规划生命周期工作流部署
生命周期工作流通过提高自动化来帮助组织管理 Microsoft Entra 用户。 使用生命周期工作流,可以:
- 使用简化和自动执行任务的其他工作流扩展 HR 驱动的预配过程。
- 集中工作流过程,以便可以轻松地在一个位置创建和管理所有工作流。
- 使用工作流历史记录和审核日志对工作流方案轻松进行故障排除。
- 大规模管理用户生命周期。 随着组织的发展,对管理用户生命周期的其他资源的需求会降低。
- 使用自动化生命周期工作流减少或删除过去完成的手动任务
- 应用逻辑应用,可通过使用现有逻辑应用扩展工作流以应对更复杂的情况
生命周期工作流是一项 Microsoft Entra ID 治理功能。 其他功能包括权利管理、访问评审、Privileged Identity Management (PIM) 和使用条款。 它们共同帮助你解决这些问题:
- 哪些用户应该有权访问哪些资源?
- 这些用户使用该访问权限做些什么?
- 是否存在用于管理访问权限的有效组织控制措施?
- 审核员是否可以验证控制措施是否正常实施?
- 用户是否准备开始或是否及时删除访问权限?
规划生命周期工作流部署至关重要,可确保为组织中的用户实现所需的治理策略。
有关部署计划的详细信息,请参阅 Microsoft Entra 部署计划。
许可要求
使用此功能需要 Microsoft Entra ID 治理或 Microsoft Entra 套件许可证。 如需查找符合要求的许可证,请参阅《Microsoft Entra ID 治理许可基础知识》。
规划生命周期工作流部署项目
请考虑组织的需求,以便确定用于在环境中部署生命周期工作流的策略。
让合适的利益干系人参与
如果技术项目失败,它们通常是由于在影响、结果和责任方面不符合预期而导致的。 为避免这些缺陷,请确保你正在吸引正确的利益干系人,并确保项目角色明确。
对于生命周期工作流,你可能会在你的组织内包含以下团队的代表:
IT 管理,管理 IT 基础结构,还管理云投资和软件即服务 (SaaS) 应用。 此团队:
- 审查基础结构和应用的生命周期工作流,包括 Microsoft 365 和 Microsoft Entra ID。
- 计划和运行用户的生命周期工作流。
- 确保通过 GRAPH 或扩展性治理并查看编程生命周期工作流。
安全所有者负责确保该计划符合组织的安全要求。 此团队:
- 确保生命周期工作流符合组织安全策略
合规性管理员确保组织遵守内部策略和法规。 此团队:
- 请求或安排新的生命周期工作流程评审。
- 评估评审生命周期工作流的过程和程序,其中包括为合规性保留的文档和记录。
- 查看大多数关键资源过去的评审结果。
HR 代表 - 在 HR 预配方案中协助属性映射和填充。 此团队:
- 帮助确定将用于填充 employeeHireDate 和 employeeLeaveDateTime 的属性。
- 确保源属性已填充并具有值
- 标识并建议可映射到 employeeHireDate 和 employeeLeaveDateTime 的备用属性
开发团队:为组织构建和维护应用程序。 此团队:
- 使用 GRAPH 开发自定义工作流
- 通过扩展性将生命周期工作流与逻辑应用集成。
规划沟通
沟通对于任何新业务流程的成功至关重要。 主动与用户沟通他们的体验将如何以及何时发生变化。 告诉他们在遇到问题时如何获得支持。
交流责任变化情况
生命周期工作流支持将手动流程的责任转移到业务所有者。 建立明确的流程,了解每个团队的职责。 将这些流程与 IT 部门分离可提高准确性和自动化程度。 这种转变是资源所有者问责制和责任的文化变化。 主动告知此变化,确保资源所有者经过培训并能够根据见解做出合理的决策。
生命周期工作流简介
本部分介绍在规划部署之前应该了解的生命周期工作流概念。
部署生命周期工作流的先决条件
以下信息是有关组织以及部署生命周期工作流之前需要实施的技术的重要信息。 在尝试部署生命周期工作流之前,请确保可以对每个项目做出肯定回答。
