Självstudie: Konfigurera Workday för automatisk användaretablering

Målet med den här självstudien är att visa de steg du behöver utföra för att etablera arbetsprofiler från Workday till lokal Active Directory (AD).

Kommentar

Använd den här självstudien om de användare som du vill etablera från Workday behöver ett lokalt AD-konto och ett Microsoft Entra-konto.

• Om användarna från Workday bara behöver Microsoft Entra-konto (endast molnanvändare) kan du läsa självstudien om hur du konfigurerar Workday till Microsoft Entra ID-användaretablering .
• Om du vill konfigurera tillbakaskrivning av attribut som e-postadress, användarnamn och telefonnummer från Microsoft Entra-ID till Workday läser du självstudien om hur du konfigurerar tillbakaskrivning av Workday.

Följande video ger en snabb översikt över de steg som ingår när du planerar din etableringsintegrering med Workday.

Översikt

Microsoft Entra-tjänsten för användaretablering integreras med Workday Human Resources-API:et för att etablera användarkonton. Arbetsflöden för etablering av Workday-användare som stöds av Microsoft Entra-tjänsten för användaretablering möjliggör automatisering av följande scenarier för hantering av personal och identitetslivscykel:

• Anställa nya anställda – När en ny anställd läggs till i Workday skapas ett användarkonto automatiskt i Active Directory, Microsoft Entra-ID och eventuellt Microsoft 365 och andra SaaS-program som stöds av Microsoft Entra ID, med tillbakaskrivning av IT-hanterad kontaktinformation till Workday.

• Uppdateringar av anställdas attribut och profiler – När en anställds post uppdateras i Workday (till exempel deras namn, titel eller chef) uppdateras användarkontot automatiskt i Active Directory, Microsoft Entra ID och eventuellt Microsoft 365 och andra SaaS-program som stöds av Microsoft Entra-ID.

• Uppsägningar av anställda – När en anställd avslutas i Workday inaktiveras deras användarkonto automatiskt i Active Directory, Microsoft Entra-ID och eventuellt Microsoft 365 och andra SaaS-program som stöds av Microsoft Entra-ID.

• Personalrehires – När en anställd återanställs i Workday kan deras gamla konto automatiskt återaktiveras eller återetableras (beroende på vad du föredrar) till Active Directory, Microsoft Entra ID och eventuellt Microsoft 365 och andra SaaS-program som stöds av Microsoft Entra-ID.

Nyheter

Det här avsnittet innehåller de senaste förbättringarna av Workday-integreringen. En lista över omfattande uppdateringar, planerade ändringar och arkiv finns i Nyheter i Microsoft Entra-ID?

• Okt 2020 – Aktiverad etablering på begäran för Workday: Med etablering på begäran kan du nu testa etablering från slutpunkt till slutpunkt för en specifik användarprofil i Workday för att verifiera attributmappnings- och uttryckslogik.

• Maj 2020 – Möjlighet att skriva tillbaka telefonnummer till Workday: Förutom e-post och användarnamn kan du nu skriva tillbaka arbetstelefonnummer och mobiltelefonnummer från Microsoft Entra-ID till Workday. Mer information finns i självstudien för tillbakaskrivningsappen.

• April 2020 – Stöd för den senaste versionen av WORKDAY Web Services (WWS) API: Två gånger om året i mars och september levererar Workday funktionsrika uppdateringar som hjälper dig att uppfylla dina affärsmål och förändrade personalbehov. För att hålla jämna steg med de nya funktionerna som levereras av Workday kan du direkt ange den WWS API-version som du vill använda i anslutnings-URL:en. Mer information om hur du anger Workday API-versionen finns i avsnittet om hur du konfigurerar Workday-anslutning.

Vem är den här användaretableringslösningen som passar bäst för?

Den här workday-användaretableringslösningen passar utmärkt för:

• Organisationer som vill ha en fördefinierad, molnbaserad lösning för etablering av Workday-användare

• Organisationer som kräver direkt användaretablering från Workday till Active Directory eller Microsoft Entra-ID

• Organisationer som kräver att användare etableras med hjälp av data från Workday HCM-modulen (se Get_Workers)

• Organisationer som behöver ansluta, flytta och låta användare synkronisera till en eller flera Active Directory-skogar, domäner och ORGANISATION:er baserat endast på en ändring som identifierats i Workday HCM-modulen (se Get_Workers)

• Organisationer som använder Microsoft 365 för e-post

Lösningsarkitekturen

I det här avsnittet beskrivs lösningsarkitekturen för slutanvändaretablering för vanliga hybridmiljöer. Det finns två relaterade flöden:

• Auktoritativt HR-dataflöde – från Workday till lokal Active Directory: I det här flödet sker arbetshändelser som Nyanställda, Överföringar, Uppsägningar först i molnet Workday HR-klientorganisationen och sedan flödar händelsedata till lokal Active Directory via Microsoft Entra-ID och etableringsagenten. Beroende på händelsen kan det leda till åtgärder för att skapa/uppdatera/aktivera/inaktivera i AD.
• Tillbakaskrivningsflöde – från lokal Active Directory till Workday: När kontot har skapats i Active Directory synkroniseras det med Microsoft Entra-ID via Microsoft Entra Connect och information som e-post, användarnamn och telefonnummer kan skrivas tillbaka till Workday.

Dataflöde från slutpunkt till slutpunkt

1. HR-teamet utför arbetstransaktioner (Joiners/Movers/Leavers eller New Hires/Transfers/Terminations) i Workday HCM
2. Microsoft Entra-etableringstjänsten kör schemalagda synkroniseringar av identiteter från Workday HR och identifierar ändringar som måste bearbetas för synkronisering med lokal Active Directory.
3. Microsoft Entra-etableringstjänsten anropar den lokala Microsoft Entra Connect-etableringsagenten med en nyttolast för begäran som innehåller åtgärder för att skapa/uppdatera/aktivera/inaktivera AD-konto.
4. Microsoft Entra Connect-etableringsagenten använder ett tjänstkonto för att lägga till/uppdatera AD-kontodata.
5. Microsoft Entra Connect/AD Sync-motorn kör deltasynkronisering för att hämta uppdateringar i AD.
6. Active Directory-uppdateringarna synkroniseras med Microsoft Entra-ID.
7. Om workday-tillbakaskrivningsappen har konfigurerats skriver den tillbaka attribut som e-post, användarnamn och telefonnummer till Workday.

Planera distributionen

Att konfigurera Workday till Active Directory-användaretablering kräver omfattande planering som omfattar olika aspekter, till exempel:

• Installation av Microsoft Entra Connect-etableringsagenten
• Antal Workday-till AD-användaretableringsappar som ska distribueras
• Välja rätt matchande identifierare, attributmappning, transformering och omfångsfilter

Se hr-distributionsplanen för molnet för omfattande riktlinjer och rekommenderade metodtips.

Konfigurera integreringssystemanvändare i Workday

Ett vanligt krav för alla Workday-etableringsanslutningar är att de kräver autentiseringsuppgifter för en Workday-integreringssystemanvändare för att ansluta till Workday Human Resources-API:et. Det här avsnittet beskriver hur du skapar en integreringssystemanvändare i Workday och innehåller följande avsnitt:

• Skapa en integreringssystemanvändare
• Skapa en integrationssäkerhetsgrupp
• Konfigurera behörigheter för domänsäkerhetsprinciper
• Konfigurera behörigheter för affärsprocesssäkerhetsprinciper
• Aktivera ändringar av säkerhetsprinciper

Kommentar

Det går att kringgå den här proceduren och i stället använda ett Workday-administratörskonto som systemintegreringskonto. Detta kan fungera bra för demonstrationer, men rekommenderas inte för produktionsdistributioner.

Skapa en integreringssystemanvändare

Så här skapar du en integreringssystemanvändare:

1. Logga in på din Workday-klientorganisation med ett administratörskonto. I Workday-programmet anger du skapa användare i sökrutan och klickar sedan på Skapa integrationssystemanvändare.

   

2. Slutför uppgiften Skapa integrationssystemanvändare genom att ange ett användarnamn och lösenord för en ny integrationssystemanvändare.

   • Lämna alternativet Kräv nytt lösenord vid Nästa inloggning avmarkerat eftersom den här användaren loggar in programmatiskt.
   • Lämna tidsgränsen för sessionen minuter med standardvärdet 0, vilket hindrar användarens sessioner från att ta tid i förtid.
   • Välj alternativet Tillåt inte användargränssnittssessioner eftersom det ger ett extra säkerhetslager som förhindrar att en användare med lösenordet för integrationssystemet loggar in på Workday.

   

Skapa en integrationssäkerhetsgrupp

I det här steget skapar du en obehindrat eller begränsad säkerhetsgrupp för integrationssystem i Workday och tilldelar integreringssystemanvändaren som skapades i föregående steg till den här gruppen.

Så här skapar du en säkerhetsgrupp:

1. Ange skapa säkerhetsgrupp i sökrutan och klicka sedan på Skapa säkerhetsgrupp.

   

2. Slutför aktiviteten Skapa säkerhetsgrupp.

   • Det finns två typer av säkerhetsgrupper i Workday:

     • Ej tränad: Alla medlemmar i säkerhetsgruppen kan komma åt alla datainstanser som skyddas av säkerhetsgruppen.
     • Begränsad: Alla säkerhetsgruppmedlemmar har kontextuell åtkomst till en delmängd datainstanser (rader) som säkerhetsgruppen kan komma åt.

