通过

为生命周期工作流准备用户帐户教程

  • 项目

对于入职和离职教程,需有为其执行工作流的帐户。 此部分有助于准备这些帐户,如果已经有满足以下要求的测试帐户,可以直接进入入职和离职教程。 入职教程需要两个帐户,一个帐户用于新员工,另一个帐户充当新员工的经理。 新员工帐户必须设置以下特性:

  • employeeHireDate 必须设置为今天
  • 部门必须设置为销售部门
  • 必须设置经理特性,并且经理帐户应有一个邮箱来接收电子邮件

离职教程只需要一个帐户,该帐户具有组和团队成员身份,但教程期间会删除该帐户。

先决条件

使用此功能需要 Microsoft Entra ID 治理或 Microsoft Entra 套件许可证。 如需查找符合要求的许可证,请参阅《Microsoft Entra ID 治理许可基础知识》。

  • 一个 Microsoft Entra 租户
  • 具有 Microsoft Entra 租户适当权限的管理员帐户。 此帐户用于创建用户和工作流。

开始之前

在大多数情况下,会从本地解决方案(例如,Microsoft Entra Connect 或云同步)或使用 HR 解决方案将用户预配到 Microsoft Entra ID。 这些用户的特性和值会在创建时进行填充。 设置基础结构以预配用户不在本教程的介绍范围之内。 有关信息,请参阅教程:基本 Active Directory 环境教程:将单个林与单个 Microsoft Entra 租户集成

在 Microsoft Entra ID 中创建用户

提示

本文中的步骤可能因开始使用的门户而略有不同。

我们使用 Graph 浏览器快速创建在教程中执行生命周期工作流所需的两个用户。 一个用户代表新员工,另一个用户代表新员工的经理。

需要编辑 POST,并将 <此处的租户名称> 部分替换为租户名称。 例如:将 $UPN_manager = "bsimon@<此处你的租户名称>" 替换为 $UPN_manager = "bsimon@contoso.onmicrosoft.com"。

注意

请注意,如果员工雇用日期(自事件起的天数)早于工作流创建日期,则工作流不会触发。 必须根据设计在未来设置 employeeHiredate。 本教程中使用的日期是时间快照。 因此,应根据情况对日期进行相应地更改。

首先,创建员工 Melva Prince。

  1. 现在导航到 Graph 浏览器
  2. 使用租户的用户管理员帐户登录 Graph 浏览器。
  3. 在顶部,将“GET”更改为“POST”,并将 https://graph.microsoft.com/v1.0/users/ 添加到框中。
  4. 将以下代码复制到“请求正文”中
  5. 请将以下代码中的 <your tenant here> 替换为你的 Microsoft Entra 租户值。
  6. 选择“运行查询”
  7. 复制结果中返回的 ID。 此内容稍后会用于分配经理。
{
  "accountEnabled": true,
  "displayName": "Melva Prince",
  "mailNickname": "mprince",
  "department": "sales",
  "mail": "mprince@<your tenant name here>",
  "employeeHireDate": "2022-04-15T22:10:00Z",
  "userPrincipalName": "mprince@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "<Generated Password>"
  }
}

在 Graph 浏览器的 POST 中创建 Melva 的屏幕截图。

接下来,创建 Britta Simon。 此帐户用作我们的经理。

  1. 仍在 Graph 浏览器中。
  2. 请确保顶部仍设置为“POST”,并且 https://graph.microsoft.com/v1.0/users/ 位于框中。
  3. 将以下代码复制到“请求正文”中
  4. 请将以下代码中的 <your tenant here> 替换为你的 Microsoft Entra 租户值。
  5. 选择“运行查询”
  6. 复制结果中返回的 ID。 此 ID 稍后会用于分配经理。 
    {
  "accountEnabled": true,
  "displayName": "Britta Simon",
  "mailNickname": "bsimon",
  "department": "sales",
  "mail": "bsimon@<your tenant name here>",
  "employeeHireDate": "2021-01-15T22:10:00Z",
  "userPrincipalName": "bsimon@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "<Generated Password>"
  }
}

注意

需要更改代码的 <your tenant name here> 部分,以匹配你的 Microsoft Entra 租户。

或者,也可以使用以下 PowerShell 脚本快速创建执行生命周期工作流所需的两个用户。 一个用户代表新员工,另一个用户代表新员工的经理。

重要

下面提供的 PowerShell 脚本可以快速创建本教程所需的两个用户。 还可以在 Microsoft Entra 管理中心创建这些用户。

要创建此步骤,请将以下 PowerShell 脚本保存到有权访问 Azure 的计算机上的某个位置。

接下来,需要编辑此脚本,并将 <此处你的租户名称> 部分替换为你的租户的名称。 例如:将 $UPN_manager = "bsimon@<此处你的租户名称>" 替换为 $UPN_manager = "bsimon@contoso.onmicrosoft.com"。

务必对 $UPN_employee 和 $UPN_manager 执行此操作

编辑脚本后,保存并按照以下步骤操作:

  1. 使用管理特权从有权访问 Microsoft Entra 管理中心的计算机打开 Windows PowerShell 命令提示符。
  2. 导航到保存了 PowerShell 脚本的位置并运行该脚本。
  3. 安装 PowerShell 模块时,如果系统提示,请选择“全部为是”
  4. 出现提示时,请以租户的全局管理员身份登录到 Microsoft Entra 管理中心。
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables

$Displayname_employee = "Melva Prince"
$UPN_employee = "mprince<your tenant name here>"
$Name_employee = "mprince"
$Password_employee = "Pass1w0rd"
$EmployeeHireDate_employee = "04/10/2022"
$Department_employee = "Sales"
$Displayname_manager = "Britta Simon"
$Name_manager = "bsimon"
$Password_manager = "Pass1w0rd"
$Department = "Sales"
$UPN_manager = "bsimon@<your tenant name here>"

