Übersicht über Lebenszyklus-Workflows-APIs
Lifecycle Workflows ist ein Identity Governance-Dienst in Microsoft Entra ID, mit dem Organisationen grundlegende Lebenszyklusprozesse für ihre Benutzer auf drei Ebenen automatisieren können:
- Joiner: Wenn eine Person in den Bereich der Zugriffsanforderung kommt; Beispielsweise tritt ein neuer Mitarbeiter in ein Unternehmen oder organization ein.
- Mover: Wenn sich eine Person zwischen den Grenzen innerhalb eines organization bewegt, z. B. ist ein Benutzer, der im Marketing tätig war, jetzt Mitglied der Vertriebs-organization. Diese Verschiebung erfordert möglicherweise mehr Zugriff oder Autorisierung oder den Widerruf anderer Berechtigungen.
- Leaver: Wenn eine Person den Bereich verlässt, in dem Zugriff erforderlich ist, muss der Zugriff möglicherweise widerrufen und die Bereitstellung des Benutzers aufgehoben werden. Beispielsweise ein Mitarbeiter, der in den Ruhestand geht oder gekündigt wird.
Aus diesem Grund können Lebenszyklusworkflows als JML-Workflow (Joiner-Mover-Leaver ) bezeichnet werden.
Mit den LEBENSZYKLUS-Workflow-APIs in Microsoft Graph können Sie die Funktionen von Lebenszyklusworkflows für Ihre organization automatisieren. In diesem Artikel wurden die APIs vorgestellt, die den Lebenszyklusworkflow-Dienst in Microsoft Entra ID aktivieren.
Die LEBENSZYKLUS-Workflows-APIs werden im OData-Unternamespace microsoft.graph.identityGovernance definiert.
Hinweis
In diesem Artikel wird beschrieben, wie Sie personenbezogene Daten von einem Gerät oder Dienst exportieren. Diese Schritte können verwendet werden, um Ihre Verpflichtungen im Rahmen der Datenschutz-Grundverordnung (DSGVO) zu unterstützen. Autorisierte Mandantenadministratoren können Microsoft Graph verwenden, um identifizierbare Informationen über Endbenutzer zu korrigieren, zu aktualisieren oder zu löschen, einschließlich Benutzerprofilen von Kunden und Mitarbeitern oder personenbezogene Daten wie Name, Arbeitstitel, Adresse oder Telefonnummer eines Benutzers in Ihrer Microsoft Entra ID Umgebung.
Workflows
Workflows sind Container für die Prozesse, die an der Verwaltung des Lebenszyklus von Benutzern im organization beteiligt sind. Im Kern handelt es sich um Aufgaben und Ausführungsbedingungen.
- Aufgaben sind bestimmte Aktionen, die automatisch ausgeführt werden, wenn ein Workflow ausgelöst wird.
- Ausführungsbedingungen definieren den Bereich von "who" und den Trigger von "when" (Wann) ein Workflow ausgeführt wird.
Zum Erstellen von Workflows empfiehlt es sich, eine der vordefinierten Workflowvorlagen zu verwenden.
Workflowvorlagen
Microsoft Entra ID stellt die folgenden vordefinierten Workflowvorlagen bereit, die die Vorlagen für Kombinationen von Aufgaben und Ausführungsbedingungen definieren, die Teil eines Workflows sein können. Sie können die Workflowvorlagen verwenden, um Ihre Workflows programmgesteuert zu erstellen.
| Workflowvorlagentyp | Lebenszykluskategorie |
|---|---|
| Onboarding eines Mitarbeiters vor der Einstellung | Joiner |
| Onboarding neuer Mitarbeiter | Joiner |
| Post-Onboarding neuer Mitarbeiter | Joiner |
| Mitarbeiterwechsel in Echtzeit | Mover |
| Kündigung von Mitarbeitern in Echtzeit | Abgänger |
| Pre-Offboarding eines Mitarbeiters | Abgänger |
| Offboarding eines Mitarbeiters | Abgänger |
| Post-Offboarding eines Mitarbeiters | Abgänger |
Verwenden Sie den Ressourcentyp workflowTemplate und die zugehörigen Methoden, um die vorkonfigurierten Vorlagen sowie die unterstützten Aufgaben und Ausführungsbedingungen zu identifizieren und die Vorlagen zu kopieren und zu verwenden, um Ihre Workflows programmgesteuert zu erstellen.
