Планирование развертывания рабочего процесса жизненного цикла
Рабочие процессы жизненного цикла помогают вашей организации управлять пользователями Microsoft Entra, увеличивая автоматизацию. С помощью рабочих процессов жизненного цикла вы можете:
- расширить процесс подготовки на основе данных из отдела кадров с помощью других рабочих процессов, которые упрощают и автоматизируют задачи;
- централизовать управление рабочими процессами, чтобы можно было легко создавать их и управлять ими в одном месте:
- устранить неполадки в сценариях рабочих процессов с минимальными усилиями, используя журналы рабочих процессов и журналы аудита;
- управлять жизненным циклом пользователей в широком масштабе: По мере роста организации потребность в других ресурсах для управления жизненным циклом пользователей снижается.
- сократить или исключить задачи, выполняемые вручную, для которых раньше использовались автоматизированные рабочие процессы жизненного цикла;
- использовать приложения логики для включения в рабочие процессы более сложных сценариев с помощью существующих приложений логики.
Рабочие процессы жизненного цикла — это возможность Управление идентификацией Microsoft Entra. Другие функции этого решения — Управление правами, проверка доступа, управление привилегированными пользователями (PIM) и условия использования. Вместе они помогают ответить на следующие вопросы:
- Какие пользователи и к каким ресурсам должны иметь доступ?
- Как эти пользователи применяют этот доступ?
- Имеются ли эффективные средства управления доступом на уровне организации?
- Могут ли аудиторы убедиться, что эти средства работают правильно?
- Готовы ли пользователи перейти к установке и развертыванию или своевременно ли для них удаляется доступ?
Планирование развертывания рабочего процесса жизненного цикла является очень важным для осуществления выбранной вами стратегии управления пользователями в организации.
Дополнительные сведения о планах развертывания см . в планах развертывания Microsoft Entra.
Требования к лицензиям
Для использования этой функции требуются лицензии Управление идентификацией Microsoft Entra или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, см. Управление идентификацией Microsoft Entra основы лицензирования.
Планирование проекта развертывания рабочего процесса жизненного цикла
Проанализируйте потребности вашей организации, чтобы определить стратегию развертывания рабочих процессов жизненного цикла в вашей среде.
Привлечение соответствующих заинтересованных лиц
Причиной неудач технических проектов обычно являются неоправданные ожидания относительно их значимости и результатов, а также обязанностей сотрудников и заинтересованных лиц. Чтобы избежать этих ловушек, убедитесь, что вы привлекаете соответствующих заинтересованных лиц и их роли в проекте очевидны.
Для рабочих процессов жизненного цикла вы, вероятно, будете привлекать представителей следующих команд в организации:
ИТ-администраторы управляют ИТ-инфраструктурой и администрируют инвестиции в облако и приложения SaaS (программное обеспечение как услуга). Эта команда:
- Проверяет рабочие процессы жизненного цикла для инфраструктуры и приложений, включая Идентификатор Microsoft 365 и Microsoft Entra.
- планирует и запускает рабочие процессы жизненного цикла для пользователей;
- обеспечивает управление и проверку программных рабочих процессов жизненного цикла с помощью GRAPH или расширяемости.
Владелец безопасности гарантирует, что план соответствует требованиям безопасности вашей организации. Эта команда:
- обеспечивает соответствия рабочих процессов жизненного цикла политикам безопасности организации
Менеджер по соответствию требованиям гарантирует, что организация будет соблюдать внутреннюю политику и нормативные требования. Эта команда:
- запрашивает или планирует новые проверки рабочего процесса жизненного цикла;
- оценивает процессы и процедуры проверок рабочих процессов жизненного цикла, включая их документирование и ведение записей для подтверждения соответствия нормативным требованиям;
- анализирует результаты предыдущих проверок для наиболее важных ресурсов.
Представитель отдела кадров — помогает сопоставить и указать атрибуты в сценариях подготовки кадров. Эта команда:
- Помогает определить атрибуты, используемые для заполнения employeeHireDate и employeeLeaveDateTime.
- гарантирует заполнение атрибутов источника и наличие значений в них;
- определяет и предлагает альтернативные атрибуты, которые могут быть сопоставлены с атрибутами employeeHireDate и employeeLeaveDateTime.