   • Kontakta din Workday-integrationspartner för att välja lämplig typ av säkerhetsgrupp för integreringen.

   • När du känner till grupptypen väljer du Integration System Security Group (Unconstrained) eller Integration System Security Group (Begränsad) i listrutan Typ av klientorganisationssäkerhetsgrupp .

     

3. När du har skapat säkerhetsgruppen visas en sida där du kan tilldela medlemmar till säkerhetsgruppen. Lägg till den nya integreringssystemanvändaren som skapades i föregående steg i den här säkerhetsgruppen. Om du använder en begränsad säkerhetsgrupp måste du välja rätt organisationsomfång.

   

Konfigurera behörigheter för domänsäkerhetsprinciper

I det här steget beviljar du behörigheter för domänsäkerhetsprinciper för arbetsdata till säkerhetsgruppen.

Så här konfigurerar du behörigheter för domänsäkerhetsprinciper:

1. Ange Medlemskap och åtkomst för säkerhetsgrupper i sökrutan och klicka på rapportlänken.

   

2. Sök efter och välj den säkerhetsgrupp som skapades i föregående steg.

   

3. Klicka på ellipsen (...) bredvid gruppnamnet och på menyn väljer du Underhåll av domänbehörigheter för säkerhetsgrupper i säkerhetsgruppen >

   

4. Under Integreringsbehörigheter lägger du till följande domäner i listan Domänsäkerhetsprinciper som tillåter Put access

   • Etablering av externt konto
   • Arbetsdata: Offentliga arbetsrapporter
   • Persondata: Kontaktinformation för arbete (krävs om du planerar att skriva tillbaka kontaktdata från Microsoft Entra-ID till Workday)
   • Workday-konton (krävs om du planerar att skriva tillbaka användarnamn/UPN från Microsoft Entra-ID till Workday)

5. Under Integreringsbehörigheter lägger du till följande domäner i listan Domänsäkerhetsprinciper som tillåter Få åtkomst

   • Arbetsdata: Arbetare
   • Arbetsdata: Alla positioner
   • Arbetsdata: Aktuell personalinformation
   • Arbetsdata: Företagstitel för arbetsprofil
   • Arbetsdata: Kvalificerade arbetare (valfritt – lägg till detta för att hämta arbetskvalificeringsdata för etablering)
   • Arbetsdata: Kunskaper och erfarenhet (valfritt – lägg till detta för att hämta arbetskunskapsdata för etablering)

6. När du har slutfört stegen ovan visas behörighetsskärmen enligt nedan:

   

7. Klicka på OK och Klar på nästa skärm för att slutföra konfigurationen.

Konfigurera behörigheter för affärsprocesssäkerhetsprinciper

I det här steget beviljar du principbehörigheter för affärsprocesssäkerhet för arbetsdata till säkerhetsgruppen.

Kommentar

Det här steget krävs endast för att konfigurera anslutningsappen Workday Writeback.

Så här konfigurerar du behörigheter för affärsprocesssäkerhetsprinciper:

1. Ange Affärsprocessprincip i sökrutan och klicka sedan på länken Redigera affärsprocesssäkerhetsprincipaktivitet .

   

2. I textrutan Affärsprocesstyp söker du efter Kontakt och väljer Arbetskontakt Ändra affärsprocess och klickar på OK.

   

3. På sidan Redigera affärsprocesssäkerhetsprincip bläddrar du till avsnittet Ändra arbetskontaktinformation (webbtjänst).

4. Välj och lägg till den nya säkerhetsgruppen för integrationssystemet i listan över säkerhetsgrupper som kan initiera webbtjänstbegäran.

   

5. Klicka på Klar.

Aktivera ändringar av säkerhetsprinciper

Så här aktiverar du ändringar av säkerhetsprinciper:

1. Ange aktivera i sökrutan och klicka sedan på länken Aktivera väntande ändringar av säkerhetsprinciper.

   

2. Starta aktiviteten Aktivera väntande ändringar av säkerhetsprinciper genom att ange en kommentar i granskningssyfte och klicka sedan på OK.

3. Slutför uppgiften på nästa skärm genom att markera kryssrutan Bekräfta och klicka sedan på OK.

   

Installationskrav för etableringsagent

Granska installationskraven för etableringsagenten innan du fortsätter till nästa avsnitt.

Konfigurera användaretablering från Workday till Active Directory

Det här avsnittet innehåller steg för etablering av användarkonton från Workday till varje Active Directory-domän inom ramen för din integrering.

• Lägg till etableringsappen och ladda ned etableringsagenten
• Installera och konfigurera lokala etableringsagenter
• Konfigurera anslutning till Workday och Active Directory
• Konfigurera attributmappningar
• Aktivera och starta användaretablering

Del 1: Lägg till etableringsappen och ladda ned etableringsagenten

Så här konfigurerar du Workday till Active Directory-etablering:

1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

2. Bläddra till Identity>Applications Enterprise-program>>Nytt program.

3. Sök efter Workday till Active Directory User Provisioning och lägg till appen från galleriet.

4. När appen har lagts till och skärmen med appinformation visas väljer du Etablering.

5. Ändra etableringsläget till Automatisk.

6. Klicka på informationsbanderollen som visas för att ladda ned etableringsagenten.

   

Del 2: Installera och konfigurera lokala etableringsagenter

Om du vill etablera till Active Directory lokalt måste etableringsagenten installeras på en domänansluten server som har nätverksåtkomst till önskade Active Directory-domäner.

Överför installationsprogrammet för den nedladdade agenten till servervärden och följ stegen i avsnittet Installera agent för att slutföra agentkonfigurationen.

Del 3: Konfigurera anslutningen till Workday och Active Directory i etableringsappen

I det här steget upprättar vi anslutning med Workday och Active Directory.

1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

2. Bläddra till Identity>Applications Enterprise-program>> Workday till Active Directory User Provisioning App som skapats i del 1.

3. Slutför avsnittet Administratörsautentiseringsuppgifter på följande sätt:

   • Användarnamn för Workday – Ange användarnamnet för workday-integrationssystemets konto med det domännamn för klientorganisationen som läggs till. Det bör se ut ungefär så här: username@tenant_name

   • Workday-lösenord – Ange lösenordet för workday-integrationssystemets konto

   • URL för Workday Web Services-API:et – Ange URL:en till workday-webbtjänstslutpunkten för din klientorganisation. URL:en avgör vilken version av Workday Web Services-API:et som används av anslutningsappen.

     URL-format	WWS API-version som används	XPATH-ändringar krävs
     https://####.workday.com/ccx/service/tenantName	v21.1	Nej
     https://####.workday.com/ccx/service/tenantName/Human_Resources	v21.1	Nej
     https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.#	v##. #	Ja

     Kommentar

     Om ingen versionsinformation anges i URL:en använder appen Workday Web Services (WWS) v21.1 och inga ändringar krävs för de XPATH API-standarduttryck som levereras med appen. Om du vill använda en specifik WWS API-version anger du versionsnummer i URL:en
     Exempel: https://wd3-impl-services1.workday.com/ccx/service/contoso4/Human_Resources/v34.0
     
     Om du använder ett WWS API v30.0+, innan du aktiverar etableringsjobbet, uppdaterar du XPATH API-uttrycken under Attributmappning –> Avancerade alternativ –> Redigera attributlista för Workday som refererar till avsnittet Hantera din konfigurations- och Workday-attributreferens.

   • Active Directory-skog – Namnet på din Active Directory-domän, som registrerats med agenten. Använd listrutan för att välja måldomänen för etablering. Det här värdet är vanligtvis en sträng som: contoso.com

   • Active Directory-container – Ange containerns DN där agenten ska skapa användarkonton som standard. Exempel: OU=Standard Users,OU=Users,DC=contoso,DC=test

     Kommentar

     Den här inställningen spelar bara in för att skapa användarkonton om attributet parentDistinguishedName inte har konfigurerats i attributmappningarna. Den här inställningen används inte för användarsöknings- eller uppdateringsåtgärder. Hela domänunderträdet faller inom sökåtgärdens omfattning.

   • E-postavisering – Ange din e-postadress och markera kryssrutan "skicka e-post om ett fel inträffar".

     Kommentar

     Microsoft Entra-etableringstjänsten skickar ett e-postmeddelande om etableringsjobbet hamnar i karantäntillstånd.

   • Klicka på knappen Testa anslutning . Om anslutningstestet lyckas klickar du på knappen Spara längst upp. Om det misslyckas kontrollerar du att autentiseringsuppgifterna för Workday och de AD-autentiseringsuppgifter som konfigurerats i agentkonfigurationen är giltiga.

   • När autentiseringsuppgifterna har sparats visar avsnittet Mappningar standardmappningen Synkronisera workday-arbetare till Lokal Active Directory

Del 4: Konfigurera attributmappningar

I det här avsnittet konfigurerar du hur användardata flödar från Workday till Active Directory.