Allgemeine Workflowinformationen
Jeder Workflow enthält allgemeine beschreibende Informationen wie Bezeichner, Name, Beschreibung und ob er für die Ausführung wie geplant oder bedarfsgesteuert aktiviert ist.
Workflowaufgaben
Workflowaufgaben sind bestimmte Aktionen, die automatisch ausgeführt werden, wenn ein Workflow ausgelöst wird. Lebenszyklusworkflows definieren die folgenden vorkonfigurierten und schreibgeschützten Aufgaben, die für die angegebenen Workflowkategorien zulässig sind. Diese Aufgabendefinitionen zeigen die Einstellungen für den Aufgabentyp an und leiten Sie beim Erstellen von Aufgaben für Ihren Workflow.
Lebenszyklusworkflows unterstützen derzeit die folgenden Aufgaben:
| Aufgabe | taskdefinitionID | Kategorie |
|---|---|---|
| Senden einer Begrüßungs-E-Mail an neu eingestellte Mitarbeiter | 70b29d51-b59a-4773-9280-8841dfd3f2ea | Joiner |
| Senden einer Erinnerungs-E-Mail für das Onboarding | 3C860712-2D37-42A4-928F-5C93935D26A1 | Joiner |
| Generieren eines temporären Zugriffspasses und Senden per E-Mail an den Vorgesetzten des Benutzers | 1b555e50-7f65-41d5-b514-5894a026d10d | Joiner |
| Anfordern der Zuweisung von Benutzerzugriffspaketen | c1ec1e76-f374-4375-aaa6-0bb6bd4c60be | Joiner, Mover |
| Senden einer E-Mail, um den Manager über die Verschiebung des Benutzers zu benachrichtigen | aab41899-9972-422a-9d97-f626014578b7 | Mover |
| Hinzufügen eines Benutzers zu Gruppen | 22085229-5809-45e8-97fd-270d28d66910 | Joiner, Leaver, Mover |
| Hinzufügen eines Benutzers zu Teams | e440ed8d-25a1-4618-84ce-091ed5be5594 | Joiner, Leaver, Mover |
| Aktivieren eines Benutzerkontos | 6fc52c9d-398b-4305-9763-15f42c1676fc | Joiner, Leaver |
| Ausführen einer benutzerdefinierten Aufgabenerweiterung | 4262b724-8dba-4fad-afc3-43fcbb497a0e | Joiner, Leaver, Mover |
| Benutzerkonto deaktivieren | 1dfdfcc7-52fa-4c2e-bf3a-e3919cc12950 | Abgänger |
| Entfernen eines Benutzers aus ausgewählter Gruppe | 1953a66c-751c-45e5-8bfe-01462c70da3c | Joiner, Leaver, Mover |
| Entfernen von Benutzern aus allen Gruppen | b3a31406-2a15-4c9a-b25b-a658fa5f07fc | Abgänger |
| Entfernen eines Benutzers aus Teams | 06aa7acb-01af-4824-8899-b14e5ed788d6 | Joiner, Leaver, Mover |
| Entfernen eines Benutzers aus allen Teams | 81f7b200-2816-4b3b-8c5d-dc556f07b024 | Abgänger |
| Entfernen aller Lizenzzuweisungen vom Benutzer | 8fa97d28-3e52-4985-b3a9-a1126f9b8b4e | Abgänger |
| Entfernen der Zugriffspaketzuweisung für den Benutzer | 4a0b64f2-c7ec-46ba-b117-18f262946c50 | Leaver, Mover |
| Entfernen aller Zugriffspaketzuweisungen für Benutzer | 42ae2956-193d-4f39-be06-691b8ac4fa1d | Abgänger |
| Alle ausstehenden Zugriffspaketzuweisungsanforderungen für Den Benutzer abbrechen | 498770d9-bab7-4e4c-b73d-5ded82a1d0b3 | Abgänger |
| Benutzer löschen | 8d18588d-9ad3-4c0f-99d0-ec215f0e3dff | Abgänger |
| Senden einer E-Mail an den Vorgesetzten vor dem letzten Tag des Benutzers | 52853a3e-f4e5-4eb8-bb24-1ac09a1da935 | Abgänger |
