Partilhar via

Preparando contas de usuário para tutoriais de fluxos de trabalho do ciclo de vida

  • Artigo

Para os tutoriais on-boarding e off-boarding, você precisa de contas para as quais os fluxos de trabalho são executados. Esta seção ajuda você a preparar essas contas, se você já tiver contas de teste que atendam aos seguintes requisitos, você pode prosseguir diretamente para os tutoriais de integração e desembarque. São necessárias duas contas para os tutoriais de integração, uma conta para o novo contratado e outra conta que atua como gerente do novo contratado. A nova conta de contratação deve ter os seguintes atributos definidos:

  • employeeHireDate deve ser definido para hoje
  • departamento deve ser definido como vendas
  • atributo manager deve ser definido, e a conta de manager deve ter uma caixa de correio para receber um email

Os tutoriais off-boarding exigem apenas uma conta que tenha associações de grupo e do Teams, mas a conta é excluída durante o tutorial.

Pré-requisitos

O uso desse recurso requer licenças do Microsoft Entra ID Governance ou do Microsoft Entra Suite. Para encontrar a licença certa para seus requisitos, consulte Fundamentos de licenciamento do Microsoft Entra ID Governance.

  • Um inquilino do Microsoft Entra
  • Uma conta de administrador com permissões apropriadas para o locatário do Microsoft Entra. Esta conta é utilizada para criar os nossos utilizadores e fluxos de trabalho.

Antes de começar

Na maioria dos casos, os usuários serão provisionados para o Microsoft Entra ID a partir de uma solução local (como o Microsoft Entra Connect ou Cloud sync) ou com uma solução de RH. Esses usuários têm os atributos e valores preenchidos no momento da criação. Configurar a infraestrutura para provisionar usuários está fora do escopo deste tutorial. Para obter informações, consulte Tutorial: Ambiente básico do Ative Directory e Tutorial: Integrar uma única floresta com um único locatário do Microsoft Entra.

Criar usuários no Microsoft Entra ID

Usamos o Graph Explorer para criar rapidamente dois usuários necessários para executar os fluxos de trabalho do ciclo de vida nos tutoriais. Um usuário representa nosso novo funcionário e o segundo representa o gerente do novo funcionário.

Você precisa editar o POST e substituir a parte do nome do <locatário aqui> pelo nome do locatário. Por exemplo: $UPN_manager = "bsimon@<seu nome de locatário aqui>" para $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Nota

Lembre-se de que um fluxo de trabalho não será acionado quando a data de contratação do funcionário (Dias do evento) for anterior à data de criação do fluxo de trabalho. Você deve definir um funcionárioHiredate no futuro por design. As datas usadas neste tutorial são um instantâneo no tempo. Portanto, você deve alterar as datas de acordo para acomodar essa situação.

Primeiro criamos a nossa funcionária, Melva Prince.

  1. Agora navegue até o Graph Explorer.
  2. Inicie sessão no Graph Explorer com a conta de Administrador de Utilizadores do seu inquilino.
  3. Na parte superior, altere GET para POST e adicione https://graph.microsoft.com/v1.0/users/ à caixa.
  4. Copie o seguinte código para o corpo da solicitação
  5. Substitua <your tenant here> no código a seguir pelo valor do seu locatário do Microsoft Entra.
  6. Selecione Executar consulta
  7. Copie a ID retornada nos resultados. Isso é usado posteriormente para atribuir um gerente.
{
  "accountEnabled": true,
  "displayName": "Melva Prince",
  "mailNickname": "mprince",
  "department": "sales",
  "mail": "mprince@<your tenant name here>",
  "employeeHireDate": "2022-04-15T22:10:00Z",
  "userPrincipalName": "mprince@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "<Generated Password>"
  }
}

Screenshot do POST criar Melva no explorador de gráficos.

Em seguida, criamos Britta Simon. Esta conta é usada como nosso gerente.

  1. Ainda no Graph Explorer.
  2. Verifique se a parte superior ainda está definida como POST e https://graph.microsoft.com/v1.0/users/ está na caixa.
  3. Copie o seguinte código para o corpo da solicitação
  4. Substitua <your tenant here> no código a seguir pelo valor do seu locatário do Microsoft Entra.
  5. Selecione Executar consulta
  6. Copie a ID retornada nos resultados. Esse ID é usado posteriormente para atribuir um gerente. 
    {
  "accountEnabled": true,
  "displayName": "Britta Simon",
  "mailNickname": "bsimon",
  "department": "sales",
  "mail": "bsimon@<your tenant name here>",
  "employeeHireDate": "2021-01-15T22:10:00Z",
  "userPrincipalName": "bsimon@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "<Generated Password>"
  }
}

Nota

Você precisa alterar a seção do nome do <locatário aqui> do código para corresponder ao seu locatário do Microsoft Entra.