| 项 | 说明 | 文档 |
|---|---|---|
| 入站预配 | 有一个过程是为 Microsoft Entra 中的员工创建用户帐户,例如从 Workday、SuccessFactors 或 MIM 转入 HR 数据。 或者,有一个过程是在 Active Directory 中创建用户帐户,并将这些帐户预配到 Microsoft Entra ID。 |
Workday 到 Active Directory Workday 至 Microsoft Entra ID SuccessFactors 到 Active Directory SuccessFactors 到 Microsoft Entra ID Microsoft Entra Connect Microsoft Entra Connect 云同步 API 驱动的入站预配(公共预览版) |
| 属性同步 | Microsoft Entra ID 中的帐户已填充 employeeHireDate 和 employeeLeaveDateTime 属性。 从 HR 系统创建帐户或使用 Microsoft Entra Connect 或云同步从 AD 同步帐户时,可能会填充这些值。可以使用额外的属性确定范围,例如填充的部门或填充数据的能力。 | 如何同步生命周期工作流特性 |
了解工作流的各个部分
在开始规划生命周期工作流部署之前,应熟悉工作流的各个部分以及生命周期工作流相关术语。
了解生命周期工作流文档使用门户来解释工作流的各个部分。 开发人员 API 参考生命周期工作流文档使用 Graph 示例来解释工作流的各个部分。
在部署工作流之前,可以使用本文档熟悉工作流的各个部分。
限制和约束
下表提供了创建和部署生命周期工作流时需要注意的信息。
| 项 | 说明 |
|---|---|
| 工作流 | 每个租户的工作流上限为 50 个 |
| 自定义任务数 | 每个工作流的任务数上限为 25 个 |
| offsetInDays 值的范围 | 在 -180 和 180 天之间 |
| 工作流执行计划 | 默认每次执行 3 小时 - 可设置为从 1 到 24 小时内,可在任何位置运行 |
| 自定义任务扩展 | 限制为 100 个 |
| 按需用户限制 | 最多可以针对 10 个用户运行按需工作流 |
| 扩展性回调超时限制 | 最少 3 分钟 - 最多 5 小时 |
以下是应注意的其他信息。
- 不能为实时 Leaver 和 Mover 方案启用该计划。 这是设计的结果。
生命周期工作流创建清单
下表提供了可用于设计和规划工作流的步骤的快速清单。
| 步骤 | 说明 |
|---|---|
| 确定方案 | 确定使用工作流解决的方案 |
| 确定执行条件 | 确定运行工作流的人员和时间 |
| 查看任务 | 查看其他任务并将其添加到工作流 |
| 创建工作流 | 规划和设计工作流后开始创建。 |
| 规划试点 | 计划试点、运行和测试工作流。 |
确定方案
在门户中生成生命周期工作流之前,应确定要使用的方案或者要部署的方案。 可以使用下表查看当前可用方案的列表。 这些方案基于门户中可用的模板,并列出与每个模板关联的任务。
| 场景 | 预定义任务 |
|---|---|
| 加入预聘员工 | 生成 TAP 并发送电子邮件 |
| 载入新入职员工 | 启用用户帐户 向组发送欢迎邮件 将用户添加到组中 |
| 实时员工终止 | 从所有组中删除用户 从所有团队中删除用户 删除用户账户 |
| 员工的预离职 | 从所选组中删除用户 从所选团队中删除用户 |
| 登出员工 | 禁用用户帐户 从所有组中删除用户 从所有团队中删除用户 |
| 员工离职后 | 删除用户的所有许可证 从所有团队中删除用户 删除用户帐户 |
| 实时员工变更 | 运行自定义任务扩展 |
| 员工组成员资格更改 | 删除用户的访问包分配 从所选团队中删除用户 发送电子邮件以通知管理员用户换岗 |
| 员工职位资料更改 | 发送电子邮件以通知管理员用户换岗 从所选组中删除用户 从所选团队中删除用户 请求用户访问包分配 |
有关内置模板的详细信息,请参阅生命周期工作流模板。
确定执行条件
确定方案后,需要查看组织中应用该方案的用户。
执行条件是工作流的一部分,用于定义将执行工作流的人员范围和定义确定执行时间的触发器。
范围确定工作流的运行对象。 这一范围由根据条件筛选用户的规则进行定义。 例如,规则表示,"rule": "(department eq 'sales')" 仅对属于销售部门成员的用户运行任务。
触发器确定工作流何时运行。 可以是按需即时运行,或者按计划运行。 门户中的大部分预定义模板都是在满足触发器时按计划运行。
属性信息
工作流的范围使用规则部分下的属性。 可以添加以下额外条件,以进一步优化应用任务的人员。
- 且
- 且不
- 或
- 或不
还可以从众多用户属性中进行选择。
但是,在选择要在执行条件中使用的属性之前,需要确保属性已填充数据,或者可以开始使用所需数据填充该属性。
并非所有属性默认填充,因此在使用 HR 入站云仅预配、Microsoft Entra Connect 或云同步时,应向 HR 管理员或 IT 管理员进行验证。
时间信息
以下是你在设计工作流时应注意的有关时区的一些重要信息。
- Workday 和 SAP SF 始终以协调世界时或 UTC 发送时间。
- 如果你位于单个时区,建议将时间部分硬编码为适合你的时间部分。 例如,早上 5 点适合新入职方案,晚上 10 点适合最后一天工作方案。
- 如果使用临时访问密码 (TAP),建议将最长生存期设置为 24 小时。 此操作将有助于确保在将 TAP 发送给可能处于不同时区的员工后其不会过期。 有关详细信息,请参阅在 Microsoft Entra ID 中配置临时访问密码,以注册无密码身份验证方法。
有关详细信息,请参阅如何同步生命周期工作流的属性。
查看任务
现在我们已经确定了方案、人员和时间,你应该考虑预定义的任务是否足够或是否需要额外任务。 下表包含当前门户中的预定义任务列表。 使用此表来确定是否要添加更多任务。
| 任务 | 说明 | 相关方案 |
|---|---|---|
| 将用户添加到组 | 将用户添加到所选组 | Joiner - Leaver - Mover |
| 将用户添加到所选团队 | 将用户添加到团队 | Joiner - Leaver - Mover |
| 向用户分配许可证 | 将许可证分配给用户 | 入职者 - 换岗者 |
| 删除用户帐户 | 删除 Microsoft Entra ID 中的用户帐户 | 离职者 |
| 禁用用户帐户 | 禁用目录中的用户帐户 | 加入者 - 离职者 |
| 启用用户帐户 | 启用目录中的用户帐户 | 加入者 - 离职者 |
| 生成 TAP 并发送电子邮件 | 生成临时访问密码,通过电子邮件发送给用户的管理员 | 入职者 |
| 移除用户的所有许可证 | 删除分配给用户的所有许可证 | 离职者 |
| 从所有组中删除用户 | 从所有 Microsoft Entra 组成员身份中删除用户 | 离职者 |
| 从所有团队中移除用户 | 从所有团队成员身份中删除用户 | 离职者 |
| 从所选组中移除用户 | 从所选 Microsoft Entra 组的成员身份中删除用户 | Joiner - Leaver - Mover |
| 从所选团队中移除用户 | 从所选团队的成员身份中删除用户 | Joiner - Leaver - Mover |
| 运行自定义任务扩展 | 运行自定义任务扩展以调用外部系统 | Joiner - Leaver - Mover |
| 在用户的最后一天之后发送电子邮件 | 在工作的最后一天之后向用户的经理发送离职电子邮件 | 离职者 |