Install-Module -Name AzureAD
Connect-MgGraph -Confirm

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "<Password>"
New-MgUser -DisplayName $Displayname_manager  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_manager -AccountEnabled $true -MailNickName $Name_manager -Department $Department
New-MgUser -DisplayName $Displayname_employee  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_employee -AccountEnabled $true -MailNickName $Name_employee -Department $Department

在 Microsoft Entra ID 中成功创建一个或多个用户后,可以继续按照生命周期工作流教程创建工作流。

预聘方案的其他步骤

测试《使用 Microsoft Entra 管理中心的生命周期工作流将用户加入组织》教程或《使用 Microsoft Graph 的生命周期工作流将用户加入组织》教程时,应了解一些其他步骤。

使用 Microsoft Entra 管理中心编辑用户属性

Microsoft Entra 管理中心公开了预聘入职教程需要的一些特性,这些特性可在门户中进行设置。

这些属性包括:

Attribute 说明 设置对象
mail 用于向经理告知新员工的临时访问密码 Manager
manager 生命周期工作流使用的特性 Employee

在本教程中,只需在经理帐户上设置“邮件”特性,在员工帐户上设置“经理”特性。 请使用以下步骤:

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>>“用户”>“所有用户”。
  3. 选择“Melva Prince”。
  4. 在顶部,选择“编辑”。
  5. 在经理下,选择“更改”,然后选择“Britta Simon”。
  6. 在顶部,选择“保存”。
  7. 返回到用户并选择“Britta Simon”。
  8. 在顶部,选择“编辑”。
  9. 在“电子邮件”下输入有效的电子邮件地址。
  10. 选择“保存”。

编辑 employeeHireDate

employeeHireDate 属性是 Microsoft Entra ID 的新属性。 它不通过 UI 公开,必须使用 Graph 进行更新。 若要编辑此特性,可以使用 Graph 浏览器

注意

请注意,如果员工雇用日期(自事件起的天数)早于工作流创建日期,则工作流不会触发。 必须根据设计在未来设置 employeeHireDate。 本教程中使用的日期是时间快照。 因此,应根据情况对日期进行相应地更改。

为此,必须获取用户 Melva Prince 的对象 ID。

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>>“用户”>“所有用户”。

  3. 选择“Melva Prince”。

  4. 选择“对象 ID”旁边的复制符号。

  5. 现在导航到 Graph 浏览器

  6. 使用租户的全局管理员帐户登录 Graph 浏览器。

  7. 在顶部,将“GET”更改为“PATCH”,并将 https://graph.microsoft.com/v1.0/users/<id> 添加到框中。 将 <id> 替换为之前复制的值。

  8. 将以下内容复制到“请求正文”,然后选择“运行查询”

    {
"employeeHireDate": "2022-04-15T22:10:00Z"
}

    PATCH employeeHireDate 的屏幕截图。

  9. 通过将“PATCH”更改回“GET”并将“v1.0”更改为“beta”来验证更改。 选择“运行查询”。 此时应会看到为 Melva 设置的特性。
    GET employeeHireDate 的屏幕截图。

编辑员工帐户上的经理特性

经理特性用于电子邮件通知任务。 它会向经理发送电子邮件,为新员工发送临时密码。 使用以下步骤确保 Microsoft Entra 用户具有 manager 属性值。

  1. 仍在 Graph 浏览器中。

  2. 请确保顶部仍设置为“PUT”,并且 https://graph.microsoft.com/v1.0/users/<id>/manager/$ref 位于框中。 将 <id> 更改为 Melva Prince 的 ID。

  3. 将以下代码复制到“请求正文”中

  4. 将以下代码中的 <managerid> 替换为 Britta Simons ID 的值。

  5. 选择“运行查询”

    {
  "@odata.id": "https://graph.microsoft.com/v1.0/users/<managerid>"
}

    在 Graph 浏览器中添加经理的屏幕截图。

  6. 现在,可以通过将“PUT”更改为“GET”来验证是否正确设置了经理。

  7. 确保 https://graph.microsoft.com/v1.0/users/<id>/manager/ 位于框中。 <id> 仍为 Melva Prince 的 ID。

  8. 选择“运行查询”。 此时应会看到“响应”中返回 Britta Simon。

    在 Graph 浏览器中获取经理的屏幕截图。

有关在图形 API 中更新某个用户的经理信息的详细信息,请参阅分配经理文档。 此外,也可以在 Azure 管理中心设置此特性。 有关详细信息,请参阅添加或更改配置文件信息

启用临时访问密码 (TAP)

临时访问密码是由管理员颁发的满足强身份验证要求的有时限的密码。

在此场景中,我们使用此 Microsoft Entra ID 功能为新员工生成临时访问密码。 系统会通过电子邮件将它发送给员工经理。

必须在 Microsoft Entra 租户上启用此功能才能使用它。 若要启用此功能,请使用以下步骤。

  1. 至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心
  2. 浏览到“保护”>“身份验证方法”>“临时访问密码”
  3. 选择“是”以启用策略,然后添加 Britta Simon 并选择要对其应用策略的用户以及任何“常规”设置。

有关离职者方案的注意事项

测试《结合使用生命周期工作流和 Microsoft Entra 管理中心或 Microsoft Graph 以将用户从组织中注销》教程时,应了解一些其他步骤。

使用组和团队设置具有团队成员身份的用户

在开始离职者方案的教程之前,需要具有组和团队成员身份的用户。

后续步骤