Como alternativa, o seguinte script do PowerShell também pode ser usado para criar rapidamente dois usuários necessários para executar um fluxo de trabalho de ciclo de vida. Um usuário representa nosso novo funcionário e o segundo representa o gerente do novo funcionário.

Importante

O seguinte script do PowerShell é fornecido para criar rapidamente os dois usuários necessários para este tutorial. Esses usuários também podem ser criados no Centro de administração do Microsoft Entra.

Para criar esta etapa, salve o seguinte script do PowerShell em um local em uma máquina que tenha acesso ao Azure.

Em seguida, você precisa editar o script e substituir a parte do nome do <locatário aqui> pelo nome do locatário. Por exemplo: $UPN_manager = "bsimon@<seu nome de locatário aqui>" para $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Você precisa executar essa ação para $UPN_employee e $UPN_manager

Depois de editar o script, salve-o e siga estas etapas:

  1. Abra um prompt de comando do Windows PowerShell, com privilégios administrativos, em uma máquina que tenha acesso ao centro de administração do Microsoft Entra.
  2. Navegue até o local de script do PowerShell salvo e execute-o.
  3. Se solicitado, selecione Sim para todos ao instalar o módulo do PowerShell.
  4. Quando solicitado, entre no centro de administração do Microsoft Entra com um Administrador Global para seu locatário.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables

$Displayname_employee = "Melva Prince"
$UPN_employee = "mprince<your tenant name here>"
$Name_employee = "mprince"
$Password_employee = "Pass1w0rd"
$EmployeeHireDate_employee = "04/10/2022"
$Department_employee = "Sales"
$Displayname_manager = "Britta Simon"
$Name_manager = "bsimon"
$Password_manager = "Pass1w0rd"
$Department = "Sales"
$UPN_manager = "bsimon@<your tenant name here>"

Install-Module -Name AzureAD
Connect-MgGraph -Confirm

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "<Password>"
New-MgUser -DisplayName $Displayname_manager  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_manager -AccountEnabled $true -MailNickName $Name_manager -Department $Department
New-MgUser -DisplayName $Displayname_employee  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_employee -AccountEnabled $true -MailNickName $Name_employee -Department $Department

Depois que o usuário ou usuários forem criados com êxito na ID do Microsoft Entra, você poderá continuar a seguir os tutoriais do fluxo de trabalho do ciclo de vida para a criação do fluxo de trabalho.

Outras etapas para o cenário de pré-contratação

Há algumas outras etapas que você deve estar ciente ao testar os usuários de integração para sua organização usando fluxos de trabalho de ciclo de vida com o tutorial do centro de administração do Microsoft Entra ou os usuários de integração para sua organização usando fluxos de trabalho de ciclo de vida com o tutorial do Microsoft Graph .

Editar os atributos dos usuários usando o centro de administração do Microsoft Entra

Alguns dos atributos necessários para o tutorial de integração de pré-contratação são expostos através do centro de administração do Microsoft Entra e podem ser definidos lá.

Estes atributos são:

Atributo Description Definido em
correio Usado para notificar o gerente sobre o passe de acesso temporário dos novos funcionários Gestor
gestor Este atributo que é usado pelo fluxo de trabalho do ciclo de vida Colaborador

Para o tutorial, o atributo mail só precisa ser definido na conta de gerente e o atributo de gerente definido na conta de funcionário. Utilize os passos seguintes:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.
  2. Navegue até >>>Todos os usuários.
  3. Selecione Melva Prince.
  4. Na parte superior, selecione Editar.
  5. Em gerente, selecione Alterar e Selecionar Brenda Fernandes.
  6. Na parte superior, selecione Guardar.
  7. Volte para os usuários e selecione Brenda Fernandes.
  8. Na parte superior, selecione Editar.
  9. Em E-mail, insira um endereço de e-mail válido.
  10. Selecione Guardar.