1. På fliken Etablering under Mappningar klickar du på Synkronisera workday-arbetare till Lokal Active Directory.

2. I fältet Omfång för källobjekt kan du välja vilka uppsättningar användare i Workday som ska finnas i omfånget för etablering till AD genom att definiera en uppsättning attributbaserade filter. Standardomfånget är "alla användare i Workday". Exempelfilter:

   • Exempel: Omfång för användare med arbets-ID mellan 10000000 och 2000000 (exklusive 2000000)

     • Attribut: WorkerID

     • Operator: REGEX Match

     • Värde: (1[0-9][0-9][0-9][0-9][0-9][0-9])

   • Exempel: Endast anställda och inte kontingentanställda

     • Attribut: EmployeeID

     • Operator: är inte NULL

   Dricks

   När du konfigurerar etableringsappen för första gången måste du testa och verifiera attributmappningarna och -uttrycken för att se till att det ger dig önskat resultat. Microsoft rekommenderar att du använder omfångsfilter under Omfång för källobjekt och etablering på begäran för att testa dina mappningar med några testanvändare från Workday. När du har kontrollerat att mappningarna fungerar kan du antingen ta bort filtret eller gradvis expandera det så att det omfattar fler användare.

   Varning

   Standardbeteendet för etableringsmotorn är att inaktivera/ta bort användare som inte omfattas. Detta kanske inte är önskvärt i din Workday till AD-integrering. Om du vill åsidosätta det här standardbeteendet läser du artikeln Hoppa över borttagning av användarkonton som inte omfattas

3. I fältet Målobjektåtgärder kan du globalt filtrera vilka åtgärder som utförs i Active Directory. Skapa och uppdatera är vanligast.

4. I avsnittet Attributmappningar kan du definiera hur enskilda Workday-attribut mappas till Active Directory-attribut.

5. Klicka på en befintlig attributmappning för att uppdatera den eller klicka på Lägg till ny mappning längst ned på skärmen för att lägga till nya mappningar. En enskild attributmappning stöder följande egenskaper:

   • Mappningstyp

     • Direct – skriver värdet för attributet Workday till AD-attributet utan ändringar

     • Konstant – Skriva ett statiskt, konstant strängvärde till AD-attributet

     • Uttryck – Gör att du kan skriva ett anpassat värde till AD-attributet baserat på ett eller flera Workday-attribut. Mer information finns i den här artikeln om uttryck.

   • Källattribut – användarattributet från Workday. Om attributet du letar efter inte finns kan du läsa Anpassa listan över Workday-användarattribut.

   • Standardvärde – Valfritt. Om källattributet har ett tomt värde skriver mappningen det här värdet i stället. Den vanligaste konfigurationen är att lämna detta tomt.

   • Målattribut – användarattributet i Active Directory.

   • Matcha objekt med det här attributet – om den här mappningen ska användas för att unikt identifiera användare mellan Workday och Active Directory. Det här värdet anges vanligtvis i fältet Arbets-ID för Workday, som vanligtvis mappas till ett av medarbetar-ID-attributen i Active Directory.

   • Matchande prioritet – Flera matchande attribut kan anges. När det finns flera utvärderas de i den ordning som definieras av det här fältet. Så snart en matchning hittas utvärderas inga ytterligare matchande attribut.

   • Tillämpa den här mappningen

     • Always – Tillämpa den här mappningen på både åtgärder för att skapa och uppdatera användare

     • Endast under skapandet – Använd endast den här mappningen på åtgärder för att skapa användare

6. Om du vill spara dina mappningar klickar du på Spara överst i avsnittet Attributmappning.

   

Nedan visas några exempel på attributmappningar mellan Workday och Active Directory, med några vanliga uttryck

• Uttrycket som mappar till attributet parentDistinguishedName används för att etablera en användare till olika organisationsenheter baserat på ett eller flera Workday-källattribut. Det här exemplet placerar användare i olika organisationsenheter baserat på vilken stad de befinner sig i.

• Attributet userPrincipalName i Active Directory genereras med hjälp av dedupliceringsfunktionen SelectUniqueValue som kontrollerar om det finns ett genererat värde i AD-måldomänen och endast anger det om det är unikt.

• det finns dokumentation om hur du skriver uttryck här. Det här avsnittet innehåller exempel på hur du tar bort specialtecken.

WORKDAY-ATTRIBUT	ACTIVE DIRECTORY-ATTRIBUT	MATCHANDE ID?	SKAPA/UPPDATERA
WorkerID	EmployeeID	Ja	Skrivs endast vid skapa
PreferredNameData	Cn		Skrivs endast vid skapa
SelectUniqueValue( Join("@", Join(".", [FirstName], [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 1), [LastName]), "contoso.com"), Join("@", Join(".", Mid([FirstName], 1, 2), [LastName]), "contoso.com"))	userPrincipalName		Skrivs endast vid skapa
Replace(Mid(Replace([UserID], , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )	sAMAccountName		Skrivs endast vid skapa
Switch([Active], , "0", "True", "1", "False")	accountDisabled		Skapa + uppdatera
FirstName	givenName		Skapa + uppdatera
LastName	Sn		Skapa + uppdatera
PreferredNameData	displayName		Skapa + uppdatera
Företag	Företag		Skapa + uppdatera
Tillsynsorganisering	Avdelning		Skapa + uppdatera
ManagerReference	föreståndare		Skapa + uppdatera
BusinessTitle	rubrik		Skapa + uppdatera
AddressLineData	streetAddress		Skapa + uppdatera
Kommun	l		Skapa + uppdatera
CountryReferenceTwoLetter	co		Skapa + uppdatera
CountryReferenceTwoLetter	c		Skapa + uppdatera
CountryRegionReference	Sankt		Skapa + uppdatera
WorkSpaceReference	physicalDeliveryOfficeName		Skapa + uppdatera
Postnummer	postalCode		Skapa + uppdatera
PrimaryWorkTelephone	telephoneNumber		Skapa + uppdatera
Fax	facsimileTelephoneNumber		Skapa + uppdatera
Mobil	mobil		Skapa + uppdatera
LocalReference	preferredLanguage		Skapa + uppdatera
Switch([Municipality], "OU=Default Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com")	parentDistinguishedName		Skapa + uppdatera

När konfigurationen för attributmappning har slutförts kan du testa etableringen för en enskild användare med etablering på begäran och sedan aktivera och starta användaretableringstjänsten.

Aktivera och starta användaretablering

När konfigurationerna för Workday-etableringsappen har slutförts och du har verifierat etableringen för en enskild användare med etablering på begäran kan du aktivera etableringstjänsten.

Dricks

Som standard när du aktiverar etableringstjänsten initieras etableringsåtgärder för alla användare i omfånget. Om det finns fel i mappnings- eller Workday-dataproblem kan etableringsjobbet misslyckas och hamna i karantäntillståndet. För att undvika detta rekommenderar vi att du konfigurerar källobjektomfångsfiltret och testar attributmappningarna med några testanvändare med etablering på begäran innan du startar den fullständiga synkroniseringen för alla användare. När du har kontrollerat att mappningarna fungerar och ger dig önskat resultat kan du antingen ta bort filtret eller gradvis expandera det för att inkludera fler användare.

1. Gå till bladet Etablering och klicka på Starta etablering.

2. Den här åtgärden startar den inledande synkroniseringen, vilket kan ta ett varierande antal timmar beroende på hur många användare som finns i Workday-klientorganisationen. Du kan kontrollera förloppsindikatorn för att spåra förloppet för synkroniseringscykeln.

3. Kontrollera när som helst fliken Etablering i administrationscentret för Microsoft Entra för att se vilka åtgärder etableringstjänsten har utfört. Etableringsloggarna visar en lista över alla enskilda synkroniseringshändelser som utförs av etableringstjänsten, till exempel vilka användare som läss ut från Workday och sedan läggs till eller uppdateras till Active Directory. I avsnittet Felsökning finns anvisningar om hur du granskar etableringsloggarna och åtgärdar etableringsfel.

4. När den första synkroniseringen är klar skriver den en granskningssammanfattningsrapport på fliken Etablering enligt nedan.

   

Vanliga frågor och svar (FAQ)

• Frågor om lösningsfunktioner

  • Hur ställer lösningen in lösenordet för det nya användarkontot i Active Directory när du bearbetar en ny anställning från Workday?
  • Stöder lösningen att skicka e-postaviseringar när etableringsåtgärderna har slutförts?
  • Cachelagrar lösningen Workday-användarprofiler i Microsoft Entra-molnet eller på etableringsagentlagret?
  • Stöder lösningen tilldelning av lokala AD-grupper till användaren?
  • Vilka Workday-API:er använder lösningen för att fråga efter och uppdatera Workday-arbetsprofiler?
  • Kan jag konfigurera min Workday HCM-klientorganisation med två Microsoft Entra-klienter?
  • Hur gör jag för att föreslå förbättringar eller begära nya funktioner relaterade till Workday- och Microsoft Entra-integrering?

• Frågor om etableringsagent

  • Vilken är GA-versionen av etableringsagenten?
  • Hur gör jag för att känner till versionen av min etableringsagent?
  • Skickar Microsoft automatiskt uppdateringar av etableringsagenten?
  • Kan jag installera etableringsagenten på samma server som kör Microsoft Entra Connect?
  • Hur gör jag för att konfigurera etableringsagenten så att den använder en proxyserver för utgående HTTP-kommunikation?
  • Hur gör jag för att se till att etableringsagenten kan kommunicera med Microsoft Entra-klienten och att inga brandväggar blockerar portar som krävs av agenten?
  • Hur gör jag för att avregistrera domänen som är associerad med min etableringsagent?
  • Hur gör jag för att avinstallera etableringsagenten?

• Frågor om mappning och konfiguration av Workday till AD-attribut

  • Hur gör jag för att säkerhetskopiera eller exportera en fungerande kopia av attributet Mappning och schema för Workday-etablering?
  • Jag har anpassade attribut i Workday och Active Directory. Hur gör jag för att konfigurera lösningen så att den fungerar med mina anpassade attribut?
  • Kan jag etablera användarens foto från Workday till Active Directory?
  • Hur gör jag för att synkronisera mobilnummer från Workday baserat på användarens medgivande för offentlig användning?
  • Hur gör jag för att formatera visningsnamn i AD baserat på användarens attribut för avdelning/land/stad och hantera regionala varianser?
  • Hur kan jag använda SelectUniqueValue för att generera unika värden för samAccountName-attributet?
  • Hur gör jag för att ta bort tecken med diakritiska tecken och konvertera dem till vanliga engelska alfabet?

Frågor om lösningsfunktioner

Hur ställer lösningen in lösenordet för det nya användarkontot i Active Directory när du bearbetar en ny anställning från Workday?

När den lokala etableringsagenten får en begäran om att skapa ett nytt AD-konto genererar den automatiskt ett komplext slumpmässigt lösenord som är utformat för att uppfylla kraven på lösenordskomplexitet som definierats av AD-servern och anger detta på användarobjektet. Det här lösenordet loggas inte någonstans.

Stöder lösningen att skicka e-postaviseringar när etableringsåtgärderna har slutförts?

Nej, att skicka e-postaviseringar efter att etableringsåtgärderna har slutförts stöds inte i den aktuella versionen.

Cachelagrar lösningen Workday-användarprofiler i Microsoft Entra-molnet eller på etableringsagentlagret?

Nej, lösningen underhåller inte en cache med användarprofiler. Microsoft Entra-etableringstjänsten fungerar helt enkelt som dataprocessor, läser data från Workday och skriver till målets Active Directory- eller Microsoft Entra-ID. Mer information om användarsekretess och datakvarhållning finns i avsnittet Hantera personliga data .

Stöder lösningen tilldelning av lokala AD-grupper till användaren?

Den här funktionen stöds inte för närvarande. Rekommenderad lösning är att distribuera ett PowerShell-skript som frågar Microsoft Graph API-slutpunkten för etablering av loggdata och använder den för att utlösa scenarier som grupptilldelning. Det här PowerShell-skriptet kan kopplas till en schemaläggare och distribueras i samma ruta som kör etableringsagenten.

Vilka Workday-API:er använder lösningen för att fråga efter och uppdatera Workday-arbetsprofiler?

Lösningen använder för närvarande följande Workday-API:er:

• URL-formatet för Workday Web Services-API: et som används i avsnittet Autentiseringsuppgifter för administratörer avgör vilken API-version som används för Get_Workers

  • Om URL-formatet är: https://####.workday.com/ccx/service/tenantName används API v21.1.
  • Om URL-formatet är: https://####.workday.com/ccx/service/tenantName/Human_Resources används API v21.1
  • Om URL-formatet är: https://####.workday.com/ccx/service/tenantName/Human_Resources/v##.# används den angivna API-versionen. (Exempel: om v34.0 har angetts används det.)

• Tillbakaskrivningsfunktionen för workday-e-post använder Change_Work_Contact_Information (v30.0)

• Tillbakaskrivningsfunktionen för workday-användarnamn använder Update_Workday_Account (v31.2)

Kan jag konfigurera min Workday HCM-klientorganisation med två Microsoft Entra-klienter?

Ja, den här konfigurationen stöds. Här följer de övergripande stegen för att konfigurera det här scenariot:

• Distribuera etableringsagent nr 1 och registrera den med Microsoft Entra-klient nr 1.
• Distribuera etableringsagent nr 2 och registrera den med Microsoft Entra-klient nr 2.
• Baserat på de underordnade domäner som varje etableringsagent hanterar konfigurerar du varje agent med domänerna. En agent kan hantera flera domäner.
• I administrationscentret för Microsoft Entra konfigurerar du Workday till AD User Provisioning App i varje klientorganisation och konfigurerar den med respektive domäner.

Hur gör jag för att föreslå förbättringar eller begära nya funktioner relaterade till Workday- och Microsoft Entra-integrering?

Din feedback är högt värderad eftersom den hjälper oss att ange riktningen för framtida versioner och förbättringar. Vi välkomnar all feedback och rekommenderar att du skickar in din idé eller ditt förbättringsförslag i feedbackforumet för Microsoft Entra ID. För specifik feedback som rör Workday-integreringen väljer du kategorin SaaS-program och söker med nyckelorden Workday för att hitta befintlig feedback relaterad till Workday.

När du föreslår en ny idé kontrollerar du om någon annan redan har föreslagit en liknande funktion. I så fall kan du rösta på funktionen eller begäran om förbättringar. Du kan också lämna en kommentar om ditt specifika användningsfall för att visa ditt stöd för idén och visa hur funktionen är värdefull för dig också.

Frågor om etableringsagent

Vilken är GA-versionen av etableringsagenten?

Se Microsoft Entra Connect Provisioning Agent: Versionshistorik för den senaste GA-versionen av etableringsagenten.

Hur gör jag för att känner till versionen av min etableringsagent?

1. Logga in på Windows-servern där etableringsagenten är installerad.
2. Gå till Kontrollpanelen ->Uninstall eller Ändra en programmeny.
3. Leta efter den version som motsvarar posten Microsoft Entra Connect Provisioning Agent.

Skickar Microsoft automatiskt uppdateringar av etableringsagenten?

Ja, Microsoft uppdaterar etableringsagenten automatiskt om Windows-tjänsten Microsoft Entra Connect Agent Updater är igång.

Kan jag installera etableringsagenten på samma server som kör Microsoft Entra Connect?

Ja, du kan installera etableringsagenten på samma server som kör Microsoft Entra Connect.

Vid tidpunkten för konfigurationen frågar etableringsagenten efter autentiseringsuppgifter för Microsoft Entra-administratör. Lagrar agenten autentiseringsuppgifterna lokalt på servern?

Under konfigurationen uppmanar etableringsagenten endast Microsoft Entra-administratörsautentiseringsuppgifter att ansluta till din Microsoft Entra-klientorganisation. Autentiseringsuppgifterna lagras inte lokalt på servern. Den behåller dock de autentiseringsuppgifter som används för att ansluta till lokal Active Directory domänen i ett lokalt Windows-lösenordsvalv.

Hur gör jag för att konfigurera etableringsagenten så att den använder en proxyserver för utgående HTTP-kommunikation?

Etableringsagenten stöder användning av utgående proxy. Du kan konfigurera det genom att redigera agentkonfigurationsfilen C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Lägg till följande rader i den, mot slutet av filen precis före den avslutande </configuration> taggen. Ersätt variablerna [proxy-server] och [proxy-port] proxyserverns namn och portvärden.

    <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
             <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
             />
         </defaultProxy>
    </system.net>

Hur gör jag för att se till att etableringsagenten kan kommunicera med Microsoft Entra-klienten och att inga brandväggar blockerar portar som krävs av agenten?

Du kan också kontrollera om alla nödvändiga portar är öppna.

Kan en etableringsagent konfigureras för att etablera flera AD-domäner?

Ja, en etableringsagent kan konfigureras för att hantera flera AD-domäner så länge agenten har siktlinje till respektive domänkontrollant. Microsoft rekommenderar att du konfigurerar en grupp med tre etableringsagenter som betjänar samma uppsättning AD-domäner för att säkerställa hög tillgänglighet och tillhandahålla stöd för redundans.

Hur gör jag för att avregistrera domänen som är associerad med min etableringsagent?

*, hämta klientorganisations-ID: t för din Microsoft Entra-klientorganisation.

• Logga in på Windows-servern som kör etableringsagenten.

• Öppna PowerShell som Windows-administratör.

• Ändra till katalogen som innehåller registreringsskripten och kör följande kommandon som ersätter parametern [klient-ID] med värdet för ditt klient-ID.

  cd "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder"
  Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\RegistrationPowershell\Modules\PSModulesFolder\MicrosoftEntraPrivateNetworkConnectorPSModule.psd1"
  Get-PublishedResources -TenantId "[tenant ID]"
  

• Från listan över agenter som visas – kopiera värdet för fältet från resursen id vars resourceName är lika med ditt AD-domännamn.

• Klistra in ID-värdet i det här kommandot och kör kommandot i PowerShell.

