Synchronisieren von Attributen für Lebenszyklus-Workflows

  • Artikel

Workflows enthalten bestimmte Aufgaben, die basierend auf den angegebenen Ausführungsbedingungen automatisch für Benutzer ausgeführt werden können. Die automatische Workflowplanung wird basierend auf den Attributen „employeeHireDate“ und „employeeLeaveDateTime“ in Microsoft Entra ID unterstützt.

Um von allen Vorteilen der Lebenszyklus-Workflows zu profitieren, sollte die Benutzerbereitstellung automatisiert werden, und die für die Planung relevanten Attribute müssen synchronisiert werden.

Für die Planung relevante Attribute

In der folgenden Tabelle sind die relevanten Attribute für die Planung (Auslöser) und die Methoden der Synchronisierung aufgeführt, die unterstützt werden.

attribute type Unterstützt bei der eingehenden Personalbereitstellung Unterstützung für die Microsoft Entra Connect-Cloudsynchronisierung Unterstützung für die Microsoft Entra Connect-Synchronisierung
employeeHireDate DateTimeOffset Ja Ja Ja
employeeLeaveDateTime DateTimeOffset Ja Ja Ja

Hinweis

Das manuelle Festlegen von employeeLeaveDateTime für reine Cloudbenutzer erfordert spezielle Berechtigungen. Weitere Informationen finden Sie unter Konfigurieren der employeeLeaveDateTime-Eigenschaft für Benutzer*innen

In diesem Dokument wird erläutert, wie Sie die Synchronisierung aus der lokalen Microsoft Entra Connect-Cloudsynchronisierung oder Microsoft Entra Connect für die erforderlichen Attribute einrichten.

Hinweis

Es gibt kein entsprechendes EmployeeHireDate- oder EmployeeLeaveDateTime-Attribut in Active Directory. Beim Synchronisieren aus einer lokalen AD-Instanz müssen Sie ein Attribut in AD identifizieren, das verwendet werden kann. Dieses Attribut muss eine Zeichenfolge sein.

Grundlegendes zur Formatierung von EmployeeHireDate und EmployeeLeaveDateTime

EmployeeHireDate und EmployeeLeaveDateTime enthalten Datums- und Uhrzeitangaben, die auf eine bestimmte Weise formatiert werden müssen. Das bedeutet, dass Sie unter Umständen einen Ausdruck verwenden müssen, um den Wert Ihres Quellattributs in ein Format zu konvertieren, das für EmployeeHireDate oder EmployeeLeaveDateTime akzeptiert wird. In der folgenden Tabelle wird das erwartete Format beschrieben und ein Beispielausdruck zum Konvertieren der Werte bereitgestellt.

Szenario Ausdruck/Format Ziel Weitere Informationen
Benutzerbereitstellung von Workday in Active Directory FormatDateTime([StatusHireDate], "yyyy-MM-ddzzz", "yyyyMMddHHmmss.fZ") Lokales AD-Zeichenfolgenattribut Attributzuordnungen für Workday
Benutzerbereitstellung von SuccessFactors in Active Directory FormatDateTime([endDate], ,"M/d/yyyy hh:mm:ss tt","yyyyMMddHHmmss.fZ") Lokales AD-Zeichenfolgenattribut Attributzuordnungen für SAP Success Factors
Benutzerdefinierter Import in Active Directory Muss im Format „yyyyMMddHHmmss.fZ“ angegeben werden Lokales AD-Zeichenfolgenattribut Attributzuordnungen für ein anderes Quelldatensatzsystem
Microsoft Graph-Benutzer-API Muss im Format „YYYY-MM-DDThh:mm:ssZ“ angegeben werden EmployeeHireDate und EmployeeLeaveDateTime
Workday zur Microsoft Entra-Benutzerbereitstellung Kann eine direkte Zuordnung verwenden. Es ist kein Ausdruck erforderlich, jedoch kann ein Ausdruck verwendet werden, um den Zeitbereich von EmployeeHireDate und EmployeeLeaveDateTime anzupassen. EmployeeHireDate und EmployeeLeaveDateTime
SuccessFactors zu Microsoft Entra-Benutzerbereitstellung Kann eine direkte Zuordnung verwenden. Es ist kein Ausdruck erforderlich, jedoch kann ein Ausdruck verwendet werden, um den Zeitbereich von EmployeeHireDate und EmployeeLeaveDateTime anzupassen. EmployeeHireDate und EmployeeLeaveDateTime

Weitere Informationen zu Ausdrücken finden Sie unter Referenz zum Schreiben von Ausdrücken für Attributzuordnungen in Microsoft Entra ID.

