Directory |
| Desativar usuários no último dia | A tarefa Desabilitar fluxo de trabalho do ciclo de vida da conta de usuário pode ser usada para desabilitar uma conta de usuário no último dia. |
| Excluir usuários em um número definido de dias após o término | A tarefa do fluxo de trabalho Excluir Utilizador pode ser usada num modelo de fluxo de trabalho para excluir utilizadores um certo número de dias após a sua rescisão. |
Neste artigo, você aprenderá o que precisa ser considerado se quiser usar os Fluxos de Trabalho do Ciclo de Vida para contas de usuário sincronizadas do AD DS para o ID do Microsoft Entra.
Condições de execução do fluxo de trabalho com usuários sincronizados dos Serviços de Domínio Ative Directory (AD DS) para o Microsoft Entra ID
Os fluxos de trabalho do ciclo de vida são processados para contas de usuário quando atendem às condições de execução do fluxo de trabalho. As condições de execução são compostas por um gatilho e um escopo. O gatilho descreve o evento que ocorre para uma conta de usuário. O escopo permite definir melhor para quem o fluxo de trabalho é executado quando o evento ocorre.
Gatilhos de fluxo de trabalho
A tabela a seguir mostra o que deve ser considerado para cada gatilho de fluxo de trabalho quando usado com usuários sincronizados do AD DS:
| Gatilho de fluxo de trabalho | Requisitos |
|---|---|
| Alterações de atributos | Nenhuma configuração adicional é necessária, desde que os atributos estejam sincronizados. Para obter informações sobre atributos sincronizados, consulte: Mapeamento de atributos no Microsoft Entra Cloud Sync e Microsoft Entra Connect Sync: extensões de diretório. Quando uma alteração é feita no Ative Directory, a sincronização via Microsoft Entra Cloud Sync ou Microsoft Entra Connect Sync precisa ocorrer antes que as alterações possam ser retiradas dos Fluxos de Trabalho do Ciclo de Vida. |
| Baseado na associação ao grupo | Como qualquer tipo de grupo é suportado, nenhuma configuração adicional é necessária. Se o grupo for originário do Ative Directory, ele deverá ser sincronizado com o Microsoft Entra. A sincronização do Microsoft Entra Cloud Sync, ou Microsoft Entra Connect Sync, precisa ocorrer antes que as alterações possam ser detectadas nos Fluxos de Trabalho do Ciclo de Vida. |
| A pedido | Nenhuma configuração adicional necessária. |
| Com base no tempo |
employeeHireDate, employeeLeaveDateTime: Esses atributos devem ser sincronizados antes de serem usados. Para obter mais informações sobre esse processo, consulte: Como sincronizar atributos para fluxos de trabalho do ciclo de vida. createdDateTime: Nenhuma configuração adicional necessária. Essa data é o dia em que a conta de utilizador é sincronizada com o Microsoft Entra ID, não quando foi criada no Active Directory. |
Escopo do fluxo de trabalho
Para atributos de usuário usados nos recursos de escopo do fluxo de trabalho, nenhuma configuração adicional será necessária se os atributos selecionados já estiverem sincronizados. Para obter informações sobre atributos sincronizados, consulte: Mapeamento de atributos no Microsoft Entra Cloud Sync e Microsoft Entra Connect Sync: extensões de diretório. Quando uma alteração é feita no Ative Directory, a sincronização via Microsoft Entra Cloud Sync ou Microsoft Entra Connect Sync precisa ocorrer antes que as alterações possam ser retiradas dos Fluxos de Trabalho do Ciclo de Vida.
Tarefas de fluxo de trabalho para utilizadores sincronizados dos Serviços de Domínio Active Directory para o Microsoft Entra ID
Todas as tarefas de fluxo de trabalho do Ciclo de Vida funcionam tanto para a nuvem quanto para os utilizadores sincronizados a partir do Active Directory, exceto nas limitações listadas em tarefas específicas mais adiante neste artigo. Para obter mais informações sobre todas as tarefas do Lifecycle Workflow, consulte: Lifecycle Workflow built-in tasks.
Tarefas para governar associações de grupo
Cenário: Ao sincronizar utilizadores do AD DS para o Microsoft Entra ID, pode adicionar ou remover utilizadores de grupos de segurança baseados em nuvem por meio das tarefas de grupo do Workflow de Ciclo de Vida. Isso permite-lhe governar a associação de grupo dos utilizadores sincronizados na nuvem e também adicionar este grupo novamente ao Active Directory usando o writeback de grupo do Microsoft Entra Cloud Sync.
Para os grupos que são sincronizados do AD DS para o Microsoft Entra ID, não será possível usar tarefas de grupo do Fluxo de Trabalho do Ciclo de Vida, conforme mencionado no cenário. No entanto, a Governança de ID do Microsoft Entra pode ser usada para gerir o acesso a aplicações do Active Directory (Kerberos) no local com grupos da nuvem, que são suportados nos Fluxos de Trabalho do Ciclo de Vida.
Tarefas da conta de utilizador
É necessária uma configuração adicional para que as tarefas do Fluxo de Trabalho do Ciclo de Vida de habilitar, desabilitar e excluir contas de utilizador funcionem com contas sincronizadas a partir do AD DS. Os pré-requisitos a seguir devem ser concluídos antes que você possa configurar as tarefas para executar ações no Ative Directory.
- Você deve ter o agente de provisionamento do Microsoft Entra instalado em seu ambiente. Para obter os pré-requisitos sobre a instalação do agente de provisionamento do Microsoft Entra, consulte: Requisitos do agente de provisionamento de nuvem. Para obter um guia passo a passo sobre como instalar o agente de provisionamento do Microsoft Entra, consulte: Instalar o agente de provisionamento do Microsoft Entra. Durante a instalação, escolha "HR-driven provisioning / Microsoft Entra Connect Sync" como "configuração da extensão". Não é necessário adicionar nenhuma outra configuração para o agente de provisionamento, como a configuração de sincronização na nuvem, e você pode instalar o agente de provisionamento mesmo se também estiver usando o Microsoft Entra Connect Sync para a sincronização do usuário.
Nota
O agente de provisionamento instalado deve ser pelo menos a versão 1.1.1586.0, que foi lançada em 13 de maio de 2024.
Verifique se a Conta de Serviço Gerenciado de Grupo (gMSA) usada pelo agente de provisionamento tem as permissões apropriadas para executar operações em contas de usuário.
Para excluir contas de usuários, você deve habilitar a lixeira do Ative Directory. Para obter um guia passo a passo sobre como ativar a Lixeira, consulte: Passo a passo da Lixeira do Active Directory.
Para obter um guia passo a passo sobre como definir o sinalizador para que as tarefas da conta de usuário sejam executadas para usuários sincronizados a partir dos Serviços de Domínio Ative Directory, consulte: Gerenciar sincronizado dos Serviços de Domínio Ative Directory (AD DS) com fluxos de trabalho.