Группы разработки создают и обслуживают приложения для вашей организации. Эта команда:
- разрабатывает пользовательские рабочие процессы с помощью GRAPH;
- интегрирует рабочие процессы жизненного цикла с приложениями логики посредством расширяемости.
Планирование информирования
Связь важна для успешного выполнения любого нового бизнес-процесса. Заблаговременно сообщайте пользователям о том, какие изменения произойдут в их работе и когда. Объясните, как обратиться за поддержкой, если у них возникнут проблемы.
Информирование об изменениях в системе отчетности
Рабочие процессы жизненного цикла поддерживают передачу ответственности за ручные процессы на владельцев бизнеса. Определите четкий процесс и понимание обязанностей каждой команды. Передача полномочий по управлению этими процессами из ИТ-отдела повышает точность и автоматизацию. Этот сдвиг представляет собой культурное изменение подотчетности и ответственности владельца ресурсов. Заблаговременно проследите за этим изменением и убедитесь, что владельцы ресурсов обучены и могут использовать аналитику для принятия хороших решений.
Общие сведения о рабочих процессах жизненного цикла
В этом разделе представлены основные концепции рабочих процессов жизненного цикла, с которыми необходимо ознакомиться, прежде чем планировать развертывание.
Предварительные требования для развертывания рабочих процессов жизненного цикла
Ниже приведены важные сведения о организации и технологиях, которые необходимо разместить перед развертыванием рабочих процессов жизненного цикла. Перед попыткой развертывания рабочих процессов жизненного цикла убедитесь, что вы можете ответить "да" на каждый из следующих вопросов.
| Позиция | Description | Документация |
|---|---|---|
| Подготовка входящих сообщений | У вас есть процесс создания учетных записей пользователей для сотрудников в Microsoft Entra, таких как входящий персонал из Workday или SuccessFactors, или MIM. Кроме того, у вас есть процесс создания учетных записей пользователей в Active Directory, а эти учетные записи подготавливаются к идентификатору Microsoft Entra. |
Workday в Active Directory Workday to Microsoft Entra ID SuccessFactors в Active Directory SuccessFactors в идентификатор Microsoft Entra Microsoft Entra Connect Облачная синхронизация Microsoft Entra Connect Подготовка на основе API (общедоступная предварительная версия) |
| Синхронизация атрибутов | Учетные записи в идентификаторе Microsoft Entra содержат атрибуты employeeHireDate и employeeLeaveDateTime. Значения могут быть заполнены при создании учетных записей из системы управления персоналом или синхронизации из AD с помощью Microsoft Entra Connect или облачной синхронизации. У вас есть дополнительные атрибуты, которые используются для определения области, такой как отдел, заполненный или возможность заполнения данных. | Синхронизация атрибутов для рабочих процессов жизненного цикла |
Основные сведения о частях рабочего процесса
Прежде чем приступить к планированию развертывания рабочего процесса жизненного цикла, необходимо ознакомиться с частями рабочего процесса и терминологией рабочих процессов жизненного цикла.
Документ "Основные сведения о рабочих процессах жизненного цикла" использует портал для объяснения частей рабочего процесса. В документе "Рабочие процессы жизненного цикла разработчика " используется пример Graph для объяснения частей рабочего процесса.
Этот документ можно использовать для ознакомления с частями рабочего процесса перед их развертыванием.
Пределы и ограничения
В следующей таблице приведены сведения, которые необходимо учитывать при создании и развертывании рабочих процессов жизненного цикла.
| Позиция | Description |
|---|---|
| Рабочие процессы | Ограничение в 50 рабочих процессов для каждого клиента |
| Количество пользовательских задач | Ограничение в 25 на рабочий процесс |
| Диапазон значений для offsetInDays | От -180 до 180 дней |
| Расписание выполнения рабочего процесса | По умолчанию каждые 3 часа можно настроить запуск в любом месте от 1 до 24 часов |
| Расширения пользовательской задачи | Не более 100 |
| Ограничение числа пользователей по запросу | Рабочий процесс по запросу можно запускать не более чем с 10 пользователями |
| Ограничение времени ожидания обратного вызова расширяемости | Минимум 3 минуты — максимум 5 часов |
Ниже приведены дополнительные сведения, о которых следует знать.
- Вы не можете включить расписание для сценария "Выход в режиме реального времени" и "Mover". Это сделано намеренно.
Контрольный список создания рабочего процесса жизненного цикла
В следующей таблице приведен краткий контрольный список действий, которые можно использовать при разработке и планировании рабочих процессов.
| Этап | Description |
|---|---|
| Определение сценария | Определение сценария, для которого предназначен рабочий процесс |
| Определение условий выполнения | Определение того, кто и когда выполняется рабочий процесс |
| Просмотр задач | Просмотр и добавление дополнительных задач в рабочий процесс |
| Создание рабочего процесса | Создайте рабочий процесс после планирования и проектирования. |
| Планирование пилотного проекта | Планирование пилотного развертывания, запуска и тестирования рабочего процесса. |
Определение сценария
Перед созданием рабочего процесса жизненного цикла на портале необходимо определить, какой сценарий или сценарии необходимо развернуть. Чтобы просмотреть текущий список доступных сценариев, можно использовать следующую таблицу. Они основаны на шаблонах, доступных на портале, и включают список задач, связанных с каждым из них.
| Сценарий | Предопределенные задачи |
|---|---|
| Подключение сотрудника с предварительной подготовкой | Создать TAP и отправка сообщения по электронной почте |
| Подключение нового сотрудника | Активация учетной записи пользователя Отправка приветственного сообщения по электронной почте Добавление пользователя в группы |
| Увольнение сотрудника в режиме реального времени | Удаление пользователя из всех групп Удаление пользователя из всех команд Удаление учетной записи пользователя |
| Предварительное отключение сотрудника | Удаление пользователя из выбранных групп Удаление пользователя из выбранных команд |
| Отключение сотрудника | Блокировка учетной записи пользователя Удаление пользователя из всех групп Удаление пользователя из всех команд |
| Действия после отключения сотрудника | Удаление всех лицензий для пользователя Удаление пользователя из всех команд Удаление учетной записи пользователя |
| Изменение сотрудника в режиме реального времени | Запуск настраиваемого расширения задачи |
| Изменения членства в группе сотрудников | Удаление назначения пакета доступа для пользователя Remove user from selected Teams Send email to notify manager of user move |
| Изменение профиля задания сотрудника | Отправка сообщения электронной почты диспетчеру уведомлений о перемещении пользователя Remove from selected groups Remove user from selected Teams Request user access package package assignment |
Изменения членства в группе сотрудников
Дополнительные сведения о встроенных шаблонах см. в разделе Шаблоны рабочих процессов жизненного цикла.
Определение условий выполнения
Теперь, когда вы определили свои сценарии, необходимо посмотреть, к каким пользователям в организации применяются сценарии.
Условие выполнения является частью рабочего процесса, определяющего область (кто) и триггер (когда) выполнения рабочего процесса.
Область определяет, в отношении кого выполняется рабочий процесс. Это определяется правилом, которое будет фильтровать пользователей на основе условия. Например, "rule": "(department eq 'sales')" правило выполняет задачу только для пользователей, являющихся членами отдела продаж.
Триггер определяет, когда выполняется рабочий процесс. Это может быть либо по запросу, то есть немедленное выполнение или выполнение по расписанию. Большинство предопределенных шаблонов на портале основаны на выполнении расписания при выполнении триггера.
Сведения об атрибутах
Область рабочего процесса использует атрибуты в разделе правила. Вы можете добавить следующие дополнительные условные условия для дальнейшего уточнения того , к кому применяются задачи.
- And
- And not
- Or
- Or not
Кроме того, можно выбрать один из многочисленных атрибутов пользователя.
Однако прежде чем выбирать атрибут для использования в условии выполнения, необходимо убедиться, что атрибут содержит данные или что вы можете начать ввод необходимых данных.
Не все эти атрибуты заполняются по умолчанию, поэтому при использовании входящей облачной подготовки кадров, Microsoft Entra Connect или облачной синхронизации следует проверить с помощью администратора отдела кадров или ИТ-администраторов.
Сведения о времени
Ниже приведены некоторые важные сведения о часовых поясах, которые следует учитывать при проектировании рабочих процессов.
- Workday и SAP SF всегда отправляют время в формате UTC.
- Если вы находитесь в одном часовом поясе, рекомендуется жестко закодировать раздел времени указав нужные для вас настройки. Примером будет 5 часов утра для сценариев нового сотрудника и 10 часов вечера для сценариев последнего дня работы.
- Если вы используете временный секретный код (TAP), рекомендуется задать максимальное время существования 24 часа. Это поможет убедиться, что срок действия TAP не истек после отправки сотруднику, который может находиться в другом часовом поясе. Дополнительные сведения см. в разделе "Настройка временного прохода доступа" в идентификаторе Microsoft Entra для регистрации методов проверки подлинности без пароля.
Дополнительные сведения см. в разделе "Синхронизация атрибутов для рабочих процессов жизненного цикла".
Просмотр задач
Теперь, когда мы определили сценарий и кто и когда, следует учитывать, достаточно ли предопределенные задачи или вам потребуются дополнительные задачи. В следующей таблице приведен список предопределенных задач, которые в настоящее время находятся на портале. Используйте эту таблицу для определения необходимости добавления дополнительных задач.
| Задача | Description | Соответствующие сценарии |
|---|---|---|
| Добавление пользователей в группы | Добавить пользователя в выбранные группы | Joiner - Leaver - Mover |
| Добавления пользователя в выбранные команды | Добавить пользователя в команды | Joiner - Leaver - Mover |
| Назначение лицензий пользователям | Назначение лицензий пользователю | Присоединение — Mover |
| Удаление учетной записи пользователя | Удаление учетной записи пользователя в идентификаторе Microsoft Entra | Увольняющийся сотрудник |
| Блокировка учетной записи пользователя | Блокировка учетной записи пользователя в каталоге | Принимаемый на работу — увольняющийся |
| Активация учетной записи пользователя | Активация учетной записи пользователя в каталоге | Принимаемый на работу — увольняющийся |
| Создать TAP и отправка сообщения по электронной почте | Создание временного секретного кода и отправка его по электронной почте руководителю пользователя | Принятие сотрудника на работу |
| Удаление всех лицензий пользователя | Удаление всех лицензий, назначенных пользователю | Увольняющийся сотрудник |
| Удаление пользователя из всех групп. | Удаление пользователя из всех членства в группах Microsoft Entra | Увольняющийся сотрудник |
| Удаление пользователя из всех экземпляров Teams. | Удаление пользователя из всех команд | Увольняющийся сотрудник |
| Удаление пользователя из выбранных групп | Удаление пользователя из членства в выбранных группах Microsoft Entra | Joiner - Leaver - Mover |
| Удаление пользователя из выбранных команд | Удаление пользователя из выбранных команд | Joiner - Leaver - Mover |
| Запуск настраиваемого расширения задачи | Запуск настраиваемого расширения задачи для вызова внешней системы | Joiner - Leaver - Mover |
| Отправка сообщения по электронной почты после последнего рабочего дня пользователя | Отправка сообщения об отключении руководителю пользователя после последнего рабочего дня | Увольняющийся сотрудник |
| Отправка сообщения электронной почты перед последним рабочим днем пользователя | Отправка сообщения об отключении руководителю пользователя перед последним рабочим днем | Увольняющийся сотрудник |
| Отправка сообщения электронной почты в последний рабочий день пользователя | Отправка сообщения об отключении руководителю пользователя в последний рабочий день | Увольняющийся сотрудник |
| Отправка приветственного сообщения по электронной почте | Отправка приветственного письма новому сотруднику | Принятие сотрудника на работу |
| Отправка электронной почты напоминания о подключении | Отправка электронной почты напоминания диспетчеру пользователя | Принятие сотрудника на работу |
| Запрос назначения пакета доступа пользователей | Запрос назначения пользователей для выбранных пакетов доступа | Присоединение — Mover |
| Удаление назначения пакета доступа для пользователя | Удаление назначения пользователей из выбранных пакетов доступа | Оставить - Mover |
| Удаление всех назначений пакетов доступа для пользователя | Удаление всех пакетов доступа, назначенных пользователю | Увольняющийся сотрудник |
| Удаление выбранных назначений лицензий от пользователя | Удаление назначения лицензий от пользователя | Оставить - Mover |
| Отмена всех ожидающих запросов на назначение пакетов для пользователей | Отмена всех ожидающих запросов на назначение пакетов для пользователей | Увольняющийся сотрудник |
Дополнительные сведения о задачах см. в разделе Задачи рабочего процесса жизненного цикла.
Задачи группы и команды
Если вы используете задачу группы или группы, рабочий процесс должен указать группу или группы. На следующем снимке экрана отображается желтый треугольник задачи, указывающий на отсутствие сведений.
