Verwalten von Benutzenden, die von Active Directory-Domäne Services mit Microsoft Entra-ID mit Lebenszyklus-Workflows synchronisiert wurden
Lebenszyklus-Workflows unterstützen die Steuerung des Identitätslebenszyklus für Benutzerkonten, die von Active Directory Domain Services (AD DS) mit Microsoft Entra ID synchronisiert werden. Für Lebenszyklus-Workflows ist es wichtig, dass ein Benutzerkonto in Microsoft Entra ID existiert, aber wie das Konto erstellt wurde oder wie lebenszyklusrelevante Änderungen an dem Konto vorgenommen werden, spielt eine untergeordnete Rolle, wenn es um die Verarbeitung von Workflows und zugehörigen Aufgaben für das Benutzerkonto geht. Dieser Support umfasst Konten und Änderungen, die über Optionen wie personalbasierte Bereitstellung, Microsoft Graph APIs, das Microsoft Entra Admin Portal und Änderungen, die über Microsoft Entra Connect und Microsoft Cloud Sync synchronisiert werden.
In der folgenden Tabelle sind allgemeine Automatisierungsszenarien für synchronisierte Benutzende aus AD DS mithilfe von Microsoft Entra ID Governance aufgeführt:
| Szenario zum Automatisieren | Microsoft Entra ID Governance-Lösung |
|---|---|
| Erstellen des Benutzerkontos in Active Directory Domain Services | Personalbasierte Bereitstellung |
| Bereitstellen der anfänglichen Anmeldeinformationen oder des Kennworts für Benutzerkonten | Die Aufgabe Befristeten Zugriffspass generieren und per E-Mail an das Management der Benutzenden senden kann verwendet werden, um kennwortlose Anmeldeinformationen einzurichten. Um ein normales Active Directory-Kennwort einzurichten, können Sie die Microsoft Entra-Self-Service-Kennwortzurücksetzung verwenden. |
| Zuweisung von Lizenzen | Die Aufgabe „Lizenzen einem Benutzenden zuweisen“ im Lebenszyklus-Workflow kann zur Zuweisung von Lizenzen verwendet werden. Sie können Benutzenden auch über eine Gruppe Lizenzen zuweisen. |
| Benutzende können auf gruppenbasierte Active Directory-Anwendungen zugreifen | Verwaltung des lokalen Active Directory (Kerberos) Anwendungszugriffs |
| Aktualisieren von Benutzerattributen in Active Directory, wenn sie die Organisation wechseln | Planung von Bereichsfiltern und Attribut-Zuordnung |
| Verschieben von Benutzenden in verschiedene Organisationeinheiten, wenn sie die Organisation wechseln | Zuweisung von Containern für Active Directory-Organisationeinheiten konfigurieren |
| Benutzende am letzten Tag deaktivieren | Die Aufgabe Benutzerkonto deaktivieren im Lebenszyklus-Workflow kann verwendet werden, um das Benutzerkonto am letzten Tag seiner Laufzeit zu deaktivieren. |
| Löschen von Benutzenden für eine festgelegte Anzahl von Tagen nach Beendigung | Die Lebenszyklus-Workflow-Aufgabe Benutzende löschen kann innerhalb einer Workflow-Vorlage verwendet werden, um Benutzende eine bestimmte Anzahl von Tagen nach ihrer Kündigung zu löschen. |
In diesem Artikel erfahren Sie, was zu beachten ist, wenn Sie Lebenszyklus-Workflows für Benutzerkonten nutzen wollen, die von AD DS mit Microsoft Entra ID synchronisiert werden.
Workflowausführungsbedingungen mit Benutzenden, die von Active Directory Domain Services (AD DS) mit Microsoft Entra ID synchronisiert wurden
Lebenszyklus-Workflows werden für Benutzerkonten verarbeitet, wenn sie die Ausführungsbedingungen des Workflows erfüllen. Die Ausführungsbedingungen bestehen aus einem Auslöser und einem Bereich. Der Trigger beschreibt das Ereignis, das für ein Benutzerkonto auftritt. Der Bereich ermöglicht es Ihnen, genauer zu definieren, für wen der Workflow ausgeführt wird, wenn das Ereignis eintritt.
