Управление пользователями, синхронизированными из служб домен Active Directory в идентификатор Microsoft Entra с помощью рабочих процессов жизненного цикла
Рабочие процессы жизненного цикла поддерживают управление жизненным циклом удостоверений для учетных записей пользователей, синхронизированных из служб доменных систем Active Directory (AD DS) в Microsoft Entra ID. Для рабочих процессов жизненного цикла важно, чтобы учетная запись пользователя существовала в каталоге Microsoft Entra ID, но то, как была создана учетная запись или как вносятся изменения, относящиеся к жизненному циклу, играет второстепенную роль при обработке рабочих процессов и связанных задач для учетной записи пользователя. Эта поддержка включает учетные записи и изменения, внесенные с помощью таких инструментов, как управляемое HR предоставление ресурсов, API Microsoft Graph, портал администрирования Microsoft Entra, а также изменения, синхронизированные с помощью Microsoft Entra Connect и Microsoft Cloud Sync.
В следующей таблице перечислены распространенные сценарии автоматизации для синхронизированных пользователей AD DS, использующих управление Microsoft Entra ID.
| Сценарий для автоматизации | Решение Microsoft Entra для управления идентификацией |
|---|---|
| Создание учетной записи пользователя в службах домен Active Directory | Кадровая организация обеспечения |
| Предоставление начальных учетных данных или пароля для учетных записей пользователей | Задачу "Создать временный пропуск доступа и отправить его по электронной почте менеджеру пользователя" можно использовать для настройки учетных данных без пароля. Для настройки обычного пароля Active Directory вы можете использовать самостоятельный сброс пароля Microsoft Entra. |
| Назначение лицензий | Задача "Назначение лицензий пользователю" из рабочего процесса жизненного цикла может быть использована для назначения лицензий. Вы также можете назначать лицензии пользователям через группу. |
| Предоставление пользователям доступа к приложениям на основе групп Active Directory | Управление доступом к локальной Active Directory (Kerberos) |
| Обновление атрибутов пользователей в Active Directory при перемещении организаций | Планирование фильтров охвата и сопоставления атрибутов |
| Перемещение пользователей в разные подразделения при изменениях в организации | Настройка присвоения контейнера организационных единиц Active Directory |
| Отключение пользователей в последний день | Задача "Отключить рабочий процесс жизненного цикла учетной записи пользователя" можно использовать для отключения учетной записи пользователя в последний день. |
| Удаление пользователей по заданному количеству дней после завершения | Задача жизненного цикла "Удалить пользователя" может быть использована в шаблоне рабочего процесса для удаления пользователей через заданное количество дней после их увольнения. |
В этой статье вы узнаете, что необходимо учитывать, если вы хотите использовать рабочие процессы жизненного цикла для учетных записей пользователей, синхронизированных с AD DS с идентификатором Microsoft Entra.
Условия выполнения рабочего процесса с пользователями, синхронизированными из служб домен Active Directory (AD DS) с идентификатором Microsoft Entra
Рабочие процессы жизненного цикла обрабатываются для учетных записей пользователей, когда они соответствуют условиям выполнения рабочего процесса. Условия выполнения включают триггер и сферу применения. Триггер описывает событие, возникающее для учетной записи пользователя. Область позволяет дополнительно определить, для кого выполняется рабочий процесс при возникновении события.
Триггеры рабочего процесса
В следующей таблице показано, что следует учитывать для каждого триггера рабочего процесса при использовании с пользователями, синхронизированными с AD DS:
| Триггер рабочего процесса | Требования |
|---|---|
| Изменения атрибутов | Дополнительная конфигурация не требуется, пока атрибуты синхронизированы. Сведения о синхронизированных атрибутах см. в статье "Сопоставление атрибутов" в Microsoft Entra Cloud Sync и Microsoft Entra Connect Sync: расширения каталогов. При внесении изменений в Active Directory синхронизация с помощью Microsoft Entra Cloud Sync или Microsoft Entra Connect Sync должна произойти, прежде чем изменения можно будет забрать из рабочих процессов жизненного цикла. |
| Членство в группах на основе | Так как поддерживается любая группа, дополнительная конфигурация не требуется. Если группа исходит из Active Directory, она должна быть синхронизирована с Microsoft Entra. Microsoft Entra Cloud Sync или Microsoft Entra Connect Sync, синхронизация должна произойти, прежде чем изменения могут быть синхронизированы из процессов жизненного цикла. |
| По требованию | Дополнительная конфигурация не требуется. |
| На основе времени |
employeeHireDate, employeeLeaveDateTime: перед использованием эти атрибуты необходимо синхронизировать. Дополнительные сведения об этом процессе см. в разделе «Как синхронизировать атрибуты для рабочих процессов жизненного цикла». createdDateTime: дополнительная конфигурация не требуется. Эта дата — это день, когда учетная запись пользователя синхронизируется с идентификатором Microsoft Entra, а не когда они были созданы в Active Directory. |
Области рабочего процесса
Для атрибутов пользователей, используемых в возможностях области рабочего процесса, дополнительная конфигурация не требуется, если выбранные атрибуты уже синхронизированы. Сведения о синхронизированных атрибутах см. в статье "Сопоставление атрибутов" в Microsoft Entra Cloud Sync и Microsoft Entra Connect Sync: расширения каталогов. При внесении изменений в Active Directory синхронизация с помощью Microsoft Entra Cloud Sync или Microsoft Entra Connect Sync должна произойти, прежде чем изменения можно будет забрать из рабочих процессов жизненного цикла.
Задачи рабочего процесса для пользователей, синхронизированных из служб домен Active Directory с идентификатором Microsoft Entra
Все задачи рабочего процесса жизненного цикла работают как для пользователей облака, так и для пользователей, синхронизированных из Active Directory, по умолчанию, за исключением ограничений, перечисленных в последующих задачах этой статьи. Дополнительные сведения обо всех задачах рабочего процесса жизненного цикла см. в статье "Встроенный рабочий процесс жизненного цикла".
Задачи для управления членством в группах
Сценарий. При синхронизации пользователей из AD DS с идентификатором Microsoft Entra ID вы можете добавлять или удалять пользователей из облачных групп безопасности с помощью задач группы рабочего процесса жизненного цикла. Это позволяет управлять членством в группах синхронизированных пользователей в облаке, а также добавлять эту группу обратно в Active Directory с помощью обратной записи групп Microsoft Entra Cloud Sync.
Для групп, синхронизированных из AD DS с идентификатором Microsoft Entra ID, вы не сможете использовать задачи группы рабочих процессов жизненного цикла, как упоминалось в сценарии. Однако Управление идентификацией Microsoft Entra можно использовать для управления доступом к приложениям в локальной службе Active Directory (Kerberos) с облачными группами, поддерживаемыми в рабочих процессах жизненного цикла.
Задачи учетной записи пользователя
Для задач рабочего процесса жизненного цикла необходимо провести дополнительную настройку для возможности включения, отключения и удаления учетных записей пользователей, синхронизированных из AD DS. Прежде чем настроить задачи для выполнения действий в Active Directory, необходимо выполнить следующие предварительные требования.
- В вашей среде должен быть установлен агент внедрения Microsoft Entra. Предварительные требования для установки агента подготовки Microsoft Entra см. в разделе " Требования к агенту подготовки облака". Пошаговое руководство по установке агента подготовки Microsoft Entra см. в статье "Установка агента подготовки Microsoft Entra". Во время установки выберите "Подготовка на основе управления персоналом / Microsoft Entra Connect Sync" в качестве "конфигурации расширения". Вам не требуется добавить другую конфигурацию для агента подготовки, например конфигурацию облачной синхронизации, и вы можете установить агент подготовки, даже если вы также используете microsoft Entra Connect Sync для синхронизации пользователей.
Примечание.
Установленный агент подготовки должен иметь по крайней мере версию 1.1.1586.0, которая была выпущена 13 мая 2024 г.
Убедитесь, что агент подготовки использует групповую управляемую учетную запись службы (gMSA) с соответствующими разрешениями для выполнения операций с учетными записями пользователей.
Чтобы удалить учетные записи пользователей, необходимо включить корзину Active Directory. Для пошагового руководства по включению Корзины Active Directory см. Пошаговое руководство по включению Корзины Active Directory.
Пошаговое руководство по настройке флага, чтобы задачи учетной записи пользователей выполнялись для пользователей, синхронизированных из служб домен Active Directory, см. в статье "Управление синхронизированными из служб домен Active Directory (AD DS) с рабочими процессами.