Zarządzanie użytkownikami synchronizowanymi z usług domena usługi Active Directory do identyfikatora Entra firmy Microsoft przy użyciu przepływów pracy cyklu życia
Przepływy pracy cyklu życia obsługują zarządzanie cyklem życia tożsamości dla kont użytkowników synchronizowanych z usług domena usługi Active Directory (AD DS) do identyfikatora Entra firmy Microsoft. W przypadku przepływów pracy cyklu życia ważne jest, aby konto użytkownika istniało w identyfikatorze Entra firmy Microsoft, ale sposób tworzenia konta lub sposób wprowadzania istotnych zmian w cyklu życia na koncie odgrywa niewielką rolę w przypadku przetwarzania przepływów pracy i skojarzonych zadań dla konta użytkownika. Ta obsługa obejmuje konta i zmiany wprowadzone za pośrednictwem opcji, takich jak aprowizowanie oparte na hr, interfejsy API programu Microsoft Graph, portal administracyjny firmy Microsoft Entra oraz zmiany synchronizowane przez program Microsoft Entra Connect i microsoft Cloud Sync.
W poniższej tabeli wymieniono typowe scenariusze automatyzacji dla synchronizowanych użytkowników z usług AD DS przy użyciu Zarządzanie tożsamością Microsoft Entra:
| Scenariusz do automatyzacji | rozwiązanie Zarządzanie tożsamością Microsoft Entra |
|---|---|
| Tworzenie konta użytkownika w usługach domena usługi Active Directory | Aprowizacja oparta na hr |
| Podawanie początkowych poświadczeń lub hasła dla kont użytkowników | W celu skonfigurowania poświadczeń bez hasła można użyć zadania Generowanie dostępu tymczasowego i wysyłanie za pośrednictwem poczty e-mail do menedżera użytkownika. Aby skonfigurować zwykłe hasło usługi Active Directory, możesz użyć samoobsługowego resetowania hasła firmy Microsoft Entra. |
| Przypisywanie licencji | Zadanie Przypisywanie licencji do przepływu pracy cyklu życia użytkownika może służyć do przypisywania licencji. Możesz również przypisać licencje do użytkowników za pośrednictwem grupy. |
| Przyznawanie użytkownikom dostępu do aplikacji opartych na grupach usługi Active Directory | Zarządzanie dostępem do aplikacji lokalna usługa Active Directory (Kerberos) |
| Aktualizowanie atrybutów użytkownika w usłudze Active Directory podczas przenoszenia organizacji | Planowanie filtrowania zakresów i mapowania atrybutów |
| Przenoszenie użytkowników do różnych jednostek organizacyjnych podczas przenoszenia organizacji | Konfigurowanie przypisania kontenera jednostki organizacyjnej usługi Active Directory |
| Wyłączanie użytkowników w ostatnim dniu | Zadanie Wyłącz przepływ pracy cyklu życia konta użytkownika może służyć do wyłączania konta użytkownika w ostatnim dniu. |
| Usuwanie użytkowników w określonej liczbie dni po zakończeniu | Zadanie Usuń przepływ pracy cyklu życia użytkownika można użyć w szablonie przepływu pracy, aby usunąć użytkowników z określoną liczbą dni po zakończeniu pracy. |
W tym artykule dowiesz się, co należy wziąć pod uwagę, jeśli chcesz używać przepływów pracy cyklu życia dla kont użytkowników synchronizowanych z usług AD DS do identyfikatora Entra firmy Microsoft.
Warunki wykonywania przepływu pracy z użytkownikami zsynchronizowanymi z usługami domena usługi Active Directory (AD DS) do identyfikatora Entra firmy Microsoft
Przepływy pracy cyklu życia są przetwarzane dla kont użytkowników, gdy spełniają warunki wykonywania przepływu pracy. Warunki wykonywania składają się z wyzwalacza i zakresu. Wyzwalacz opisuje zdarzenie, które występuje dla konta użytkownika. Zakres umożliwia dalsze definiowanie, dla których przepływ pracy jest uruchamiany w momencie wystąpienia zdarzenia.
