Hantera användare som synkroniserats från Active Directory-domän Services till Microsoft Entra-ID med livscykelarbetsflöden
Arbetsflöden för livscykel stöder styrning av identitetslivscykeln för användarkonton som synkroniseras från Active Directory-domän Services (AD DS) till Microsoft Entra-ID. För arbetsflöden för livscykel är det viktigt att ett användarkonto finns i Microsoft Entra-ID, men hur kontot skapades, eller hur livscykel relevanta ändringar görs i kontot, spelar en mindre roll när det gäller bearbetning av arbetsflöden och associerade uppgifter för användarkontot. Det här stödet omfattar konton och ändringar som görs via alternativ som HR-driven etablering, Microsoft Graph-API:er, Microsoft Entra-administratörsportalen och ändringar som synkroniseras av Microsoft Entra Connect och Microsoft Cloud Sync.
I följande tabell visas vanliga automatiseringsscenarier för synkroniserade användare från AD DS med hjälp av Microsoft Entra ID-styrning:
| Scenario för att automatisera | Microsoft Entra ID-styrningslösning |
|---|---|
| Skapa användarkontot i Active Directory-domän Services | HR-driven etablering |
| Ange initiala autentiseringsuppgifter eller lösenord för användarkonton | Generera tillfälligt åtkomstpass och skicka via e-post till användarens chefsuppgift kan användas för att konfigurera lösenordslösa autentiseringsuppgifter. För att konfigurera ett vanligt Active Directory-lösenord kan du använda Microsoft Entra självbetjäning av lösenordsåterställning. |
| Tilldela licenser | Uppgiften Tilldela licenser till användarens livscykelarbetsflöde kan användas för att tilldela licenser. Du kan också tilldela licenser till användare via en grupp. |
| Ge användare åtkomst till Active Directory-gruppbaserade program | Styra programåtkomst för lokal Active Directory (Kerberos) |
| Uppdatera användarattribut i Active Directory när de flyttar organisationer | Planera omfångsfilter och attributmappning |
| Flytta användare till olika organisationsenheter när de flyttar organisationer | Konfigurera Active Directory OU-containertilldelning |
| Inaktivera användare den senaste dagen | Aktiviteten Inaktivera arbetsflöde för användarkontots livscykel kan användas för att inaktivera ett användarkonto den sista dagen. |
| Ta bort användare under ett visst antal dagar efter uppsägning | Uppgiften Ta bort arbetsflöde för användarlivscykel kan användas i en arbetsflödesmall för att ta bort användare ett visst antal dagar efter att de avslutats. |
I den här artikeln får du lära dig vad som behöver beaktas om du vill använda livscykelarbetsflöden för användarkonton som synkroniseras från AD DS till Microsoft Entra-ID.
Villkor för arbetsflödeskörning med användare som synkroniserats från Active Directory-domän Services (AD DS) till Microsoft Entra ID
Livscykelarbetsflöden bearbetas för användarkonton när de uppfyller arbetsflödets körningsvillkor. Körningsvillkor består av en utlösare och ett omfång. Utlösaren beskriver händelsen som inträffar för ett användarkonto. Med omfånget kan du ytterligare definiera för vem arbetsflödet körs för när händelsen inträffar.
