Gestion des utilisateurs locaux synchronisés avec des workflows de cycle de vie
Workflows de cycle de vie prend en charge la gouvernance du cycle de vie des comptes d’utilisateur qui sont synchronisés à partir de services Active Directory Domain Services (AD-DS) locaux vers Microsoft Entra. Pour Workflows de cycle de vie, il est essentiel de disposer d’un compte d’utilisateur dans Microsoft Entra, mais la façon dont le compte a été créé ou la façon dont les modifications pertinentes du cycle de vie sont apportées au compte joue un rôle mineur dans le traitement des workflows et des tâches associées pour le compte d’utilisateur. La prise en charge inclut les comptes et les modifications apportées via des chemins d’accès tels qu’Approvisionnement piloté par les ressources humaines, les API Microsoft Graph, le portail d’administration Microsoft Entra, ainsi que les modifications synchronisées par Microsoft Entra Connect et MicrosoftCloud Sync.
Dans cet article, vous allez découvrir ce qu’il faut prendre en compte si vous souhaitez utiliser Workflows de cycle de vie pour les comptes d’utilisateur synchronisés à partir de services Active Directory Domain Services (AD-DS) locaux vers Microsoft Entra, appelé Utilisateurs locaux synchronisés.
Conditions d’exécution de workflows avec des utilisateurs locaux synchronisés
Les workflows de cycle de vie sont traités pour les comptes d’utilisateur lorsqu’ils répondent aux conditions d’exécution des workflows. Les conditions d’exécution sont composées d’un déclencheur et d’une étendue. Le déclencheur décrit l’événement qui se produit pour un compte d’utilisateur. L’étendue vous permet de définir davantage pour qui le workflow démarre lorsque l’événement se produit.
Déclencheurs de workflows
Le tableau suivant montre ce qui doit être pris en compte pour chaque déclencheur de workflows lorsqu’il est utilisé avec les utilisateurs locaux synchronisés :
| Déclencheur de workflows | Spécifications |
|---|---|
| Modifications d’attributs (préversion) | Aucune configuration supplémentaire n’est nécessaire tant que les attributs sont synchronisés. Pour plus d’informations sur les attributs synchronisés, consultez Mappage d’attributs dans Synchronisation Microsoft Entra Cloud et Synchronisation Microsoft Entra Connect : extensions d’annuaire. Lorsqu’une modification est apportée dans Active Directory local, la synchronisation via Synchronisation Microsoft Entra Cloud ou Synchronisation Microsoft Entra Connect doit se produire avant que les modifications puissent être récupérées à partir de Workflows de cycle de vie. |
| Appartenance à un groupe (préversion) | Comme n’importe quel type de groupe est pris en charge, aucune autre configuration n’est requise. Si le groupe provient d’Active Directory local, il doit être synchronisé avec Microsoft Entra. La synchronisation Synchronisation Microsoft Entra Cloud ou Synchronisation Microsoft Entra Connect doit se produire avant que les modifications puissent être récupérées à partir de Workflows de cycle de vie. |
| À la demande | Aucune autre configuration n’est nécessaire. |
| Basé sur le temps | employeeHireDate, employeeLeaveDateTime : ces attributs doivent être synchronisés avant d’être utilisés. Pour plus d’informations sur ce processus, consultez Comment synchroniser les attributs pour les workflows de cycle de vie. createdDateTime : aucune autre configuration n’est nécessaire. Cette date représente le jour où le compte d’utilisateur est synchronisé avec Microsoft Entra ID, et non quand il a été créé dans Active Directory. |
Étendue du workflow
Pour les attributs utilisateur utilisés dans les fonctionnalités d’étendue de workflow, aucune autre configuration n’est nécessaire si les attributs sélectionnés sont déjà synchronisés. Pour plus d’informations sur les attributs synchronisés, consultez Mappage d’attributs dans Synchronisation Microsoft Entra Cloud et Synchronisation Microsoft Entra Connect : extensions d’annuaire. Lorsqu’une modification est apportée dans Active Directory local, la synchronisation via Synchronisation Microsoft Entra Cloud ou Synchronisation Microsoft Entra Connect doit se produire avant que les modifications puissent être récupérées à partir de Workflows de cycle de vie.
Tâches de workflows et fonctionnalités locales synchronisées
Toutes les tâches Workflows de cycle de vie fonctionnent à la fois pour le cloud et pour les utilisateurs synchronisés localement, à l’exception des limitations répertoriées sur des tâches spécifiées plus loin dans cet article. Pour plus d’informations sur toutes les tâches Workflows de cycle de vie, consultez Tâches intégrées à Workflows de cycle de vie.
Tâches de gouvernance des appartenances aux groupes
Les tâches Workflows de cycle de vie qui régissent les appartenances aux groupes ne peuvent pas être utilisées pour les groupes synchronisés à partir d’Active Directory local vers Microsoft Entra. Toutefois, Microsoft Entra ID Governance peut être utilisé pour régir l’accès aux applications Active Directory (Kerberos) locales avec des groupes à partir du cloud, qui sont pris en charge dans Worflows de cycle de vie.
Tâches de compte d’utilisateur (préversion)
Une configuration supplémentaire est requise pour que les tâches Workflows de cycle de vie permettent d’activer, de désactiver et de supprimer des comptes d’utilisateur pour travailler avec des utilisateurs locaux synchronisés. Les prérequis suivants doivent être remplis avant de pouvoir configurer les tâches pour effectuer des actions dans Active Directory local.
- L’agent d’approvisionnement Microsoft Entra doit être installé dans votre environnement. Pour connaître les conditions préalables à l’installation de l’agent d’approvisionnement Microsoft Entra, consultez Configuration requise de l’agent d’approvisionnement cloud. Pour obtenir un guide pas-à-pas sur l’installation de l’agent d’approvisionnement Microsoft Entra, consultez Installer l’agent d’approvisionnement Microsoft Entra. Pendant l’installation, choisissez Approvisionnement piloté par les ressources humaines / Synchronisation Microsoft Entra Connect pour Configuration de l’extension. Vous n’êtes pas obligé d’ajouter une autre configuration pour l’agent d’approvisionnement, comme la configuration de synchronisation cloud, et vous pouvez installer l’agent d’approvisionnement même si vous utilisez également Synchronisation Microsoft Entra Connect pour la synchronisation de vos utilisateurs.
Remarque
L’agent d’approvisionnement installé doit être au moins de la version 1.1.1586.0, qui a été publiée le 13 mai 2024.
Vérifiez que le compte de service géré de groupe (gMSA) utilisé par l’agent d’approvisionnement dispose des autorisations appropriées pour effectuer des opérations sur les comptes d’utilisateur.
Pour supprimer des comptes d’utilisateurs, vous devez activer la corbeille Active Directory. Pour obtenir un guide pas-à-pas sur l’activation de la corbeille, consultez Guide pas-à-pas de la Corbeille Active Directory.
Pour obtenir un guide pas-à-pas sur la définition de l’indicateur afin que les tâches de compte d’utilisateur s’exécutent pour les utilisateurs locaux synchronisés, consultez Gérer les utilisateurs locaux synchronisés avec des workflows (préversion).
Étapes suivantes
Commentaires
Bientôt disponible : pendant toute l’année 2024, nous allons éliminer progressivement Problèmes GitHub comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, voir : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour