共用方式為

準備用於生命週期工作流程教學課程的使用者帳戶

  • 發行項

針對入職和離職的教學課程,您需要具備執行相關工作流程的帳戶。 本節可協助您準備這些帳戶,如果您已經有符合下列需求的測試帳戶,您可以直接前往入職和離職教學課程。 入職教學課程需要兩個帳戶,一個是新進員工帳戶,另一個是新進員工管理員帳戶。 新進員工帳戶必須設定下列屬性:

  • employeeHireDate 必須設為今天
  • 部門必須設為銷售
  • 請務必設定管理員屬性,且管理員帳戶應有信箱接收電子郵件

離職教學課程只需要一個包含群組和 Teams 成員資格的帳戶,而此帳戶會在教學課程期間刪除。

必要條件

使用此功能需要 Microsoft Entra ID 控管或 Microsoft Entra 套件授權。 若要找到適合您需求的授權,請參閱 Microsoft Entra ID 控管授權基礎知識

  • Microsoft Entra 租戶
  • 具有 Microsoft Entra 租用戶適當許可權的系統管理員帳戶。 此帳戶會用來建立使用者和工作流程。

開始之前

在大多數情況下,使用者會透過內部部署解決方案(如 Microsoft Entra Connect 或雲端同步)或人力資源解決方案被配置到 Microsoft Entra ID。 這些使用者會在建立時填入屬性和值。 設定基礎結構並佈建使用者不是本教學課程的範圍。 如需詳細資訊,請參閱教學課程:基本的 Active Directory 環境教學課程:整合單一樹系與單一 Microsoft Entra 租戶

在 Microsoft Entra ID 中建立使用者

我們會使用 Graph Explorer,快速創建在教程中執行生命週期的工作流程所需的兩位使用者。 一位使用者代表新員工,另一位使用者代表新員工的經理。

您必須編輯 POST,並以您的租用戶名稱取代<您的租用戶名稱>部分。 例如:$UPN_manager = "bsimon@<您的租用戶名稱在此>" to $UPN_manager = "bsimon@contoso.onmicrosoft.com"。

注意

請注意,員工僱用日期 (事件開始後的天數) 早於工作流程建立日期時,工作流程不會觸發。 您必須根據設計將 employeeHiredate 設定為未來的日期。 本教程中使用的日期僅代表某個時間點的示例。 所以建議您因應情況變更日期。

首先,我們會先創建員工「Melva Prince」。

  1. 接著瀏覽至 Graph 瀏覽器
  2. 使用租用戶的使用者管理員帳戶,登入 Graph Explorer。
  3. 在頂端,將 GET 變更為 POST,並新增 https://graph.microsoft.com/v1.0/users/ 至方塊。
  4. 將下列程式碼複製到「請求正文」
  5. 將下列程式碼中的 <your tenant here> 改為 Microsoft Entra 租戶的值。
  6. 選擇「執行查詢」
  7. 複製結果中傳回的識別碼。 之後,這會用來指派經理。
{
  "accountEnabled": true,
  "displayName": "Melva Prince",
  "mailNickname": "mprince",
  "department": "sales",
  "mail": "mprince@<your tenant name here>",
  "employeeHireDate": "2022-04-15T22:10:00Z",
  "userPrincipalName": "mprince@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "<Generated Password>"
  }
}

在圖形瀏覽器中 POST 建立 Melva 的螢幕擷取畫面。

接著,我們要建立 Britta Simon。 此帳戶用於管理工作。

  1. 一樣在 Graph 瀏覽器中。
  2. 請確定頂端仍設為 POST,而 https://graph.microsoft.com/v1.0/users/ 在方塊中。
  3. 將下列程式碼複製到「請求正文」
  4. 將下列程式碼中的 <your tenant here> 改為 Microsoft Entra 租戶的值。
  5. 選擇「執行查詢」
  6. 複製結果中傳回的識別碼。 此 ID 之後會用於指派經理。 
    {
  "accountEnabled": true,
  "displayName": "Britta Simon",
  "mailNickname": "bsimon",
  "department": "sales",
  "mail": "bsimon@<your tenant name here>",
  "employeeHireDate": "2021-01-15T22:10:00Z",
  "userPrincipalName": "bsimon@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "<Generated Password>"
  }
}