Die Ausdrucksbeispiele in der Tabelle verwenden endDate für SAP und StatusHireDate für Workday. Sie können jedoch auch andere Attribute verwenden.

Beispielsweise können Sie StatusContinuousFirstDayOfWork anstelle von StatusHireDate für Workday verwenden. In diesem Fall würde Ihr Ausdruck wie folgt lauten:

FormatDateTime([StatusContinuousFirstDayOfWork], , "yyyy-MM-ddzzz", "yyyyMMddHHmmss.fZ")

Die folgende Tabelle enthält eine Liste der vorgeschlagenen Attribute und ihre Szenarioempfehlungen.

Personalattribut Personalsystem Szenario Microsoft Entra-Attribut
StatusHireDate Workday Zugang EmployeeHireDate
StatusContinuousFirstDayOfWork Workday Zugang EmployeeHireDate
StatusDateEnteredWorkforce Workday Zugang EmployeeHireDate
StatusOriginalHireDate Workday Zugang EmployeeHireDate
StatusEndEmploymentDate Workday Abgang EmployeeLeaveDateTime
StatusResignationDate Workday Abgang EmployeeLeaveDateTime
StatusRetirementDate Workday Abgang EmployeeLeaveDateTime
StatusTerminationDate Workday Abgang EmployeeLeaveDateTime
startDate SAP SF Zugang EmployeeHireDate
firstDateWorked SAP SF Zugang EmployeeHireDate
lastDateWorked SAP SF Abgang EmployeeLeaveDateTime
endDate SAP SF Abgang EmployeeLeaveDateTime

Weitere Attribute finden Sie in der Workday-Attributreferenz und SAP SuccessFactors-Attributreferenz.

Bedeutung der Zeit

Um die zeitliche Genauigkeit geplanter Workflows zu gewährleisten, ist es wichtig, Folgendes zu berücksichtigen:

  • Der Zeitbereich des Attributs muss entsprechend festgelegt werden. Für employeeHireDate muss beispielsweise eine Uhrzeit zu Tagesbeginn wie 1 Uhr oder 5 Uhr und für employeeLeaveDateTime eine Uhrzeit am Ende des Tages wie 21 Uhr oder 23 Uhr festgelegt werden.
  • Die Workflows werden nicht vor dem im Attribut angegebenen Zeitpunkt ausgeführt, der Mandantenzeitplan (Standardeinstellung: 3 Stunden) kann jedoch die Workflowausführung verzögern. Wenn Sie z. B. employeeHireDate auf 8 Uhr festlegen, der Mandantenzeitplan jedoch erst um 21 Uhr ausgeführt wird, wird der Workflow erst dann verarbeitet. Wenn ein neu eingestellter Mitarbeiter um 8 Uhr beginnt, wird empfohlen, die Uhrzeit auf eine Zeit wie (Startzeit > Mandantenzeitplan) festzulegen, um sicherzustellen, dass die Ausführung vor Ankunft des Mitarbeiters erfolgt.
  • Es wird empfohlen, dass Sie bei Verwendung eines befristeten Zugriffspasses (Temporary Access Pass, TAP) die maximale Lebensdauer auf 24 Stunden festlegen. Dadurch wird sichergestellt, dass der TAP nicht abgelaufen ist, nachdem er an einen Mitarbeiter gesendet wurde, der sich unter Umständen in einer anderen Zeitzone befindet. Weitere Informationen finden Sie unter Konfigurieren des befristeten Zugriffspasses in Microsoft Entra ID für die Registrierung von kennwortlosen Authentifizierungsmethoden.
  • Beim Importieren der Daten sollten Sie wissen, ob und wie die Quelle Zeitzoneninformationen für Ihre Benutzer bereitstellt, um ggf. Anpassungen vorzunehmen und dadurch die zeitliche Genauigkeit sicherzustellen.

