Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Bereitstellungsszenarien sind Anleitungen zum Kombinieren und Testen von Microsoft Security-Produkten und -Diensten. Sie können ermitteln, wie Funktionen zusammenarbeiten, um die Produktivität zu verbessern, die Sicherheit zu stärken und die Einhaltung gesetzlicher Vorschriften einfacher zu erfüllen.
Die folgenden Produkte und Dienste werden in diesem Leitfaden angezeigt:
- Microsoft Entra ID Governance
- Lebenszyklus-Workflows
- Microsoft Entra
- Microsoft Entra-ID
- Microsoft Entra Connect
- Microsoft Entra-Cloudsynchronisierung
- Azure Logic Apps
- Microsoft Graph
Verwenden Sie dieses Szenario, um die Notwendigkeit von Microsoft Entra ID Governance zu ermitteln, um Zugriff für Ihre Organisation zu erstellen und zu gewähren. Erfahren Sie, wie Sie Ihre Benutzer mit der Automatisierung des Mitarbeiterlebenszyklus effektiv, sicher und konsistent bereitstellen können.
Zeitpläne
Zeitpläne zeigen die ungefähre Dauer der Lieferphase an und basieren auf der Szenariokomplexität. Die Zeiten sind Schätzungen und variieren je nach Umgebung.
- Personalbereitstellung – 3 Stunden
- Bereitstellung von SaaS-Apps (Software-as-a-Service) – 1 Stunde
- Lebenszyklusworkflows – 3 Stunden
Automatisierung des Mitarbeiterlebenszyklus
Um die Mitarbeiteridentitätsverwaltung zu optimieren, übernehmen Organisationen moderne Lösungen und Automatisierung. Mit Identitätsverwaltungssystemen und -technologien können IT-Mitarbeiter begrenzte manuelle Verfahren überwinden und stattdessen die Effizienz steigern.
Microsoft Entra-ID-Verwaltung
Mit der Microsoft Entra ID Governance-Lösung verbessern Organisationen die Produktivität, stärken die Sicherheit und erfüllen compliance- und behördliche Anforderungen. Verwenden Sie Microsoft Entra ID Governance, um sicherzustellen, dass die richtigen Personen zum richtigen Zeitpunkt über den richtigen Zugriff auf die richtigen Ressourcen verfügen. Erfahren Sie mehr über Microsoft Entra ID Governance Anwendungsfälle und Dokumentationen.
Weitere Informationen zur Microsoft Entra-ID.
Personalbasierte Bereitstellung
Die HR-gesteuerte Bereitstellung erstellt digitale Identitäten, die auf einem Personalsystem (HR) basieren, das zur Autoritätsquelle wird. Dieser Punkt ist der Ausgangspunkt für zahlreiche Bereitstellungsprozesse.
Erfahren Sie mehr im Video über die HR-gesteuerte Bereitstellung mit Microsoft Entra ID.
Cloud HR zu Microsoft Entra ID
Benutzer werden in der Microsoft Entra-ID und anderen SaaS-Apps erstellt, die die Benutzerbereitstellung unterstützen. Wenn Mitarbeiterdatensätze in Cloud HR aktualisiert werden, werden das Benutzerkonto in Microsoft Entra ID und die unterstützenden SaaS-Apps aktualisiert.
Bereitstellen von Workday in Microsoft Entra-ID
- Wählen Sie HR Cloud-Provisionierungs-Connector-Apps aus
- Entwerfen der Bereitstellungstopologie.
- Konfigurieren sie den Integrationssystembenutzer in Workday.
- Aktivieren Sie den Workday-Bereitstellungskonnektor.
- Start Workday und Microsoft Entra ID Attributzuordnung.
- (Optional) Konfigurieren des Workday-Rückschreibens in Azure AD.
- Aktivieren und Starten der Bereitstellung.
Erfahren Sie mehr im Video zur hrgesteuerten Benutzerbereitstellung mit Workday.
Bereitstellen von SuccessFactors mit Microsoft Entra ID
- Wählen Sie HR Cloud-Provisionierungs-Connector-Apps aus
- Entwerfen der Bereitstellungstopologie.
- Erstellen Sie ein API-Benutzerkonto in SuccessFactors.
- Erstellen Sie API-Berechtigungen in SuccessFactors.
- Erfolgsfaktoren-Eingangsconnector-App hinzufügen.
- Konfigurieren von SuccessFactors-Attributzuordnungen.
- (Optional) Konfigurieren des Attributrückschreibens von Entra-ID nach SAP SuccessFactors.
- Aktivieren und Starten der Bereitstellung.
Erfahren Sie mehr im Video über die HR-gesteuerte Benutzerbereitstellung mit SuccessFactors.
Cloud HR zu Active Directory
Verwenden Sie das folgende Video, um mehr über API-gesteuerte eingehende Bereitstellung für lokales Active Directory zu erfahren.
Bereitstellen von Workday in Active Directory
- Wählen Sie HR Cloud-Provisionierungs-Connector-Apps aus
- Entwerfen der Bereitstellungstopologie.
