使用生命週期工作流程,管理從 Active Directory 網域服務同步到 Microsoft Entra 身分識別的使用者
生命週期工作流程支援控管從 Active Directory 網域服務 (AD DS) 同步至 Microsoft Entra 標識符的用戶帳戶的身分識別生命週期。 針對生命週期工作流程,使用者帳戶必須存在於 Microsoft Entra ID 中,但帳戶的建立方式,或帳戶的生命週期相關變更如何對帳戶執行,在處理用戶帳戶的工作流程和相關聯的工作方面扮演次要角色。 此支援涵蓋帳戶和變更,透過選項如
下表列出使用 Microsoft Entra ID 控管 從 AD DS 同步處理使用者的常見自動化案例:
| 自動化情境 | Microsoft Entra ID 控管解決方案 |
|---|---|
| 在 Active Directory 網域服務 中建立用戶帳戶 | HR 驅動布建 |
| 提供用戶帳戶的初始認證或密碼 | 生成的暫時存取通行證,並透過電子郵件傳送給使用者的經理工作,可以用於設置無密碼憑證。 若要設定一般 Active Directory 密碼,您可以使用 Microsoft Entra 自助式密碼重設。 |
| 指派授權 | 將 授權指派給使用者 生命週期工作流程工作可用來指派授權。 您也可以透過 群組將授權指派給使用者。 |
| 讓使用者存取 Active Directory 群組型應用程式 | 控管 內部部署的 Active Directory (Kerberos) 應用程式存取 |
| 使用者在轉換組織時,更新 Active Directory 中的屬性 | 規劃範圍篩選和屬性對應 |
| 將使用者轉移至不同的 OU 以配合他們組織的變動 | 設定 Active Directory OU 容器指派 |
| 在最後一天停用使用者 | [ 停用使用者帳戶 生命週期工作流程] 工作可用來在其最後一天停用用戶帳戶。 |
| 在終止後的特定天數內刪除使用者 | 刪除使用者 生命週期工作流程任務可在工作流程範本中使用,以便在用戶終止後的若干天後刪除使用者。 |
在本文中,您會瞭解如果您想要針對從 AD DS 同步處理至 Microsoft Entra ID 的用戶帳戶使用生命週期工作流程,必須考慮哪些事項。
工作流程執行條件與從 Active Directory 網域服務同步到 Microsoft Entra ID 的使用者
當用戶帳戶符合工作流程的執行條件時,會針對使用者帳戶處理生命週期工作流程。 執行條件包含觸發程序和範圍。 觸發程序描述使用者帳戶所發生的事件。 範圍可讓您進一步定義事件發生時工作流程執行的對象。
工作流程觸發器
下表顯示在與從 AD DS 同步的使用者搭配使用時,每個工作流程觸發器應考慮的事項:
| 工作流程觸發器 | 需求 |
|---|---|
| 屬性變更 | 只要屬性同步,就不需要額外設定。 如需同步處理屬性的詳細資訊,請參閱:Microsoft Entra Cloud Sync 中的屬性對應和 Microsoft Entra Connect Sync :目錄延伸模組。 在 Active Directory 中進行變更時,必須先透過 Microsoft Entra Cloud Sync 或 Microsoft Entra Connect Sync 進行同步處理,才能讓生命週期工作流程接收到變更。 |
| 以群組成員資格為基礎 | 支援任何類型的群組時,不需要進一步的設定。 如果群組源自 Active Directory,則必須同步處理至 Microsoft Entra。 必須先進行 Microsoft Entra Cloud Sync 或 Microsoft Entra Connect Sync 同步處理,才能從生命週期工作流程中挑選變更。 |
| 依需求 | 不需要進一步的設定。 |
| 以時間為基礎 |
employeeHireDate、employeeLeaveDateTime:使用這些屬性之前,必須先同步處理這些屬性。 如需關於此程序的詳細資訊,請參閱如何同步處理生命週期工作流程的屬性。 createdDateTime:不需要進一步的設定。 此日期是使用者帳戶同步至 Microsoft Entra ID 的日期,而不是在 Active Directory 內建立的時間。 |
工作流程範圍
對於工作流程範圍功能內使用的使用者屬性,如果選取的屬性已進行同步處理,就不需要進一步設定。 如需關於同步處理屬性的詳細資訊,請參閱:Microsoft Entra Cloud Sync 中的屬性對應和 Microsoft Entra Connect Sync :目錄延伸模組。 在 Active Directory 中進行變更時,必須先透過 Microsoft Entra Cloud Sync 或 Microsoft Entra Connect Sync 進行同步處理,才能從生命週期工作流程中獲取變更。
從 Active Directory 網域服務同步至 Microsoft Entra ID 的用戶工作流程任務
所有生命週期工作流程任務都可以在不需調整的情況下適用於雲端用戶及從 Active Directory 同步的用戶,除非本文稍後的特定任務中另有列出的限制。 如需關於所有生命週期工作流程工作的詳細資訊,請參閱生命週期工作流程內建工作。
管理群組成員資格的任務
案例: 當您將使用者從 AD DS 同步至Microsoft Entra 標識符時,您可以透過生命週期工作流程的群組工作,從雲端式安全組新增或移除使用者。 這可讓您控管雲端中已同步使用者的群組成員資格,並使用 Microsoft Entra Cloud Sync 群組回寫功能,將此群組新增回 Active Directory。
對於從 AD DS 同步至 Microsoft Entra ID 的群組,您將無法使用情境中所述的生命週期工作流程群組任務。 不過,Microsoft Entra ID 治理可用來使用雲端中的群組來治理內部部署 Active Directory (Kerberos) 應用程式存取,這些群組在生命週期工作流程中受到支援。
用戶帳戶任務
生命週期工作流程中的任務需要額外的設定,以啟用、停用和刪除用戶帳戶,使其能夠處理從 AD DS 同步過來的帳戶。 您必須先完成下列必要條件,才能設定工作以在 Active Directory 中執行動作。
- 您必須在環境中安裝 Microsoft Entra 佈建代理程式。 如需安裝 Microsoft Entra 佈建代理程式的必要條件,請參閱:雲端佈建代理程式需求。 如需安裝 Microsoft Entra 佈建代理程式的逐步指南,請參閱:安裝 Microsoft Entra 佈建代理程式。 在安裝期間,選擇「HR 驅動佈建 / Microsoft Entra Connect Sync」做為「延伸項目設定」。 您不必為佈建代理程式新增任何其他設定,例如雲端同步設定,即使您目前針對使用者同步處理也是使用 Microsoft Entra Connect Sync,仍可安裝佈建代理程式。
注意
安裝佈建代理程式至少必須是 2024 年 5 月 13 日發行的 1.1.1586.0 版。
請確定佈建代理程式所使用的群組受管理服務帳戶 (gMSA) 具有適當的權限,可對使用者帳戶執行作業。
若要刪除使用者帳戶,您必須啟用 Active Directory 資源回收筒。 如需啟用資源回收筒的逐步指南,請參閱:Active Directory 資源回收筒逐步指南。
如需逐步設定標誌,以便用戶帳戶的任務可以針對從 Active Directory 網域服務同步過來的使用者執行,請參閱:使用工作流程管理從 Active Directory 網域服務同步處理 (AD DS)。