| Senden von E-Mails an Benutzer am letzten Tag | 9c0a1eaf-5bda-4392-9d9e-6e155bb57411 | Abgänger |
| Senden von Offboarding-E-Mails an den Vorgesetzten der Benutzer nach dem letzten Tag | 6f22ddd4-b3a5-47a4-a846-0d7c201a49ce | Abgänger |
Verwenden Sie den Ressourcentyp taskDefinition und die zugehörigen Methoden, um alle vordefinierten Aufgaben zu ermitteln, die für Ihren Workflow konfiguriert werden können, sowie die Einstellungen für die Eigenschaften. Mit dem Taskressourcentyp und den zugehörigen GET-Methoden können Sie die für Ihren Workflow konfigurierten Aufgaben anzeigen.
Ausführungsbedingungen
Für jede Workflowaufgabe gibt es eine Ausführungsbedingung, die den Bereich von "Who" und den Trigger von "when" (Wann) ein Workflow und die zugehörigen Aufgaben ausführt. Beispielsweise kann eine Ausführungsbedingung angeben, dass ein Workflow für ausscheidende Mitarbeiter ausgeführt wird, sieben Tage vor ihrem Einstellungsenddatum, wenn sie sich in der Abteilung R&D befinden. Die zugeordnete Aufgabe im Workflow kann angeben, dass der Benutzer aus den R&D-Teams und -Gruppen entfernt wird.
⁄⁄Sample snippet for the executionConditions object
"executionConditions": {
"@odata.type": "#microsoft.graph.identityGovernance.triggerAndScopeBasedConditions",
"scope": {
"@odata.type": "#microsoft.graph.identityGovernance.ruleBasedSubjectSet",
"rule": "department eq 'R&D'"
},
"trigger": {
"@odata.type": "#microsoft.graph.identityGovernance.timeBasedAttributeTrigger",
"timeBasedAttribute": "employeeLeaveDateTime",
"offsetInDays": -7
}
}
Verwenden Sie beim Erstellen oder Aktualisieren eines Workflows den Ressourcentyp workflowExecutionConditions , um die Ausführungsbedingungen zu konfigurieren. Verwenden Sie dieses Objekt, um auch einen Workflow zu konfigurieren, der nur bei Bedarf ausgeführt wird.
Erstellen und Verwalten von Workflows
Nachdem Sie die Aufgaben und Ausführungsbedingungen identifiziert haben, die Sie für Ihren Workflow definieren möchten, verwenden Sie den Workflowressourcentyp und die zugehörigen Methoden, um den Workflow zu erstellen und zu verwalten. Sie können bis zu 100 Workflows in einem Mandanten erstellen. Die Kategorie des Vorgangs muss mit der Kategorie des Workflows übereinstimmen. Jeder Workflow kann bis zu 25 Aufgaben enthalten. Daher:
- Eine Aufgabe, die nur für die Workflowkategorie "leaver" unterstützt wird, kann in einem Workflowszenario vom Typ "Joiner" oder "Mover" nicht angegeben werden und umgekehrt.
- Eine aufgabe, die für workflowkategorien "joiner", "mover" und "leaver" unterstützt wird, kann entweder in einem Workflowszenario vom Typ "joiner", "mover" oder "leaver" angegeben werden.
Sie können die Ausführung eines Workflows basierend auf dem mandantenweiten Zeitplan planen oder bei Bedarf ausführen. Der Mandantenzeitplan kann sich um geplante Neueinstellungen und Kündigungen kümmern, während Sie einen Workflow bei Bedarf sofort ausführen können, um den Zugriff eines Mitarbeiters zu beenden, wenn ein sensibles Ereignis vorliegt.
