Kurzy přípravy uživatelských účtů pro pracovní postupy životního cyklu

Pro úvodní a offboardingové kurzy potřebujete účty, pro které se pracovní postupy provádějí. Tato část vám pomůže připravit tyto účty. Pokud už máte testovací účty, které splňují následující požadavky, můžete přejít přímo ke kurzům pro onboarding a offboarding. Pro úvodní kurzy jsou potřeba dva účty, jeden účet pro nového zaměstnance a druhý účet, který funguje jako manažer nového zaměstnance. Nový účet pro přijímání musí mít nastavené následující atributy:

• employeeHireDate musí být nastaveno na hodnotu today.
• oddělení musí být nastaveno na sales
• musí být nastavený atribut manager a účet manažera musí mít poštovní schránku pro příjem e-mailů.

Tyto kurzy vyžadují pouze jeden účet, který má členství ve skupině a Teams, ale tento účet se během kurzu odstraní.

Požadavky

Použití této funkce vyžaduje Microsoft Entra ID Governance licence. Informace o tom, jak najít správnou licenci pro vaše požadavky, najdete v tématu základy licencování Microsoft Entra ID Governance.

• Tenant Microsoft Entra
• Účet globálního správce pro tenanta Microsoft Entra. Tento účet slouží k vytváření uživatelů a pracovních postupů.

Než začnete

Ve většině případů se uživatelům zřídí ID Microsoft Entra buď z místního řešení (jako je Microsoft Entra Connect nebo cloudová synchronizace), nebo pomocí řešení hr. Tito uživatelé mají atributy a hodnoty vyplněné v době vytvoření. Nastavení infrastruktury pro zřizování uživatelů je mimo rozsah tohoto kurzu. Informace najdete v tématech Kurz: Základní prostředí Active Directory a Kurz: Integrace jedné doménové struktury s jedním tenantem Microsoft Entra.

Vytváření uživatelů s ID Microsoft Entra

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, ze které začínáte.

Pomocí Graph Exploreru rychle vytvoříme dva uživatele potřebné k provádění pracovních postupů životního cyklu v kurzech. Jeden uživatel představuje našeho nového zaměstnance a druhý představuje manažera nového zaměstnance.

Musíte upravit post a nahradit <část> název vašeho tenanta názvem vašeho tenanta. Příklad: $UPN_manager = "bsimon@<názvěj vašeho tenanta"> na $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Poznámka

Mějte na paměti, že pracovní postup se nespustí, když je datum náboru zaměstnance (dny z události) před datem vytvoření pracovního postupu. V budoucnu musíte nastavit employeeHiredate podle návrhu. Data použitá v tomto kurzu představují snímek v čase. Proto byste měli data odpovídajícím způsobem změnit, aby vyhovovala této situaci.

Nejdřív vytvoříme našeho zaměstnance, Melvu Prince.

1. Teď přejděte do Graph Exploreru.
2. Přihlaste se k Graph Exploreru pomocí účtu globálního správce vašeho tenanta.
3. V horní části změňte get na POST a přidejte https://graph.microsoft.com/v1.0/users/ do pole.
4. Do textu požadavku zkopírujte následující kód.
5. Nahraďte <your tenant here> v následujícím kódu hodnotou vašeho tenanta Microsoft Entra.
6. Výběr možnosti Spustit dotaz
7. Zkopírujte ID, které se vrátí ve výsledcích. Později se použije k přiřazení manažera.

{
  "accountEnabled": true,
  "displayName": "Melva Prince",
  "mailNickname": "mprince",
  "department": "sales",
  "mail": "mprince@<your tenant name here>",
  "employeeHireDate": "2022-04-15T22:10:00Z",
  "userPrincipalName": "mprince@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "xWwvJ]6NMw+bWH-d"
  }
}

Dále vytvoříme Brittu Simon. Toto je účet, který se používá jako náš správce.

1. Pořád ještě v Graph Exploreru.
2. Ujistěte se, že je horní část stále nastavená na POST a https://graph.microsoft.com/v1.0/users/ je v poli.
3. Do textu požadavku zkopírujte následující kód.
4. Nahraďte <your tenant here> v následujícím kódu hodnotou vašeho tenanta Microsoft Entra.
5. Výběr možnosti Spustit dotaz
6. Zkopírujte ID, které se vrátí ve výsledcích. Později se použije k přiřazení manažera.

   {
     "accountEnabled": true,
     "displayName": "Britta Simon",
     "mailNickname": "bsimon",
     "department": "sales",
     "mail": "bsimon@<your tenant name here>",
     "employeeHireDate": "2021-01-15T22:10:00Z",
     "userPrincipalName": "bsimon@<your tenant name here>",
     "passwordProfile" : {
       "forceChangePasswordNextSignIn": true,
       "password": "xWwvJ]6NMw+bWH-d"
     }
   }
   

Poznámka

V tomto> oddílu kódu je potřeba změnit název vašeho tenanta tak, aby odpovídal vašemu <Microsoft Entra tenantovi.

Alternativně můžete použít následující skript PowerShellu k rychlému vytvoření dvou uživatelů, kteří potřebují spustit pracovní postup životního cyklu. Jeden uživatel představuje našeho nového zaměstnance a druhý představuje manažera nového zaměstnance.

Důležité

Následující skript PowerShellu je k dispozici pro rychlé vytvoření dvou uživatelů požadovaných pro tento kurz. Tyto uživatele je také možné vytvořit v centru Microsoft Entra Správa.

Pokud chcete vytvořit tento krok, uložte následující skript PowerShellu do umístění na počítači, který má přístup k Azure.

Dále musíte skript upravit a nahradit <část název vašeho tenanta> názvem vašeho tenanta. Příklad: $UPN_manager = "bsimon@<názvěj vašeho tenanta"> na $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Tuto akci musíte provést pro $UPN_employee i $UPN_manager.

Po úpravě skriptu ho uložte a postupujte takto:

1. Otevřete Windows PowerShell příkazový řádek s oprávněními správce z počítače, který má přístup k centru pro správu Microsoft Entra.
2. Přejděte do umístění uloženého skriptu PowerShellu a spusťte ho.
3. Pokud se zobrazí výzva, vyberte při instalaci modulu Azure AD PowerShell možnost Ano všem.
4. Po zobrazení výzvy se přihlaste k centru pro správu Microsoft Entra jako globální správce vašeho tenanta.

#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables

$Displayname_employee = "Melva Prince"
$UPN_employee = "mprince<your tenant name here>"
$Name_employee = "mprince"
$Password_employee = "Pass1w0rd"
$EmployeeHireDate_employee = "04/10/2022"
$Department_employee = "Sales"
$Displayname_manager = "Britta Simon"
$Name_manager = "bsimon"
$Password_manager = "Pass1w0rd"
$Department = "Sales"
$UPN_manager = "bsimon@<your tenant name here>"

Install-Module -Name AzureAD
Connect-MgGraph -Confirm

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "<Password>"
New-MgUser -DisplayName $Displayname_manager  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_manager -AccountEnabled $true -MailNickName $Name_manager -Department $Department
New-MgUser -DisplayName $Displayname_employee  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_employee -AccountEnabled $true -MailNickName $Name_employee -Department $Department

Jakmile se uživatelé úspěšně vytvoří ve Microsoft Entra ID, můžete pokračovat podle kurzů pracovních postupů životního cyklu pro vytvoření pracovního postupu.

Další kroky pro scénář před zapůjčením

Existuje několik dalších kroků, o nichž byste měli vědět při testování kurzu Onboarding uživatelů do vaší organizace pomocí pracovních postupů životního cyklu pomocí Microsoft Entra Správa Center nebo kurzu Onboarding uživatelů do vaší organizace pomocí pracovních postupů životního cyklu pomocí Microsoft Graphu.

Úprava atributů uživatelů pomocí Centra pro správu Microsoft Entra

Některé atributy vyžadované pro kurz onboardingu před zahájením registrace jsou zpřístupněné prostřednictvím centra pro správu Microsoft Entra a dají se tam nastavit.

Jsou to tyto atributy:

Atribut	Popis	Nastavit na
pošta	Slouží k upozornění nadřízenýho na dočasné přístupové heslo pro nové zaměstnance.	Manažer
manager	Tento atribut používaný pracovním postupem životního cyklu	Zaměstnanec

Pro účely tohoto kurzu stačí atribut mail nastavit pouze pro účet správce a atribut manažera nastavený pro účet zaměstnance. Použijte k tomu následující postup:

1. Přihlaste se k Centru pro správu Microsoft Entra jako alespoň správce uživatelů.
2. Přejděte na >Uživatelé identity>–>Všichni uživatelé.
3. Vyberte Melva Prince.
4. Nahoře vyberte Upravit.
5. V části Manager (Manažer) vyberte Change (Změnit) a Select Britta Simon (Britta Simon).
6. V horní části vyberte Uložit.
7. Zpět uživatelům a vyberte Britta Simon.
8. Nahoře vyberte Upravit.
9. V části Email zadejte platnou e-mailovou adresu.
10. Vyberte Uložit.

Upravit employeeHireDate

Atribut employeeHireDate je ve Microsoft Entra ID nový. Není přístupný prostřednictvím uživatelského rozhraní a musí se aktualizovat pomocí Graphu. K úpravě tohoto atributu můžeme použít Graph Explorer.

