Подготовка учетных записей пользователей для руководств по рабочим процессам жизненного цикла

Для подключения и выключения учебников требуются учетные записи, для которых выполняются рабочие процессы. Этот раздел поможет подготовить эти учетные записи, если у вас уже есть тестовые учетные записи, соответствующие следующим требованиям, вы можете перейти непосредственно к руководствам по подключению и отключению. Для выполнения вводных инструкций в руководстве по подключению требуются две отдельные учетные записи: одна для нанимаемого сотрудника, и другая для учетной записи, которая действует от имени руководителя нанимаемого сотрудника. Учетная запись нанимаемого сотрудника должна иметь следующие атрибуты:

• для атрибута employeeHireDate должна быть установлена сегодняшняя дата;
• для атрибута department должен быть установлен отдел продаж (sales);
• должен быть задан атрибут manager, а у учетной записи руководителя должен быть почтовый ящик для получения электронной почты.

Инструкции по отключению требуют только одну учетную запись с членством в группах и Teams, но учетная запись удаляется в ходе выполнения инструкции.

Предварительные условия

Для использования этой функции требуются лицензии Управление идентификацией Microsoft Entra или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, смотрите Основы лицензирования для Microsoft Entra ID Governance.

• Клиент Microsoft Entra
• Учетная запись администратора с соответствующими разрешениями для клиента Microsoft Entra. Эта учетная запись используется для создания пользователей и рабочих процессов.

Перед началом

В большинстве случаев пользователи будут зарегистрированы в Microsoft Entra ID на основе локального решения (например, Microsoft Entra Connect или облачной синхронизации) или с помощью решения для управления персоналом. У этих пользователей есть атрибуты и значения, заполненные во время создания. Настройка инфраструктуры для подготовки пользователей выходит за рамки этого руководства. Дополнительные сведения см. в учебнике: Базовая среда Active Directory и учебнике: Интеграция одного леса с одним тенантом Microsoft Entra.

Создание пользователей в идентификаторе Microsoft Entra

Мы используем Graph Explorer для быстрого создания двух пользователей, необходимых для выполнения рабочих процессов жизненного цикла в руководствах. Один пользователь представляет нового сотрудника, а второй — руководителя нового сотрудника.

Необходимо изменить POST и заменить <ваше имя арендатора здесь> на имя вашего арендатора. Например: $UPN_manager = "bsimon@<имя арендатора>" до $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Примечание.

Учтите, что рабочий процесс не будет запускаться, если дата найма сотрудника (число дней с момента события) раньше даты создания рабочего процесса. Для атрибута employeeHiredate должно быть предусмотрено значение в будущем на этапе проектирования. Даты, используемые в этом руководстве, соответствуют фиксированному моменту времени. Таким образом, нужно изменить эти даты соответствующим образом.

Сначала мы создадим нашего сотрудника, Мелву Принс.

1. Теперь перейдите в Graph Explorer.
2. Войдите в Graph Explorer с учетной записью администратора пользователя для вашего клиента.
3. Вверху измените GET на POST и добавьте https://graph.microsoft.com/v1.0/users/ в поле.
4. Скопируйте следующий код в текст запроса
5. Замените <your tenant here> в следующем коде значением клиента Microsoft Entra.
6. Выберите Выполнить запрос.
7. Скопируйте идентификатор, который будет возвращен в результатах. Это используется позже для назначения руководителя.

{
  "accountEnabled": true,
  "displayName": "Melva Prince",
  "mailNickname": "mprince",
  "department": "sales",
  "mail": "mprince@<your tenant name here>",
  "employeeHireDate": "2022-04-15T22:10:00Z",
  "userPrincipalName": "mprince@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "<Generated Password>"
  }
}

Затем мы создадим Britta Simon. Эта учетная запись используется как управляющая.

1. Оставайтесь в Graph Explorer.
2. Убедитесь, что вверху по-прежнему выбрано POST, а в поле указано значение https://graph.microsoft.com/v1.0/users/.
3. Скопируйте следующий код в текст запроса
4. Замените <your tenant here> в следующем коде значением клиента Microsoft Entra.
5. Выберите Выполнить запрос.
6. Скопируйте идентификатор, который будет возвращен в результатах. Этот идентификатор используется позже для назначения диспетчера.

   {
     "accountEnabled": true,
     "displayName": "Britta Simon",
     "mailNickname": "bsimon",
     "department": "sales",
     "mail": "bsimon@<your tenant name here>",
     "employeeHireDate": "2021-01-15T22:10:00Z",
     "userPrincipalName": "bsimon@<your tenant name here>",
     "passwordProfile" : {
       "forceChangePasswordNextSignIn": true,
       "password": "<Generated Password>"
     }
   }
   

Примечание.

Необходимо изменить <имя клиента в этом> разделе кода, чтобы он соответствовал клиенту Microsoft Entra.

В качестве альтернативы следующий скрипт PowerShell также можно использовать для быстрого создания двух пользователей, необходимых для выполнения рабочего процесса жизненного цикла. Один пользователь представляет нового сотрудника, а второй — руководителя нового сотрудника.

Внимание

Следующий скрипт PowerShell позволяет быстро создать двух пользователей, необходимых для работы с этим руководством. Эти пользователи также могут быть созданы в Центре администрирования Microsoft Entra.

Чтобы создать этот шаг, сохраните следующий скрипт PowerShell в расположении на компьютере с доступом к Azure.

Затем вам нужно изменить скрипт и заменить фрагмент <имя арендатора> на имя вашего арендатора. Например: $UPN_manager = "bsimon@<ваше имя арендатора здесь>" изменится на $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Это действие необходимо выполнить как для $UPN_employee, так и для $UPN_manager.

После редактирования скрипта сохраните его и выполните следующие действия:

1. Откройте командную строку Windows PowerShell с правами администратора на компьютере с доступом к Центру администрирования Microsoft Entra.
2. Перейдите в папку, где сохранен скрипт PowerShell, и запустите его.
3. Если при установке модуля PowerShell появится запрос, выберите Да для всех.
4. При появлении запроса войдите в Центр администрирования Microsoft Entra с помощью глобального администратора клиента.

#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables

$Displayname_employee = "Melva Prince"
$UPN_employee = "mprince<your tenant name here>"
$Name_employee = "mprince"
$Password_employee = "Pass1w0rd"
$EmployeeHireDate_employee = "04/10/2022"
$Department_employee = "Sales"
$Displayname_manager = "Britta Simon"
$Name_manager = "bsimon"
$Password_manager = "Pass1w0rd"
$Department = "Sales"
$UPN_manager = "bsimon@<your tenant name here>"

Install-Module -Name AzureAD
Connect-MgGraph -Confirm

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "<Password>"
New-MgUser -DisplayName $Displayname_manager  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_manager -AccountEnabled $true -MailNickName $Name_manager -Department $Department
New-MgUser -DisplayName $Displayname_employee  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_employee -AccountEnabled $true -MailNickName $Name_employee -Department $Department

После успешного создания пользователя или пользователей в Microsoft Entra ID, можно перейти к руководствам по рабочему процессу жизненного цикла для его создания.

Другие шаги для предварительного сценария

Следует учитывать некоторые другие шаги при тестировании введения пользователей в вашу организацию с помощью рабочих процессов жизненного цикла, используя учебник Центра администрирования Microsoft Entra или введения пользователей в вашу организацию с помощью рабочих процессов жизненного цикла, используя руководство Microsoft Graph.

Изменение атрибутов пользователей с помощью Центра администрирования Microsoft Entra

Некоторые атрибуты, необходимые для вводного курса для новых сотрудников, доступны в Центре администрирования Microsoft Entra и могут быть установлены там.

Эти атрибуты:

Атрибут	Описание	Включите
почта	Используется для уведомления руководителя о временном секретном коде для новых сотрудников.	Менеджер
менеджер	Этот атрибут используется в рабочем процессе жизненного цикла.	Сотрудник

В этом руководстве атрибут mail следует задать только в учетной записи руководителя, а атрибут manager — только в учетной записи сотрудника. Выполните указанные ниже действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум в роли Администратора пользователей.
2. Перейдите к >Удостоверения>Пользователи>Все пользователи.
3. Выберите Melva Prince.
4. В верхней части нажмите кнопку Изменить.
5. В разделе руководителя нажмите Изменить и выберите Britta Simon.
6. В верхней части выберите Сохранить.
7. Вернитесь к пользователям и выберите Britta Simon.
8. В верхней части нажмите кнопку Изменить.
9. В разделе Электронная почта введите действительный адрес электронной почты.
10. Выберите Сохранить.

Изменение атрибута employeeHireDate

Атрибут employeeHireDate является новым для идентификатора Microsoft Entra. Он недоступен в пользовательском интерфейсе и должен обновляться с помощью Graph. Для редактирования этого атрибута можно использовать Graph Explorer.

Примечание.

Учтите, что рабочий процесс не будет запускаться, если дата найма сотрудника (число дней с момента события) раньше даты создания рабочего процесса. Необходимо задать employeeHireDate на будущее по задумке. Даты, используемые в этом руководстве, соответствуют моментальному снимку во времени. Таким образом, нужно изменить эти даты соответствующим образом.

Для этого необходимо получить идентификатор объекта для нашего пользователя Melva Prince.

1. Войдите в Microsoft Entra Центр администрирования, имея права как минимум администратора пользователей.

2. Перейдите в раздел >Удостоверение личности>, затем в Пользователи>, и выберите Все пользователи.

3. Выберите Melva Prince.

4. Выберите знак копирования рядом с полем Идентификатор объекта.

5. Перейдите в Graph Explorer.

6. Войдите в Graph Explorer с учетной записью глобального администратора для клиента.

7. Вверху измените GET на PATCH и добавьте https://graph.microsoft.com/v1.0/users/<id> в поле. Замените <id> значением, скопированным ранее.

8. Скопируйте следующий код в поле Текст запроса и выберите Выполнить запрос.

   {
   "employeeHireDate": "2022-04-15T22:10:00Z"
   }
   

   

9. Проверьте изменение: снова замените PATCH на GET, а 1.0 — на beta. Выберите Запустить запрос. Вы должны увидеть набор атрибутов Melva.
   

Изменение атрибута руководителя в учетной записи сотрудника

Атрибут руководителя используется задачами уведомления по электронной почте. Он отправляет руководителю временный пароль для нового сотрудника. Выполните следующие действия, чтобы атрибут 'менеджер' у пользователей Microsoft Entra был заполнен.

1. Оставайтесь в Graph Explorer.

2. Убедитесь, что вверху по-прежнему выбрано PUT, а в поле стоит https://graph.microsoft.com/v1.0/users/<id>/manager/$ref. Замените <id> идентификатором пользователя Melva Prince.

3. Скопируйте следующий код в текст запроса

4. Замените <managerid> в следующем коде значением идентификатора Britta Simons.

5. Выберите Выполнить запрос.

   {
     "@odata.id": "https://graph.microsoft.com/v1.0/users/<managerid>"
   }
   

   

6. Теперь мы можем убедиться, что диспетчер настроен правильно, изменив PUT на GET.

7. В поле должно быть указано значение https://graph.microsoft.com/v1.0/users/<id>/manager/. <id> по-прежнему принадлежит Мелве Принс.

8. Выберите Запустить запрос. В ответе должен отобразиться пользователь Britta Simon.

   

Дополнительные сведения об обновлении данных руководителя для пользователя с помощью API Graph см. в документации по назначению руководителя. Этот атрибут также можно задать в Центре администрирования Azure. Дополнительные сведения см. в разделе о добавлении и изменении данных профиля.

Включение временного пропуска доступа (TAP)

Временный секретный код выдается администратором, имеет ограниченный срок действия и удовлетворяет требованиям к строгой проверке подлинности.

В этом сценарии мы используем эту функцию идентификатора Microsoft Entra для создания временного прохода доступа для нового сотрудника. Он отправлен руководителю сотрудника.

Чтобы использовать эту функцию, ее необходимо включить в клиенте Microsoft Entra. Чтобы включить эту функцию, выполните следующие действия.

1. Войдите в центр администрирования Microsoft Entra как минимум Администратор политики проверки подлинности.
2. Перейдите к Защита>Методы аутентификации>Временный пароль доступа
3. Выберите Да, чтобы включить политику, добавьте пользователя Britta Simon, выберите пользователей, к которым политика будет применена, и настройте все общие параметры.

Учет сценария об уходе

Существует дополнительный шаг, который нужно учитывать при тестировании инструкций по отчислению пользователей из вашей организации с помощью рабочих процессов жизненного цикла в Центре администрирования Microsoft Entra или с помощью Microsoft Graph.

Настройте пользователя с группами и Teams, включая членство в команде.

Пользователь с членствами в группах и Teams требуется перед началом работы с уроками для сценария ухода.

Следующие шаги

• Подключение пользователей к организации с помощью рабочих процессов жизненного цикла с центром администрирования Microsoft Entra
• Включение пользователей в организацию с помощью процессов управления жизненным циклом с Microsoft Graph
• Руководство по отключению пользователей из организации с помощью рабочих процессов жизненного цикла с центром администрирования Microsoft Entra
• Руководство: Вывод пользователей из организации с помощью рабочих процессов жизненного цикла с использованием Microsoft Graph