  Remove-PublishedResource -ResourceId "[resource ID]" -TenantId "[tenant ID]"
  

• Kör konfigurationsguiden agent igen.

• Andra agenter som tidigare har tilldelats den här domänen måste konfigureras om.

Hur gör jag för att avinstallera etableringsagenten?

• Logga in på Windows-servern där etableringsagenten är installerad.
• Gå till Kontrollpanelen ->Uninstall eller Ändra en programmeny
• Avinstallera följande program:
  • Microsoft Entra Connect-etableringsagent
  • Microsoft Entra Connect Agent Updater
  • Microsoft Entra Connect Provisioning Agent Package

Frågor om mappning och konfiguration av Workday till AD-attribut

Hur gör jag för att säkerhetskopiera eller exportera en fungerande kopia av attributet Mappning och schema för Workday-etablering?

Du kan använda Microsoft Graph API för att exportera konfigurationen av workday-användaretablering. Mer information finns i stegen i avsnittet Exportera och importera konfiguration av workday-användaretableringsattribut.

Jag har anpassade attribut i Workday och Active Directory. Hur gör jag för att konfigurera lösningen så att den fungerar med mina anpassade attribut?

Lösningen stöder anpassade Workday- och Active Directory-attribut. Om du vill lägga till anpassade attribut i mappningsschemat öppnar du bladet Attributmappning och rullar nedåt för att expandera avsnittet Visa avancerade alternativ.

Om du vill lägga till dina anpassade Workday-attribut väljer du alternativet Redigera attributlista för Workday och för att lägga till dina anpassade AD-attribut väljer du alternativet Redigera attributlista för Lokal Active Directory.

Se även:

• Anpassa listan över Workday-användarattribut

Hur gör jag för att konfigurera lösningen för att endast uppdatera attribut i AD baserat på Workday-ändringar och inte skapa några nya AD-konton?

Den här konfigurationen kan uppnås genom att ange målobjektåtgärder på bladet Attributmappningar enligt nedan:

Markera kryssrutan "Uppdatera" för att endast uppdatera åtgärder som ska flöda från Workday till AD.

Kan jag etablera användarens foto från Workday till Active Directory?

Lösningen stöder för närvarande inte inställning av binära attribut som thumbnailPhoto och jpegPhoto i Active Directory.

Hur gör jag för att synkronisera mobilnummer från Workday baserat på användarens medgivande för offentlig användning?

• Gå till bladet "Etablering" i workday-etableringsappen.

• Klicka på Attributmappningar

• Under Mappningar väljer du Synkronisera workday-arbetare till Lokal Active Directory (eller Synkronisera workday-arbetare till Microsoft Entra-ID).

• På sidan Attributmappningar rullar du nedåt och markerar kryssrutan "Visa avancerade alternativ". Klicka på Redigera attributlista för Workday

• Leta upp attributet "Mobile" på bladet som öppnas och klicka på raden så att du kan redigera API-uttrycket

• Ersätt API-uttrycket med följande nya uttryck, som endast hämtar arbetsmobilnumret om flaggan för offentlig användning är inställd på "True" i Workday.

   wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Contact_Data/wd:Phone_Data[translate(string(wd:Phone_Device_Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='MOBILE' and translate(string(wd:Usage_Data/wd:Type_Data/wd:Type_Reference/@wd:Descriptor),'abcdefghijklmnopqrstuvwxyz','ABCDEFGHIJKLMNOPQRSTUVWXYZ')='WORK' and string(wd:Usage_Data/@wd:Public)='1']/@wd:Formatted_Phone
  

• Spara attributlistan.

• Spara attributmappningen.

• Rensa aktuellt tillstånd och starta om den fullständiga synkroniseringen.

Hur gör jag för att formatera visningsnamn i AD baserat på användarens attribut för avdelning/land/stad och hantera regionala varianser?

det är ett vanligt krav att konfigurera attributet displayName i AD så att det även innehåller information om användarens avdelning och land/region. Om John Smith till exempel arbetar på marknadsföringsavdelningen i USA kanske du vill att hans displayName ska visas som Smith, John (Marketing-US).

Så här kan du hantera sådana krav för att konstruera CN eller displayName för att inkludera attribut som företag, affärsenhet, stad eller land/region.

• Varje Workday-attribut hämtas med hjälp av ett underliggande XPATH API-uttryck, som kan konfigureras i Attributmappning –> Avancerat avsnitt –> Redigera attributlista för Workday. Här är standarduttrycket för XPATH API för attributen Workday PreferredFirstName, PreferredLastName, Company och SupervisoryOrganization .

  Workday-attribut	API XPATH-uttryck
  PreferredFirstName	wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:First_Name/text()
  PreferredLastName	wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Name_Data/wd:Preferred_Name_Data/wd:Name_Detail_Data/wd:Last_Name/text()
  Företag	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data[wd:Organization_Data/wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Company']/wd:Organization_Reference/@wd:Descriptor
  Tillsynsorganisering	wd:Worker/wd:Worker_Data/wd:Organization_Data/wd:Worker_Organization_Data/wd:Organization_Data[wd:Organization_Type_Reference/wd:ID[@wd:type='Organization_Type_ID']='Supervisory']/wd:Organization_Name/text()

  Bekräfta med ditt Workday-team att API-uttrycket ovan är giltigt för din Workday-klientkonfiguration. Om det behövs kan du redigera dem enligt beskrivningen i avsnittet Anpassa listan över Workday-användarattribut.

• På samma sätt hämtas land-/regioninformationen i Workday med hjälp av följande XPATH: wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference

  Det finns 5 lands-/regionrelaterade attribut som är tillgängliga i avsnittet Workday-attributlista.

  Workday-attribut	API XPATH-uttryck
  CountryReference	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-3_Code']/text()
  CountryReferenceFriendly	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/@wd:Descriptor
  CountryReferenceNumeric	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Numeric-3_Code']/text()
  CountryReferenceTwoLetter	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Reference/wd:ID[@wd:type='ISO_3166-1_Alpha-2_Code']/text()
  CountryRegionReference	wd:Worker/wd:Worker_Data/wd:Employment_Data/wd:Position_Data/wd:Business_Site_Summary_Data/wd:Address_Data/wd:Country_Region_Reference/@wd:Descriptor

  Bekräfta med ditt Workday-team att API-uttrycken ovan är giltiga för din Workday-klientkonfiguration. Om det behövs kan du redigera dem enligt beskrivningen i avsnittet Anpassa listan över Workday-användarattribut.

• Om du vill skapa rätt attributmappningsuttryck identifierar du vilket Workday-attribut "auktoritativt" som representerar användarens förnamn, efternamn, land/region och avdelning. Anta att attributen är PreferredFirstName, PreferredLastName, CountryReferenceTwoLetter respektive SupervisoryOrganization. Du kan använda detta för att skapa ett uttryck för AD displayName-attributet enligt följande för att hämta ett visningsnamn som Smith, John (Marketing-US).

   Append(Join(", ",[PreferredLastName],[PreferredFirstName]), Join(""," (",[SupervisoryOrganization],"-",[CountryReferenceTwoLetter],")"))
  

  När du har rätt uttryck redigerar du tabellen Attributmappningar och ändrar attributmappningen displayName enligt nedan:

• Om du utökar exemplet ovan kan vi säga att du vill konvertera stadsnamn som kommer från Workday till blankstegsvärden och sedan använda det för att skapa visningsnamn som Smith, John (CHI) eller Doe, Jane (NYC), så kan det här resultatet uppnås med hjälp av ett Switch-uttryck med attributet Workday Municipality som den avgörande variabeln.

  Switch
  (
    [Municipality],
    Join(", ", [PreferredLastName], [PreferredFirstName]),  
         "Chicago", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(CHI)"),
         "New York", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(NYC)"),
         "Phoenix", Append(Join(", ",[PreferredLastName], [PreferredFirstName]), "(PHX)")
  )
  

  Se även:

  • Växla funktionssyntax
  • Syntax för kopplingsfunktion
  • Syntax för tilläggsfunktion

Hur kan jag använda SelectUniqueValue för att generera unika värden för samAccountName-attributet?

Anta att du vill generera unika värden för samAccountName-attributet med hjälp av en kombination av attributen FirstName och LastName från Workday. Nedan visas ett uttryck som du kan börja med:

SelectUniqueValue(
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,1), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,2), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , ),
    Replace(Mid(Replace(NormalizeDiacritics(StripSpaces(Join("",  Mid([FirstName],1,3), [LastName]))), , "([\\/\\\\\\[\\]\\:\\;\\|\\=\\,\\+\\*\\?\\<\\>])", , "", , ), 1, 20), , "(\\.)*$", , "", , )
)

Hur ovanstående uttryck fungerar: Om användaren är John Smith försöker den först generera JSmith, om JSmith redan finns, genererar det JoSmith, om det finns, genererar det JohSmith. Uttrycket säkerställer också att värdet som genereras uppfyller längdbegränsningen och specialteckenbegränsningen som är associerad med samAccountName.

Se även:

• Mittfunktionssyntax
• Ersätt funktionssyntax
• SelectUniqueValue-funktionssyntax

Hur gör jag för att ta bort tecken med diakritiska tecken och konvertera dem till vanliga engelska alfabet?