Poznámka

Mějte na paměti, že pracovní postup se nespustí, když je datum náboru zaměstnance (dny z události) před datem vytvoření pracovního postupu. V budoucnu musíte nastavit employeeHiredate záměrně. Data použitá v tomto kurzu představují snímek v čase. Proto byste měli data odpovídajícím způsobem změnit, aby vyhovovala této situaci.

Abychom to mohli udělat, musíme získat ID objektu pro našeho uživatele Melva Prince.

1. Přihlaste se k Centru pro správu Microsoft Entra jako alespoň správce uživatelů.

2. Přejděte na >Uživatelé identity>–>Všichni uživatelé.

3. Vyberte Melva Prince.

4. Vyberte symbol kopírování vedle ID objektu.

5. Teď přejděte do Graph Exploreru.

6. Přihlaste se k Graph Exploreru pomocí účtu globálního správce vašeho tenanta.

7. V horní části změňte GET na PATCH a přidejte https://graph.microsoft.com/v1.0/users/<id> do pole . Nahraďte <id> hodnotou, kterou jsme zkopírovali dříve.

8. Do textu požadavku zkopírujte následující text a vyberte Spustit dotaz.

   {
   "employeeHireDate": "2022-04-15T22:10:00Z"
   }
   

   

9. Ověřte změnu změnou funkce PATCH zpět na GET a v1.0 na beta. Vyberte Spustit dotaz. Měly by se zobrazit atributy sady Melva.
   

Úprava atributu manažera na účtu zaměstnance

Atribut manager se používá pro úlohy e-mailových oznámení. Pracovní postup životního cyklu ho používá k odeslání dočasného hesla novému zaměstnanci e-mailem manažerovi. Pomocí následujícího postupu se ujistěte, že Microsoft Entra uživatelé mají hodnotu atributu manager.

1. Pořád ještě v Graph Exploreru.

2. Ujistěte se, že je horní část stále nastavená na PUT a https://graph.microsoft.com/v1.0/users/<id>/manager/$ref je v krabici. Změňte <id> na ID Melva Prince.

3. Zkopírujte níže uvedený kód do textu požadavku.

4. Nahraďte <managerid> v následujícím kódu hodnotou ID Britta Simons.

5. Výběr možnosti Spustit dotaz

   {
     "@odata.id": "https://graph.microsoft.com/v1.0/users/<managerid>"
   }
   

   

6. Teď můžeme ověřit správné nastavení správce změnou PUT na GET.

7. Ujistěte se, že https://graph.microsoft.com/v1.0/users/<id>/manager/ je v poli položka . Pořád <id> je to Melva Prince.

8. Vyberte Spustit dotaz. V odpovědi by se měla vrátit Britta Simonová.

   

Další informace o aktualizaci informací o správci pro uživatele v Graph API najdete v dokumentaci k přiřazení manažera. Tento atribut můžete nastavit také v Centru Správa Azure. Další informace najdete v tématu přidání nebo změna informací o profilu.

Povolení dočasného přístupového passu (TAP)

Dočasné přístupové heslo je časově omezená licence vydaná správcem, která splňuje požadavky na silné ověřování.

V tomto scénáři použijeme tuto funkci Microsoft Entra ID k vygenerování dočasného přístupového passu pro našeho nového zaměstnance. Pak se odešle e-mailem vedoucímu zaměstnance.

Pokud chcete tuto funkci používat, musí být povolená v našem tenantovi Microsoft Entra. Můžete to provést pomocí následujících kroků.

1. Přihlaste se k Centru pro správu Microsoft Entra jako alespoň globální správce.
2. Přejděte naDočasné heslo kmetodám>ověřování ochrany>.
3. Vyberte Ano , pokud chcete zásadu povolit, přidejte Brittu Simon a vyberte uživatele, kteří mají zásadu použitou, a případná obecná nastavení.

Další kroky pro scénář leaver

Existuje několik dalších kroků, o nichž byste měli vědět při testování kurzu k odhlášení uživatelů z vaší organizace pomocí pracovních postupů životního cyklu v centru pro správu Microsoft Entra nebo k odhlášení uživatelů z vaší organizace pomocí pracovních postupů životního cyklu pomocí Microsoft Graphu.

Nastavení uživatelů se skupinami a Teams s členstvím v týmu

Před zahájením kurzů pro scénář leaver se vyžaduje uživatel se skupinami a členstvím v Teams.

Další kroky

• Onboarding uživatelů do vaší organizace pomocí pracovních postupů životního cyklu v centru pro správu Microsoft Entra
• Onboarding uživatelů do vaší organizace pomocí pracovních postupů životního cyklu s Microsoft Graphem
• Kurz: Offboarding uživatelů z vaší organizace pomocí pracovních postupů životního cyklu s Microsoft Entra Správa Center
• Kurz: Offboarding uživatelů z vaší organizace pomocí pracovních postupů životního cyklu v Microsoft Graphu