Správa synchronizovaných místních uživatelů s pracovními postupy životního cyklu
Pracovní postupy životního cyklu podporují řízení životního cyklu identit pro uživatelské účty synchronizované z místní Active Directory Domain Services (AD-DS) do Microsoft Entra. U pracovních postupů životního cyklu je nezbytné, aby uživatelský účet existoval v Microsoft Entra, ale způsob vytvoření účtu nebo způsob provádění změn souvisejících s životním cyklem účtu hraje menší roli, pokud jde o zpracování pracovních postupů a přidružených úkolů pro uživatelský účet. Podpora zahrnuje účty a změny provedené prostřednictvím cest, jako je zřizování řízené personálním oddělením, rozhraní Microsoft Graph API, portál Microsoft Entra Správa a změny synchronizované službou Microsoft Entra Připojení a MicrosoftCloud Sync.
V tomto článku se dozvíte, co je potřeba zvážit, pokud chcete používat pracovní postupy životního cyklu pro uživatelské účty synchronizované z místní Active Directory Domain Services (AD-DS) do Microsoft Entra, označované jako "synchronizovaní místní uživatelé".
Podmínky provádění pracovního postupu se synchronizovanými místními uživateli
Pracovní postupy životního cyklu se zpracovávají pro uživatelské účty, když splňují podmínky provádění pracovních postupů. Spouštění podmínek se skládá z triggeru a oboru. Trigger popisuje událost, která se vyskytuje pro uživatelský účet. Obor umožňuje dále definovat, pro koho pracovní postup začíná při výskytu události.
Triggery pracovního postupu
Následující tabulka ukazuje, co je potřeba zvážit pro jednotlivé triggery pracovního postupu při použití se synchronizovanými místními uživateli:
| Trigger pracovního postupu | Požadavky |
|---|---|
| Změny atributů (Preview) | Pokud se atributy synchronizují, není potřeba žádná další konfigurace. Informace o synchronizovaných atributech najdete v tématu: Mapování atributů v Microsoft Entra Cloud Sync a Microsoft Entra Připojení Sync: Rozšíření adresáře. Když dojde ke změně v místní Active Directory, musí synchronizace prostřednictvím microsoft Entra Cloud Sync nebo Microsoft Entra Připojení Sync proběhnout, než bude možné změny vybrat z pracovních postupů životního cyklu. |
| Členství ve skupinách (Preview) | Protože se podporuje jakýkoli typ skupiny, nevyžaduje se žádná další konfigurace. Pokud skupina pochází z místní Active Directory, musí se synchronizovat s Microsoft Entra. Před vyzvednutím změn z pracovních postupů životního cyklu je potřeba provést synchronizaci Microsoft Entra Cloud Sync nebo Microsoft Entra Připojení Sync. |
| Na vyžádání | Není potřeba žádná další konfigurace. |
| Na základě času | employeeHireDate, employeeLeaveDateTime: Tyto atributy musí být před používáním synchronizovány. Další informace o tomto procesu najdete v tématu: Jak synchronizovat atributy pracovních postupů životního cyklu. createdDateTime: Žádné další požadavky nejsou potřeba. Toto datum je den, kdy se uživatelský účet synchronizuje s ID Microsoft Entra, ne při jejich vytvoření v rámci služby Active Directory. |
Vymezení rozsahu pracovního postupu
Pro atributy uživatele používané v rámci možností oborů pracovního postupu není potřeba žádná další konfigurace, pokud jsou vybrané atributy již synchronizovány. Informace o synchronizovaných atributech najdete v tématu: Mapování atributů v Microsoft Entra Cloud Sync a Microsoft Entra Připojení Sync: Rozšíření adresáře. Když dojde ke změně v místní Active Directory, musí synchronizace prostřednictvím microsoft Entra Cloud Sync nebo Microsoft Entra Připojení Sync proběhnout, než bude možné změny vybrat z pracovních postupů životního cyklu.
Úlohy pracovního postupu a synchronizované místní funkce
Všechny úlohy pracovního postupu životního cyklu fungují pro cloud i synchronizované místní uživatele, s výjimkou omezení uvedených na konkrétních úkolech dále v tomto článku. Další informace o všech úlohách pracovního postupu životního cyklu najdete v tématu: Předdefinované úlohy pracovního postupu životního cyklu.
Úkoly pro řízení členství ve skupinách
Úlohy pracovních postupů životního cyklu pro řízení členství ve skupinách nelze použít pro skupiny, které jsou synchronizované z místní Active Directory do Microsoft Entra. Zásady správného řízení id Microsoft Entra se ale dají použít k řízení přístupu k aplikacím místní Active Directory (Kerberos) pomocí skupin z cloudu, které jsou podporovány v rámci pracovních postupů životního cyklu.
Úlohy uživatelského účtu (Preview)
Pro úlohy pracovního postupu životního cyklu se vyžaduje další konfigurace, aby bylo možné povolit, zakázat a odstranit uživatelské účty, aby fungovaly se synchronizovanými místními uživateli. Před konfigurací úloh pro provádění akcí v místní Active Directory je nutné splnit následující požadavky.
- Ve vašem prostředí musíte mít nainstalovaného agenta zřizování Microsoft Entra. Požadavky na instalaci agenta zřizování Microsoft Entra najdete v tématu: Požadavky agenta zřizování cloudu. Podrobný průvodce instalací agenta Microsoft Entra Provisioning najdete v tématu: Instalace agenta Microsoft Entra Provisioning. Během instalace zvolte "zřizování řízené hrou / Microsoft Entra Připojení Sync" jako "konfigurace rozšíření". Nemusíte přidávat žádné další konfigurace pro agenta zřizování, jako je konfigurace cloudové synchronizace, a agenta zřizování můžete nainstalovat i v případě, že pro synchronizaci uživatelů právě používáte Microsoft Entra Připojení Sync.
Poznámka:
Nainstalovaný agent zřizování musí mít alespoň verzi 1.1.1586.0, která byla vydána 13. května 2024.
Ujistěte se, že účet spravované služby (gMSA) skupiny používaný agentem zřizování má příslušná oprávnění k provádění operací s uživatelskými účty.
Pokud chcete odstranit uživatelské účty, musíte povolit koš služby Active Directory. Podrobný průvodce povolením koše najdete v tématu: Koš služby Active Directory krok za krokem.
Podrobný průvodce nastavením příznaku tak, aby se úlohy uživatelského účtu spouštěly pro synchronizované místní uživatele, najdete v tématu: Správa synchronizovaných místních uživatelů pomocí pracovních postupů (Preview).
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro