Partilhar via

Preparando contas de usuário para tutoriais de fluxos de trabalho do ciclo de vida

  • Artigo

Para os tutoriais de integração (on-boarding) e desligamento (off-boarding), precisas de contas nos quais os fluxos de trabalho são executados. Esta seção ajuda você a preparar essas contas, se você já tiver contas de teste que atendam aos seguintes requisitos, você pode prosseguir diretamente para os tutoriais de integração e desembarque. São necessárias duas contas para os tutoriais de integração, uma conta para o novo contratado e outra conta que atua como gerente do novo contratado. A nova conta de contratação deve ter os seguintes atributos definidos:

  • A data de contratação do funcionário deve ser definida para hoje
  • O departamento deve ser definido como vendas
  • atributo manager deve ser definido, e a conta de manager deve ter uma caixa de correio para receber um email

Os tutoriais de desvinculação exigem apenas uma conta com associações de grupo e do Teams, mas a conta é eliminada durante o tutorial.

Pré-requisitos

O uso desse recurso requer licenças do Microsoft Entra ID Governance ou do Microsoft Entra Suite. Para encontrar a licença certa para seus requisitos, consulte Fundamentos de licenciamento do Microsoft Entra ID Governance.

  • Um inquilino do Microsoft Entra
  • Uma conta de administrador com permissões apropriadas para o locatário do Microsoft Entra. Esta conta é utilizada para criar os nossos utilizadores e fluxos de trabalho.

Antes de começar

Na maioria dos casos, os usuários serão provisionados para o Microsoft Entra ID a partir de uma solução local (como o Microsoft Entra Connect ou Cloud sync) ou com uma solução de RH. Esses usuários têm os atributos e valores preenchidos no momento da criação. Configurar a infraestrutura para provisionar usuários está fora do escopo deste tutorial. Para obter informações, consulte Tutorial: Ambiente básico do Active Directory e Tutorial: Integrar uma única floresta com uma única instância do Microsoft Entra.

Criar usuários no Microsoft Entra ID

Usamos o Graph Explorer para criar rapidamente dois usuários necessários para executar os fluxos de trabalho do ciclo de vida nos tutoriais. Um usuário representa nosso novo funcionário e o segundo representa o gerente do novo funcionário.

Você precisa editar o POST e substituir a expressão <o nome do seu locatário aqui> pelo nome do seu locatário. Por exemplo: $UPN_manager = "bsimon@<seu nome de locatário aqui>" para $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Nota

Lembre-se de que um fluxo de trabalho não será acionado quando a data de contratação do funcionário (Dias do evento) for anterior à data de criação do fluxo de trabalho. Você deve definir uma data de contratação de funcionário no futuro de forma propositada. As datas usadas neste tutorial são um ponto de referência no tempo. Portanto, você deve alterar as datas de forma a acomodar essa situação.

Primeiro criamos a nossa funcionária, Melva Prince.

  1. Agora navegue até o Graph Explorer.
  2. Inicie sessão no Graph Explorer com a conta de Administrador de Utilizadores do seu inquilino.
  3. Na parte superior, altere GET para POST e adicione https://graph.microsoft.com/v1.0/users/ à caixa.
  4. Copie o seguinte código para o corpo da solicitação
  5. Substitua <your tenant here> no código a seguir pelo valor do seu locatário do Microsoft Entra.
  6. Selecione Executar consulta
  7. Copie a ID retornada nos resultados. Este é utilizado mais tarde para designar um gerente.
{
  "accountEnabled": true,
  "displayName": "Melva Prince",
  "mailNickname": "mprince",
  "department": "sales",
  "mail": "mprince@<your tenant name here>",
  "employeeHireDate": "2022-04-15T22:10:00Z",
  "userPrincipalName": "mprince@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "<Generated Password>"
  }
}

Screenshot do POST de criação de Melva no Graph Explorer.

Em seguida, criamos Britta Simon. Esta conta é usada como nosso gerente.

  1. Ainda no Graph Explorer.
  2. Verifique se a parte superior ainda está definida como POST e https://graph.microsoft.com/v1.0/users/ está na caixa.
  3. Copie o seguinte código para o corpo da solicitação
  4. Substitua <your tenant here> no código a seguir pelo valor do seu Microsoft Entra tenant.
  5. Selecione Executar consulta
  6. Copie a ID retornada nos resultados. Esse ID é usado posteriormente para atribuir um gerente. 
    {
  "accountEnabled": true,
  "displayName": "Britta Simon",
  "mailNickname": "bsimon",
  "department": "sales",
  "mail": "bsimon@<your tenant name here>",
  "employeeHireDate": "2021-01-15T22:10:00Z",
  "userPrincipalName": "bsimon@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "<Generated Password>"
  }
}

Nota

É necessário alterar a seção <o nome do seu inquilino aqui> do código para que corresponda ao seu inquilino no Microsoft Entra.

Como alternativa, o seguinte script do PowerShell também pode ser usado para criar rapidamente dois usuários necessários para executar um fluxo de trabalho de ciclo de vida. Um usuário representa nosso novo funcionário e o segundo representa o gerente do novo funcionário.

Importante

O seguinte script do PowerShell é fornecido para criar rapidamente os dois usuários necessários para este tutorial. Esses usuários também podem ser criados no Centro de administração do Microsoft Entra.

Para criar esta etapa, salve o seguinte script do PowerShell em um local em uma máquina que tenha acesso ao Azure.

Em seguida, tem de editar o script e substituir o texto <o nome do seu inquilino aqui> pelo nome do seu inquilino. Por exemplo: $UPN_manager = "bsimon@<seu nome de locatário aqui>" para $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Você precisa executar essa ação para $UPN_employee e $UPN_manager

Depois de editar o script, salve-o e siga estas etapas:

  1. Abra um prompt de comando do Windows PowerShell, com privilégios administrativos, em uma máquina que tenha acesso ao centro de administração do Microsoft Entra.
  2. Navegue até o local de script do PowerShell salvo e execute-o.
  3. Se solicitado, selecione Sim para todos ao instalar o módulo do PowerShell.
  4. Quando solicitado, entre no centro de administração do Microsoft Entra com um Administrador Global para seu locatário.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables

$Displayname_employee = "Melva Prince"
$UPN_employee = "mprince<your tenant name here>"
$Name_employee = "mprince"
$Password_employee = "Pass1w0rd"
$EmployeeHireDate_employee = "04/10/2022"
$Department_employee = "Sales"
$Displayname_manager = "Britta Simon"
$Name_manager = "bsimon"
$Password_manager = "Pass1w0rd"
$Department = "Sales"
$UPN_manager = "bsimon@<your tenant name here>"

Install-Module -Name AzureAD
Connect-MgGraph -Confirm

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "<Password>"
New-MgUser -DisplayName $Displayname_manager  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_manager -AccountEnabled $true -MailNickName $Name_manager -Department $Department
New-MgUser -DisplayName $Displayname_employee  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_employee -AccountEnabled $true -MailNickName $Name_employee -Department $Department

Depois que o(s) utilizador(es) forem criados com êxito no Microsoft Entra ID, você poderá continuar a seguir os tutoriais de ciclo de vida para a criação de fluxos de trabalho.

Outras etapas para o processo de pré-contratação

Há algumas outras etapas que você deve estar ciente ao testar os usuários de integração para sua organização usando fluxos de trabalho de ciclo de vida com o tutorial do centro de administração do Microsoft Entra ou os usuários de integração para sua organização usando fluxos de trabalho de ciclo de vida com o tutorial do Microsoft Graph .

Editar os atributos dos usuários usando o centro de administração do Microsoft Entra

Alguns dos atributos necessários para o tutorial de integração antes da contratação são expostos através do Centro de Administração do Microsoft Entra, podendo ser definidos lá.

Estes atributos são:

Atributo Descrição Definido em
correio Usado para notificar o gerente sobre o passe de acesso temporário dos novos funcionários Gestor
gestor Este atributo que é usado pelo fluxo de trabalho do ciclo de vida Colaborador

Para o tutorial, o atributo mail só precisa ser definido na conta de gerente e o atributo de gerente definido na conta de funcionário. Utilize os passos seguintes:

  1. Faça login no Centro de Administração do Microsoft Entra como pelo menos um Administrador de Utilizador.
  2. Navegue até >Identidade>Utilizadores>Todos os Utilizadores.
  3. Selecione Melva Prince.
  4. Na parte superior, selecione Editar.
  5. Em gerente, selecione Alterar e selecione Britta Simon.
  6. Na parte superior, selecione Guardar.
  7. Volte para os utilizadores e selecione Britta Simon.
  8. Na parte superior, selecione Editar.
  9. Em E-mail, insira um endereço de e-mail válido.
  10. Selecione Guardar.

Editar DataDeContrataçãoDoFuncionário

O atributo employeeHireDate é novo no Microsoft Entra ID. Ele não é exposto por meio da interface do usuário e deve ser atualizado usando o Graph. Para editar esse atributo, podemos usar o Graph Explorer.

Nota

Lembre-se de que um fluxo de trabalho não será acionado quando a data de contratação do funcionário (Dias do evento) for anterior à data de criação do fluxo de trabalho. Você deve definir um employeeHireDate no futuro intencionalmente. As datas usadas neste tutorial são capturas de um momento específico. Portanto, você deve ajustar as datas de acordo para se adaptar a esta situação.

Para fazer isso, devemos obter o ID do objeto para o nosso usuário Melva Prince.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Utilizadores.

  2. Navegue até >Identidade>Utilizadores>Todos os Utilizadores.

  3. Selecione Melva Prince.

  4. Selecione o ícone de cópia ao lado do ID do objeto.

  5. Agora navegue até o Graph Explorer.

  6. Inicie sessão no Graph Explorer com a conta de Administrador Global do seu inquilino.

  7. Na parte superior, altere GET para PATCH e adicione https://graph.microsoft.com/v1.0/users/<id> à caixa. Substitua <id> pelo valor que copiamos antes.

  8. Copie o seguinte para o corpo da solicitação e selecione Executar consulta

    {
"employeeHireDate": "2022-04-15T22:10:00Z"
}

    Captura de tela do funcionário do PATCHHIREDate.

  9. Verifique a alteração alterando PATCH de volta para GET e v1.0 para beta. Selecione Executar consulta. Você deve ver os atributos definidos para Melva.
    Captura de ecrã da função GET employeeHireDate.

Editar o atributo de gerente na conta do funcionário

O atributo manager é usado para tarefas de notificação por e-mail. Ele envia por e-mail ao gerente uma senha temporária para o novo funcionário. Use as etapas a seguir para garantir que os usuários do Microsoft Entra tenham um valor para o atributo manager.

  1. Ainda no Graph Explorer.

  2. Verifique se a parte superior ainda está definida como PUT e https://graph.microsoft.com/v1.0/users/<id>/manager/$ref está na caixa. Altere <id> para o ID de Melva Prince.

  3. Copie o seguinte código para o corpo da solicitação

  4. Substitua <managerid> no código a seguir pelo valor de Britta Simons ID.

  5. Selecione Executar consulta

    {
  "@odata.id": "https://graph.microsoft.com/v1.0/users/<managerid>"
}

    Captura de ecrã de Adicionar um gestor no explorador de gráficos.

  6. Agora, podemos verificar se o gerente está configurado corretamente alterando o PUT para GET.

  7. Certifique-se de que https://graph.microsoft.com/v1.0/users/<id>/manager/ está na caixa. O <id> ainda é o de Melva Prince.

  8. Selecione Executar consulta. Você deve ver Britta Simon aparecer na resposta.

    Captura de ecrã a mostrar como obter um gestor no explorador de gráficos.

Para obter mais informações sobre como atualizar as informações do gerenciador para um usuário na Graph API, consulte a documentação do gerenciador de atribuições. Você também pode definir esse atributo no Centro de administração do Azure. Para obter mais informações, consulte Adicionar ou alterar informações de perfil.

Ativar o Passe de Acesso Temporário (TAP)

Um Passe de Acesso Temporário é um passe por tempo limitado emitido por um administrador que satisfaz os requisitos de autenticação forte.

Nesse cenário, usamos esse recurso do Microsoft Entra ID para gerar um passe de acesso temporário para nosso novo funcionário. É enviado por correio para o gerente do funcionário.

Para usar esse recurso, ele deve estar habilitado em nosso locatário do Microsoft Entra. Para habilitar esse recurso, use as etapas a seguir.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
  2. Navegue até Proteção>Métodos de autenticação>Passe de acesso temporário
  3. Selecione Sim para ativar a política e adicionar Britta Simon e selecione quais utilizadores têm a política aplicada e quaisquer configurações Gerais.

Consideração para o cenário de saída

Há uma etapa extra que deve ter em conta ao testar os tutoriais ao desativar utilizadores da sua organização usando workflows de ciclo de vida com o Microsoft Entra admin center ou com o Microsoft Graph.

Configurar o usuário com grupos e o Teams com associação à equipe

Um utilizador associado a grupos e equipas é necessário antes de começar os tutoriais para o cenário de saída.

Próximos passos