Выбрав задачу, вы получите панель навигации для добавления или удаления групп. Щелкните ссылку " x выбранные группы", чтобы добавить группы.
Расширения пользовательской задачи
Рабочие процессы жизненного цикла позволяют создавать рабочие процессы, которые могут активироваться на основе сценариев приема на работу, перевода в другой отдел и увольнения. Хотя рабочие процессы жизненного цикла предоставляют несколько встроенных задач для автоматизации распространенных сценариев на протяжении всего жизненного цикла пользователей, в конечном итоге можно достичь ограничений этих встроенных задач. С помощью функции расширяемости вы можете использовать концепцию пользовательских расширений задач для вызова внешних систем в рамках рабочего процесса жизненного цикла.
Сценарии взаимодействия пользовательского расширения задач с рабочими процессами жизненного цикла могут быть одним из трех способов.
- Сценарий "Запусти и забудь" — запускается приложение логики, после этого немедленно запускается последовательное выполнение задачи, не дожидаясь ответа от приложения логики.
- Последовательное выполнение задачи с ожиданием ответа от приложения логики — приложение логики запускается, а последовательное выполнение задачи ожидает ответа от приложения логики.
- Последовательное выполнение задачи с ожиданием ответа сторонней системы — приложение логики запускается, а последовательное выполнение задачи ожидает ответа от сторонней системы, которая запускает приложение логики, чтобы сообщить расширению пользовательской задачи, успешно ли оно выполнено.
- Дополнительные сведения о пользовательских расширениях см. в разделе "Расширяемость рабочего процесса жизненного цикла"
Создание рабочего процесса
После разработки и планирования рабочего процесса его можно создать на портале. Подробные сведения о создании рабочего процесса см. в разделе Создание рабочего процесса жизненного цикла.
Планирование пилотного проекта
Мы рекомендуем клиентам сначала выполнить пилотное развертывание рабочих процессов жизненного цикла с небольшой группой пользователей или одним тестовым пользователем. Пилотное развертывание помогает настроить процессы и связи по мере необходимости. Это поможет пользователям и проверяющим полнее соответствовать требованиям безопасности и нормативным требованиям.
В пилотном проекте рекомендуется:
- Начните с рабочих процессов жизненного цикла, где результаты применяются к небольшому подмножеству пользователей.
- Отслеживайте журналы аудита, чтобы убедиться, что все события должным образом проверены.
Дополнительные сведения см. в разделе Рекомендации по пилотным проектам.
Тестирование и запуск рабочего процесса
После создания рабочего процесса необходимо протестировать его, выполнив рабочий процесс по запросу.
Использование функции по запросу позволяет проверить и оценить, работает ли рабочий процесс жизненного цикла в соответствии с требованиями.
После завершения тестирования можно либо изменить рабочий процесс жизненного цикла или подготовиться к более широкому распространению.
Журналы аудита
Дополнительные сведения также можно получить из журналов аудита. Эти журналы можно получить на портале в разделе идентификатора и мониторинга Microsoft Entra. Дополнительные сведения см. в журналах аудита в журнале рабочих процессов Идентификатора и жизненного цикла Microsoft Entra.
Пример плана рабочего процесса жизненного цикла
| Этап | Description |
|---|---|
| Определение сценария | Предварительный рабочий процесс, который отправляет сообщение электронной почты новому руководителю. |
| Определение условий выполнения | Рабочий процесс выполняется на новых сотрудниках отдела продаж, два (2) дня до сотрудникаHireDate. |
| Просмотр задач. | Мы используем предопределенные задачи в рабочем процессе. Дополнительные задачи не добавляются. |
| Создание рабочего процесса на портале | Используйте стандартный шаблон для нового найма на портале. |
| Создание и тестирование рабочего процесса | Используйте функцию по запросу, чтобы протестировать рабочий процесс на одном пользователе. |
| Просмотр результатов теста | Просмотрите результаты теста и убедитесь, что рабочий процесс жизненного цикла работает должным образом. |
| Развертывание рабочего процесса для более широкой аудитории | Сообщите заинтересованным лицам, что рабочий процесс заработал, и что сотруднику отдела кадров больше не нужно будет отправлять электронное письмо менеджеру по найму. |
Следующие шаги
Ознакомьтесь со следующими связанными технологиями: