Freigeben über


Bereitstellungshandbuch für Microsoft Entra ID Governance für die Automatisierung des Mitarbeiterlebenszyklus

Bereitstellungsszenarien sind Anleitungen zum Kombinieren und Testen von Microsoft Security-Produkten und -Diensten. Sie können ermitteln, wie Funktionen zusammenarbeiten, um die Produktivität zu verbessern, die Sicherheit zu stärken und die Einhaltung gesetzlicher Vorschriften einfacher zu erfüllen.

Die folgenden Produkte und Dienste werden in diesem Leitfaden angezeigt:

Verwenden Sie dieses Szenario, um die Notwendigkeit von Microsoft Entra ID Governance zu ermitteln, um Zugriff für Ihre Organisation zu erstellen und zu gewähren. Erfahren Sie, wie Sie Ihre Benutzer mit der Automatisierung des Mitarbeiterlebenszyklus effektiv, sicher und konsistent bereitstellen können.

Zeitpläne

Zeitpläne zeigen die ungefähre Dauer der Lieferphase an und basieren auf der Szenariokomplexität. Die Zeiten sind Schätzungen und variieren je nach Umgebung.

  1. Personalbereitstellung – 3 Stunden
  2. Bereitstellung von SaaS-Apps (Software-as-a-Service) – 1 Stunde
  3. Lebenszyklusworkflows – 3 Stunden

Automatisierung des Mitarbeiterlebenszyklus

Um die Mitarbeiteridentitätsverwaltung zu optimieren, übernehmen Organisationen moderne Lösungen und Automatisierung. Mit Identitätsverwaltungssystemen und -technologien können IT-Mitarbeiter begrenzte manuelle Verfahren überwinden und stattdessen die Effizienz steigern.

Microsoft Entra-ID-Verwaltung

Mit der Microsoft Entra ID Governance-Lösung verbessern Organisationen die Produktivität, stärken die Sicherheit und erfüllen compliance- und behördliche Anforderungen. Verwenden Sie Microsoft Entra ID Governance, um sicherzustellen, dass die richtigen Personen zum richtigen Zeitpunkt über den richtigen Zugriff auf die richtigen Ressourcen verfügen. Erfahren Sie mehr über Microsoft Entra ID Governance Anwendungsfälle und Dokumentationen.

Weitere Informationen zur Microsoft Entra-ID.

Personalbasierte Bereitstellung

Die HR-gesteuerte Bereitstellung erstellt digitale Identitäten, die auf einem Personalsystem (HR) basieren, das zur Autoritätsquelle wird. Dieser Punkt ist der Ausgangspunkt für zahlreiche Bereitstellungsprozesse.

Erfahren Sie mehr im Video über die HR-gesteuerte Bereitstellung mit Microsoft Entra ID.

Cloud HR zu Microsoft Entra ID

Benutzer werden in der Microsoft Entra-ID und anderen SaaS-Apps erstellt, die die Benutzerbereitstellung unterstützen. Wenn Mitarbeiterdatensätze in Cloud HR aktualisiert werden, werden das Benutzerkonto in Microsoft Entra ID und die unterstützenden SaaS-Apps aktualisiert.

Bereitstellen von Workday in Microsoft Entra-ID

  1. Wählen Sie HR Cloud-Provisionierungs-Connector-Apps aus
  2. Entwerfen der Bereitstellungstopologie.
  3. Konfigurieren sie den Integrationssystembenutzer in Workday.
  4. Aktivieren Sie den Workday-Bereitstellungskonnektor.
  5. Start Workday und Microsoft Entra ID Attributzuordnung.
  6. (Optional) Konfigurieren des Workday-Rückschreibens in Azure AD.
  7. Aktivieren und Starten der Bereitstellung.

Erfahren Sie mehr im Video zur hrgesteuerten Benutzerbereitstellung mit Workday.

Bereitstellen von SuccessFactors mit Microsoft Entra ID

  1. Wählen Sie HR Cloud-Provisionierungs-Connector-Apps aus
  2. Entwerfen der Bereitstellungstopologie.
  3. Erstellen Sie ein API-Benutzerkonto in SuccessFactors.
  4. Erstellen Sie API-Berechtigungen in SuccessFactors.
  5. Erfolgsfaktoren-Eingangsconnector-App hinzufügen.
  6. Konfigurieren von SuccessFactors-Attributzuordnungen.
  7. (Optional) Konfigurieren des Attributrückschreibens von Entra-ID nach SAP SuccessFactors.
  8. Aktivieren und Starten der Bereitstellung.

Erfahren Sie mehr im Video über die HR-gesteuerte Benutzerbereitstellung mit SuccessFactors.

Cloud HR zu Active Directory

Verwenden Sie das folgende Video, um mehr über API-gesteuerte eingehende Bereitstellung für lokales Active Directory zu erfahren.

Bereitstellen von Workday in Active Directory

  1. Wählen Sie HR Cloud-Provisionierungs-Connector-Apps aus
  2. Entwerfen der Bereitstellungstopologie.
  3. Konfigurieren sie den Integrationssystembenutzer in Workday.
  4. Bereitstellungsconnector-App und Bereitstellungsagent.
  5. Installieren und konfigurieren Sie lokale Agents.
  6. Konfigurieren der Konnektivität mit Workday und Active Directory.
  7. Konfigurieren sie Attributzuordnungen.
  8. Aktivieren und Starten der Benutzerbereitstellung.

Bereitstellen von SuccessFactors in Active Directory

  1. Wählen Sie HR Cloud-Provisionierungs-Connector-Apps aus
  2. Entwerfen der Bereitstellungstopologie.
  3. Konfigurieren sie den Integrationssystembenutzer in Workday.
  4. SuccessFactors: Eingehende Bereitstellungs-App und Agent.
  5. Installieren Sie lokale Agents.
  6. Konfigurieren sie die App-Konnektivität mit AD.
  7. Konfigurieren sie Attributzuordnungen.
  8. Aktivieren und Starten der Benutzerbereitstellung.

API-basierte Bereitstellung

Identitätsdaten in Microsoft Entra ID werden in Verbindung mit personalbezogenen Daten synchronisiert, die in Datensatzsystemen verwaltet werden: eine HR-App, eine Lohnbuchhaltungs-App, eine Tabelle, SQL-Tabellen in einer lokalen Datenbank oder in der Cloud. Mit der api-gesteuerten Bereitstellung (Application Programming Interface) unterstützt der Microsoft Entra-Bereitstellungsdienst die Integration in Datensatzsysteme.

Weitere Informationen:

API-gesteuerte Bereitstellungsszenarien

IT-Teams importieren Datenauszüge automatisiert. Unabhängige Softwareanbieter (ISVs) sind in Microsoft Entra ID integriert. Systemintegratoren erstellen Connectors zu bekannten Systemen. Dieser Prozess wird häufig für Quellen wie Flatfiles, CSV-Dateien, SQL-Stagingtabellen verwendet. Integration von Automatisierungstools: PowerShell-Skripts , Azure Logic Apps und Workflows mithilfe von HTTP-Aufrufen.

Konfigurieren der API-gesteuerten Bereitstellung

Sie können lernen, API-gesteuerte eingehende Bereitstellung zu konfigurieren. 

Vergleich: Eingehende Bereitstellungs- /bulkUpload-API und Microsoft Graph-Benutzer-API

Es wird empfohlen, die Unterschiede zwischen der Bereitstellungs- /BulkUpload-API und dem Microsoft Graph-Benutzer-API-Endpunkt zu notieren: Nutzlastformat, Vorgangsergebnis und IT-Administratoren behalten die Kontrolle.

In einer häufig gestellten Frage erfahren Sie, wie sich die neue eingehende Bereitstellungs-API von der Graph-Benutzer-API unterscheidet.

API-gesteuerte eingehende Bereitstellung bereitstellen

  1. Erstellen Sie eine API-gesteuerte Bereitstellungs-App.
  2. Konfigurieren Sie für Active Directory die App zur API-gesteuerten eingehenden Bereitstellung. Konfigurieren Sie für Microsoft Entra-IDdie API-gesteuerte Bereitstellungs-App für eingehende Provisionierung.
  3. Gewähren Sie Zugriff auf die API für eingehende Bereitstellung
  4. Anpassen von Benutzerbereitstellungs-Attributzuordnungen
  5. Synchronisieren von benutzerdefinierten Attributen

Weitere Informationen finden Sie in den folgenden Schnellstartanleitungen zur API-gesteuerten eingehenden Bereitstellung:

Ausgehende App-Bereitstellung

Sie können Software-as-a-Service (SaaS)-Apps mit einem System for Cross-Domain Identity Management (SCIM) bereitstellen.

Erfahren Sie mehr über die SCIM-Synchronisierung mit Microsoft Entra ID.

Konfigurieren der Bereitstellung mit einem SCIM-Endpunkt

SCIM 2.0 ist eine standardisierte Definition von zwei Endpunkten /Users und /Groups.

Weitere Details finden Sie in der Anleitung, zur Entwicklung und Planung der Bereitstellung eines SCIM-Endpunkts in Microsoft Entra ID.

Bereitstellung der SaaS-Beispiel-App

Der Microsoft Entra ID-Anwendungskatalog zeigt verfügbare Apps für die Benutzerbereitstellung an. Wählen Sie bis zu vier Apps für Ihre Umgebung aus, oder wählen Sie aus diesen beliebten Apps aus, um die automatische Benutzerbereitstellung zu aktivieren:

(Optional) Bereitstellung für lokale Apps

Benutzer und Schemas, die in der Cloud definiert sind, unterstützen die Bereitstellung von benutzerdefinierten Schemaerweiterungen bis hin zu appspezifischen Eigenschaften.

Weitere Informationen finden Sie unter App-Bereitstellungsbeispiele für SCIM-fähige Apps.

Lebenszyklusworkflows

Lebenszyklus-Workflows sind eine Funktion der Identitätsverwaltung zur Steuerung von Microsoft Entra-Benutzern, indem Eintritts-, Versetzungs- und Austrittsereignisse für Mitarbeiter automatisiert werden. Verwenden Sie das Feature, um Aufgaben vor, während oder nach einem Ereignis zu planen. Workflows können bei Bedarf ausgeführt werden. Mit integrierten Aufgaben können Sie temporäre Anmeldeinformationen generieren, E-Mails senden, Benutzerattribute und Mitgliedschaften aktualisieren und Lizenzen entfernen.

Weitere Informationen finden Sie in der Übersicht über Lebenszyklusworkflow-APIs.

Zugang

Ein Joiner ist eine Person, die Zugriff benötigt. Wenn Sie neue Mitarbeiter integrieren, verwenden Sie Vorlagen und Workflows, um Prozesse effizienter und schneller zu gestalten.

Wechsel

Ein „Wechsler” ist eine Person, die innerhalb einer Organisation zwischen verschiedenen Bereichen wechselt, beispielsweise von einer Position im Vertrieb zu einer Position im Marketing. Die Bewegung erfordert möglicherweise mehr oder unterschiedliche Zugriffs- und Autorisierungsberechtigungen.

Abgänger

Personen, die das Unternehmen verlassen, wie gekündigte oder in den Ruhestand tretende Mitarbeiter, benötigen keinen Zugriff mehr. Effektive Leaver-Workflows reduzieren das Risiko eines nicht autorisierten Datenzugriffs nach Beendigung. Behandeln Sie daher personenbezogene Informationen von Leaver in Übereinstimmung mit Vorschriften und Richtlinien. Nutzen Sie anpassbare Workflow-Vorlagen für die rechtzeitige, zuverlässige und ordnungsgemäße Entfernung des Ressourcenzugangs.

Entfernen des Anwendungszugriffs

Der Bereitstellungsdienst der Microsoft Entra-ID hält Quell- und Zielsysteme synchron. Aufheben der Bereitstellung eines Kontos, wenn der Benutzerzugriff beendet werden muss.

  1. Heben Sie die Zuweisung des Benutzers aus einer oder mehreren Anwendungen auf.

  2. Löschen Sie das Konto aus der Microsoft Entra-ID.

  3. Legen Sie die AccountEnabled-Eigenschaft auf False fest.

    Hinweis

    Wenn eine Anwendung den Prozess unterstützt, können Sie Benutzer standardmäßig vorläufig löschen.

Benutzerdefinierte Erweiterungen für Lebenszyklus-Workflows

Verwenden Sie benutzerdefinierte Erweiterungen, um Workflows mithilfe von Tools wie Azure Logic Apps zu erstellen. Für Workflows können Sie benutzerdefinierte Aufgabenerweiterungen aktivieren, um externe Systeme aufzurufen. Beispielsweise weist ein Joiner-Workflow mit einer benutzerdefinierten Aufgabenerweiterung eine Microsoft Teams-Nummer zu. Oder wenn ein Benutzer zum Leaver wird, gewährt ein separater Workflow Zugriff auf ein E-Mail-Konto für seinen Vorgesetzten. Sie können lernen, Logik-Apps basierend auf benutzerdefinierten Aufgabenerweiterungen auszulösen.

Hinweis

Um eine Logik-App-Ressource für das Hosting zu erstellen, wählen Sie "Verbrauch" aus. Eine Verbrauchslogik-App verfügt über einen Workflow, der in mehrinstanzenfähigen Azure Logic Apps ausgeführt wird.

Weitere Informationen finden Sie in der App Service Environment-Übersicht und in der Dokumentation zu Azure Logic Apps.

Bereitstellen von Lebenszyklusworkflows

  1. Synchronisieren von Attributen
  2. Vorbereiten von Benutzerkonten
  3. Automatisieren von Vorhireaufgaben für Mitarbeiter
  4. Automatisieren des Onboardings neuer Mitarbeiter
  5. Post-Onboarding automatisieren
  6. Mitarbeiteränderung in Echtzeit
  7. Kündigung von Mitarbeitern in Echtzeit
  8. Änderungen der Mitarbeitergruppenmitgliedschaft
  9. Änderung des Mitarbeiterprofils
  10. Automatisieren des Vorabstarts
  11. Offboarding automatisieren
  12. Automatisieren des Nach-Affboarding-Prozesses
  13. Auslösen von Logik-Apps mit benutzerdefinierten Erweiterungen

Unterstützte Aufgaben und Workflows

In der Tabelle sind Aufgaben und Workflows gemäß Joiner, Mover, Leaver status aufgeführt.

Kategorie Aufgaben und Workflows
Zugang Senden einer Willkommens-E-Mail an neu eingestellte Mitarbeiter
Zugang Onboardingerinnerungs-E-Mail senden
Zugang Generieren Sie einen temporären Zugangsausweis (TAP) und senden Sie ihn per E-Mail an den Vorgesetzten des neuen Mitarbeiters.
Wechsel Senden von Benachrichtigungs-E-Mails an Vorgesetzte über die Verschiebung eines Benutzers
Zugang, Wechsel Anfordern der Zuweisung des Benutzerzugriffspakets
Zugang, Wechsel, Abgang Hinzufügen von Benutzern zu Gruppen
Zugang, Wechsel, Abgang Hinzufügen von Benutzern zu Teams
Zugang, Abgang Aktivieren des Benutzerkontos
Zugang, Wechsel, Abgang Ausführen einer benutzerdefinierten Aufgabenerweiterung
Abgänger Benutzerkonto deaktivieren
Zugang, Wechsel, Abgang Benutzer aus Gruppen entfernen
Abgänger Benutzer aus allen Gruppen entfernen
Abgänger Entfernen von Benutzern aus Teams
Abgänger Benutzer aus allen Teams entfernen
Abgang, Wechsel Entfernen von Benutzerzugriffspaketzuweisungen
Abgänger Entfernen aller Benutzerzugriffspaketzuweisungen
Abgänger Abbrechen aller ausstehenden Benutzerzugriffspaketzuweisungsanforderungen
Abgänger Entfernen aller Benutzerlizenzzuweisungen
Abgänger Benutzer löschen
Abgänger Senden von E-Mails vor dem letzten Tag an den Vorgesetzten des Benutzers
Abgänger Senden von E-Mails an den Vorgesetzten des Benutzers am letzten Tag
Abgänger Senden von E-Mails an den Vorgesetzten des Benutzers nach dem letzten Tag

Nächste Schritte