Vorbereiten von Benutzerkonten für Lebenszyklus-Workflows (Vorschau)

Für die Onboarding- und Offboarding-Tutorials benötigen Sie Konten, für die die Workflows ausgeführt werden. Im folgenden Abschnitt wird erläutert, wie Sie diese Konten vorbereiten. Falls Sie bereits Testkonten besitzen, die die folgenden Anforderungen erfüllen, können Sie direkt mit den Tutorials für das Onboarding und Offboarding fortfahren. Für die Onboardingtutorials sind zwei Konten erforderlich: ein Konto für den neu eingestellten Mitarbeiter und ein anderes Konto, das als Vorgesetzter des neu eingestellten Mitarbeiters fungiert. Für das Konto für den neu eingestellten Mitarbeiter müssen die folgenden Attribute festgelegt werden:

  • „employeeHireDate“ muss auf das heutige Datum festgelegt werden.
  • department muss auf „Vertrieb“ festgelegt werden.
  • Das manager-Attribut muss festgelegt werden, und das Konto des Vorgesetzten sollte über ein Postfach verfügen, um eine E-Mail zu empfangen.

Für die Offboarding-Tutorials ist nur ein Konto erforderlich, das über Gruppen- und Teams-Mitgliedschaften verfügt, das Konto wird während des Tutorials jedoch gelöscht.

Voraussetzungen

Für die Verwendung dieser Features sind Azure AD Premium P2-Lizenzen erforderlich. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Azure AD.

  • Einen Azure AD-Mandanten
  • Ein globales Administratorkonto für den Azure AD-Mandanten. Dieses Konto wird verwendet, um unsere Benutzer und Workflows zu erstellen.

Voraussetzungen

In den meisten Fällen werden Benutzer entweder aus einer lokalen Lösung (Azure AD Connect, Cloudsynchronisierung usw.) oder mit einer Personalverwaltungslösung in Azure AD bereitgestellt. Für diese Benutzer werden die Attribute und Werte zum Zeitpunkt der Erstellung aufgefüllt. Das Einrichten der Infrastruktur zur Bereitstellung von Benutzern wird in diesem Tutorial nicht behandelt. Weitere Informationen finden Sie unter Tutorial: Grundlegende Active Directory-Umgebung und Tutorial: Integrieren einer einzelnen Gesamtstruktur in einen einzelnen Azure AD-Mandanten.

Erstellen von Benutzern in Azure AD

Wir verwenden den Graph-Explorer, um schnell zwei Benutzer zu erstellen, die zum Ausführen der Lebenszyklus-Workflows in den Tutorials erforderlich sind. Ein Benutzer stellt unseren neuen Mitarbeiter und der zweite den Vorgesetzten des neuen Mitarbeiters dar.

Sie müssen den POST-Befehl bearbeiten und den Teil <your tenant name here> durch den Namen Ihres Mandanten ersetzen. Beispiel: Ändern Sie „$UPN_manager = "bsimon@<your tenant name here>“ in „$UPN_manager = "bsimon@contoso.onmicrosoft.com"“.

Hinweis

Beachten Sie, dass ein Workflow nicht ausgelöst wird, wenn das Einstellungsdatum des Mitarbeiters (Tage ab dem Ereignis) vor dem Workflowerstellungsdatum liegt. Das Datum für „employeeHiredate“ muss entwurfsbedingt in der Zukunft liegen. Die in diesem Tutorial verwendeten Datumsangaben sind eine Momentaufnahme. Daher sollten Sie die Datumsangaben Ihrer Situation entsprechend ändern.

Wir erstellen zunächst unseren Mitarbeiter Melva Prince.

  1. Navigieren Sie nun zu Graph-Tester.
  2. Melden Sie sich bei Graph-Tester mit dem globalen Administratorkonto für Ihren Mandanten an.
  3. Ändern Sie oben GET in POST, und fügen Sie dem Feld https://graph.microsoft.com/v1.0/users/ hinzu.
  4. Kopieren Sie den folgenden Code in den Anforderungstext.
  5. Ersetzen Sie <your tenant here> im folgenden Code durch den Wert Ihres Azure AD-Mandanten.
  6. Wählen Sie Abfrage ausführen aus.
  7. Kopieren Sie die ID, die in den Ergebnissen zurückgegeben wird. Diese wird später zum Zuweisen eines Vorgesetzten verwendet.
{
"accountEnabled": true,
"displayName": "Melva Prince",
"mailNickname": "mprince",
"department": "sales",
"mail": "mpricne@<your tenant name here>",
"employeeHireDate": "2022-04-15T22:10:00Z"
"userPrincipalName": "mprince@<your tenant name here>",
"passwordProfile" : {
 "forceChangePasswordNextSignIn": true,
 "password": "xWwvJ]6NMw+bWH-d"
}
}

Screenshot: POST-Befehl zum Erstellen von Melva in Graph-Tester

Als Nächstes erstellen wir Britta Simon. Dies ist das Konto, das für den Vorgesetzten verwendet wird.

  1. Noch in Graph-Tester:
  2. Stellen Sie sicher, dass die Option oben weiterhin auf POST festgelegt ist und https://graph.microsoft.com/v1.0/users/ im Feld angegeben ist.
  3. Kopieren Sie den folgenden Code in den Anforderungstext.
  4. Ersetzen Sie <your tenant here> im folgenden Code durch den Wert Ihres Azure AD-Mandanten.
  5. Wählen Sie Abfrage ausführen aus.
  6. Kopieren Sie die ID, die in den Ergebnissen zurückgegeben wird. Diese wird später zum Zuweisen eines Vorgesetzten verwendet.
{
"accountEnabled": true,
"displayName": "Britta Simon",
"mailNickname": "bsimon",
"department": "sales",
"mail": "bsimon@<your tenant name here>",
"employeeHireDate": "2021-01-15T22:10:00Z"
"userPrincipalName": "bsimon@<your tenant name here>",
"passwordProfile" : {
 "forceChangePasswordNextSignIn": true,
 "password": "xWwvJ]6NMw+bWH-d"
}
}

Hinweis

Sie müssen den Abschnitt <your tenant name here> des Codes so ändern, dass er Ihrem Azure AD-Mandanten entspricht.

Alternativ kann auch das folgende PowerShell-Skript verwendet werden, um schnell zwei Benutzer zu erstellen, die zum Ausführen eines Lebenszyklus-Workflows erforderlich sind. Ein Benutzer stellt unseren neuen Mitarbeiter und der zweite den Vorgesetzten des neuen Mitarbeiters dar.

Wichtig

Das folgende PowerShell-Skript wird bereitgestellt, um schnell die beiden Benutzer zu erstellen, die für dieses Tutorial erforderlich sind. Diese Benutzer können auch manuell erstellt werden, indem Sie sich beim Azure-Portal als globaler Administrator anmelden und sie erstellen.

Speichern Sie zum Erstellen dieses Schritts das unten angegebene PowerShell-Skript in einem Speicherort auf einem Computer, der Zugriff auf Azure hat.

Als Nächstes müssen Sie das Skript bearbeiten und den Teil <your tenant name here> durch den Namen Ihres Mandanten ersetzen. Beispiel: Ändern Sie „$UPN_manager = "bsimon@<your tenant name here>“ in „$UPN_manager = "bsimon@contoso.onmicrosoft.com"“.

Sie müssen diese Aktion sowohl für „$UPN_employee“ als auch für „$UPN_manager“ ausführen.

Speichern Sie das Skript nach dem Bearbeiten, und führen Sie die folgenden Schritte aus:

  1. Öffnen Sie eine Windows PowerShell-Eingabeaufforderung mit Administratorrechten auf einem Computer, der Zugriff auf das Azure-Portal hat.
  2. Navigieren Sie zum Speicherort des PowerShell-Skripts, und führen Sie es aus.
  3. Wählen Sie beim Installieren des Azure AD-Moduls bei entsprechender Aufforderung Ja für alle aus.
  4. Melden Sie sich bei entsprechender Aufforderung als globaler Administrator für Ihren Azure AD-Mandanten beim Azure-Portal an.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables

$Displayname_employee = "Melva Prince"
$UPN_employee = "mprince<your tenant name here>"
$Name_employee = "mprince"
$Password_employee = "Pass1w0rd"
$EmployeeHireDate_employee = "04/10/2022"
$Department_employee = "Sales"
$Displayname_manager = "Britta Simon"
$Name_manager = "bsimon"
$Password_manager = "Pass1w0rd"
$Department = "Sales"
$UPN_manager = "bsimon@<your tenant name here>"

Install-Module -Name AzureAD
Connect-AzureAD -Confirm

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "<Password>"
New-AzureADUser -DisplayName $Displayname_manager  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_manager -AccountEnabled $true -MailNickName $Name_manager -Department $Department
New-AzureADUser -DisplayName $Displayname_employee  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_employee -AccountEnabled $true -MailNickName $Name_employee -Department $Department

Nachdem Ihre Benutzer erfolgreich in Azure AD erstellt wurden, können Sie zum Erstellen Ihres Workflows die Tutorials für Lebenszyklus-Workflows befolgen.

Weitere Schritte für das Szenario vor der Einstellung

Es gibt einige zusätzliche Schritte, die Sie beim Testen des Tutorials zum Onboarding von Benutzern in Ihrer Organisation mithilfe von Lebenszyklus-Workflows mit dem Azure-Portal (Vorschau) oder des Tutorials zum Onboarding von Benutzern in Ihrer Organisation mithilfe von Lebenszyklus-Workflows mit Microsoft Graph (Vorschau) beachten müssen.

Bearbeiten der Benutzerattribute mithilfe des Azure-Portals

Einige der Attribute, die für das Onboarding-Tutorial vor der Einstellung erforderlich sind, werden über das Azure-Portal verfügbar gemacht und können dort festgelegt werden.

Zu diesen Attributen zählen folgende:

attribute Beschreibung Festlegen für
mail Wird verwendet, um den Vorgesetzten über den temporären Zugriffspass des neuen Mitarbeiters zu benachrichtigen Manager
manager Das Attribut, das vom Lebenszyklusworkflow verwendet wird Employee

Für das Tutorial muss das Attribut mail nur für das Konto des Vorgesetzen und das Attribut manager für das Mitarbeiterkonto festgelegt werden. Führen Sie die folgenden Schritte aus:

  1. Melden Sie sich beim Azure-Portal an.
  2. Wählen Sie im rechten Bereich Azure Active Directory aus.
  3. Wählen Sie Benutzer aus.
  4. Wählen Sie Melva Prince aus.
  5. Wählen Sie oben Bearbeiten aus.
  6. Wählen Sie unter „Vorgesetzter“ die Option Ändern und dann Britta Simon aus.
  7. Klicken Sie oben auf Speichern.
  8. Navigieren Sie zurück zu den Benutzern, und wählen Sie Britta Simon aus.
  9. Wählen Sie oben Bearbeiten aus.
  10. Geben Sie unter E-Mail eine gültige E-Mail-Adresse ein.
  11. Wählen Sie Speichern aus.

Bearbeiten von employeeHireDate

Das Attribut „employeeHireDate“ ist neu in Azure AD. Es wird nicht über die Benutzeroberfläche verfügbar gemacht und muss mithilfe von Graph aktualisiert werden. Zum Bearbeiten dieses Attributs können wir Graph-Tester verwenden.

Hinweis

Beachten Sie, dass ein Workflow nicht ausgelöst wird, wenn das Einstellungsdatum des Mitarbeiters (Tage ab dem Ereignis) vor dem Workflowerstellungsdatum liegt. Das Datum für „employeeHiredate“ muss entwurfsbedingt in der Zukunft liegen. Die in diesem Tutorial verwendeten Datumsangaben sind eine Momentaufnahme. Daher sollten Sie die Datumsangaben Ihrer Situation entsprechend ändern.

Dazu müssen Sie die Objekt-ID für den Benutzer Melva Prince abrufen.

  1. Melden Sie sich beim Azure-Portalan.

  2. Wählen Sie im rechten Bereich Azure Active Directory aus.

  3. Wählen Sie Benutzer aus.

  4. Wählen Sie Melva Prince aus.

  5. Wählen Sie das Kopierzeichen neben der Objekt-ID aus.

  6. Navigieren Sie nun zu Graph-Tester.

  7. Melden Sie sich bei Graph-Tester mit dem globalen Administratorkonto für Ihren Mandanten an.

  8. Ändern Sie oben GET in PATCH, und fügen Sie dem Feld https://graph.microsoft.com/v1.0/users/<id> hinzu. Ersetzen Sie <id> durch den oben kopierten Wert.

