수명 주기 워크플로 자습서를 위한 사용자 계정 준비
온보딩 및 오프보딩 자습서의 경우 워크플로가 실행되는 계정이 필요합니다. 이 섹션은 이러한 계정을 준비하는 데 도움이 됩니다. 다음 요구 사항을 충족하는 테스트 계정이 이미 있는 경우 온보딩 및 오프보딩 자습서로 바로 진행할 수 있습니다. 온보딩 자습서에는 두 개의 계정이 필요합니다. 하나는 새 직원을 위한 계정이고 다른 하나는 새 직원의 관리자 역할을 하는 계정입니다. 신규 고용 계정에는 다음 특성이 설정되어 있어야 합니다.
- employeeHireDate는 오늘로 설정해야 합니다.
- 부서를 판매로 설정해야 합니다.
- 관리자 특성이 설정되어야 하며 관리자 계정에는 이메일을 수신할 사서함이 있어야 합니다.
오프보딩 자습서에는 그룹 및 Teams 멤버 자격이 있는 하나의 계정만 필요하지만 자습서 중에 계정이 삭제됩니다.
필수 조건
이 기능을 사용하려면 Microsoft Entra ID Governance 또는 Microsoft Entra Suite 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID Governance 라이선스 기본 사항을 참조하세요.
- Microsoft Entra 테넌트
- Microsoft Entra 테넌트에 대한 적절한 권한이 있는 관리자 계정. 이 계정은 사용자 및 워크플로를 만드는 데 사용됩니다.
시작하기 전에
대부분의 경우 사용자는 온-프레미스 솔루션(예: Microsoft Entra Connect 또는 클라우드 동기화) 또는 HR 솔루션을 통해 Microsoft Entra ID로 프로비전됩니다. 이러한 사용자는 만들 때 채워진 특성과 값을 가집니다. 사용자를 프로비저닝하기 위한 인프라 설정은 이 자습서의 범위를 벗어납니다. 자세한 내용은 자습서: 기본 Active Directory 환경 및 자습서: 단일 Microsoft Entra 테넌트와 단일 포리스트 통합을 참조하세요.
Microsoft Entra ID에서 사용자 만들기
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.
Graph 탐색기를 사용하여 자습서에서 수명 주기 워크플로를 실행하는 데 필요한 두 명의 사용자를 빠르게 만듭니다. 한 사용자는 신입 사원을 나타내고 두 번째 사용자는 신입 사원의 관리자를 나타냅니다.
POST를 편집하고 <여기의 테넌트 이름> 부분을 테넌트 이름으로 바꿔야 합니다. 예: $UPN_manager = "bsimon@<여기의 테넌트 이름>"을 $UPN_manager = "bsimon@contoso.onmicrosoft.com"으로 바꿉니다.
참고 항목
직원 고용 날짜(이벤트 시작 날짜)가 워크플로 만들기 날짜보다 이전인 경우 워크플로가 트리거되지 않습니다. 디자인상 향후에는 employeeHiredate를 설정해야 합니다. 이 자습서에 사용된 날짜는 시간의 스냅샷입니다. 따라서 이 상황에 맞게 날짜를 변경해야 합니다.
먼저 직원 Melva Prince를 만듭니다.
- 이제 Graph 탐색기로 이동합니다.
- 테넌트의 사용자 관리자 계정으로 Graph 탐색기에 로그인합니다.
- 상단에서 GET를 POST로 변경하고 상자에
https://graph.microsoft.com/v1.0/users/를 추가합니다. - 다음 코드를 요청 본문에 복사합니다.
- 다음 코드의
<your tenant here>를 Microsoft Entra 테넌트의 값으로 바꿉니다. - 쿼리 실행 선택
- 결과에 반환된 ID를 복사합니다. 이는 나중에 관리자를 할당하는 데 사용됩니다.
{
"accountEnabled": true,
"displayName": "Melva Prince",
"mailNickname": "mprince",
"department": "sales",
"mail": "mprince@<your tenant name here>",
"employeeHireDate": "2022-04-15T22:10:00Z",
"userPrincipalName": "mprince@<your tenant name here>",
"passwordProfile" : {
"forceChangePasswordNextSignIn": true,
"password": "<Generated Password>"
}
}
다음으로 Britta Simon을 만듭니다. 이 계정은 당사의 관리자로 사용됩니다.
- 여전히 Graph 탐색기에 있습니다.
- 상단이 여전히 POST로 설정되어 있고
https://graph.microsoft.com/v1.0/users/가 상자에 있는지 확인합니다. - 다음 코드를 요청 본문에 복사합니다.
- 다음 코드의
<your tenant here>를 Microsoft Entra 테넌트의 값으로 바꿉니다. - 쿼리 실행 선택
- 결과에 반환된 ID를 복사합니다. 이 ID는 나중에 관리자를 할당하는 데 사용됩니다.
{ "accountEnabled": true, "displayName": "Britta Simon", "mailNickname": "bsimon", "department": "sales", "mail": "bsimon@<your tenant name here>", "employeeHireDate": "2021-01-15T22:10:00Z", "userPrincipalName": "bsimon@<your tenant name here>", "passwordProfile" : { "forceChangePasswordNextSignIn": true, "password": "<Generated Password>" } }
참고 항목
Microsoft Entra 테넌트와 일치하도록 코드의 <여기에 테넌트 이름> 섹션을 변경해야 합니다.
대안으로, 다음 PowerShell 스크립트를 사용하여 수명 주기 워크플로를 실행하는 데 필요한 두 명의 사용자를 빠르게 만들 수도 있습니다. 한 사용자는 신입 사원을 나타내고 두 번째 사용자는 신입 사원의 관리자를 나타냅니다.
Important
이 자습서에 필요한 두 명의 사용자를 빠르게 만들기 위해 다음 PowerShell 스크립트가 제공됩니다. 이러한 사용자는 Microsoft Entra 관리 센터에서도 만들 수 있습니다.
이 단계를 만들려면 다음 PowerShell 스크립트를 Azure에 액세스할 수 있는 컴퓨터의 위치에 저장합니다.
다음으로 스크립트를 편집하고 <여기의 테넌트 이름> 부분을 테넌트 이름으로 바꿔야 합니다. 예: $UPN_manager = "bsimon@<여기의 테넌트 이름>"을 $UPN_manager = "bsimon@contoso.onmicrosoft.com"으로 바꿉니다.
$UPN_employee 및 $UPN_manager 모두에 대해 이 작업을 수행해야 합니다.
스크립트를 편집한 후 저장하고 다음 단계를 따릅니다.
- Microsoft Entra 관리 센터에 액세스할 수 있는 컴퓨터에서 관리 권한으로 Windows PowerShell 명령 프롬프트를 엽니다.
- 저장된 PowerShell 스크립트 위치로 이동하여 실행합니다.
- PowerShell 모듈을 설치할 때 메시지가 표시되면 모두 예를 선택합니다.
- 메시지가 표시되면 테넌트의 전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This
# script is made available to you without any express, implied or
# statutory warranty, not even the implied warranty of
# merchantability or fitness for a particular purpose, or the
# warranty of title or non-infringement. The entire risk of the
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$Displayname_employee = "Melva Prince"
$UPN_employee = "mprince<your tenant name here>"
$Name_employee = "mprince"
$Password_employee = "Pass1w0rd"
$EmployeeHireDate_employee = "04/10/2022"
$Department_employee = "Sales"
$Displayname_manager = "Britta Simon"
$Name_manager = "bsimon"
$Password_manager = "Pass1w0rd"
$Department = "Sales"
$UPN_manager = "bsimon@<your tenant name here>"
Install-Module -Name AzureAD
Connect-MgGraph -Confirm
$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "<Password>"
New-MgUser -DisplayName $Displayname_manager -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_manager -AccountEnabled $true -MailNickName $Name_manager -Department $Department
New-MgUser -DisplayName $Displayname_employee -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_employee -AccountEnabled $true -MailNickName $Name_employee -Department $Department
Microsoft Entra ID에서 사용자가 성공적으로 만들어지면 워크플로를 만들기 위한 수명 주기 워크플로 자습서를 계속 진행할 수 있습니다.
고용 전 시나리오의 기타 단계
Microsoft Entra 관리 센터 자습서에서 수명 주기 워크플로를 사용하여 조직에 온보딩 사용자를 테스트하거나 Microsoft Graph 자습서에서 수명 주기 워크플로를 사용하여 조직에 온보딩 사용자를 테스트할 때 알아야 할 몇 가지 다른 단계가 있습니다.
Microsoft Entra 관리 센터를 사용하여 사용자 특성 편집
고용 전 온보딩 자습서에 필요한 일부 특성은 Microsoft Entra 관리 센터를 통해 공개되며 여기에서 설정할 수 있습니다.
이러한 특성은 다음과 같습니다.
| attribute | 설명 | 설정 대상 |
|---|---|---|
| 새 직원 임시 액세스 패스의 관리자에게 알리기 위해 사용 | Manager | |
| 관리자 | 수명 주기 워크플로에서 사용하는 특성 | 직원 |
자습서의 경우 mail 특성은 관리자 계정에만 설정하고 manager 특성은 직원 계정에 설정하면 됩니다. 다음 단계를 사용합니다.
- 최소한 사용자 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- >ID>사용자>모든 사용자로 이동합니다.
- Melva Prince를 선택합니다.
- 상단에서 편집을 선택합니다.
- 관리자에서 변경을 선택하고 Britta Simon을 선택합니다.
- 위쪽에서 저장를 선택합니다.