Använd funktionen NormalizeDiacritics för att ta bort specialtecken i förnamn och efternamn för användaren, samtidigt som du skapar e-postadressen eller CN-värdet för användaren.

Felsökningstips

Det här avsnittet innehåller specifik vägledning om hur du felsöker etableringsproblem med din Workday-integrering med hjälp av Microsoft Entra-etableringsloggar och Windows Server-Loggboken loggar. Den bygger på de allmänna felsökningsstegen och begreppen som samlas in i Självstudie: Rapportering om automatisk etablering av användarkonton

Det här avsnittet beskriver följande aspekter av felsökning:

• Konfigurera etableringsagenten för att generera Loggboken loggar
• Konfigurera Windows Loggboken för agentfelsökning
• Konfigurera Microsoft Entra-administrationscentret Etableringsloggar för tjänstfelsökning
• Förstå loggar för åtgärder för att skapa AD-användarkonton
• Förstå loggar för manageruppdateringsåtgärder
• Lösa vanliga fel

Konfigurera etableringsagenten för att generera Loggboken loggar

1. Logga in på Windows Server-datorn där etableringsagenten distribueras

2. Stoppa tjänsten Microsoft Entra Connect Provisioning Agent.

3. Skapa en kopia av den ursprungliga konfigurationsfilen: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

4. Ersätt det befintliga <system.diagnostics> avsnittet med följande.

   • Lyssnarkonfigurationen etw genererar meddelanden till EventViewer-loggarna
   • LyssnarkonfigurationstextenWriterListener skickar spårningsmeddelanden till filen ProvAgentTrace.log. Avkommentarera raderna som är relaterade till textWriterListener endast för avancerad felsökning.

     <system.diagnostics>
         <sources>
         <source name="AAD Connect Provisioning Agent">
             <listeners>
             <add name="console"/>
             <add name="etw"/>
             <!-- <add name="textWriterListener"/> -->
             </listeners>
         </source>
         </sources>
         <sharedListeners>
         <add name="console" type="System.Diagnostics.ConsoleTraceListener" initializeData="false"/>
         <add name="etw" type="System.Diagnostics.EventLogTraceListener" initializeData="Azure AD Connect Provisioning Agent">
             <filter type="System.Diagnostics.EventTypeFilter" initializeData="All"/>
         </add>
         <!-- <add name="textWriterListener" type="System.Diagnostics.TextWriterTraceListener" initializeData="C:/ProgramData/Microsoft/Azure AD Connect Provisioning Agent/Trace/ProvAgentTrace.log"/> -->
         </sharedListeners>
     </system.diagnostics>
   
   

5. Starta tjänsten Microsoft Entra Connect Provisioning Agent.

Konfigurera Windows Loggboken för agentfelsökning

1. Logga in på Windows Server-datorn där etableringsagenten distribueras

2. Öppna Windows Server Loggboken skrivbordsapp.

3. Välj Program för Windows-loggar>.

4. Använd alternativet Filtrera aktuell logg... för att visa alla händelser som loggats under källan Microsoft Entra Connect Provisioning Agent och exkludera händelser med händelse-ID "5" genom att ange filtret "-5" enligt nedan.

   Kommentar

   Händelse-ID 5 samlar in agentens bootstrap-meddelanden till Microsoft Entra-molntjänsten och därför filtrerar vi dem när vi analyserar loggfilerna.

   

5. Klicka på OK och sortera resultatvyn efter kolumnen Datum och tid .

Konfigurera Microsoft Entra-administrationscentret Etableringsloggar för tjänstfelsökning

1. Starta administrationscentret för Microsoft Entra och gå till avsnittet Etablering i ditt Workday-etableringsprogram.

2. Använd knappen Kolumner på sidan Etableringsloggar om du bara vill visa följande kolumner i vyn (Datum, Aktivitet, Status, Statusorsak). Den här konfigurationen säkerställer att du bara fokuserar på data som är relevanta för felsökning.

   

3. Använd frågeparametrarna Mål och Datumintervall för att filtrera vyn.

   • Ange frågeparametern Target till "Worker ID" eller "Employee ID" för Workday Worker-objektet.
   • Ange datumintervallet till en lämplig tidsperiod under vilken du vill undersöka fel eller problem med etableringen.

   

Förstå loggar för åtgärder för att skapa AD-användarkonton

När en ny anställning i Workday identifieras (låt oss säga med medarbetar-ID 21023) försöker Microsoft Entra-etableringstjänsten skapa ett nytt AD-användarkonto för arbetaren och skapar i processen 4 etableringsloggposter enligt beskrivningen nedan:

När du klickar på någon av etableringsloggposterna öppnas sidan Aktivitetsinformation . Här är vad sidan Aktivitetsinformation visar för varje loggposttyp.

• Workday Import-post : Den här loggposten visar arbetsinformationen som hämtats från Workday. Använd information i avsnittet Ytterligare information i loggposten för att felsöka problem med att hämta data från Workday. En exempelpost visas nedan tillsammans med pekare om hur du tolkar varje fält.

  ErrorCode : None  // Use the error code captured here to troubleshoot Workday issues
  EventName : EntryImportAdd // For full sync, value is "EntryImportAdd" and for delta sync, value is "EntryImport"
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID (usually the Worker ID or Employee ID field)
  SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the record
  

• AD-importpost : Den här loggposten visar information om det konto som hämtats från AD. Eftersom det inte finns något AD-konto när användaren först skapades anger orsaken till aktivitetsstatus att inget konto med attributet Matchande ID hittades i Active Directory. Använd information i avsnittet Ytterligare information i loggposten för att felsöka problem med att hämta data från Workday. En exempelpost visas nedan tillsammans med pekare om hur du tolkar varje fält.

  ErrorCode : None // Use the error code captured here to troubleshoot Workday issues
  EventName : EntryImportObjectNotFound // Implies that object wasn't found in AD
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
  

  Om du vill hitta loggposter för etableringsagenten som motsvarar den här AD-importåtgärden öppnar du Windows-Loggboken loggarna och använder menyalternativet Sök... för att hitta loggposter som innehåller attributet Matchande ID/Koppla egenskap (i det här fallet 21023).

  

  Leta efter posten med händelse-ID = 9, vilket ger dig det LDAP-sökfilter som används av agenten för att hämta AD-kontot. Du kan kontrollera om det här är rätt sökfilter för att hämta unika användarposter.

  Posten som omedelbart följer den med händelse-ID = 2 fångar upp resultatet av sökåtgärden och om den returnerade några resultat.

• Åtgärdspost för synkroniseringsregel: Den här loggposten visar resultatet av attributmappningsreglerna och konfigurerade omfångsfilter tillsammans med etableringsåtgärden som vidtas för att bearbeta den inkommande Workday-händelsen. Använd information i avsnittet Ytterligare information i loggposten för att felsöka problem med synkroniseringsåtgärden. En exempelpost visas nedan tillsammans med pekare om hur du tolkar varje fält.

  ErrorCode : None // Use the error code captured here to troubleshoot sync issues
  EventName : EntrySynchronizationAdd // Implies that the object is added
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
  SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
  

  Om det finns problem med attributmappningsuttrycken eller om inkommande Workday-data har problem (till exempel tomt eller null-värde för obligatoriska attribut) ser du ett fel i det här skedet med ErrorCode som ger information om felet.

• AD-exportpost : Den här loggposten visar resultatet av ad-kontoskapandet tillsammans med de attributvärden som angavs i processen. Använd information i avsnittet Ytterligare information i loggposten för att felsöka problem med kontoskapandeåtgärden. En exempelpost visas nedan tillsammans med pekare om hur du tolkar varje fält. I avsnittet "Ytterligare information" är "EventName" inställt på "EntryExportAdd", "JoiningProperty" är inställt på värdet för attributet Matchande ID, "SourceAnchor" är inställt på WorkdayID (WID) som är associerat med posten och "TargetAnchor" är inställt på värdet för AD-attributet "ObjectGuid" för den nyligen skapade användaren.

  ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
  EventName : EntryExportAdd // Implies that object is created
  JoiningProperty : 21023 // Value of the Workday attribute that serves as the Matching ID
  SourceAnchor : a071861412de4c2486eb10e5ae0834c3 // set to the WorkdayID (WID) associated with the profile in Workday
  TargetAnchor : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb // set to the value of the AD "objectGuid" attribute of the new user
  

  Om du vill hitta loggposter för etableringsagenten som motsvarar den här AD-exportåtgärden öppnar du Windows Loggboken-loggarna och använder menyalternativet Sök... för att hitta loggposter som innehåller attributet Matchande ID/Koppla egenskap (i det här fallet 21023).

  Leta efter en HTTP POST-post som motsvarar tidsstämpeln för exportåtgärden med händelse-ID = 2. Den här posten innehåller attributvärdena som skickas av etableringstjänsten till etableringsagenten.

  

  Omedelbart efter händelsen ovan bör det finnas en annan händelse som samlar in svaret från åtgärden skapa AD-konto. Den här händelsen returnerar det nya objectGuid som skapats i AD och det anges som attributet TargetAnchor i etableringstjänsten.

  

Förstå loggar för hanteringsuppdateringsåtgärder

Manager-attributet är ett referensattribut i AD. Etableringstjänsten anger inte chefsattributet som en del av åtgärden för att skapa användare. I stället anges manager-attributet som en del av en uppdateringsåtgärd när AD-kontot har skapats för användaren. När vi expanderar exemplet ovan ska vi säga att en ny anställning med medarbetar-ID :t "21451" aktiveras i Workday och att nyanställdas chef (21023) redan har ett AD-konto. I det här scenariot visar sökning i etableringsloggarna efter användare 21451 5 poster.

De första 4 posterna är som de vi utforskade som en del av användarskapandeåtgärden. Den femte posten är exporten som är associerad med manager-attributuppdateringen. Loggposten visar resultatet av ad-kontohanterarens uppdateringsåtgärd, som utförs med hjälp av chefens objectGuid-attribut .

// Modified Properties
Name : manager
New Value : "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" // objectGuid of the user 21023

// Additional Details
ErrorCode : None // Use the error code captured here to troubleshoot AD account creation issues
EventName : EntryExportUpdate // Implies that object is created
JoiningProperty : 21451 // Value of the Workday attribute that serves as the Matching ID
SourceAnchor : 9603bf594b9901693f307815bf21870a // WorkdayID of the user
TargetAnchor : 43b668e7-1d73-401c-a00a-fed14d31a1a8 // objectGuid of the user 21451

Lösa vanliga fel

Det här avsnittet beskriver vanliga fel med Etablering av Workday-användare och hur du löser det. Felen grupperas på följande sätt:

• Etableringsagentfel
• Anslutningsfel
• Fel vid skapande av AD-användarkonto
• Ad-användarkontouppdateringsfel

Etableringsagentfel

#	Felscenario	Sannolika orsaker	Rekommenderad lösning
1.	Det gick inte att installera etableringsagenten med felmeddelandet: Tjänsten Microsoft Entra Connect Provisioning Agent (AADConnectProvisioningAgent) kunde inte starta. Kontrollera att du har tillräcklig behörighet för att starta systemet.	Det här felet visas vanligtvis om du försöker installera etableringsagenten på en domänkontrollant och en grupprincip hindrar tjänsten från att starta. Det visas också om du har en tidigare version av agenten som körs och du inte har avinstallerat den innan du startar en ny installation.	Installera etableringsagenten på en icke-DC-server. Kontrollera att tidigare versioner av agenten avinstalleras innan du installerar den nya agenten.
2.	Windows-tjänsten Microsoft Entra Connect Provisioning Agent är i starttillstånd och växlar inte till Körningstillstånd .	Som en del av installationen skapar agentguiden ett lokalt konto (NT Service\AADConnectProvisioningAgent) på servern och det här är inloggningskontot som används för att starta tjänsten. Om en säkerhetsprincip på Windows-servern förhindrar att lokala konton kör tjänsterna visas det här felet.	Öppna tjänstekonsolen. Högerklicka på Windows-tjänsten Microsoft Entra Connect Provisioning Agent och på inloggningsfliken anger du kontot för en domänadministratör som ska köra tjänsten. Starta om tjänsten.
3.	När du konfigurerar etableringsagenten med din AD-domän i steget Anslut Active Directory tar det lång tid för guiden att försöka läsa in AD-schemat och till slut överskrider tidsgränsen.	Det här felet visas vanligtvis om det inte går att kontakta AD-domänkontrollantservern på grund av problem med brandväggen.	På skärmen Anslut Active Directory-guiden finns det ett alternativ med namnet Välj domänkontrollantprioritet när du anger autentiseringsuppgifterna för AD-domänen. Använd det här alternativet om du vill välja en domänkontrollant som finns på samma plats som agentservern och se till att det inte finns några brandväggsregler som blockerar kommunikationen.

Anslutningsfel

Om etableringstjänsten inte kan ansluta till Workday eller Active Directory kan etableringen hamna i karantän. Använd tabellen nedan för att felsöka anslutningsproblem.

#	Felscenario	Sannolika orsaker	Rekommenderad lösning
1.	När du klickar på Testanslutning visas felmeddelandet: Det uppstod ett fel vid anslutning till Active Directory. Kontrollera att den lokala etableringsagenten körs och att den har konfigurerats med rätt Active Directory-domän.	Det här felet visas vanligtvis om etableringsagenten inte körs eller om det finns en brandvägg som blockerar kommunikationen mellan Microsoft Entra-ID och etableringsagenten. Du kan också se det här felet om domänen inte har konfigurerats i agentguiden.	Öppna tjänstkonsolen på Windows-servern för att bekräfta att agenten körs. Öppna guiden etableringsagent och bekräfta att rätt domän har registrerats med agenten.
2.	Etableringsjobbet hamnar i karantäntillstånd under helgerna (fre-lör) och vi får ett e-postmeddelande om att det finns ett fel med synkroniseringen.	En av de vanligaste orsakerna till felet är planerade Workday-driftstopp. Om du använder en Workday-implementeringsklientorganisation bör du tänka på att Workday har schemalagt nedtid för sina implementeringsklientorganisationer över helger (vanligtvis från fredag kväll till lördag morgon) och under den perioden kan Workday-etableringsapparna hamna i karantäntillstånd eftersom de inte kan ansluta till Workday. Workday återfår sitt normala tillstånd när Workday-implementeringsklienten är online igen. I sällsynta fall kan du också se det här felet om lösenordet för integreringssystemanvändaren har ändrats på grund av uppdatering av klienten eller om kontot är låst eller har upphört att gälla.	Kontakta din Workday-administratör eller integreringspartner för att höra efter när Workday schemalägger driftstopp. Sedan kan du ignorera varningsmeddelanden under driftstoppsperioden och få en bekräftelse om tillgänglighet när Workday-instansen är online igen.

Fel vid skapande av AD-användarkonto

#	Felscenario	Sannolika orsaker	Rekommenderad lösning
1.	Exportåtgärdsfel i etableringsloggen med meddelandet Fel: OperationsError-SvcErr: Ett åtgärdsfel uppstod. Ingen överordnad referens har konfigurerats för katalogtjänsten. Katalogtjänsten kan därför inte utfärda hänvisningar till objekt utanför den här skogen.	Det här felet visas vanligtvis om Active Directory Container OU inte har angetts korrekt eller om det finns problem med uttrycksmappningen som används för parentDistinguishedName.	Kontrollera active directory-containerns OU-parameter för stavfel. Om du använder parentDistinguishedName i attributmappningen kontrollerar du att den alltid utvärderas till en känd container i AD-domänen. Kontrollera exporthändelsen i etableringsloggarna för att se det genererade värdet.
2.	Exportåtgärdsfel i etableringsloggen med felkod: SystemForCrossDomainIdentityManagementBadResponse och meddelandeFel : ConstraintViolation-AtrErr: Ett värde i begäran är ogiltigt. Ett värde för attributet fanns inte i det acceptabla intervallet med värden. \nFelinformation: CONSTRAINT_ATT_TYPE – företag.	Även om det här felet är specifikt för företagsattributet kan du se det här felet även för andra attribut som CN. Det här felet visas på grund av villkor för AD-framtvingat schema. Som standard har attribut som företag och CN i AD en övre gräns på 64 tecken. Om värdet som kommer från Workday är mer än 64 tecken visas det här felmeddelandet.	Kontrollera exporthändelsen i etableringsloggarna för att se värdet för attributet som rapporterades i felmeddelandet. Överväg att trunkera värdet som kommer från Workday med funktionen Mid eller ändra mappningarna till ett AD-attribut som inte har liknande längdbegränsningar.

Ad-användarkontouppdateringsfel

Under ad-användarkontouppdateringsprocessen läser etableringstjänsten information från både Workday och AD, kör attributmappningsreglerna och avgör om någon ändring behöver börja gälla. Därför utlöses en uppdateringshändelse. Om något av dessa steg påträffar ett fel loggas det i etableringsloggarna. Använd tabellen nedan för att felsöka vanliga uppdateringsfel.

#	Felscenario	Sannolika orsaker	Rekommenderad lösning
1.	Fel med synkroniseringsregeln i etableringsloggen med meddelandet EventName = EntrySynchronizationError och ErrorCode = EndpointUnavailable.	Det här felet visas om etableringstjänsten inte kan hämta användarprofildata från Active Directory på grund av ett bearbetningsfel som påträffades av den lokala etableringsagenten.	Kontrollera Loggboken loggarna för etableringsagenten för felhändelser som indikerar problem med läsåtgärden (Filtrera efter händelse-ID nr 2).
2.	Chefsattributet i AD uppdateras inte för vissa användare i AD.	Den troligaste orsaken till det här felet är om du använder omfångsregler och användarens chef inte ingår i omfånget. Du kan också stöta på det här problemet om chefens matchande ID-attribut (till exempel EmployeeID) inte hittas i AD-måldomänen eller inte har angetts till rätt värde.	Granska omfångsfiltret och lägg till manager-användaren i omfånget. Kontrollera chefens profil i AD för att se till att det finns ett värde för det matchande ID-attributet.

