Hantera användare som synkroniserats från Active Directory Domain Services till Microsoft Entra ID med Livscykelarbetsflöden
Arbetsflöden för livscykel stöder styrning av identitetslivscykeln för användarkonton som synkroniseras från Active Directory-domän Services (AD DS) till Microsoft Entra-ID. För arbetsflöden för livscykel är det viktigt att ett användarkonto finns i Microsoft Entra-ID, men hur kontot skapades, eller hur livscykel relevanta ändringar görs i kontot, spelar en mindre roll när det gäller bearbetning av arbetsflöden och associerade uppgifter för användarkontot. Det här stödet omfattar konton och ändringar som görs via alternativ som HR-driven etablering, Microsoft Graph-API:er, Microsoft Entra-administratörsportalen och ändringar som synkroniseras av Microsoft Entra Connect och Microsoft Cloud Sync.
I följande tabell visas vanliga automatiseringsscenarier för synkroniserade användare från AD DS med hjälp av Microsoft Entra ID-styrning:
| Scenario för att automatisera | Microsoft Entra ID-styrningslösning |
|---|---|
| Skapa användarkontot i Active Directory-domäntjänster | HR-driven tillhandahållande |
| Ange initiala autentiseringsuppgifter eller lösenord för användarkonton | Uppgiften Generera tillfälligt åtkomstpass och skicka via e-post till användarens chef kan användas för att skapa lösenordslösa autentiseringsuppgifter. För att konfigurera ett vanligt Active Directory-lösenord kan du använda Microsoft Entra självbetjänad lösenordsåterställning. |
| Tilldela licenser | Uppgiften Tilldela licenser till användarens livscykelarbetsflöde kan användas för att tilldela licenser. Du kan också tilldela licenser till användare via en grupp. |
| Ge användare åtkomst till Active Directory-gruppbaserade program | Hantera åtkomst till program för lokal Active Directory (Kerberos) |
| Uppdatera användarattribut i Active Directory när de flyttar organisationer | Planera omfångsfilter och attributmappning |
| Flytta användare till olika organisationsenheter när de byter organisation inom företaget | Konfigurera Active Directory OU-containertilldelning |
| Inaktivera användare den senaste dagen | Aktiviteten Inaktivera användarkonto i arbetsflödets livscykel kan användas för att inaktivera ett användarkonto på dess sista dag. |
| Ta bort användare under ett visst antal dagar efter uppsägning | Uppgiften Ta bort användare kan användas i en arbetsflödesmall för att ta bort användare ett visst antal dagar efter deras anställning har avslutats. |
I den här artikeln får du lära dig vad som behöver beaktas om du vill använda livscykelarbetsflöden för användarkonton som synkroniseras från AD DS till Microsoft Entra-ID.
Villkor för arbetsflödeskörning med användare som synkroniserats från Active Directory Domain Services (AD DS) till Microsoft Entra ID
Livscykelarbetsflöden bearbetas för användarkonton när de uppfyller arbetsflödets körningsvillkor. Körningsvillkor består av en utlösare och ett tillämpningsområde. Utlösaren beskriver händelsen som inträffar för ett användarkonto. Med omfånget kan du ytterligare definiera för vem arbetsflödet körs för när händelsen inträffar.