- 사용자로 돌아가서 Britta Simon을 선택합니다.
- 상단에서 편집을 선택합니다.
- 이메일에서 유효한 이메일 주소를 입력합니다.
- 저장을 선택합니다.
직원 고용 날짜 편집
EmployeeDate 특성은 Microsoft Entra ID의 새로운 특성입니다. UI를 통해 노출되지 않으며 그래프를 사용하여 업데이트해야 합니다. 이 특성을 편집하려면 Graph 탐색기를 사용할 수 있습니다.
참고 항목
직원 고용 날짜(이벤트 시작 날짜)가 워크플로 만들기 날짜보다 이전인 경우 워크플로가 트리거되지 않습니다. 의도적으로 향후에 employeeHireDate를 설정해야 합니다. 이 자습서에 사용된 날짜는 시간의 스냅샷입니다. 따라서 이 상황에 맞게 날짜를 변경해야 합니다.
이렇게 하려면 사용자 Melva Prince의 개체 ID를 가져와야 합니다.
최소한 사용자 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
>ID>사용자>모든 사용자로 이동합니다.
Melva Prince를 선택합니다.
개체 ID 옆에 있는 복사 기호를 선택합니다.
이제 Graph 탐색기로 이동합니다.
테넌트의 전역 관리자 계정으로 Graph 탐색기에 로그인합니다.
상단에서 GET를 PATCH로 변경하고 상자에
https://graph.microsoft.com/v1.0/users/<id>를 추가합니다.<id>를 이전에 복사한 값으로 바꿉니다.다음을 요청 본문에 복사하고 쿼리 실행을 선택합니다.
{ "employeeHireDate": "2022-04-15T22:10:00Z" }
PATCH를 다시 GET으로 변경하고 v1.0을 beta로 변경하여 변경 내용을 확인합니다. 쿼리 실행을 선택합니다. Melva 집합의 특성이 표시되어야 합니다.
직원 계정의 관리자 특성 편집
관리자 특성은 이메일 알림 작업에 사용됩니다. 새 직원의 임시 암호를 관리자에게 이메일로 보냅니다. 다음 단계에서 Microsoft Entra 사용자에게 관리자 특성 값이 있는지 확인합니다.
여전히 Graph 탐색기에 있습니다.
상단이 여전히 PUT으로 설정되어 있고
https://graph.microsoft.com/v1.0/users/<id>/manager/$ref가 상자에 있는지 확인합니다.<id>를 Melva Prince의 ID로 변경합니다.다음 코드를 요청 본문에 복사
다음 코드에서
<managerid>를 Britta Simons ID 값으로 바꿉니다.쿼리 실행 선택
{ "@odata.id": "https://graph.microsoft.com/v1.0/users/<managerid>" }
이제 PUT을 GET으로 변경하여 관리자가 올바르게 설정되었는지 확인할 수 있습니다.
https://graph.microsoft.com/v1.0/users/<id>/manager/가 상자에 있는지 확인합니다.<id>는 여전히 Melva Prince의 것입니다.쿼리 실행을 선택합니다. 응답에서 Britta Simon이 반환된 것을 볼 수 있습니다.
Graph API에서 사용자의 관리자 정보 업데이트에 대한 자세한 내용은 관리자 할당 설명서를 참조하세요. Azure 관리 센터에서 이 특성을 설정할 수도 있습니다. 자세한 내용은 프로필 정보 추가 또는 변경을 참조하세요.
TAP(임시 액세스 패스) 사용하도록 설정
임시 액세스 패스는 강력한 인증 요구 사항을 충족하는 관리자가 발급한 시간 제한 패스입니다.
이 시나리오에서는 Microsoft Entra ID의 이 기능을 사용하여 신입 직원을 위한 임시 액세스 패스를 생성합니다. 해당 직원의 관리자에게 이메일이 전송됩니다.
이 기능을 사용하려면 Microsoft Entra 테넌트에서 사용하도록 설정해야 합니다. 이 기능을 사용하도록 설정하려면 다음 단계를 따릅니다.
- 최소한 인증 정책 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- 보호>인증 방법>임시 액세스 패스로 이동합니다.
- 예를 선택하여 정책을 사용하도록 설정하고 Britta Simon을 추가하고 정책이 적용된 사용자와 일반 설정을 선택합니다.
퇴사자 시나리오에 대한 고려 사항
Microsoft Entra 관리 센터 자습서 또는 Microsoft Graph를 통해 수명 주기 워크플로를 사용하여 조직의 오프보딩 사용자를 위한 자습서를 테스트할 때 알아야 할 추가 단계가 있습니다.
그룹이 있는 사용자 설정 및 팀 멤버 자격이 있는 팀 설정
퇴사자 시나리오에 대한 자습서를 시작하려면 그룹 및 Teams 멤버 자격이 있는 사용자가 필요합니다.