Gestion des utilisateurs synchronisés entre Active Directory Domain Services et Microsoft Entra ID avec les workflows de cycle de vie
Les workflows de cycle de vie prennent en charge la gouvernance du cycle de vie de l’identité des comptes d’utilisateur qui sont synchronisés entre Active Directory Domain Services (AD DS) et Microsoft Entra ID. Pour les workflows de cycle de vie, il est essentiel de disposer d’un compte d’utilisateur dans Microsoft Entra ID, mais la façon dont le compte a été créé ou la façon dont les modifications pertinentes du cycle de vie sont apportées au compte joue un rôle mineur dans le traitement des workflows et des tâches associées pour le compte d’utilisateur. Cette prise en charge inclut les comptes et les modifications apportées via des options telles que l’approvisionnement piloté par les RH, les API Microsoft Graph, le portail d’administration Microsoft Entra, ainsi que les modifications synchronisées par la synchronisation Microsoft Entra Connect et Microsoft Cloud.
Le tableau suivant répertorie les scénarios d’automatisation courants pour les utilisateurs synchronisés à partir d’AD DS à l’aide de Gouvernance Microsoft Entra ID :
Scénario à automatiser | Solution Gouvernance Microsoft Entra ID |
---|---|
Création du compte d’utilisateur dans Active Directory Domain Services | Approvisionnement piloté par les RH |
Fourniture des informations d’identification initiales ou du mot de passe initial pour les comptes d’utilisateur | La tâche Générer un passe d’accès temporaire et envoyer par e-mail au responsable de l’utilisateur peut être utilisée pour configurer des informations d’identification sans mot de passe. Pour configurer un mot de passe Active Directory standard, vous pouvez utiliser la réinitialisation de mot de passe en libre-service Microsoft Entra. |
Attribution de licences | La tâche de workflow de cycle de vie Attribuer des licences à l’utilisateur (version préliminaire) peut être utilisée pour attribuer des licences. Vous pouvez également attribuer des licences aux utilisateurs via un groupe. |
Accorder aux utilisateurs l’accès aux applications basées sur des groupes Active Directory | Gouverner l’accès à l’application Active Directory (Kerberos) locale |
Mettre à jour les attributs utilisateur dans Active Directory au fur et à mesure que les utilisateurs changent d’organisation | Planifier les filtres d’étendue et le mappage des attributs |
Déplacer des utilisateurs vers des unités d’organisation différentes au fur et à mesure qu’ils changent d’organisation | Configurer l’attribution d’un conteneur d’unité d’organisation Active Directory |
Désactiver les utilisateurs le dernier jour | La tâche de workflow de cycle de vie Désactiver le compte d’utilisateur peut être utilisée pour désactiver un compte d’utilisateur lors de son dernier jour. |
Supprimer des utilisateurs un nombre défini de jours après la fin de leur contrat | La tâche de workflow de cycle de vie Supprimer l’utilisateur peut être utilisée dans un modèle de workflow pour supprimer des utilisateurs un nombre défini de jours après la fin de leur contrat. |
Dans cet article, vous allez découvrir ce qu’il faut prendre en compte si vous souhaitez utiliser les workflows de cycle de vie pour les comptes d’utilisateurs synchronisés entre AD DS et Microsoft Entra ID.
Conditions d’exécution des workflows avec des utilisateurs synchronisés entre Active Directory Domain Services (AD DS) et Microsoft Entra ID
Les workflows de cycle de vie sont traités pour les comptes d’utilisateurs lorsqu’ils répondent aux conditions d’exécution du workflow. Les conditions d’exécution sont composées d’un déclencheur et d’une étendue. Le déclencheur décrit l’événement qui se produit pour un compte d’utilisateur. L’étendue vous permet de définir plus précisément pour qui le workflow s’exécute lorsque l’événement se produit.
Déclencheurs de workflows
Le tableau suivant montre ce qui doit être pris en compte pour chaque déclencheur de workflows lorsqu’il est utilisé avec des utilisateurs synchronisés avec AD DS :
Déclencheur de workflows | Spécifications |
---|---|
Modification d’attributs | Aucune configuration supplémentaire n’est nécessaire tant que les attributs sont synchronisés. Pour plus d’informations sur les attributs synchronisés, consultez Mappage d’attributs dans Synchronisation Microsoft Entra Cloud et Synchronisation Microsoft Entra Connect : extensions d’annuaire. Lorsqu’une modification est apportée dans Active Directory, la synchronisation via Synchronisation Microsoft Entra Cloud ou Synchronisation Microsoft Entra Connect doit se produire avant que les modifications puissent être récupérées des workflows de cycle de vie. |
Basé sur l’appartenance à un groupe | Comme n’importe quel type de groupe est pris en charge, aucune autre configuration n’est requise. Si le groupe provient d’Active Directory, il doit être synchronisé avec Microsoft Entra. La synchronisation Synchronisation Microsoft Entra Cloud ou Synchronisation Microsoft Entra Connect doit se produire avant que les modifications puissent être récupérées à partir de Workflows de cycle de vie. |
À la demande | Aucune autre configuration n’est nécessaire. |
Basé sur le temps | employeeHireDate, employeeLeaveDateTime : ces attributs doivent être synchronisés avant d’être utilisés. Pour plus d’informations sur ce processus, consultez Comment synchroniser les attributs pour les workflows de cycle de vie. createdDateTime : aucune configuration supplémentaire n’est nécessaire. Cette date représente le jour où le compte d’utilisateur est synchronisé avec Microsoft Entra ID, et non quand il a été créé dans Active Directory. |
Étendue du workflow
Pour les attributs utilisateur utilisés dans les fonctionnalités d’étendue de workflow, aucune autre configuration n’est nécessaire si les attributs sélectionnés sont déjà synchronisés. Pour plus d’informations sur les attributs synchronisés, consultez Mappage d’attributs dans Synchronisation Microsoft Entra Cloud et Synchronisation Microsoft Entra Connect : extensions d’annuaire. Lorsqu’une modification est apportée dans Active Directory, la synchronisation via Synchronisation Microsoft Entra Cloud ou Synchronisation Microsoft Entra Connect doit se produire avant que les modifications puissent être récupérées des workflows de cycle de vie.
Tâches de workflow pour les utilisateurs synchronisés entre Active Directory Domain Services et Microsoft Entra ID
Toutes les tâches de workflow de cycle de vie fonctionnent à la fois pour le cloud et pour les utilisateurs synchronisés à partir d’Active Directory, à l’exception de limitations sur des tâches spécifiques indiquées plus loin dans cet article. Pour plus d’informations sur toutes les tâches Workflows de cycle de vie, consultez Tâches intégrées à Workflows de cycle de vie.
Tâches de gouvernance des appartenances aux groupes
Scénario : lorsque vous synchronisez des utilisateurs entre AD DS et Microsoft Entra ID, vous pouvez ajouter ou supprimer des utilisateurs de groupes de sécurité basés sur le cloud via des tâches de groupe du workflow de cycle de vie. Cela vous permet de gouverner l’appartenance au groupe des utilisateurs synchronisés dans le cloud et d’ajouter ce groupe à Active Directory à l’aide de l’écriture différée de groupe de Synchronisation Microsoft Entra Cloud.
Pour les groupes qui sont synchronisés entre AD DS et Microsoft Entra ID, vous ne pouvez pas utiliser les tâches de groupe des workflows de cycle de vie comme indiqué dans le scénario. Toutefois, Microsoft Entra ID Governance peut être utilisé pour régir l’accès aux applications Active Directory (Kerberos) locales avec des groupes à partir du cloud, qui sont pris en charge dans Worflows de cycle de vie.
Tâches de compte d’utilisateur
Une configuration supplémentaire est requise pour que les tâches de workflows de cycle de vie puissent activer, désactiver et supprimer des comptes d’utilisateurs avec des utilisateurs synchronisés à partir d’AD DS. Les prérequis suivants doivent être remplis avant de pouvoir configurer les tâches pour qu’elles effectuent des actions dans Active Directory.
- L’agent d’approvisionnement Microsoft Entra doit être installé dans votre environnement. Pour connaître les conditions préalables à l’installation de l’agent d’approvisionnement Microsoft Entra, consultez Configuration requise de l’agent d’approvisionnement cloud. Pour obtenir un guide pas-à-pas sur l’installation de l’agent d’approvisionnement Microsoft Entra, consultez Installer l’agent d’approvisionnement Microsoft Entra. Pendant l’installation, choisissez Approvisionnement piloté par les ressources humaines / Synchronisation Microsoft Entra Connect pour Configuration de l’extension. Vous n’êtes pas obligé d’ajouter une autre configuration pour l’agent d’approvisionnement, comme la configuration de synchronisation cloud, et vous pouvez installer l’agent d’approvisionnement même si vous utilisez également Synchronisation Microsoft Entra Connect pour la synchronisation de vos utilisateurs.
Remarque
L’agent d’approvisionnement installé doit être au moins de la version 1.1.1586.0, qui a été publiée le 13 mai 2024.
Vérifiez que le compte de service géré de groupe (gMSA) utilisé par l’agent d’approvisionnement dispose des autorisations appropriées pour effectuer des opérations sur les comptes d’utilisateur.
Pour supprimer des comptes d’utilisateurs, vous devez activer la corbeille Active Directory. Pour obtenir un guide pas-à-pas sur l’activation de la corbeille, consultez Guide pas-à-pas de la Corbeille Active Directory.
Pour la procédure détaillée de définition de l’indicateur afin que les tâches de compte d’utilisateur s’exécutent pour les utilisateurs synchronisés à partir d’Active Directory Domain Services, consultez : Gérer les utilisateurs synchronisés à partir d’Active Directory Domain Services (AD DS) avec des workflows.