Administración de usuarios sincronizados entre Active Directory Domain Services y Microsoft Entra ID con flujos de trabajo de ciclo de vida
Los flujos de trabajo de ciclo de vida admiten la gobernanza del ciclo de vida de identidad de las cuentas de usuario que se sincronizan entre Active Directory Domain Services (AD DS) y Microsoft Entra ID. En el caso de los flujos de trabajo de ciclo de vida, es esencial que exista una cuenta de usuario en Microsoft Entra ID, pero cómo se ha creado la cuenta o cómo se realizan los cambios pertinentes del ciclo de vida en la cuenta desempeña un papel menor cuando se trata de procesar flujos de trabajo y tareas asociadas de la cuenta de usuario. El soporte técnico incluye cuentas y cambios realizados a través de opciones como Aprovisionamiento controlado por RR. HH., las API de Microsoft Graph, el Portal de administración de Microsoft Entra, así como los cambios sincronizados por Microsoft Entra Connect y Microsoft Cloud Sync.
En la tabla siguiente se enumeran los escenarios de automatización comunes para los usuarios sincronizados desde AD DS mediante Gobierno de Microsoft Entra ID:
| Escenario para automatizar | Solución Gobierno de Microsoft Entra ID |
|---|---|
| Creación de la cuenta de usuario en Active Directory Domain Services | Aprovisionamiento controlado RR. HH. |
| Proporcionar credenciales o contraseña iniciales para las cuentas de usuario | La tarea Generar pase de acceso temporal y enviar por correo electrónico al administrador del usuario se puede usar para configurar credenciales sin contraseña. Para configurar una contraseña de Active Directory normal, puedes usar el autoservicio de restablecimiento de contraseña de Microsoft Entra. |
| Asignación de licencias | La tarea de flujo de trabajo de ciclo de vida Asignar licencias al usuario (versión preliminar) se puede usar para asignar licencias. También puedes asignar licencias a los usuarios a través de un grupo. |
| Conceder a los usuarios acceso a aplicaciones basadas en grupos de Active Directory | Control del acceso a la aplicación de Active Directory local (Kerberos) |
| Actualizar los atributos de los usuarios en Active Directory cuando cambian de organización | Planificar filtros de ámbito y asignación de atributos |
| Mover usuarios a diferentes OU cuando cambian de organización | Configuración de la asignación de contenedores OU de Active Directory |
| Deshabilitar usuarios el último día | La tarea de flujo de trabajo de ciclo de vida Deshabilitar cuenta de usuario se puede usar para deshabilitar una cuenta de usuario el último día de pertenencia a la organización del usuario. |
| Eliminación de usuarios en un número determinado de días tras la baja | La tarea de flujo de trabajo de ciclo de vida Eliminar usuario se puede usar dentro de una plantilla de flujo de trabajo para eliminar usuarios en un número determinado de días tras la baja. |
En este artículo, aprenderás lo que hay que tener en cuenta si quieres utilizar flujos de trabajo de ciclo de vida para cuentas de usuario que se sincronizan entre AD DS y Microsoft Entra ID.
Condiciones de ejecución del flujo de trabajo con usuarios sincronizados entre Active Directory Domain Services (AD DS) y Microsoft Entra ID
Los flujos de trabajo de ciclo de vida se procesan para las cuentas de usuario cuando cumplen las condiciones de ejecución del flujo de trabajo. Las condiciones de ejecución se componen de un desencadenador y un ámbito. El desencadenador describe el evento que se produce para una cuenta de usuario. El ámbito permite definir aún más para quién se ejecuta el flujo de trabajo cuando se produce el evento.
