在员工入职之前,使用 Microsoft Entra 管理中心自动执行员工入职任务

本教程提供了一个分步指南,介绍如何在 Microsoft Entra 管理中心内通过生命周期工作流自动执行预录用任务。

此预聘方案将为新员工生成临时访问密码,并通过电子邮件发送给用户的新经理。

生命周期工作流方案的屏幕截图。

先决条件

使用此功能需要 Microsoft Entra ID 治理或 Microsoft Entra 套件许可证。 如需查找符合要求的许可证,请参阅《Microsoft Entra ID 治理许可基础知识》。

开始之前

若要完成本教程,必须在开始本教程之前满足本节中列出的先决条件,因为它们不会包含在实际教程中。 本教程需要两个帐户,一个帐户用于新员工,另一个帐户充当新员工的管理员。 新员工帐户必须设置以下特性:

  • employeeHireDate 必须设置为今天
  • 必须将部门设置为销售部门
  • 必须设置经理属性,并且经理帐户应具有用于接受电子邮件的邮箱

有关如何完成这些先决步骤的更全面说明,请参阅“为生命周期工作流准备用户帐户”教程。 还必须启用 TAP 策略才能运行本教程。

相关属性的明细:

Attribute 说明 设置对象
mail 用于告知管理员新员工临时访问密码 双向
manager 生命周期工作流使用的特性 Employee
employeeHireDate 用于触发工作流 Employee
department 用于提供工作流的范围 Employee

预聘方案可以分为以下几部分:

  • 先决条件:创建两个用户帐户,一个代表员工,一个代表管理员
  • 先决条件:在管理中心内编辑此方案所需的属性
  • 先决条件:使用 Microsoft Graph Explorer 编辑此方案的属性
  • 先决条件:启用和使用临时访问密码 (TAP)
  • 创建生命周期管理工作流
  • 触发工作流
  • 验证是否已成功执行该工作流

使用预聘模板创建工作流

在 Microsoft Entra 管理中心内,使用以下步骤创建一个预录用工作流以生成 TAP,并通过电子邮件将其发送给用户的经理。

  1. 至少以生命周期工作流管理员的身份登录到 Microsoft Entra 管理中心

  2. 选择 Identity Governance。

  3. 选择“生命周期工作流”。

  4. 在“概述”页上,选择“新建工作流”。 选择创建新工作流的屏幕截图。

  5. 从模板中选择“加入预雇用员工”中的“选择”。 选择工作流模板的屏幕截图。

  6. 接下来,你将配置有关工作流的基本信息,此信息包括工作流触发的时间,称为“事件后的天数”。 在此案例中,工作流将在员工雇佣日期前两天触发。 在加入预聘员工屏幕上,添加以下设置,然后选择“下一步:配置范围”。

    选择配置范围的屏幕截图。

  7. 接下来,你将配置范围。 范围确定了此工作流将针对哪些用户运行。 在此案例中,范围设定为销售部门中的所有用户。 在“配置范围”屏幕的“规则”下添加以下设置,然后选择“下一步: 查看任务”。 有关支持的用户属性的完整列表,请参阅支持的用户属性和查询参数

    选择查看任务的屏幕截图。

  8. 在以下页面上,如果需要,可以检查任务,但不需要其他配置。 完成后,选择“下一步:审阅 + 创建”。 查看载入工作流程的屏幕截图。

  9. 在“查看”屏幕上,验证信息是否正确,然后选择“创建”。 创建加入工作流的屏幕截图。

运行工作流

创建工作流后,它将每 3 小时自动运行一次。 这意味着生命周期工作流每 3 小时检查一次关联执行条件中的用户,并为这些用户执行配置的任务。 但是,对于本教程,我们希望立即运行它。 若要立即运行工作流,可以使用按需功能。

注意

请注意,如果工作流设置为“已禁用”,则当前无法按需运行工作流。 需要将工作流设置为“已启用”,然后才能使用按需功能。

若要使用 Microsoft Entra 管理中心来按需为用户运行工作流,请执行以下操作:

  1. 在工作流屏幕上,选择要运行的特定工作流。
  2. 选择“按需运行”。
  3. 在“选择用户”选项卡上,选择“添加用户”。
  4. 添加用户。
  5. 选择“运行工作流”。

检查任务和工作流状态

可以随时监视工作流和任务的状态。 请注意,目前提供三种不同的数据透视、用户运行和任务。 你可以在检查工作流状态操作指南中了解详细信息。 在本教程中,我们将使用以用户为中心的报表来查看状态。

  1. 如果要开始,请选择“工作流历史记录”选项卡,以查看用户摘要及关联的工作流任务和状态。
    工作流“历史记录”状态的屏幕截图。

  2. 选择“工作流历史记录”选项卡后,登陆到工作流历史记录页面,如下所示:工作流历史记录概述的屏幕截图。

  3. 接下来,可以为用户 Jane Smith 选择“总任务数”,以查看创建的任务总数及其状态。 在此示例中,分配给用户 Jane Smith 的任务总共有三个。
    工作流总任务摘要的屏幕截图。

  4. 若要添加额外的粒度层,可以为用户 Jeff Smith 选择“失败任务”,以查看分配给用户 Jeff Smith 的失败任务总数。 工作流失败任务的屏幕截图。

  5. 同样,你可以为用户 Jeff Smith 选择“未处理任务”,以查看分配给用户 Jeff Smith 的未处理任务总数或取消任务总数。 工作流未处理任务摘要的屏幕截图。

启用工作流计划

按需运行工作流并检查确认一切正常后,可能需要启用工作流计划。 要启用工作流计划,可以在“属性”页上选中“启用计划”复选框

启用工作流计划的屏幕截图。

后续步骤