Wyzwalacze przepływu pracy
W poniższej tabeli przedstawiono, co należy wziąć pod uwagę dla każdego wyzwalacza przepływu pracy w przypadku użycia z użytkownikami zsynchronizowanymi z usług AD DS:
| Wyzwalacz przepływu pracy | Wymagania |
|---|---|
| Zmiany atrybutów | Nie jest wymagana żadna dalsza konfiguracja, o ile atrybuty są synchronizowane. Aby uzyskać informacje na temat synchronizowanych atrybutów, zobacz: Mapowanie atrybutów w programie Microsoft Entra Cloud Sync i Microsoft Entra Connect Sync: rozszerzenia katalogu. Po wprowadzeniu zmiany w usłudze Active Directory należy przeprowadzić synchronizację za pośrednictwem usługi Microsoft Entra Cloud Sync lub Microsoft Entra Connect Sync, zanim zmiany zostaną pobrane z przepływów pracy cyklu życia. |
| Oparte na członkostwie w grupie | Ponieważ dowolny typ grupy jest obsługiwany, nie jest wymagana żadna dalsza konfiguracja. Jeśli grupa pochodzi z usługi Active Directory, należy ją zsynchronizować z firmą Microsoft Entra. Przed rozpoczęciem pobierania zmian z przepływów pracy cyklu życia należy zsynchronizować usługę Microsoft Entra Cloud Sync lub Microsoft Entra Connect Sync. |
| Na żądanie | Nie jest wymagana żadna dalsza konfiguracja. |
| Na podstawie czasu | employeeHireDate, employeeLeaveDateTime: te atrybuty muszą być synchronizowane przed ich zastosowaniem. Aby uzyskać więcej informacji na temat tego procesu, zobacz: Jak synchronizować atrybuty dla przepływów pracy cyklu życia. createdDateTime: nie jest wymagana żadna dalsza konfiguracja. Ta data to dzień synchronizacji konta użytkownika z identyfikatorem Entra firmy Microsoft, a nie podczas tworzenia ich w usłudze Active Directory. |
Określanie zakresu przepływu pracy
W przypadku atrybutów użytkownika używanych w ramach możliwości określania zakresu przepływu pracy nie jest wymagana żadna dalsza konfiguracja, jeśli wybrane atrybuty są już zsynchronizowane. Aby uzyskać informacje na temat synchronizowanych atrybutów, zobacz: Mapowanie atrybutów w programie Microsoft Entra Cloud Sync i Microsoft Entra Connect Sync: rozszerzenia katalogu. Po wprowadzeniu zmiany w usłudze Active Directory należy przeprowadzić synchronizację za pośrednictwem usługi Microsoft Entra Cloud Sync lub Microsoft Entra Connect Sync, zanim zmiany zostaną pobrane z przepływów pracy cyklu życia.
Zadania przepływu pracy dla użytkowników synchronizowanych z usług domena usługi Active Directory do identyfikatora Entra firmy Microsoft
Wszystkie zadania przepływu pracy cyklu życia działają zarówno dla chmury, jak i zsynchronizowane z usługi Active Directory, użytkownicy z wyjątkiem ograniczeń wymienionych w określonych zadaniach w dalszej części tego artykułu. Aby uzyskać więcej informacji na temat wszystkich zadań przepływu pracy cyklu życia, zobacz: Zadania wbudowane przepływu pracy cyklu życia.
Zadania zarządzania członkostwem w grupach
Scenariusz: w przypadku synchronizowania użytkowników z usług AD DS do identyfikatora Entra firmy Microsoft można dodawać lub usuwać użytkowników z grup zabezpieczeń opartych na chmurze za pośrednictwem zadań grupy przepływu pracy cyklu życia. Dzięki temu można zarządzać członkostwem grupy synchronizowanych użytkowników w chmurze, a także dodać tę grupę z powrotem do usługi Active Directory przy użyciu zapisywania zwrotnego grup synchronizacji microsoft Entra Cloud Sync.
W przypadku grup synchronizowanych z usług AD DS do identyfikatora Entra firmy Microsoft nie można używać zadań grupy przepływu pracy cyklu życia, jak wspomniano w tym scenariuszu. Można jednak użyć Zarządzanie tożsamością Microsoft Entra do zarządzania dostępem aplikacji lokalna usługa Active Directory (Kerberos) z grupami z chmury, które są obsługiwane w ramach przepływów pracy cyklu życia.
Zadania konta użytkownika
Dodatkowa konfiguracja jest wymagana, aby zadania przepływu pracy cyklu życia włączały, wyłączały i usuwały konta użytkowników do pracy z zsynchronizowanymi z usługAMI AD DS. Przed skonfigurowaniem zadań podrzędnych do wykonywania akcji w usłudze Active Directory należy wykonać następujące wymagania wstępne.
- W środowisku musi być zainstalowany agent aprowizacji firmy Microsoft Entra. Aby uzyskać wymagania wstępne dotyczące instalowania agenta aprowizacji firmy Microsoft, zobacz Wymagania dotyczące agenta aprowizacji w chmurze. Aby uzyskać instrukcje krok po kroku dotyczące instalowania agenta microsoft Entra Provisioning, zobacz: Instalowanie agenta aprowizacji firmy Microsoft. Podczas instalacji wybierz pozycję "Aprowizowanie oparte na hr/ Microsoft Entra Connect Sync" jako "konfiguracja rozszerzenia". Nie musisz dodawać żadnej innej konfiguracji agenta aprowizacji, takiej jak konfiguracja synchronizacji w chmurze, i można zainstalować agenta aprowizacji, nawet jeśli obecnie używasz programu Microsoft Entra Connect Sync na potrzeby synchronizacji użytkowników.
Uwaga
Zainstalowany agent aprowizacji musi mieć co najmniej wersję 1.1.1586.0, która została wydana 13 maja 2024 r.
Upewnij się, że konto usługi zarządzane przez grupę (gMSA) używane przez agenta aprowizacji ma odpowiednie uprawnienia do wykonywania operacji na kontach użytkowników.
Aby usunąć konta użytkowników, należy włączyć kosz usługi Active Directory. Aby zapoznać się z przewodnikiem krok po kroku dotyczącym włączania kosza, zobacz: Kosz usługi Active Directory krok po kroku.
Aby zapoznać się z przewodnikiem krok po kroku dotyczącym ustawiania flagi tak, aby zadania konta użytkownika uruchamiane dla użytkowników synchronizowanych z usług domena usługi Active Directory Services, zobacz: Zarządzanie zsynchronizowane z usługami domena usługi Active Directory (AD DS) za pomocą przepływów pracy.