Workflowversionen
Während ein Workflow verwendet wird, müssen Sie möglicherweise Ausführungsbedingungen und Aufgaben für einen Workflow aktualisieren. Lebenszyklusworkflows ermöglichen es Ihnen jedoch nicht, diese Eigenschaften für einen vorhandenen Workflow zu aktualisieren.
Anstatt neue Workflows zu erstellen, verwenden Sie den Ressourcentyp workflowVersion und die zugehörigen Methoden, um basierend auf einem vorhandenen Workflowobjekt eine neue Workflowversion zu erstellen und zu verwalten. Die Workflowversion kann einen ähnlichen oder anderen Satz von Aufgaben und Ausführungsbedingungen aufweisen.
Berichte
Lebenszyklusworkflows unterstützen umfangreiche Berichterstellungsfunktionen, um die status der Workflowverarbeitung auf Workflowausführungsebene, Aufgaben- und Benutzerebene nachzuverfolgen.
Weitere Informationen zu den Berichterstellungsfunktionen für Lebenszyklusworkflows finden Sie in der Übersicht über APIs für Lebenszyklus-Workflows.
Erweiterungen
Manchmal sind die integrierten Aufgaben möglicherweise nicht ausreichend, um alle Ihre Geschäftsszenarien zu erfüllen. Um Ihre Lebenszyklusverwaltungsszenarien zu erweitern, unterstützen Lebenszyklusworkflows das Definieren benutzerdefinierter Aufgaben für die Integration in externe Systeme über Azure Logic Apps. Bei einem "Abgänger"-Szenario können Sie beispielsweise auch dem Vorgesetzten des Benutzers Zugriff auf das E-Mail-Konto des Benutzers gewähren.
Verwenden Sie den Ressourcentyp customTaskExtension und die zugehörigen Methoden, um die Einstellungen für Ihre Azure-Logik-App zu definieren.
Einstellungen
Jeder Mandant definiert einen mandantenweiten Zeitplan , wenn alle geplanten Workflows ausgeführt werden. Der Mandant kann den Microsoft Entra ID definierten Standardzeitplan übernehmen, in dem Workflows alle drei Stunden ausgeführt werden, oder den Zeitplan so ändern, dass er zwischen einer Stunde und 24 Stunden ausgeführt wird.
Lizenzüberprüfungen
Für die Verwendung dieses Features sind Microsoft Entra ID Governance Lizenzen erforderlich. Die richtige Lizenz für Ihre Anforderungen finden Sie unter Vergleichen von allgemein verfügbaren Features von Microsoft Microsoft Entra ID.
Autorisierungsprüfungen für Rollen- und Anwendungsberechtigungen
Die folgenden Microsoft Entra Rollen sind für einen aufrufenden Benutzer erforderlich, um Lebenszyklusworkflows zu verwalten.
| Vorgang | Anwendungsberechtigungen | Erforderliche Verzeichnisrolle des aufrufenden Benutzers |
|---|---|---|
| Lesen | LifecycleWorkflows.Read.All oder LifecycleWorkflows.ReadWrite.All | Globaler Leser oder Administrator für Lebenszyklusworkflows |
| Erstellen, Aktualisieren oder Löschen | LifecycleWorkflows.ReadWrite.All | Lebenszyklus-Workflows-Administrator |
Verwandte Inhalte
- Was sind Lebenszyklus-Workflows?
- Konzepte in Lebenszyklusworkflows
- Tutorial: Automatisieren von Offboardingaufgaben für Mitarbeiter nach dem letzten Arbeitstag mit Microsoft Graph
- Tutorial: Ausführen von Offboardingaufgaben für Mitarbeiter am letzten Arbeitstag in Echtzeit mit Microsoft Graph
- Tutorial: Automatisieren von Onboardingaufgaben für Mitarbeiter vor dem ersten Arbeitstag mit Microsoft Graph
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für