Desencadenadores de flujo de trabajo
La siguiente tabla muestra lo que se debe tener en cuenta para cada desencadenador del flujo de trabajo cuando se utiliza con usuarios sincronizados desde AD DS:
| Desencadenador de flujo de trabajo | Requisitos |
|---|---|
| Cambios de atributo (versión preliminar) | No se necesita ninguna configuración adicional siempre que se sincronicen los atributos. Para obtener información sobre los atributos sincronizados, consulte: Asignación de atributos en Microsoft Entra Cloud Sync y Microsoft Entra Connect Sync: Extensiones de directorio. Cuando se realiza un cambio en Active Directory, la sincronización a través de Microsoft Entra Cloud Sync o Microsoft Entra Connect Sync debe producirse antes de que se puedan recoger los cambios de los flujos de trabajo de ciclo de vida. |
| Basado en pertenencia a grupos (versión preliminar) | Como se admite cualquier tipo de grupo, no se requiere ninguna configuración adicional. Si el grupo se origina desde Active Directory, debe sincronizarse con Microsoft Entra. Microsoft Entra Cloud Sync o Microsoft Entra Connect Sync, la sincronización debe producirse antes de que se puedan seleccionar los cambios de los flujos de trabajo del ciclo de vida. |
| A petición | No se necesita ninguna configuración adicional. |
| Basado en el tiempo | employeeHireDate, employeeLeaveDateTime: estos atributos deben sincronizarse antes de usarse. Para obtener más información sobre este proceso, consulte Cómo sincronizar los atributos de flujos de trabajo del ciclo de vida. createdDateTime: no se necesita ninguna configuración adicional. Esta fecha es el día en que la cuenta de usuario se sincroniza con Microsoft Entra ID, no cuando se crearon en Active Directory. |
Ámbito del flujo de trabajo
En el caso de los atributos de usuario usados en las funcionalidades de ámbito de flujo de trabajo, no se necesita ninguna configuración adicional si los atributos seleccionados ya están sincronizados. Para obtener información sobre los atributos sincronizados, consulte: Asignación de atributos en Microsoft Entra Cloud Sync y Microsoft Entra Connect Sync: Extensiones de directorio. Cuando se realiza un cambio en Active Directory, la sincronización a través de Microsoft Entra Cloud Sync o Microsoft Entra Connect Sync debe producirse antes de que se puedan recoger los cambios de los flujos de trabajo de ciclo de vida.
Tareas de flujo de trabajo para los usuarios sincronizados entre Active Directory Domain Services y Microsoft Entra ID
Todas las tareas de flujo de trabajo de ciclo de vida funcionan tanto para los usuarios de la nube como para los sincronizados desde Active Directory de forma predeterminada, excepto para las limitaciones enumeradas en tareas específicas más adelante en este artículo. Para obtener más información sobre todas las tareas de flujo de trabajo del ciclo de vida, consulte: Tareas integradas del flujo de trabajo del ciclo de vida.
Tareas para controlar las pertenencias a grupos
Escenario: al sincronizar usuarios entre AD DS y Microsoft Entra ID, puedes agregar o eliminar usuarios de grupos de seguridad basados en la nube a través de las tareas de grupo del flujo de trabajo de ciclo de vida. Esto te permite controlar la pertenencia a grupos de los usuarios sincronizados en la nube y también volver a agregar este grupo a Active Directory mediante la escritura diferida de grupos de Microsoft Entra Cloud Sync.
En el caso de los grupos que se sincronizan entre AD DS y Microsoft Entra ID, no podrás usar tareas de grupo de flujo de trabajo de ciclo de vida, como se mencionó en el escenario. Sin embargo, el Gobierno de Microsoft Entra ID se puede usar para Controlar el acceso a aplicaciones locales de Active Directory (Kerberos) con grupos de la nube, que se admiten en flujos de trabajo de ciclo de vida.
Tareas de cuenta de usuario (versión preliminar)
Se requiere una configuración adicional para que las tareas de flujo de trabajo del ciclo de vida habiliten, deshabiliten y eliminen cuentas de usuario para que funcionen con sincronización desde AD DS. Los siguientes requisitos previos deben completarse para poder configurar las tareas para realizar acciones en Active Directory.
- Debe tener instalado el Agente de aprovisionamiento de Microsoft Entra en su entorno. Para conocer los requisitos previos para instalar el agente de aprovisionamiento de Microsoft Entra, consulte: Requisitos del agente de aprovisionamiento en la nube. Para obtener una guía paso a paso sobre la instalación del agente de aprovisionamiento de Microsoft Entra, consulte: Instalación del agente de aprovisionamiento de Microsoft Entra. Durante la instalación, elija "Aprovisionamiento controlado por RR. HH. / Microsoft Entra Connect Sync" como "configuración de extensión". No es necesario agregar ninguna otra configuración para el agente de aprovisionamiento, como la configuración de sincronización en la nube, y puede instalar el agente de aprovisionamiento aunque también esté usando Microsoft Entra Connect Sync para la sincronización de usuarios.
Nota:
El agente de aprovisionamiento instalado debe ser al menos la versión 1.1.1586.0, que se publicó el 13 de mayo de 2024.
Asegúrese de que la cuenta de servicio administrada de grupo (gMSA) usada por el agente de aprovisionamiento tiene los permisos adecuados para realizar operaciones en cuentas de usuario.
Para eliminar cuentas de usuarios, debe habilitar la papelera de reciclaje de Active Directory. Para obtener una guía paso a paso sobre cómo habilitar la papelera de reciclaje, consulte: Papelera de reciclaje de Active Directory paso a paso.
Para obtener una guía paso a paso sobre cómo configurar la marca para que las tareas de la cuenta de usuario se ejecuten para los usuarios sincronizados desde Active Directory Domain Services, consulta: Administrar usuarios sincronizados desde Active Directory Domain Services (AD DS) con flujos de trabajo (versión preliminar).