Editar funcionárioHireDate

O atributo employeeHireDate é novo no Microsoft Entra ID. Ele não é exposto por meio da interface do usuário e deve ser atualizado usando o Graph. Para editar esse atributo, podemos usar o Graph Explorer.

Nota

Lembre-se de que um fluxo de trabalho não será acionado quando a data de contratação do funcionário (Dias do evento) for anterior à data de criação do fluxo de trabalho. Você deve definir um employeeHireDate no futuro por design. As datas usadas neste tutorial são um instantâneo no tempo. Portanto, você deve alterar as datas de acordo para acomodar essa situação.

Para fazer isso, devemos obter o ID do objeto para o nosso usuário Melva Prince.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.

  2. Navegue até >>>Todos os usuários.

  3. Selecione Melva Prince.

  4. Selecione o sinal de cópia ao lado da ID do objeto.

  5. Agora navegue até o Graph Explorer.

  6. Inicie sessão no Graph Explorer com a conta de Administrador Global do seu inquilino.

  7. Na parte superior, altere GET para PATCH e adicione https://graph.microsoft.com/v1.0/users/<id> à caixa. Substitua <id> pelo valor que copiamos antes.

  8. Copie o seguinte para o corpo da solicitação e selecione Executar consulta

    {
"employeeHireDate": "2022-04-15T22:10:00Z"
}

    Captura de tela do funcionário do PATCHHIREDate.

  9. Verifique a alteração alterando PATCH de volta para GET e v1.0 para beta. Selecione Executar consulta. Você deve ver os atributos para o conjunto Melva.
    Captura de tela do funcionário GETHireDate.

Editar o atributo de gerente na conta do funcionário

O atributo manager é usado para tarefas de notificação por e-mail. Ele envia por e-mail ao gerente uma senha temporária para o novo funcionário. Use as etapas a seguir para garantir que os usuários do Microsoft Entra tenham um valor para o atributo manager.

  1. Ainda no Graph Explorer.

  2. Verifique se a parte superior ainda está definida como PUT e https://graph.microsoft.com/v1.0/users/<id>/manager/$ref está na caixa. Mude <id> para o ID de Melva Prince.

  3. Copie o seguinte código para o corpo da solicitação

  4. Substitua <managerid> no código a seguir pelo valor de Brenda Fernandes ID.

  5. Selecione Executar consulta

    {
  "@odata.id": "https://graph.microsoft.com/v1.0/users/<managerid>"
}

    Captura de ecrã de Adicionar um gestor no explorador de gráficos.

  6. Agora, podemos verificar se o gerente está configurado corretamente alterando o PUT para GET.

  7. Certifique-se de que https://graph.microsoft.com/v1.0/users/<id>/manager/ está na caixa. O <id> ainda é o de Melva Prince.

  8. Selecione Executar consulta. Você deve ver Britta Simon retornada na resposta.

    Captura de ecrã a mostrar como obter um gestor no explorador de gráficos.

Para obter mais informações sobre como atualizar as informações do gerenciador para um usuário na Graph API, consulte a documentação do gerenciador de atribuições. Você também pode definir esse atributo no Centro de administração do Azure. Para obter mais informações, consulte Adicionar ou alterar informações de perfil.

Ativar o Passe de Acesso Temporário (TAP)

Um Passe de Acesso Temporário é um passe por tempo limitado emitido por um administrador que satisfaz os requisitos de autenticação forte.

Nesse cenário, usamos esse recurso do Microsoft Entra ID para gerar um passe de acesso temporário para nosso novo funcionário. É enviado por correio para o gerente do funcionário.

Para usar esse recurso, ele deve estar habilitado em nosso locatário do Microsoft Entra. Para habilitar esse recurso, use as etapas a seguir.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
  2. Navegue até Métodos de autenticação de proteção>Passe>de acesso temporário
  3. Selecione Sim para ativar a política e adicionar Brenda Fernandes e selecione quais usuários têm a política aplicada e quaisquer configurações Gerais .

Consideração do cenário de abandono

Há uma etapa extra que você deve estar ciente ao testar os tutoriais para os usuários de Off-boarding da sua organização usando fluxos de trabalho do Ciclo de vida com o tutorial do centro de administração do Microsoft Entra ou com o Microsoft Graph.

Configurar o usuário com grupos e o Teams com associação à equipe

Um usuário com grupos e associações do Teams é necessário antes de começar os tutoriais para o cenário de saída.

Próximos passos