Erstellen einer benutzerdefinierten Synchronisierungsregel in der Microsoft Entra Connect-Cloudsynchronisierung für EmployeeHireDate

Die folgenden Schritte führen Sie durch das Erstellen einer Synchronisierungsregel mithilfe der Cloudsynchronisierung.

  1. Navigieren Sie im Microsoft Entra Admin Center zu >Hybridverwaltung>Microsoft Entra Connect.
  2. Wählen Sie Microsoft Entra Connect-Cloudsynchronisierung verwalten aus.
  3. Wählen Sie unter Konfiguration Ihre Konfiguration aus.
  4. Wählen Sie Zum Bearbeiten der Zuordnungen klicken aus. Über diesen Link wird der Bildschirm Attributzuordnungen geöffnet.
  5. Klicken Sie auf Attribut hinzufügen.
  6. Geben Sie die folgenden Informationen ein:
    • Zuordnungstyp: Direkt
    • Quellattribut: msDS-cloudExtensionAttribute1
    • Standardwert: Leer lassen
    • Zielattribut: employeeHireDate
    • Wenden Sie dieses Mapping an: Immer Screenshot of the cloud attribute mapping.
  7. Wählen Sie Übernehmen.
  8. Wenn Sie zum Bildschirm Attributzuordnung zurückkehren, sollte die neue Attributzuordnung angezeigt werden.
  9. Wählen Sie Schema speichern aus.

Weitere Informationen zu Attributen finden Sie unter Attributzuordnung bei der Microsoft Entra Connect-Cloudsynchronisierung.

Erstellen einer benutzerdefinierten Synchronisierungsregel in Microsoft Entra Connect für EmployeeHireDate

Im folgenden Beispiel werden Sie durch das Einrichten einer benutzerdefinierten Synchronisierungsregel geführt, die das Active Directory-Attribut mit dem employeeHireDate-Attribut in Microsoft Entra ID synchronisiert.

  1. Öffnen Sie als Administrator*in ein PowerShell-Fenster, und führen Sie Set-ADSyncScheduler -SyncCycleEnabled $false aus, um den Planer zu deaktivieren.
  2. Navigieren Sie zu „Start\Microsoft Entra Connect\“, und öffnen Sie den Synchronisierungsregel-Editor
  3. Vergewissern Sie sich, dass die Richtung oben auf Eingehend festgelegt ist.
  4. Wählen Sie Regel hinzufügen aus.
  5. Geben Sie auf dem Bildschirm Erstellen einer Synchronisierungsregel für eingehende Daten die folgenden Informationen ein, und wählen Sie Weiter aus.
    • Name: Eingehend aus AD – EmployeeHireDate
    • Verbundenes System: contoso.com
    • Objekttyp des verbundenen Systems: Benutzer
    • Metaverse-Objekttyp: Person
    • Rangfolge: 20 Screenshot of creating an inbound synchronization rule basics.
  6. Wählen Sie auf dem Bildschirm für den Bereichsfilter die Option Weiter aus.
  7. Wählen Sie auf dem Bildschirm Verknüpfungsregeln die Option Weiter aus.
  8. Geben Sie auf dem Bildschirm Transformationen unter Transformationen hinzufügen die folgenden Informationen ein:
    • FlowType: Direkt
    • Zielattribut: employeeHireDate
    • Quelle: msDS-cloudExtensionAttribute1 Screenshot of creating inbound synchronization rule transformations.
  9. Klicken Sie auf Hinzufügen.
  10. Stellen Sie im Synchronisierungsregel-Editor sicher, dass die Richtung oben auf Ausgehend festgelegt ist.
  11. Wählen Sie Regel hinzufügen aus.
  12. Geben Sie auf dem Bildschirm Erstellen einer Synchronisierungsregel für ausgehende Daten die folgenden Informationen ein, und wählen Sie Weiter aus.
    • Name: Ausgehend zu Microsoft Entra ID – EmployeeHireDate
    • Verbundenes System: <Ihr Mandant>
    • Objekttyp des verbundenen Systems: Benutzer
    • Metaverse-Objekttyp: Person
    • Rangfolge: 21
  13. Wählen Sie auf dem Bildschirm für den Bereichsfilter die Option Weiter aus.
  14. Wählen Sie auf dem Bildschirm Verknüpfungsregeln die Option Weiter aus.
  15. Geben Sie auf dem Bildschirm Transformationen unter Transformationen hinzufügen die folgenden Informationen ein:
    • FlowType: Direkt
    • Zielattribut: employeeHireDate
    • Quelle: employeeHireDate Screenshot of create outbound synchronization rule transformations.
  16. Klicken Sie auf Hinzufügen.
  17. Schließen Sie den Synchronisierungsregel-Editor.
  18. Aktivieren Sie den Planer erneut, indem Sie Set-ADSyncScheduler -SyncCycleEnabled $true ausführen.

Hinweis

  • msDS-cloudExtensionAttribute1 ist eine Beispielquelle.
  • Ab Microsoft Entra Connect 2.0.3.0 wird employeeHireDate zur Standardregel „Ausgehend an Microsoft Entra ID“ hinzugefügt; daher sind die Schritte 10–16 nicht erforderlich.
  • Ab Microsoft Entra Connect 2.1.19.0 wird employeeLeaveDateTime zur Standardregel „Ausgehend an Microsoft Entra ID“ hinzugefügt; daher sind die Schritte 10–16 nicht erforderlich.

Weitere Informationen finden Sie unter Anpassen einer Synchronisierungsregel und Ändern der Standardkonfiguration.

Bearbeiten der Attributzuordnung in der Bereitstellungsanwendung

Nachdem Sie Ihre Bereitstellungsanwendung eingerichtet haben, können Sie die Attributzuordnung bearbeiten. Wenn die App erstellt wird, erhalten Sie eine Liste der Standardzuordnungen zwischen HRM und Active Directory. Von dort aus können Sie entweder die vorhandene Zuordnung bearbeiten oder eine neue Zuordnung hinzufügen.

Um diese Zuordnung zu aktualisieren, gehen Sie wie folgt vor:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Globaler Administrator an.

  2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.

  3. Öffnen Sie Ihre bereitgestellte Anwendung.

  4. Wählen Sie Bereitstellung und dann Attributzuordnung bearbeiten aus.

  5. Wählen Sie Erweiterte Optionen anzeigen und dann „Attributliste für lokales Active Directory bearbeiten“ aus. Screenshot of editing on-premises attribute.

  6. Fügen Sie die als Typzeichenfolge erstellten Quellattribute hinzu, und aktivieren Sie das Kontrollkästen für „Erforderlich“. Screenshot of source API list.

    Hinweis

    Die Anzahl und der jeweilige Name der hinzugefügten Quellattribute hängen davon ab, welche Attribute Sie aus Active Directory synchronisieren.

  7. Wählen Sie Speichern.

  8. Von dort aus müssen Sie die HRM-Attribute den hinzugefügten Active Directory-Attributen zuordnen. Fügen Sie hierzu eine neue Zuordnung mithilfe eines Ausdrucks hinzu.

  9. Ihr Ausdruck muss mit der Formatierung übereinstimmen, die im Abschnitt Grundlegendes zur Formatierung von EmployeeHireDate und EmployeeLeaveDateTime enthalten ist. Screenshot of setting attribute format.

  10. Wählen Sie „OK“ aus.

Überprüfen dieser Attributwerte in Microsoft Entra ID

Um die Werte zu überprüfen, die für diese Eigenschaften für Benutzerobjekte in Microsoft Entra ID festgelegt sind, können Sie das Microsoft Graph PowerShell SDK verwenden. Beispiel:

# Import Module
Import-Module Microsoft.Graph.Users

# Define the necessary scopes
$Scopes =@("User.Read.All", "User-LifeCycleInfo.Read.All")

# Connect using the scopes defined and select the Beta API Version
Connect-MgGraph -Scopes $Scopes


# Query a user, using its user ID, and return the desired properties
$user = Get-MgUser -UserID "9093a415-2968-48b5-808b-a1a6f006f7a3" -Property EmployeeLeaveDateTime
$User.EmployeeLeaveDateTime

Screenshot of the result.

Nächste Schritte