注意

為符合您的 Microsoft Entra 租用戶,您必須變更程式碼中的<您的租用戶名稱這裡>區段。

或者,下列 PowerShell 指令碼也可以用來快速建立執行生命週期工作流程所需的兩位使用者。 一位使用者代表新員工,另一位使用者代表新員工的經理。

重要

下列 PowerShell 指令碼供您快速建立本教學課程所需的兩個使用者。 您也可以在 Microsoft Entra 系統管理中心建立這些使用者。

若要建立此步驟,請將下列 PowerShell 指令碼儲存至可存取 Azure 的電腦位置。

接著,您需要編輯程式碼,並將<您的租戶名稱>部分替換為您的租戶名稱。 例如:$UPN_manager = "bsimon@<您的租用戶名稱在此>" to $UPN_manager = "bsimon@contoso.onmicrosoft.com"。

請務必針對 $UPN_employee 和 $UPN_manager 執行此動作

編輯指令碼後,請儲存指令碼並遵循下列步驟:

  1. 使用系統管理權限,從可存取至 Microsoft Entra 系統管理中心的機器,開啟 Windows PowerShell 命令提示字元。
  2. 瀏覽至已儲存的 PowerShell 指令碼位置並執行指令碼。
  3. 安裝 PowerShell 模組時,如果出現提示,請選取 [全部皆是]
  4. 出現提示時,請使用您租用戶的全域管理員登入 Microsoft Entra 系統管理中心。
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables

$Displayname_employee = "Melva Prince"
$UPN_employee = "mprince<your tenant name here>"
$Name_employee = "mprince"
$Password_employee = "Pass1w0rd"
$EmployeeHireDate_employee = "04/10/2022"
$Department_employee = "Sales"
$Displayname_manager = "Britta Simon"
$Name_manager = "bsimon"
$Password_manager = "Pass1w0rd"
$Department = "Sales"
$UPN_manager = "bsimon@<your tenant name here>"

Install-Module -Name Microsoft.Graph
Connect-MgGraph -Confirm

$PasswordProfile = @{
  Password = "$Password_manager"
  }

New-MgUser -DisplayName $Displayname_manager -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_manager -AccountEnabled $true -MailNickName $Name_manager -Department $Department

$PasswordProfile = @{
  Password = "$Password_employee"
  }

New-MgUser -DisplayName $Displayname_employee -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_employee -AccountEnabled $true -MailNickName $Name_employee -Department $Department

在 Microsoft Entra ID 中成功建立一或多位使用者後,便可以繼續生命週期工作流程教學課程以進行工作流程建立作業。

預聘案例的其他步驟

當您測試使用 Microsoft Entra 系統管理中心進行生命週期工作流程上線用戶的教學課程使用 Microsoft Graph 進行生命週期工作流程上線用戶的教學課程時,您應該注意一些其他步驟。

使用 Microsoft Entra 系統管理中心編輯使用者屬性

預先僱用入職教學課程所需的部分屬性會透過 Microsoft Entra 系統管理中心公開,且可在該處設定。

這些屬性包括:

屬性 描述 開啟
郵件 用來通知管理員,新員工的臨時存取密碼 經理
經理 生命週期工作流程所使用的屬性 員工

關於本教學課程,mail 屬性只需在管理員帳戶上設定,而 manager 屬性則需在員工帳戶上設定。 使用下列步驟:

  1. 以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 >「身分識別」>「使用者」>「所有使用者」
  3. 選取 [Melva Prince]。
  4. 在頂端選取 [編輯]。
  5. 在管理員下,選取 [變更],然後選取 [Britta Simon]。
  6. 在頂端選取 [儲存]
  7. 返回「使用者」,然後選取「Britta Simon」。
  8. 在頂端選取 [編輯]。
  9. 在 [電子郵件] 下,輸入有效的電子郵件地址。
  10. 選擇 [儲存]。

