Gerenciando usuários sincronizados dos Serviços de Domínio Ative Directory para a ID do Microsoft Entra com fluxos de trabalho do Ciclo de Vida
Os Fluxos de Trabalho do Ciclo de Vida suportam o controlo do ciclo de vida da identidade para contas de utilizador sincronizadas dos Serviços de Domínio Ative Directory (AD DS) para o Microsoft Entra ID. Para Fluxos de Trabalho do Ciclo de Vida, é essencial que exista uma conta de usuário no ID do Microsoft Entra, mas a forma como a conta foi criada ou como as alterações relevantes ao ciclo de vida estão sendo feitas na conta desempenha um papel menor quando se trata de processar fluxos de trabalho e tarefas associadas para a conta de usuário. Esse suporte inclui contas e alterações feitas por meio de opções como provisionamento orientado por RH, APIs do Microsoft Graph, Portal de Administração do Microsoft Entra e alterações sincronizadas pelo Microsoft Entra Connect e Microsoft Cloud Sync.
A tabela a seguir lista cenários comuns de automação para usuários sincronizados do AD DS usando a Governança de ID do Microsoft Entra:
| Cenário para automatizar | Solução de governança do Microsoft Entra ID |
|---|---|
| Criando a conta de usuário nos Serviços de Domínio Ative Directory | Provisionamento orientado por RH |
| Fornecer credenciais iniciais ou senha para contas de usuário | A tarefa Gerar Passe de Acesso Temporário e enviar por e-mail para o gerente do usuário pode ser usada para configurar credenciais sem senha. Para configurar uma senha normal do Ative Directory, você pode usar a redefinição de senha de autoatendimento do Microsoft Entra. |
| Atribuição de licenças | A tarefa Atribuir licenças ao fluxo de trabalho do ciclo de vida do usuário pode ser usada para atribuir licenças. Também pode atribuir licenças aos utilizadores através de um grupo. |
| Dê aos usuários acesso a aplicativos baseados em grupo do Ative Directory | Controlar o acesso ao aplicativo Ative Directory (Kerberos) local |
| Atualizar atributos de usuário no Ative Directory à medida que movem as organizações | Planejar filtros de escopo e mapeamento de atributos |
| Mover usuários para UOs diferentes à medida que movem organizações | Configurar atribuição de contêiner de UO do Ative Directory |
| Desativar usuários no último dia | A tarefa Desabilitar fluxo de trabalho do ciclo de vida da conta de usuário pode ser usada para desabilitar uma conta de usuário no último dia. |
| Excluir usuários em um número definido de dias após o término | A tarefa Excluir Fluxo de Trabalho do Ciclo de Vida do Usuário pode ser usada em um modelo de fluxo de trabalho para excluir usuários um número definido de dias após seu encerramento. |
Neste artigo, você aprenderá o que precisa ser considerado se quiser usar os Fluxos de Trabalho do Ciclo de Vida para contas de usuário sincronizadas do AD DS para o ID do Microsoft Entra.
Condições de execução do fluxo de trabalho com usuários sincronizados dos Serviços de Domínio Ative Directory (AD DS) para o Microsoft Entra ID
Os fluxos de trabalho do ciclo de vida são processados para contas de usuário quando atendem às condições de execução do fluxo de trabalho. As condições de execução são compostas por um gatilho e escopo. O gatilho descreve o evento que ocorre para uma conta de usuário. O escopo permite definir melhor para quem o fluxo de trabalho é executado quando o evento ocorre.
Gatilhos de fluxo de trabalho
A tabela a seguir mostra o que deve ser considerado para cada gatilho de fluxo de trabalho quando usado com usuários sincronizados do AD DS:
| Gatilho de fluxo de trabalho | Requisitos |
|---|---|
| Alterações de atributos | Nenhuma configuração adicional é necessária, desde que os atributos estejam sincronizados. Para obter informações sobre atributos sincronizados, consulte: Mapeamento de atributos no Microsoft Entra Cloud Sync e Microsoft Entra Connect Sync: extensões de diretório. Quando uma alteração é feita no Ative Directory, a sincronização via Microsoft Entra Cloud Sync ou Microsoft Entra Connect Sync precisa ocorrer antes que as alterações possam ser retiradas dos Fluxos de Trabalho do Ciclo de Vida. |
| Baseado na associação ao grupo | Como qualquer tipo de grupo é suportado, nenhuma configuração adicional é necessária. Se o grupo for originário do Ative Directory, ele deverá ser sincronizado com o Microsoft Entra. A sincronização do Microsoft Entra Cloud Sync, ou Microsoft Entra Connect Sync, precisa ocorrer antes que as alterações possam ser retiradas dos Fluxos de Trabalho do Ciclo de Vida. |
| A pedido | Nenhuma configuração adicional necessária. |
| Com base no tempo | employeeHireDate, employeeLeaveDateTime: Esses atributos devem ser sincronizados antes de serem usados. Para obter mais informações sobre esse processo, consulte: Como sincronizar atributos para fluxos de trabalho do ciclo de vida. createdDateTime: Nenhuma configuração adicional necessária. Essa data é o dia em que a conta de usuário é sincronizada com a ID do Microsoft Entra, não quando eles foram criados no Ative Directory. |
Escopo do fluxo de trabalho
Para atributos de usuário usados nos recursos de escopo do fluxo de trabalho, nenhuma configuração adicional será necessária se os atributos selecionados já estiverem sincronizados. Para obter informações sobre atributos sincronizados, consulte: Mapeamento de atributos no Microsoft Entra Cloud Sync e Microsoft Entra Connect Sync: extensões de diretório. Quando uma alteração é feita no Ative Directory, a sincronização via Microsoft Entra Cloud Sync ou Microsoft Entra Connect Sync precisa ocorrer antes que as alterações possam ser retiradas dos Fluxos de Trabalho do Ciclo de Vida.
Tarefas de fluxo de trabalho para usuários sincronizadas dos Serviços de Domínio Ative Directory para o ID do Microsoft Entra
Todas as tarefas de fluxo de trabalho do Ciclo de Vida funcionam tanto para a nuvem quanto para usuários sincronizados a partir do Ative Directory, exceto para as limitações listadas em tarefas específicas mais adiante neste artigo. Para obter mais informações sobre todas as tarefas do Lifecycle Workflow, consulte: Lifecycle Workflow built-in tasks.
Tarefas para governar associações de grupo
Cenário: ao sincronizar usuários do AD DS para o Microsoft Entra ID, você pode adicionar ou remover usuários de grupos de segurança baseados em nuvem por meio das tarefas de grupo do Fluxo de Vida do Fluxo de Vida. Isso permite que você controle a associação de grupo dos usuários sincronizados na nuvem e também adicione esse grupo de volta ao Ative Directory usando o write-back de grupo do Microsoft Entra Cloud Sync.
Para grupos sincronizados do AD DS para o Microsoft Entra ID, você não poderá usar tarefas de grupo do Fluxo de Trabalho do Ciclo de Vida conforme mencionado no cenário. No entanto, a Governança de ID do Microsoft Entra pode ser usada para controlar o acesso a aplicativos locais do Ative Directory (Kerberos) com grupos da nuvem, que são suportados nos Fluxos de Trabalho do Ciclo de Vida.
Tarefas da conta de utilizador
É necessária uma configuração adicional para que as tarefas do Fluxo de Trabalho do Ciclo de Vida habilitem, desabilitem e excluam contas de usuário para trabalhar sincronizadas do AD DS. Os pré-requisitos a seguir devem ser concluídos antes que você possa configurar as tarefas para executar ações no Ative Directory.
- Você deve ter o agente de provisionamento do Microsoft Entra instalado em seu ambiente. Para obter os pré-requisitos sobre a instalação do agente de provisionamento do Microsoft Entra, consulte: Requisitos do agente de provisionamento de nuvem. Para obter um guia passo a passo sobre como instalar o agente de provisionamento do Microsoft Entra, consulte: Instalar o agente de provisionamento do Microsoft Entra. Durante a instalação, escolha "HR-driven provisioning / Microsoft Entra Connect Sync" como "configuração de extensão". Não é necessário adicionar nenhuma outra configuração para o agente de provisionamento, como a configuração de sincronização na nuvem, e você pode instalar o agente de provisionamento mesmo se também estiver usando o Microsoft Entra Connect Sync para a sincronização do usuário.
Nota
O agente de provisionamento instalado deve ser pelo menos a versão 1.1.1586.0, que foi lançada em 13 de maio de 2024.
Verifique se a Conta de Serviço Gerenciado de Grupo (gMSA) usada pelo agente de provisionamento tem as permissões apropriadas para executar operações em contas de usuário.
Para excluir contas de usuários, você deve habilitar a lixeira do Ative Directory. Para obter um guia passo a passo sobre como habilitar a lixeira, consulte: Lixeira do Ative Directory passo a passo.
Para obter um guia passo a passo sobre como definir o sinalizador para que as tarefas da conta de usuário sejam executadas para usuários sincronizados a partir dos Serviços de Domínio Ative Directory, consulte: Gerenciar sincronizado dos Serviços de Domínio Ative Directory (AD DS) com fluxos de trabalho.