- Konfigurieren sie den Integrationssystembenutzer in Workday.
- Bereitstellungsconnector-App und Bereitstellungsagent.
- Installieren und konfigurieren Sie lokale Agents.
- Konfigurieren der Konnektivität mit Workday und Active Directory.
- Konfigurieren sie Attributzuordnungen.
- Aktivieren und Starten der Benutzerbereitstellung.
Bereitstellen von SuccessFactors in Active Directory
- Wählen Sie HR Cloud-Provisionierungs-Connector-Apps aus
- Entwerfen der Bereitstellungstopologie.
- Konfigurieren sie den Integrationssystembenutzer in Workday.
- SuccessFactors: Eingehende Bereitstellungs-App und Agent.
- Installieren Sie lokale Agents.
- Konfigurieren sie die App-Konnektivität mit AD.
- Konfigurieren sie Attributzuordnungen.
- Aktivieren und Starten der Benutzerbereitstellung.
API-basierte Bereitstellung
Identitätsdaten in Microsoft Entra ID werden in Verbindung mit personalbezogenen Daten synchronisiert, die in Datensatzsystemen verwaltet werden: eine HR-App, eine Lohnbuchhaltungs-App, eine Tabelle, SQL-Tabellen in einer lokalen Datenbank oder in der Cloud. Mit der api-gesteuerten Bereitstellung (Application Programming Interface) unterstützt der Microsoft Entra-Bereitstellungsdienst die Integration in Datensatzsysteme.
Weitere Informationen:
- Häufig gestellte Fragen: API-gesteuerte eingehende Bereitstellung
- Gewähren des Zugriffs auf die eingehende Bereitstellungs-API
- Informationen zum Testen der Bereitstellungs-API mit Graph-Explorer
API-gesteuerte Bereitstellungsszenarien
IT-Teams importieren Datenauszüge automatisiert. Unabhängige Softwareanbieter (ISVs) sind in Microsoft Entra ID integriert. Systemintegratoren erstellen Connectors zu bekannten Systemen. Dieser Prozess wird häufig für Quellen wie Flatfiles, CSV-Dateien, SQL-Stagingtabellen verwendet. Integration von Automatisierungstools: PowerShell-Skripts , Azure Logic Apps und Workflows mithilfe von HTTP-Aufrufen.
Konfigurieren der API-gesteuerten Bereitstellung
Sie können lernen, API-gesteuerte eingehende Bereitstellung zu konfigurieren.
Vergleich: Eingehende Bereitstellungs- /bulkUpload-API und Microsoft Graph-Benutzer-API
Es wird empfohlen, die Unterschiede zwischen der Bereitstellungs- /BulkUpload-API und dem Microsoft Graph-Benutzer-API-Endpunkt zu notieren: Nutzlastformat, Vorgangsergebnis und IT-Administratoren behalten die Kontrolle.
In einer häufig gestellten Frage erfahren Sie, wie sich die neue eingehende Bereitstellungs-API von der Graph-Benutzer-API unterscheidet.
API-gesteuerte eingehende Bereitstellung bereitstellen
- Erstellen Sie eine API-gesteuerte Bereitstellungs-App.
- Konfigurieren Sie für Active Directory die App zur API-gesteuerten eingehenden Bereitstellung. Konfigurieren Sie für Microsoft Entra-IDdie API-gesteuerte Bereitstellungs-App für eingehende Provisionierung.
- Gewähren Sie Zugriff auf die API für eingehende Bereitstellung
- Anpassen von Benutzerbereitstellungs-Attributzuordnungen
- Synchronisieren von benutzerdefinierten Attributen
Weitere Informationen finden Sie in den folgenden Schnellstartanleitungen zur API-gesteuerten eingehenden Bereitstellung:
Ausgehende App-Bereitstellung
Sie können Software-as-a-Service (SaaS)-Apps mit einem System for Cross-Domain Identity Management (SCIM) bereitstellen.
Erfahren Sie mehr über die SCIM-Synchronisierung mit Microsoft Entra ID.
Konfigurieren der Bereitstellung mit einem SCIM-Endpunkt
SCIM 2.0 ist eine standardisierte Definition von zwei Endpunkten /Users und /Groups.
Weitere Details finden Sie in der Anleitung, zur Entwicklung und Planung der Bereitstellung eines SCIM-Endpunkts in Microsoft Entra ID.
Bereitstellung der SaaS-Beispiel-App
Der Microsoft Entra ID-Anwendungskatalog zeigt verfügbare Apps für die Benutzerbereitstellung an. Wählen Sie bis zu vier Apps für Ihre Umgebung aus, oder wählen Sie aus diesen beliebten Apps aus, um die automatische Benutzerbereitstellung zu aktivieren:
(Optional) Bereitstellung für lokale Apps
Benutzer und Schemas, die in der Cloud definiert sind, unterstützen die Bereitstellung von benutzerdefinierten Schemaerweiterungen bis hin zu appspezifischen Eigenschaften.
Weitere Informationen finden Sie unter App-Bereitstellungsbeispiele für SCIM-fähige Apps.
