通过生命周期工作流管理从 Active Directory 域服务同步到 Microsoft Entra ID 的用户

生命周期工作流支持管理从 Active Directory 域服务 (AD-DS) 同步到 Microsoft Entra ID 的用户帐户的标识生命周期。 对于生命周期工作流,Microsoft Entra ID 中必须存在用户帐户,但是在处理用户帐户的工作流和关联任务方面,如何创建帐户或如何对帐户进行生命周期相关更改起着次要作用。 此支持涵盖帐户和通过选项进行的更改,例如 HR 驱动的预配、Microsoft Graph API、Microsoft Entra 管理门户,以及由 Microsoft Entra Connect 和 Microsoft Cloud Sync 同步的更改。

下表列出了使用 Microsoft Entra ID 治理从 AD DS 同步用户的常见自动化方案:

要自动化的方案 Microsoft Entra ID 治理解决方案
在 Active Directory 域服务中创建用户帐户 HR 驱动的预配
为用户帐户提供初始凭据或密码 生成临时访问密码并通过电子邮件发送给用户的经理”任务可用于设置无密码凭据。 要设置常规 Active Directory 密码,可以使用 Microsoft Entra 自助式密码重置
分配许可证 将许可证分配给用户生命周期工作流”任务可用于分配许可证。 还可以通过向用户分配许可证。
向用户授予对基于 Active Directory 组的应用程序的访问权限 管理本地 Active Directory (Kerberos) 应用程序访问
移动组织时更新 Active Directory 中的用户属性 规划范围筛选器和属性映射
移动组织时,将用户移动到不同的 OU 配置 Active Directory OU 容器分配
在最后一天禁用用户 禁用用户帐户生命周期工作流”任务可用于在最后一天禁用用户帐户。
在到达终止后的规定天数时删除用户 删除用户生命周期工作流”任务可在工作流模板中使用,以在到达终止后的规定天数时删除用户。

在本文中,你将了解如果想要使用已从 AD DS 同步到 Microsoft Entra ID 的用户帐户的生命周期工作流,需要考虑哪些内容。

用户从 Active Directory 域服务 (AD DS) 同步到 Microsoft Entra ID 的工作流执行条件

当用户帐户满足工作流执行条件时,将处理这些帐户的生命周期工作流。 执行条件由触发器和范围组成。 触发器描述了用户帐户发生的事件。 借助范围,你可以进一步定义在事件发生时为谁运行工作流。

工作流触发器

下表显示了与从 AD DS 同步的用户一起使用时,对于每个工作流触发器应考虑的内容:

工作流触发器 要求
属性更改 只要属性同步,就不需要进一步的配置。 有关同步属性的信息,请参阅:Microsoft Entra Cloud Sync 中的属性映射Microsoft Entra Connect Sync:目录扩展。 在 Active Directory 中进行更改时,需要先通过 Microsoft Entra Cloud Sync 或 Microsoft Entra Connect Sync 进行同步,然后才能从生命周期工作流中选取更改。
基于组成员资格 由于任何类型的组都受到支持,因此无需进一步配置。 如果组源自 Active Directory,必须将其同步到 Microsoft Entra。 需要先进行 Microsoft Entra Cloud Sync 或 Microsoft Entra Connect Sync 同步,然后才能从生命周期工作流中选取更改。
点播 无需进一步配置。
基于时间 employeeHireDateemployeeLeaveDateTime:在使用之前必须同步这些属性。 有关此过程的详细信息,请参阅如何同步生命周期工作流的属性

创建日期时间:无需进一步配置。 此日期是用户帐户同步到 Microsoft Entra ID 的日期,而不是在 Active Directory 中创建这些帐户的日期。

工作流范围设定

对于工作流范围设定功能中使用的用户属性,如果所选属性已同步,则无需进一步配置。 有关同步属性的信息,请参阅:Microsoft Entra Cloud Sync 中的属性映射Microsoft Entra Connect Sync:目录扩展。 在 Active Directory 中进行更改时,需要先通过 Microsoft Entra Cloud Sync 或 Microsoft Entra Connect Sync 进行同步,然后才能从生命周期工作流中获取更改。

用户从 Active Directory 域服务 同步到 Microsoft Entra ID 的工作流任务

除了本文中进一步列出的特定任务的限制外,所有生命周期工作流程任务均适用于云用户和从 Active Directory 同步的开箱即用用户。 有关生命周期工作流任务的详细信息,请参阅:生命周期工作流内置任务

管理组成员资格的任务

场景:当你将用户从 AD DS 同步到 Microsoft Entra ID 时,可以通过生命周期工作流的组任务从基于云的安全组中添加或删除用户。 这允许你管理云中同步用户的组成员身份,还可以使用 Microsoft Entra Cloud Sync 组写回将此组添加回 Active Directory。

对于从 AD DS 同步到 Microsoft Entra ID 的组,你将无法使用方案中提到的生命周期工作流组任务。 但是,Microsoft Entra ID Governance 可用于管理本地 Active Directory (Kerberos) 应用程序访问权限,其中包含来自云的组,这些组在生命周期工作流中受到支持。

用户帐户任务

生命周期工作流任务需要进行其他配置,以启用、禁用和删除与 AD DS 同步的用户账户。 在配置任务以执行 Active Directory 中的操作之前,必须完成以下前提条件。

  • 必须在环境中安装 Microsoft Entra 预配代理。 有关安装 Microsoft Entra 预配代理的先决条件,请参阅:云预配代理要求。 有关安装 Microsoft Entra 预配代理的分步指南那,请参阅:安装 Microsoft Entra 预配代理。 在安装期间,选择“HR 驱动的预配/Microsoft Entra Connect Sync”作为扩展配置。 无需为预配代理添加任何其他配置(例如云同步配置),即使当前还使用 Microsoft Entra Connect Sync 进行用户同步,也可以安装预配代理。

注意

安装的预配代理必须至少为版本 1.1.1586.0,该版本已于 2024 年 5 月 13 日发布。

  • 确保预配代理使用的组托管服务帐户 (gMSA) 具有适当的权限来对用户帐户执行操作。

  • 要删除用户帐户,必须启用 Active Directory 回收站。 有关启用回收站的分步指南,请参阅:Active Directory 回收站分步操作

有关设置标记以便为从 Active Directory 域服务同步的用户运行用户帐户任务的分步指南,请参阅: 使用工作流管理从 Active Directory 域服务 (AD DS) 同步的用户

后续步骤