Arbetsflödesutlösare
I följande tabell visas vad som bör beaktas för varje arbetsflödesutlösare när det används med användare som synkroniserats från AD DS:
| Arbetsflödesutlösare | Krav |
|---|---|
| Attributändringar | Ingen ytterligare konfiguration krävs så länge attributen synkroniseras. Information om synkroniserade attribut finns i: Attributmappning i Microsoft Entra Cloud Sync och Microsoft Entra Connect Sync: Katalogtillägg. När en ändring görs i Active Directory måste synkroniseringen via Microsoft Entra Cloud Sync eller Microsoft Entra Connect Sync ske innan ändringar kan hämtas från livscykelarbetsflöden. |
| Gruppmedlemskap baserat på kriterier | Eftersom alla typer av grupper stöds krävs ingen ytterligare konfiguration. Om gruppen kommer från Active Directory måste den synkroniseras med Microsoft Entra. Synkroniseringen av Microsoft Entra Cloud Sync, eller Microsoft Entra Connect Sync, måste ske innan ändringar kan hämtas från livscykelarbetsflöden. |
| På begäran | Ingen ytterligare konfiguration krävs. |
| Tidsbaserad |
employeeHireDate, employeeLeaveDateTime: Dessa attribut måste synkroniseras innan de används. Mer information om den här processen finns i: Synkronisera attribut för livscykelarbetsflöden. createdDateTime: Ingen ytterligare konfiguration krävs. Det här datumet är den dag då användarkontot synkroniseras med Microsoft Entra-ID, inte när de skapades i Active Directory. |
Arbetsflödesomfång
För användarattribut som används i arbetsflödets omfångsfunktioner behövs ingen ytterligare konfiguration om de valda attributen redan är synkroniserade. Information om synkroniserade attribut finns i: Attributmappning i Microsoft Entra Cloud Sync och Microsoft Entra Connect Sync: Katalogtillägg. När en ändring görs i Active Directory måste synkroniseringen via Microsoft Entra Cloud Sync eller Microsoft Entra Connect Sync ske innan ändringar kan hämtas från livscykelarbetsflöden.
Arbetsflödesuppgifter för användare som synkroniserats från Active Directory-domän Services till Microsoft Entra-ID
Alla arbetsflödesuppgifter för livscykeln fungerar direkt för både molnanvändare och användare som synkroniserats från Active Directory, utom för de begränsningar som anges för specifika uppgifter längre fram i den här artikeln. Mer information om alla arbetsflödesuppgifter för livscykel finns i: Inbyggda uppgifter i arbetsflödet för livscykel.
Uppgifter för att styra gruppmedlemskap
Scenario: När du synkroniserar användare från AD DS till Microsoft Entra-ID kan du lägga till eller ta bort användare från molnbaserade säkerhetsgrupper via livscykelarbetsflödets gruppuppgifter. På så sätt kan du hantera gruppmedlemskap för synkroniserade användare i molnet och även lägga till den här gruppen i Active Directory med hjälp av Microsoft Entra Cloud Sync-grupptillbakaskrivning.
För grupper som synkroniseras från AD DS till Microsoft Entra-ID skulle du inte kunna använda aktiviteter för arbetsflöden för livscykel enligt beskrivningen i scenariot. Microsoft Entra ID-styrning kan dock användas för att styra lokal Active Directory programåtkomst (Kerberos) med grupper från molnet, som stöds i livscykelarbetsflöden.
Användarkontouppgifter
Ytterligare konfiguration krävs för att arbetsflödesuppgifterna för livscykeln ska aktivera, inaktivera och ta bort användarkonton för att fungera med data synkroniserade från AD DS. Följande krav måste slutföras innan du kan konfigurera aktiviteterna för att utföra åtgärder i Active Directory.
- Du måste ha Microsoft Entra-etableringsagenten installerad i din miljö. Krav för att installera Microsoft Entra-etableringsagenten finns i: Krav för molnetableringsagent. En stegvis guide om hur du installerar Microsoft Entra-etableringsagenten finns i: Installera Microsoft Entra-etableringsagenten. Under installationen väljer du "HR-driven etablering/Microsoft Entra Connect Sync" som "tilläggskonfiguration". Du behöver inte lägga till någon annan konfiguration för etableringsagenten, till exempel molnsynkroniseringskonfigurationen, och du kan installera etableringsagenten även om du även använder Microsoft Entra Connect Sync för din användarsynkronisering.
Kommentar
Den etableringsagenten som är installerad måste vara minst version 1.1.1586.0, som släpptes den 13 maj 2024.
Kontrollera att det grupphanterade tjänstkonto (gMSA) som används av etableringsagenten har rätt behörighet att utföra åtgärder på användarkonton.
Om du vill ta bort användarkonton måste du aktivera Papperskorgen för Active Directory. En stegvis guide om hur du aktiverar papperskorgen finns i: Active Directory Papperskorg steg för steg.
För en steg-för-steg-guide om hur du anger flaggan så att användarkontouppgifter körs för användare som synkroniseras från Active Directory Domain Services, se: Hantera synkronisering från Active Directory Domain Services (AD DS) med arbetsflöden.