Workflowtrigger
In der folgenden Tabelle wird dargestellt, was bei jedem Trigger für den Workflow berücksichtigt werden sollte, wenn er mit Benutzenden verwendet wird, die von AD DS synchronisiert wurden:
| Workflowtrigger | Anforderungen |
|---|---|
| Attributänderungen | Es ist keine weitere Konfiguration erforderlich, solange Attribute synchronisiert werden. Informationen zu synchronisierten Attributen finden Sie unter: Attributzuordnung in Microsoft Entra Cloud Sync und Microsoft Entra Connect Sync: Verzeichniserweiterungen. Wenn eine Änderung in Active Directory vorgenommen wird, muss die Synchronisierung über Microsoft Entra Cloud Sync oder Microsoft Entra Connect Sync erfolgen, bevor Änderungen aus Lebenszyklus-Workflows übernommen werden können. |
| Gruppenbasierte Mitgliedschaft | Da jeder Gruppentyp unterstützt wird, ist keine weitere Konfiguration erforderlich. Wenn die Gruppe aus dem Active Directory stammt, muss sie mit Microsoft Entra synchronisiert werden. Mit Microsoft Entra Cloud Sync oder Microsoft Entra Connect Sync muss die Synchronisierung erfolgen, bevor Änderungen aus Lifecycle-Workflows abgerufen werden können. |
| Bei Bedarf | Keine weitere Konfiguration erforderlich. |
| Zeitbasiert | employeeHireDate, employeeLeaveDateTime: Diese Attribute müssen synchronisiert werden, bevor sie verwendet werden. Weitere Informationen zu diesem Prozess finden Sie unter Synchronisieren von Attributen für Lebenszyklus-Workflows. createdDateTime: Keine weitere Konfiguration erforderlich. Dieses Datum ist der Tag, an dem das Benutzerkonto mit Microsoft Entra-ID synchronisiert wird, nicht, wann es in Active Directory erstellt wurde. |
Workflowdefinition
Für Benutzerattribute, die innerhalb der Workflowdefinitionsfunktionen verwendet werden, ist keine weitere Konfiguration erforderlich, wenn die ausgewählten Attribute bereits synchronisiert sind. Informationen zu synchronisierten Attributen finden Sie unter: Attributzuordnung in Microsoft Entra Cloud Sync und Microsoft Entra Connect Sync: Verzeichniserweiterungen. Wenn eine Änderung in Active Directory vorgenommen wird, muss die Synchronisierung über Microsoft Entra Cloud Sync oder Microsoft Entra Connect Sync erfolgen, bevor Änderungen aus Lebenszyklus-Workflows übernommen werden können.
Workflowaufgaben für Benutzende, die von Active Directory Domain Services mit Microsoft Entra ID synchronisiert wurden
Alle Lebenszyklus-Workflows funktionieren sowohl in der Cloud als auch synchronisiert mit Active Directory für Benutzende, mit Ausnahme der Einschränkungen, die weiter unten in diesem Artikel für bestimmte Aufgaben aufgeführt sind. Weitere Informationen zu allen Aufgaben des Lebenszyklusworkflows finden Sie unter: Integrierte Aufgaben des Lebenszyklusworkflows.
Aufgaben zum Steuern von Gruppenmitgliedschaften
Szenario: Wenn Sie Benutzende aus AD DS mit Microsoft Entra ID synchronisieren, können Sie Benutzende aus cloudbasierten Sicherheitsgruppen über die Gruppenaufgaben des Lebenszyklus-Workflows hinzufügen oder daraus entfernen. Dies ermöglicht Ihnen, die Gruppen-Mitgliedschaft der synchronisierten Benutzenden in der Cloud zu regeln und diese Gruppe auch mit der Microsoft Entra Cloud-Synchronisierung für das Gruppenrückschreiben wieder zu Active Directory hinzufügen.
Für Gruppen, die von AD DS zu Microsoft Entra ID synchronisiert werden, können Sie keine Lifecycle Workflow-Gruppenaufgaben verwenden, wie im Szenario erwähnt. Microsoft Entra ID Governance kann jedoch zum Steuern des lokalen Active Directory (Kerberos)-Anwendungszugriffs mit Gruppen aus der Cloud verwendet werden, die in Lifecycle-Workflows unterstützt werden.
Aufgaben von Benutzerkonten
Für die Aufgaben des Lebenszyklus-Workflows zum Aktivieren, Deaktivieren und Löschen von Benutzerkonten ist eine zusätzliche Konfiguration erforderlich, damit diese mit synchronisierten AD DS funktionieren. Die folgenden Voraussetzungen müssen erfüllt sein, bevor Sie die Aufgaben so konfigurieren können, dass sie Aktionen in Active Directory ausführen.
- Sie müssen den Microsoft Entra-Bereitstellungs-Agent in Ihrer Umgebung installiert haben. Voraussetzungen für die Installation des Microsoft Entra-Bereitstellungs-Agents finden Sie unter: Anforderungen des Cloudbereitstellungs-Agents. Eine schrittweise Anleitung zum Installieren des Microsoft Entra-Bereitstellungs-Agents finden Sie unter: Installieren des Microsoft Entra-Bereitstellungs-Agents. Wählen Sie während der Installation „HR-gesteuerte Bereitstellung / Microsoft Entra Connect Sync“ als „Erweiterungskonfiguration“ aus. Sie müssen keine andere Konfiguration für den Bereitstellungs-Agent hinzufügen, z. B. die Cloudsynchronisierungskonfiguration, und Sie können den Bereitstellungs-Agent auch dann installieren, wenn Sie derzeit Microsoft Entra Connect Sync für ihre Benutzersynchronisierung verwenden.
Hinweis
Der installierte Bereitstellungs-Agent muss mindestens Version 1.1.1586.0 sein, die am 13. Mai 2024 veröffentlicht wurde.
Stellen Sie sicher, dass das vom Bereitstellungs-Agent verwendete gruppenverwaltete Dienstkonto (Group Managed Service Account, gMSA) über die entsprechenden Berechtigungen zum Ausführen von Vorgängen für Benutzerkonten verfügt.
Zum Löschen von Benutzerkonten müssen Sie den Active Directory-Papierkorb aktivieren. Eine schrittweise Anleitung zum Aktivieren des Papierkorbs finden Sie unter: Papierkorb von Active Directory, schrittweise.
Eine Schritt-für-Schritt-Anleitung zum Setzen des Kennzeichens, damit Benutzerkonto-Aufgaben für aus Active Directory Domain Services synchronisierte Benutzende ausgeführt werden, finden Sie unter: Verwalten von Benutzenden, die aus Active Directory Domain Services (AD DS) synchronisiert wurden, mit Workflows.