Lebenszyklusworkflows
Lebenszyklus-Workflows sind eine Funktion der Identitätsverwaltung zur Steuerung von Microsoft Entra-Benutzern, indem Eintritts-, Versetzungs- und Austrittsereignisse für Mitarbeiter automatisiert werden. Verwenden Sie das Feature, um Aufgaben vor, während oder nach einem Ereignis zu planen. Workflows können bei Bedarf ausgeführt werden. Mit integrierten Aufgaben können Sie temporäre Anmeldeinformationen generieren, E-Mails senden, Benutzerattribute und Mitgliedschaften aktualisieren und Lizenzen entfernen.
Weitere Informationen finden Sie in der Übersicht über Lebenszyklusworkflow-APIs.
Zugang
Ein Joiner ist eine Person, die Zugriff benötigt. Wenn Sie neue Mitarbeiter integrieren, verwenden Sie Vorlagen und Workflows, um Prozesse effizienter und schneller zu gestalten.
Wechsel
Ein „Wechsler” ist eine Person, die innerhalb einer Organisation zwischen verschiedenen Bereichen wechselt, beispielsweise von einer Position im Vertrieb zu einer Position im Marketing. Die Bewegung erfordert möglicherweise mehr oder unterschiedliche Zugriffs- und Autorisierungsberechtigungen.
Abgänger
Personen, die das Unternehmen verlassen, wie gekündigte oder in den Ruhestand tretende Mitarbeiter, benötigen keinen Zugriff mehr. Effektive Leaver-Workflows reduzieren das Risiko eines nicht autorisierten Datenzugriffs nach Beendigung. Behandeln Sie daher personenbezogene Informationen von Leaver in Übereinstimmung mit Vorschriften und Richtlinien. Nutzen Sie anpassbare Workflow-Vorlagen für die rechtzeitige, zuverlässige und ordnungsgemäße Entfernung des Ressourcenzugangs.
Entfernen des Anwendungszugriffs
Der Bereitstellungsdienst der Microsoft Entra-ID hält Quell- und Zielsysteme synchron. Aufheben der Bereitstellung eines Kontos, wenn der Benutzerzugriff beendet werden muss.
Heben Sie die Zuweisung des Benutzers aus einer oder mehreren Anwendungen auf.
Löschen Sie das Konto aus der Microsoft Entra-ID.
Legen Sie die AccountEnabled-Eigenschaft auf False fest.
Hinweis
Wenn eine Anwendung den Prozess unterstützt, können Sie Benutzer standardmäßig vorläufig löschen.
Benutzerdefinierte Erweiterungen für Lebenszyklus-Workflows
Verwenden Sie benutzerdefinierte Erweiterungen, um Workflows mithilfe von Tools wie Azure Logic Apps zu erstellen. Für Workflows können Sie benutzerdefinierte Aufgabenerweiterungen aktivieren, um externe Systeme aufzurufen. Beispielsweise weist ein Joiner-Workflow mit einer benutzerdefinierten Aufgabenerweiterung eine Microsoft Teams-Nummer zu. Oder wenn ein Benutzer zum Leaver wird, gewährt ein separater Workflow Zugriff auf ein E-Mail-Konto für seinen Vorgesetzten. Sie können lernen, Logik-Apps basierend auf benutzerdefinierten Aufgabenerweiterungen auszulösen.
Hinweis
Um eine Logik-App-Ressource für das Hosting zu erstellen, wählen Sie "Verbrauch" aus. Eine Verbrauchslogik-App verfügt über einen Workflow, der in mehrinstanzenfähigen Azure Logic Apps ausgeführt wird.
Weitere Informationen finden Sie in der App Service Environment-Übersicht und in der Dokumentation zu Azure Logic Apps.
Bereitstellen von Lebenszyklusworkflows
- Synchronisieren von Attributen
- Vorbereiten von Benutzerkonten
- Automatisieren von Vorhireaufgaben für Mitarbeiter
- Automatisieren des Onboardings neuer Mitarbeiter
- Post-Onboarding automatisieren
- Mitarbeiteränderung in Echtzeit
- Kündigung von Mitarbeitern in Echtzeit
- Änderungen der Mitarbeitergruppenmitgliedschaft
- Änderung des Mitarbeiterprofils
- Automatisieren des Vorabstarts
- Offboarding automatisieren
- Automatisieren des Nach-Affboarding-Prozesses
- Auslösen von Logik-Apps mit benutzerdefinierten Erweiterungen
Unterstützte Aufgaben und Workflows
In der Tabelle sind Aufgaben und Workflows gemäß Joiner, Mover, Leaver status aufgeführt.
Nächste Schritte
- Einführung in das Bereitstellungshandbuch für Microsoft Entra ID Governance
- Szenario 1: Automatisierung des Mitarbeiterlebenszyklus
- Szenario 2: Zuweisen des Mitarbeiterzugriffs auf Ressourcen
- Szenario 3: Steuern des Gast- und Partnerzugriffs
- Szenario 4: Steuern privilegierter Identitäten und ihres Zugriffs