  9. Kopieren Sie Folgendes in den Anforderungstext, und wählen Sie Abfrage ausführen aus.

    {
    "employeeHireDate": "2022-04-15T22:10:00Z"
    }
    

    Screenshot: employeeHireDate für PATCH

  10. Überprüfen Sie die Änderung, indem Sie PATCH zurück in GET und v1.0 in Beta ändern. Wählen Sie Abfrage ausführen aus. Die für Melva festgelegten Attribute sollten angezeigt werden.
    Screenshot: employeeHireDate für GET

Bearbeiten des manager-Attributs für das Mitarbeiterkonto

Das manager-Attribut wird für E-Mail-Benachrichtigungsaufgaben verwendet. Es wird vom Lebenszyklus-Workflow verwendet, um dem Vorgesetzten per E-Mail ein temporäres Kennwort für den neuen Mitarbeiter zu senden. Führen Sie die folgenden Schritte aus, um sicherzustellen, dass für Ihre Azure AD-Benutzer ein Wert für das manager-Attribut festgelegt ist.

  1. Noch in Graph-Tester:

  2. Stellen Sie sicher, dass die Option oben weiterhin auf PUT festgelegt ist und https://graph.microsoft.com/v1.0/users/<id>/manager/$ref im Feld angegeben ist. Ändern Sie <id> in die ID von Melva Prince.

  3. Kopieren Sie den folgenden Code in den Anforderungstext.

  4. Ersetzen Sie <managerid> im folgenden Code durch den Wert der ID von Britta Simon.

  5. Wählen Sie Abfrage ausführen aus.

    {
    "@odata.id": "https://graph.microsoft.com/v1.0/users/<managerid>"
    }
    

    Screenshot: Hinzufügen eines Vorgesetzten in Graph-Tester

  6. Jetzt können Sie überprüfen, ob der Vorgesetzte korrekt festgelegt wurde, indem Sie PUT in GET ändern.

  7. Stellen Sie sicher, dass im Feld https://graph.microsoft.com/v1.0/users/<id>/manager/ angegeben ist. Für <id> ist noch die ID von Melva Prince angegeben.

  8. Wählen Sie Abfrage ausführen aus. In der Antwort sollte Britta Simon zurückgegeben werden.

    Screenshot: Abrufen eines Vorgesetzten in Graph-Tester

Weitere Informationen zum Aktualisieren von Vorgesetzteninformationen für einen Benutzer in der Graph-API finden Sie in der Dokumentation zum Zuweisen von Vorgesetzten. Sie können dieses Attribut auch in Azure Admin Center festlegen. Weitere Informationen finden Sie unter Hinzufügen oder Aktualisieren von Benutzerprofilinformationen mit Azure Active Directory.

Aktivieren des befristeten Zugriffspasses (Temporary Access Pass, TAP)

Ein befristeter Zugriffspass ist ein von einem Administrator ausgestellter zeitlich befristeter Pass, der strenge Authentifizierungsanforderungen erfüllt.

In diesem Szenario verwenden wir dieses Feature von Azure AD, um einen befristeten Zugriffspass für einen neuen Mitarbeiter zu generieren. Er wird anschließend per E-Mail an den Vorgesetzten des Mitarbeiters gesendet.

Um dieses Feature zu verwenden, muss es für den Azure AD-Mandanten aktiviert sein. Gehen Sie dazu folgendermaßen vor.

  1. Melden Sie sich als globaler Administrator beim Azure-Portal an, und wählen Sie Azure Active Directory>Sicherheit>Authentifizierungsmethoden>Befristeter Zugriffspass aus.
  2. Wählen Sie Ja aus, um die Richtlinie zu aktivieren und Britta Simon hinzuzufügen. Wählen Sie aus, auf welche Benutzer die Richtlinie angewendet werden soll, und wählen Sie unter Allgemein die gewünschten Einstellungen aus.

Weitere Schritte für das Szenario für Abgänger

Es gibt einige zusätzliche Schritte, die Sie beim Testen des Tutorials zum Offboarding von Benutzern in Ihrer Organisation mithilfe von Lebenszyklus-Workflows mit dem Azure-Portal (Vorschau) oder des Tutorials zum Offboarding von Benutzern in Ihrer Organisation mithilfe von Lebenszyklus-Workflows mit Microsoft Graph (Vorschau) beachten müssen.

Einrichten von Benutzern mit Gruppen und Teams mit Teammitgliedschaft

Ein Benutzer mit Gruppen- und Teams-Mitgliedschaften ist erforderlich, bevor Sie mit dem Tutorial für das Szenario für Abgänge beginnen.

Nächste Schritte