Hantera din konfiguration

I det här avsnittet beskrivs hur du kan utöka, anpassa och hantera konfigurationen av workday-driven användaretablering ytterligare. Den beskriver följande ämnen:

• Anpassa listan över Workday-användarattribut
• Exportera och importera konfigurationen

Anpassa listan över Workday-användarattribut

Workday-etableringsapparna för Active Directory och Microsoft Entra ID innehåller båda en standardlista med Workday-användarattribut som du kan välja mellan. De här listorna är dock inte omfattande. Workday stöder många hundratals möjliga användarattribut, som antingen kan vara standard eller unika för din Workday-klientorganisation.

Microsoft Entra-etableringstjänsten stöder möjligheten att anpassa listan eller Workday-attributet så att de inkluderar attribut som exponeras i Get_Workers driften av API:et för mänskliga resurser.

Om du vill göra den här ändringen måste du använda Workday Studio för att extrahera de XPath-uttryck som representerar de attribut som du vill använda och sedan lägga till dem i konfigurationen av etableringen med hjälp av den avancerade attributredigeraren.

Så här hämtar du ett XPath-uttryck för ett Workday-användarattribut:

1. Ladda ned och installera Workday Studio. Du behöver ett Workday Community-konto för att få åtkomst till installationsprogrammet.

2. Ladda ned Filen Workday Human_Resources WSDL som är specifik för den WWS API-version som du planerar att använda från Workday Web Services Directory

3. Starta Workday Studio.

4. I kommandofältet väljer du alternativet Workday > Test Web Service i Tester .

5. Välj Extern och välj den Human_Resources WSDL-fil som du laddade ned i steg 2.

   

6. Ange fältet Plats till https://IMPL-CC.workday.com/ccx/service/TENANT/Human_Resources, men ersätt "IMPL-CC" med din faktiska instanstyp och "KLIENT" med ditt riktiga klientnamn.

7. Ange Åtgärden till Get_Workers

8. Klicka på den lilla länken konfigurera under fönstret Begäran/svar för att ange dina Workday-autentiseringsuppgifter. Kontrollera autentisering och ange sedan användarnamn och lösenord för ditt Workday-integrationssystemkonto. Se till att formatera användarnamnet som name@tenant och låt alternativet WS-Security UsernameToken vara markerat.

9. Välj OK.

10. I fönstret Begäran klistrar du in XML-koden nedan. Ange Employee_ID till medarbetar-ID för en riktig användare i din Workday-klientorganisation. Ange wd:version till den version av WWS som du planerar att använda. Välj en användare som har attributet fyllt som du vill extrahera.

    <?xml version="1.0" encoding="UTF-8"?>
    <env:Envelope xmlns:env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="https://www.w3.org/2001/XMLSchema">
      <env:Body>
        <wd:Get_Workers_Request xmlns:wd="urn:com.workday/bsvc" wd:version="v21.1">
          <wd:Request_References wd:Skip_Non_Existing_Instances="true">
            <wd:Worker_Reference>
              <wd:ID wd:type="Employee_ID">21008</wd:ID>
            </wd:Worker_Reference>
          </wd:Request_References>
          <wd:Response_Group>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Personal_Information>true</wd:Include_Personal_Information>
            <wd:Include_Employment_Information>true</wd:Include_Employment_Information>
            <wd:Include_Management_Chain_Data>true</wd:Include_Management_Chain_Data>
            <wd:Include_Organizations>true</wd:Include_Organizations>
            <wd:Include_Reference>true</wd:Include_Reference>
            <wd:Include_Transaction_Log_Data>true</wd:Include_Transaction_Log_Data>
            <wd:Include_Photo>true</wd:Include_Photo>
            <wd:Include_User_Account>true</wd:Include_User_Account>
          <wd:Include_Roles>true</wd:Include_Roles>
          </wd:Response_Group>
        </wd:Get_Workers_Request>
      </env:Body>
    </env:Envelope>
    

11. Klicka på skicka begäran (grön pil) för att köra kommandot. Om svaret lyckas bör det visas i fönstret Svar . Kontrollera svaret för att se till att det har data för användar-ID:t som du angav och inte ett fel.

12. Om det lyckas kopierar du XML-koden från fönstret Svar och sparar den som en XML-fil.

13. I kommandofältet i Workday Studio väljer du Öppna fil > ... och öppnar XML-filen som du sparade. Den här åtgärden öppnar filen i Workday Studio XML-redigeraren.

    

14. I filträdet navigerar du genom /env: Envelope > env: Body > wd:Get_Workers_Response > wd:Response_Data > wd: Worker för att hitta användarens data.

15. Under wd: Worker hittar du det attribut som du vill lägga till och väljer det.

16. Kopiera XPath-uttrycket för det valda attributet från fältet Dokumentsökväg .

17. Ta bort prefixet /env:Envelope/env:Body/wd:Get_Workers_Response/wd:Response_Data/ från det kopierade uttrycket.

18. Om det sista objektet i det kopierade uttrycket är en nod (exempel: "/wd: Birth_Date"), lägger du sedan till /text() i slutet av uttrycket. Detta är inte nödvändigt om det sista objektet är ett attribut (exempel: "/@wd: type").

19. Resultatet bör vara ungefär som wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text(). Det här värdet är det du kopierar och anger i administrationscentret för Microsoft Entra.

Så här lägger du till ditt anpassade Workday-användarattribut i etableringskonfigurationen:

1. Starta administrationscentret för Microsoft Entra och gå till avsnittet Etablering i ditt Workday-etableringsprogram enligt beskrivningen tidigare i den här självstudien.

2. Ställ in Etableringsstatus på Av och välj Spara. Det här steget hjälper dig att se till att dina ändringar endast börjar gälla när du är redo.

3. Under Mappningar väljer du Synkronisera workday-arbetare till Lokal Active Directory (eller Synkronisera workday-arbetare till Microsoft Entra-ID).

4. Rulla längst ned på nästa skärm och välj Visa avancerade alternativ.

5. Välj Redigera attributlista för Workday.

6. Rulla längst ned i attributlistan till platsen där indatafälten finns.

7. Som Namn anger du ett visningsnamn för attributet.

8. För Typ väljer du typ som motsvarar attributet (Sträng är vanligast).

9. För API-uttryck anger du det XPath-uttryck som du kopierade från Workday Studio. Exempel: wd:Worker/wd:Worker_Data/wd:Personal_Data/wd:Birth_Date/text()

10. Välj Lägg till attribut.

    

11. Välj Spara ovan och sedan Ja i dialogrutan. Stäng skärmen Attributmappning om den fortfarande är öppen.

12. På huvudfliken Etablering väljer du Synkronisera workday-arbetare till Lokal Active Directory (eller Synkronisera arbetare till Microsoft Entra-ID) igen.

13. Välj Lägg till ny mappning.

14. Det nya attributet bör nu visas i listan Källattribut .

15. Lägg till en mappning för det nya attributet efter behov.

16. Kom ihåg att ange Etableringsstatus till På och spara när du är klar.

Exportera och importera konfigurationen

Se artikeln Exportera och importera etableringskonfiguration

Hantera personliga data

Workday-etableringslösningen för Active Directory kräver att en etableringsagent installeras på en lokal Windows-server, och den här agenten skapar loggar i Windows-händelseloggen som kan innehålla personliga data beroende på dina workday-till AD-attributmappningar. För att uppfylla användarens sekretesskrav kan du se till att inga data bevaras i händelseloggarna längre än 48 timmar genom att konfigurera en schemalagd Windows-uppgift för att rensa händelseloggen.

Microsoft Entra-etableringstjänsten tillhör databehandlingskategorin för GDPR-klassificering. Som en databehandlingspipeline tillhandahåller tjänsten databehandlingstjänster till viktiga partner och slutkonsumenter. Microsoft Entra-etableringstjänsten genererar inte användardata och har ingen oberoende kontroll över vilka personuppgifter som samlas in och hur de används. Datahämtning, aggregering, analys och rapportering i Microsoft Entra-etableringstjänsten baseras på befintliga företagsdata.

Kommentar

Information om hur du visar eller tar bort personuppgifter finns i Microsofts vägledning om begäranden från Windows-datasubjekt för GDPR-webbplatsen . För allmän information om GDPR, se GDPR-avsnittet för Microsoft Trust Center och GDPR-avsnitt av Service Trust Portal.

När det gäller datakvarhållning genererar Microsoft Entra-etableringstjänsten inte rapporter, utför analyser eller ger insikter längre än 30 dagar. Därför lagrar, bearbetar eller behåller inte Microsoft Entra-etableringstjänsten några data längre än 30 dagar. Den här designen är kompatibel med GDPR-reglerna, Microsofts regler för sekretessefterlevnad och Microsoft Entra-datakvarhållningsprinciper.

Nästa steg

• Läs mer om Microsoft Entra-ID och Workday-integreringsscenarier och webbtjänstanrop
• Lär dig att granska loggar och hämta rapporter om etableringsaktivitet
• Lär dig hur du konfigurerar enkel inloggning mellan Workday och Microsoft Entra ID
• Lär dig hur du konfigurerar tillbakaskrivning av Workday
• Lär dig hur du använder Microsoft Graph-API:er för att hantera etableringskonfigurationer