Arbetsflödesutlösare
I följande tabell visas vad som bör beaktas för varje arbetsflödesutlösare när det används med användare som synkroniserats från AD DS:
| Arbetsflödesutlösare | Krav |
|---|---|
| Attributändringar | Ingen ytterligare konfiguration krävs så länge attributen synkroniseras. Information om synkroniserade attribut finns i: Attributmappning i Microsoft Entra Cloud Sync och Microsoft Entra Connect Sync: Katalogtillägg. När en ändring görs i Active Directory måste synkroniseringen via Microsoft Entra Cloud Sync eller Microsoft Entra Connect Sync ske innan ändringar kan hämtas från livscykelarbetsflöden. |
| Gruppmedlemskap baserat | Eftersom alla typer av grupper stöds krävs ingen ytterligare konfiguration. Om gruppen kommer från Active Directory måste den synkroniseras med Microsoft Entra. Synkroniseringen av Microsoft Entra Cloud Sync, eller Microsoft Entra Connect Sync, måste ske innan ändringar kan hämtas från livscykelarbetsflöden. |
| På begäran | Ingen ytterligare konfiguration krävs. |
| Tidsbaserad | employeeHireDate, employeeLeaveDateTime: Dessa attribut måste synkroniseras innan de används. Mer information om den här processen finns i: Synkronisera attribut för livscykelarbetsflöden. createdDateTime: Ingen ytterligare konfiguration krävs. Det här datumet är den dag då användarkontot synkroniseras med Microsoft Entra-ID, inte när de skapades i Active Directory. |
Arbetsflödesomfång
För användarattribut som används i arbetsflödets omfångsfunktioner behövs ingen ytterligare konfiguration om de valda attributen redan är synkroniserade. Information om synkroniserade attribut finns i: Attributmappning i Microsoft Entra Cloud Sync och Microsoft Entra Connect Sync: Katalogtillägg. När en ändring görs i Active Directory måste synkroniseringen via Microsoft Entra Cloud Sync eller Microsoft Entra Connect Sync ske innan ändringar kan hämtas från livscykelarbetsflöden.
Arbetsflödesuppgifter för användare som synkroniserats från Active Directory-domän Services till Microsoft Entra-ID
Alla arbetsflödesuppgifter för livscykeln fungerar för både molnet och synkroniseras från Active Directory, användare direkt, förutom begränsningar som anges för specifika uppgifter längre fram i den här artikeln. Mer information om alla arbetsflödesuppgifter för livscykel finns i: Inbyggda uppgifter i arbetsflödet för livscykel.
Uppgifter för att styra gruppmedlemskap
Scenario: När du synkroniserar användare från AD DS till Microsoft Entra-ID kan du lägga till eller ta bort användare från molnbaserade säkerhetsgrupper via livscykelarbetsflödets gruppuppgifter. På så sätt kan du styra gruppmedlemskap för synkroniserade användare i molnet och även lägga till den här gruppen i Active Directory med hjälp av tillbakaskrivning av Microsoft Entra Cloud Sync-gruppen.
För grupper som synkroniseras från AD DS till Microsoft Entra-ID skulle du inte kunna använda aktiviteter för arbetsflöden för livscykel enligt beskrivningen i scenariot. Microsoft Entra ID-styrning kan dock användas för att styra lokal Active Directory programåtkomst (Kerberos) med grupper från molnet, som stöds i livscykelarbetsflöden.
Användarkontouppgifter
Ytterligare konfiguration krävs för att arbetsflödesuppgifterna för livscykeln ska aktivera, inaktivera och ta bort användarkonton som ska fungera med synkroniserade från AD DS. Följande krav måste slutföras innan du kan konfigurera aktiviteterna för att utföra åtgärder i Active Directory.
- Du måste ha Microsoft Entra-etableringsagenten installerad i din miljö. Krav för att installera Microsoft Entra-etableringsagenten finns i: Krav för molnetableringsagent. En stegvis guide om hur du installerar Microsoft Entra-etableringsagenten finns i: Installera Microsoft Entra-etableringsagenten. Under installationen väljer du "HR-driven etablering/Microsoft Entra Connect Sync" som "tilläggskonfiguration". Du behöver inte lägga till någon annan konfiguration för etableringsagenten, till exempel molnsynkroniseringskonfigurationen, och du kan installera etableringsagenten även om du även använder Microsoft Entra Connect Sync för din användarsynkronisering.
Kommentar
Etableringsagenten måste vara minst version 1.1.1586.0, som släpptes den 13 maj 2024.
Kontrollera att det grupphanterade tjänstkonto (gMSA) som används av etableringsagenten har rätt behörighet att utföra åtgärder på användarkonton.
Om du vill ta bort användarkonton måste du aktivera Papperskorgen för Active Directory. En stegvis guide om hur du aktiverar papperskorgen finns i: Active Directory Papperskorg steg för steg.
En stegvis guide om hur du anger flaggan så att användarkontouppgifter körs för användare som synkroniseras från Active Directory-domän Services finns i: Hantera synkroniserad från Active Directory-domän Services (AD DS) med arbetsflöden.