編輯員工聘用日期

employeeHireDate 屬性是 Microsoft Entra ID 的新屬性。 此屬性不會透過 UI 公開,而且必須使用 Graph 更新。 若要編輯此屬性,請使用 Graph 檢視器

注意

請注意,員工僱用日期 (事件開始後的天數) 早於工作流程建立日期時,工作流程不會觸發。 您必須依設計在未來設定 employeeHireDate。 本教程中使用的日期僅代表某個時間點的示例。 所以建議您因應情況變更日期。

若要這樣做,請取得使用者 Melva Prince 的物件識別碼。

  1. 以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 > [身分識別]> [使用者]> [所有使用者]

  3. 選取 [Melva Prince]。

  4. 請選擇 [物件識別碼] 旁邊的複製符號。

  5. 接著瀏覽至 Graph 瀏覽器

  6. 使用租戶的全域管理員帳戶,登入至 Graph 探索工具。

  7. 在頂端,將 GET 變更為 PATCH,並新增 https://graph.microsoft.com/v1.0/users/<id> 至方塊。 將 <id> 替代為之前複製的值。

  8. 將下列內容複製到要求本文,然後選擇執行查詢

    {
"employeeHireDate": "2022-04-15T22:10:00Z"
}

    PATCH employeeHireDate 的螢幕擷取畫面。

  9. PATCH 變更回 GET,並將 v1.0 變更為 搶鮮版 (Beta),然後確認變更。 選取 執行查詢。 您應該會看到 Melva 設定的屬性。
    GET employeeHireDate 的螢幕擷取畫面。

在員工帳戶上編輯管理員屬性

管理員屬性用於電子郵件通知工作。 它會將新員工暫時的密碼以電子郵件傳送給經理。 使用下列步驟,確保您的 Microsoft Entra 使用者具有 "經理" 屬性的值。

  1. 一樣在 Graph 瀏覽器中。

  2. 請確定頂端仍設為 PUT,而 https://graph.microsoft.com/v1.0/users/<id>/manager/$ref 在方塊中。 變更 <id> 為 Melva Prince 的識別碼。

  3. 將下列程式碼複製到「Request body」

  4. 以 Britta Simons ID 的值,取代下列程式碼中的 <managerid>

  5. 選擇「執行查詢」

    {
  "@odata.id": "https://graph.microsoft.com/v1.0/users/<managerid>"
}

    在 Graph 總管中新增管理員的螢幕擷取畫面。

  6. 現在,我們可以通過將 PUT 變更為 GET 來確認管理設置是否正確。

  7. 請確定 https://graph.microsoft.com/v1.0/users/<id>/manager/ 在方塊中。 <id> 仍是 Melva Prince 的識別碼。

  8. 選取 執行查詢。 您應該會在回應中看到 Britta Simon 被傳回。

    在 Graph Explorer 中取得經理的螢幕擷取畫面。

如需在 Graph API 中更新使用者管理員資訊的詳細資訊,請參閱指派管理員文件。 您也可以在 Azure 管理員中心設定此屬性。 如需詳細資訊,請參閱新增或變更設定檔資訊

啟用臨時存取密碼 (TAP)

臨時存取密碼是管理員核發,且滿足增強式驗證需求的限時密碼。

在此案例中,我們會使用這項 Microsoft Entra ID 功能,產生新員工的臨時存取密碼。 然後,系統會以電子郵件將密碼傳送給員工的經理。

若要使用此功能,則必須在 Microsoft Entra 租用戶啟用該功能。 若要啟用此功能,請使用下列步驟。

  1. 至少以驗證原則管理員的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [資料保護]> [驗證方法]> [臨時存取密碼]
  3. 選取以啟用策略,新增 Britta Simon 並選擇要套用策略的使用者,以及任何一般設定。

考慮離開者情景

您應注意,在測試教學課程時,無論是使用 Microsoft Entra 系統管理中心進行生命週期工作流程的組織離職用戶教學,還是使用 Microsoft Graph,都有一個額外的步驟需要考慮。

設定使用者,包括群組和 Teams 的成員資格

開始進行離職情境的教學課程之前,需要有一個擁有群組和 Teams 成員身份的使用者。

下一步