| 在用户的最后一天之前发送电子邮件 | 在工作的最后一天之前向用户的经理发送离职电子邮件 | 离职者 |
| 在用户的最后一天发送电子邮件 | 在工作的最后一天向用户的经理发送离职电子邮件 | 离职者 |
| 发送欢迎电子邮件 | 向新员工发送欢迎电子邮件 | 入职者 |
| 发送入职提醒电子邮件 | 向用户的经理发送入职提醒电子邮件 | 入职者 |
| 请求用户访问包分配 | 请求将用户分配到所选访问包 | 入职者 - 换岗者 |
| 移除用户的访问包分配 | 从所选访问包中移除用户分配 | 离职者 - 换岗者 |
| 移除用户的所有访问包分配 | 移除分配给用户的所有访问包 | 离职者 |
| 删除用户的所选许可证分配 | 删除用户选择的许可证分配 | 离职者 - 换岗者 |
| 取消用户的所有挂起的访问包分配请求 | 取消用户的所有挂起的访问包分配请求 | 离职者 |
有关任务的详细信息,请参阅生命周期工作流任务。
组和团队任务
如果使用组或团队任务,工作流需要你指定一个或多个组。 在下面的屏幕截图中,你会看到任务上的黄色三角形,指示缺少信息。
通过选择任务,你会看到一个导航栏,可用于添加或删除组。 选择“选择的 x 组”链接以添加组。
自定义任务扩展
使用生命周期工作流,能够创建可基于加入者、调动者或离职者场景触发的工作流。 虽然生命周期工作流提供了多个内置任务,用于自动实现用户整个生命周期内的常见场景,但最终可能会达到这些内置任务的上限。 借助扩展性功能,你能够利用自定义任务扩展的概念,将外部系统作为生命周期工作流的一部分进行调用。
自定义任务扩展与生命周期工作流进行交互的方案可以是以下三种方式之一:
- 触发和忘记方案 - 逻辑应用已启动,会立即继续执行后续任务,Azure 逻辑应用没有预期响应。
- 后续任务执行等待逻辑应用的响应 - 逻辑应用已启动,后续任务执行等待逻辑应用的响应。
- 后续任务执行等待第三方系统的响应 - 逻辑应用已启动,后续任务执行等待第三方系统的响应,该第三方系统触发逻辑应用以告知自定义任务扩展其是否成功运行。
- 有关自定义扩展的详细信息,请参阅生命周期工作流扩展性
创建工作流
完成工作流设计和规划后,即可在门户中创建工作流。 有关创建工作流的详细信息,请参阅创建生命周期工作流。
规划试点
我们鼓励客户最初使用少量用户或单个测试用户来对生命周期工作流进行试点。 试验可帮助你根据需要调整流程和通信。 它可帮助你提高用户和评审者的能力,满足安全和合规性要求。
在试点中,我们建议:
- 从生命周期工作流开始,将结果应用于一小部分用户。
- 监视审核日志,确保所有事件都经过适当的审核。
有关详细信息,请参阅试点的最佳做法。
测试和运行工作流
创建工作流后,应通过按需运行工作流来测试该工作流。
使用按需功能时,你可以测试和评估生命周期工作流是否按预期工作。
完成测试后,可以重新规划生命周期工作流,也可以准备好进行更广泛的发布。
审核日志
还可以从审核日志获取详细信息。 可以在门户中的 Microsoft Entra ID/monitoring 下访问这些日志。 有关详细信息,请参阅 Microsoft Entra ID 中的审核日志和生命周期工作流历史记录。
生命周期工作流计划示例
| 阶段 | 说明 |
|---|---|
| 确定方案 | 向新管理员发送电子邮件的预聘工作流。 |
| 确定执行条件 | 工作流会在 employeeHireDate 的前两 (2) 天,针对销售部门的新员工运行。 |
| 查看任务。 | 我们在工作流中使用预定义的任务。 没有添加额外的活动。 |
| 在门户中创建工作流 | 在门户中为新员工使用预定义模板。 |
| 启用并测试工作流 | 使用按需功能测试一个用户的工作流。 |
| 查看测试结果 | 查看测试结果并确保生命周期工作流按预期工作。 |
| 向更广泛的受众推出工作流 | 与利益干系人沟通,让他们了解当前情况,HR 不再需要向招聘经理发送电子邮件。 |
后续步骤
了解以下相关技术: