Správa uživatelů synchronizovaných ze služeb doménového adresáře Active Directory do Microsoft Entra ID pomocí pracovních postupů životního cyklu
Pracovní postupy životního cyklu podporují řízení životního cyklu identit pro uživatelské účty synchronizované z Active Directory Domain Services (AD DS) do Microsoft Entra ID. U pracovních postupů životního cyklu je nezbytné, aby uživatelský účet existoval v ID Microsoft Entra, ale způsob vytvoření účtu nebo způsob provádění změn souvisejících s životním cyklem účtu, hraje vedlejší roli při zpracování pracovních postupů a přidružených úloh pro uživatelský účet. Tato podpora zahrnuje účty a změny provedené prostřednictvím možností, jako je zřizování řízené personálním oddělením, rozhraní Microsoft Graph API, portál pro správu Microsoft Entra a změny synchronizované službou Microsoft Entra Connect a Microsoft Cloud Sync.
Následující tabulka uvádí běžné scénáře automatizace pro synchronizované uživatele ze služby AD DS pomocí zásad správného řízení ID Microsoft Entra:
| Scénář automatizace | Řešení zásad správného řízení pro Microsoft Entra ID |
|---|---|
| Vytvoření uživatelského účtu ve službě Služby doménové struktury Active Directory | Zřizování řízené personálním oddělením |
| Zadání počátečních přihlašovacích údajů nebo hesla pro uživatelské účty | K úloze Vygenerujte dočasný přístupový kód a odešlete e-mailem uživateli-správci lze použít ke nastavení přihlašovacích údajů bez hesla. K nastavení běžného hesla služby Active Directory můžete použít samoobslužné resetování hesla Microsoft Entra. |
| Přiřazení licencí | K přiřazení licencí je možné použít úlohu Přiřadit licence k pracovnímu postupu životního cyklu uživatele . Licence můžete přiřadit také uživatelům prostřednictvím skupiny. |
| Udělení přístupu uživatelům k aplikacím založeným na skupinách služby Active Directory | Řízení přístupu k aplikacím na místě Active Directory (Kerberos) |
| Aktualizace atributů uživatelů ve službě Active Directory při přesouvání organizací | Plánování filtrů pro vymezení rozsahu a mapování atributů |
| Přesun uživatelů do různých organizačních jednotek při přesouvání organizací | Konfigurace přiřazení kontejneru pro organizační jednotku v Active Directory |
| Zakázat uživatele poslední den | Úkol Zakázat uživatelský účet v rámci pracovního postupu životního cyklu lze použít k deaktivaci uživatelského účtu v jejich poslední den. |
| Odstranění uživatelů v nastaveném počtu dnů po ukončení | Úkol Odstranit uživatele z pracovního postupu životního cyklu lze použít v šabloně pracovního postupu ke smazání uživatelů po nastaveném počtu dnů od jejich ukončení. |
V tomto článku se dozvíte, co je potřeba zvážit, pokud chcete použít pracovní postupy životního cyklu pro uživatelské účty synchronizované ze služby AD DS do Microsoft Entra ID.
Podmínky provádění pracovního postupu s uživateli synchronizovanými ze služeb doménové struktury Active Directory (AD DS) do Microsoft Entra ID.
Pracovní postupy životního cyklu se zpracovávají pro uživatelské účty, když splňují podmínky provádění pracovního postupu. Spouštění podmínek se skládá z triggeru a oboru. Trigger popisuje událost, která se vyskytuje pro uživatelský účet. Obor umožňuje dále definovat, pro koho pracovní postup běží, když dojde k události.
Spouštěče pracovního postupu
Následující tabulka uvádí, co by se mělo při použití s uživateli synchronizovanými ze služby AD DS zvážit pro každý trigger pracovního postupu:
| Spouštěč pracovního postupu | Požadavky |
|---|---|
| Změny atributů | Pokud se atributy synchronizují, není potřeba žádná další konfigurace. Informace o synchronizovaných atributech naleznete v Mapování atributů v Microsoft Entra Cloud Sync a Microsoft Entra Connect Sync: Rozšíření adresářů. Když dojde ke změně ve službě Active Directory, musí proběhnout synchronizace prostřednictvím Microsoft Entra Cloud Sync nebo Microsoft Entra Connect Sync, aby mohly být změny zachyceny z pracovních postupů životního cyklu. |
| Založeno na členství ve skupině | Protože se podporuje jakýkoli typ skupiny, nevyžaduje se žádná další konfigurace. Pokud skupina pochází ze služby Active Directory, musí se synchronizovat s Microsoft Entra. Synchronizace Microsoft Entra Cloud Sync nebo Microsoft Entra Connect Sync musí proběhnout před vyzvednutím změn z pracovních postupů životního cyklu. |
| Na vyžádání | Není potřeba žádná další konfigurace. |
| Na základě času |
employeeHireDate, employeeLeaveDateTime: Tyto atributy musí být před používáním synchronizovány. Další informace o tomto procesu najdete v tématu: Jak synchronizovat atributy pracovních postupů životního cyklu. createdDateTime: Nevyžaduje se žádná další konfigurace. Toto datum je den, kdy se uživatelský účet synchronizuje s ID Microsoft Entra, ne při jejich vytvoření v rámci služby Active Directory. |
Vymezení rozsahu pracovního postupu
Pro atributy uživatele používané v rámci možností oborů pracovního postupu není potřeba žádná další konfigurace, pokud jsou vybrané atributy již synchronizovány. Informace o synchronizovaných atributech naleznete v: Mapování atributů ve službě Microsoft Entra Cloud Sync a Microsoft Entra Connect Sync: Rozšíření adresářů. Při změně ve službě Active Directory je nutné provést synchronizaci prostřednictvím Microsoft Entra Cloud Sync nebo Microsoft Entra Connect Sync, aby změny mohly být následně zpracovány pracovními postupy životního cyklu.
Úlohy pracovního postupu pro uživatele synchronizované ze služby Active Directory Domain Services do Microsoft Entra ID
Všechny úlohy pracovního postupu životního cyklu fungují automaticky pro uživatele v cloudu i synchronizované ze služby Active Directory, kromě omezení uvedených na konkrétních úkolech dále v tomto článku. Další informace o všech úlohách pracovního postupu životního cyklu najdete v tématu: Předdefinované úlohy pracovního postupu životního cyklu.
Úkoly pro řízení členství ve skupinách
Scénář: Při synchronizaci uživatelů ze služby AD DS do Microsoft Entra ID můžete přidávat nebo odebírat uživatele z cloudových skupin zabezpečení prostřednictvím úloh skupiny pracovního postupu životního cyklu. To vám umožní řídit členství ve skupinách synchronizovaných uživatelů v cloudu a také tuto skupinu přidat zpět do služby Active Directory pomocí zpětného zápisu skupiny Microsoft Entra Cloud Sync.
U skupin, které jsou synchronizované ze služby AD DS do Microsoft Entra ID, byste nemohli používat skupinové úlohy v rámci pracovních postupů životního cyklu tak, jak je uvedeno ve scénáři. Zásady správného řízení id Microsoft Entra se ale dají použít k řízení přístupu k aplikacím místní Active Directory (Kerberos) pomocí skupin z cloudu, které jsou podporovány v rámci pracovních postupů životního cyklu.
Úlohy uživatelského účtu
Pro úlohy pracovního postupu životního cyklu je vyžadována další konfigurace, aby bylo možné povolit, zakázat a odstranit uživatelské účty synchronizované ze služby AD DS. Před konfigurací úloh pro provádění akcí ve službě Active Directory je nutné splnit následující požadavky.
- Ve vašem prostředí musíte mít nainstalovaného agenta zřizování Microsoft Entra. Požadavky na instalaci agenta zřizování Microsoft Entra najdete v tématu: Požadavky agenta zřizování Microsoft Entra do cloudu. Podrobný průvodce instalací agenta Microsoft Entra Provisioning najdete v tématu: Instalace agenta Microsoft Entra Provisioning. Během instalace zvolte "zřizování řízené HR / Microsoft Entra Connect Sync" jako "konfiguraci rozšíření". Nemusíte přidávat žádné další konfigurace pro agenta zřizování, jako je konfigurace cloudové synchronizace, a agenta zřizování můžete nainstalovat i v případě, že pro synchronizaci uživatelů aktuálně používáte Microsoft Entra Connect Sync.
Poznámka:
Nainstalovaný agent zřizování musí mít alespoň verzi 1.1.1586.0, která byla vydána 13. května 2024.
Ujistěte se, že účet spravované služby (gMSA) skupiny používaný agentem zřizování má příslušná oprávnění k provádění operací s uživatelskými účty.
Pokud chcete odstranit uživatelské účty, musíte povolit koš služby Active Directory. Podrobný průvodce povolením koše najdete v tématu: Koš služby Active Directory krok za krokem.
Podrobný průvodce krok za krokem pro nastavení příznaku tak, aby se úlohy uživatelského účtu spouštěly pro uživatele synchronizované ze služby Active Directory Domain Services, najdete v tématu: Správa uživatelů synchronizovaných ze služby Active Directory Domain Services pomocí pracovních postupů.