Planifier un déploiement de workflow de cycle de vie
Les workflows de cycle de vie aident votre organisation à gérer les utilisateurs Microsoft Entra en augmentant l’automatisation. Avec les workflows de cycle de vie, vous bénéficiez des avantages suivants :
- Étendez votre processus d’approvisionnement basé sur les ressources humaines avec d’autres workflows qui simplifient et automatisent les tâches.
- Centralisez votre processus de workflow pour vous permettre de créer et de gérer facilement des workflows dans un seul et même emplacement.
- Résolvez les scénarios de workflow avec l’historique des workflows et les journaux d’audit avec un minimum d’efforts.
- Gérez le cycle de vie des utilisateurs à grande échelle. À mesure que votre organisation se développe, la nécessité que d’autres ressources gèrent les cycles de vie des utilisateurs se réduit.
- Réduisez ou supprimez les tâches manuelles qui ont été effectuées dans le passé avec des workflows de cycle de vie automatisés.
- Appliquez des applications logiques pour étendre les workflows pour des scénarios plus complexes à l’aide de vos applications logiques existantes.
Les workflow de cycle de vie sont une fonctionnalité de Microsoft Entra ID Governance. Les autres fonctionnalités sont la gestion des droits d’utilisation, les révisions d’accès, Privileged Identity Management (PIM) et les conditions d’utilisation. Ensemble, elles vous aident à répondre à ces questions :
- Quels utilisateurs doivent pouvoir accéder à quelles ressources ?
- Que font les utilisateurs de cet accès ?
- Un contrôle organisationnel efficace est-il disponible pour gérer l’accès ?
- Des auditeurs peuvent-ils vérifier que les contrôles fonctionnent ?
- Les utilisateurs sont-ils prêts à partir dès le premier jour ou leur accès est-il supprimé en temps opportun ?
Il est essentiel de planifier votre déploiement de workflows de cycle de vie pour vous assurer d’atteindre la stratégie de gouvernance souhaitée pour les utilisateurs de votre organisation.
Pour plus d’informations sur les plans de déploiement, consultez Plans de déploiement Microsoft Entra.
Conditions de licence :
L’utilisation de cette fonctionnalité requiert des licences Microsoft Entra ID Governance. Pour trouver la licence adaptée à vos besoins, consultez Notions de base sur les licences Gouvernances des ID Microsoft Entra.
Planifier le projet de déploiement du workflow de cycle de vie
Tenez compte des besoins de votre organisation pour déterminer la stratégie de déploiement des workflows de cycle de vie dans votre environnement.
Impliquer les parties prenantes appropriées
Lorsque des projets technologiques échouent, cela est généralement dû à des attentes qui ne correspondent pas à l’impact, aux résultats et aux responsabilités réels. Pour éviter un tel cas de figure, prenez soin de faire appel aux bonnes parties prenantes et à clarifier les rôles du projet.
Pour les workflows de cycle de vie, vous inclurez probablement des représentants des équipes suivantes au sein de votre organisation :
L’administration informatique gère votre infrastructure informatique et administre vos investissements cloud et vos applications SaaS (Software as a service). Cette équipe :
- Révise les workflows de cycle de vie de l’infrastructure et des applications, notamment Microsoft 365 et Microsoft Entra ID.
- Planifie et exécute des workflows de cycle de vie sur les utilisateurs.
- Garantit que les workflows de cycle de vie programmatiques, via GRAPH ou l’extensibilité, sont gérés et révisés.
Le Responsable de la sécurité garantit que le plan répond aux exigences de sécurité de votre organisation. Cette équipe :
- Vérifie que les workflows de cycle de vie répondent aux stratégies de sécurité organisationnelles.
Le responsable de la conformité garantit que l’organisation suit la stratégie interne et respecte les réglementations. Cette équipe :
- Demande ou planifie les révisions de workflow de cycle de vie.
- Évalue les processus et les procédures de révision des workflows de cycle de vie, y compris la documentation et la tenue de registres pour en assurer la conformité.
- Examiner les résultats des révisions antérieures pour les ressources les plus critiques.
Le Représentant des ressources humaines aide à la mise en correspondance et au remplissage des attributs dans les scénarios d’approvisionnement des ressources humaines. Cette équipe :
- Aide à déterminer les attributs qui sont utilisés pour remplir les données de type employeeHireDate et employeeLeaveDateTime.
- Garantit que les attributs sources sont renseignés et ont des valeurs.
- Identifie et suggère d’autres attributs qui peuvent être mappés à employeeHireDate et employeeLeaveDateTime.
Les équipes de développement créent et entretiennent des applications pour votre organisation. Cette équipe :
- Développe des workflows personnalisés à l’aide de GRAPH.
- Intègre des workflows de cycle de vie avec Logic Apps via l’extensibilité.
Planifier les communications
La communication est essentielle à la réussite de tout nouveau processus métier. Communiquez de manière proactive aux utilisateurs comment et quand leur expérience sera modifiée. Dites-leur comment bénéficier d’un support s’ils rencontrent des problèmes.
Communiquer les changements en matière de responsabilité
Les workflows de cycle de vie prennent en charge le changement de responsabilité des processus manuels aux propriétaires d’entreprise. Établissez un processus clair et une compréhension des responsabilités de chaque équipe. Le découplage de ces processus du service informatique entraîne une plus grande précision et une automatisation accrue. Il s’agit d’un changement culturel dans l’obligation de rendre des comptes et la responsabilité du propriétaire des ressources. Communiquez cette modification de manière proactive et assurez-vous que les propriétaires des ressources sont formés et en mesure d’utiliser les informations pour prendre de bonnes décisions.
Introduction aux workflows de cycle de vie
Cette section présente les concepts de workflow de cycle de vie que vous devez connaître avant de planifier votre déploiement.
Conditions préalables au déploiement de workflow de cycle de vie
Voici des informations importantes sur votre organisation et les technologies qui doivent être en place avant de déployer des workflows de cycle de vie. Vérifiez que vous pouvez répondre oui à chacun des éléments avant de tenter de déployer des workflows de cycle de vie.
| Élément | Description | Documentation |
|---|---|---|
| Approvisionnement entrant | Vous avez un processus permettant de créer des comptes d’utilisateur pour les employés dans Microsoft Entra, tels que les ressources humaines (personnel entrant) de Workday, SuccessFactors ou MIM. Vous disposez également d’un processus pour créer des comptes d’utilisateur dans Active Directory et ces comptes sont approvisionnés dans Microsoft Entra ID. |
Workday to Active Directory Workday vers Microsoft Entra ID SuccessFactors vers Active Directory SuccessFactors vers Microsoft Entra ID Microsoft Entra Connect Synchronisation cloud Microsoft Entra Connecter Approvisionnement entrant piloté par l’API (préversion publique) |
| Synchronisation d’attributs | Les comptes dans Microsoft Entra ID ont les attributs employeeHireDate et employeeLeaveDateTime renseignés. Les valeurs peuvent être remplies lorsque les comptes sont créés à partir d’un système RH ou synchronisés à partir d’AD à l’aide de Microsoft Entra Connect ou de la synchronisation cloud. Vous disposez d’attributs supplémentaires utilisés pour déterminer l’étendue, tels que le service, rempli ou la possibilité de remplir de données. | Comment synchroniser les attributs pour les workflows de cycle de vie |
Présentation des parties d’un workflow
Avant de commencer à planifier un déploiement de workflow de cycle de vie, vous devez vous familiariser avec les parties du workflow et la terminologie autour des workflows de cycle de vie.
Le document Présentation des workflows de cycle de vie utilise le portail pour expliquer les parties d’un workflow. Le document Workflow de cycle de vie de l’API développeur utilise un exemple Graphique pour expliquer les parties d’un workflow.
Vous pouvez utiliser ce document pour vous familiariser avec les parties du workflow avant de les déployer.
Limitations et contraintes
Le tableau suivant fournit des informations dont vous avez besoin pour connaître la création et le déploiement de workflows de cycle de vie.
| Élément | Description |
|---|---|
| Workflows | Limite de 50 workflows par locataire |
| Nombre de tâches personnalisées | Limite de 25 par workflow |
| Plage de valeurs pour offsetInDays | Entre -180 et 180 jours |
| Planification de l’exécution du workflow | Par défaut toutes les 3 heures : peut être défini pour s’exécuter entre 1 et 24 heures |
| Extensions de tâches personnalisées | Nombre limité à 100 |
| Limite de l’utilisateur à la demande | Vous pouvez exécuter un workflow à la demande sur un maximum de 10 utilisateurs |
| Limite de délai d’expiration du rappel d’extensibilité | Minimum 3 minutes, maximum 5 heures |
Voici des informations supplémentaires que vous devez connaître.
- Vous ne pouvez pas activer la planification du scénario Départ et Mutation en temps réel. C'est la procédure normale.
Liste de contrôle de création du workflow de cycle de vie
Le tableau suivant fournit une liste de contrôle rapide des étapes que vous pouvez utiliser lors de la conception et de la planification de vos workflows.
| Étape | Description |
|---|---|
| Déterminer votre scénario | Déterminer quel scénario vous traitez avec un workflow |
| Déterminer les conditions d’exécution | Déterminer pour qui et quand le workflow s’exécute |
| Passer en revue les tâches | Passer en revue et ajouter des tâches supplémentaires au workflow |
| Créer votre workflow | Créez votre workflow après la planification et la conception. |
| Prévoir un pilote | Planifiez le pilote, l’exécution et le test de votre workflow. |
Déterminer votre scénario
Avant de créer un workflow de cycle de vie dans le portail, vous devez déterminer le scénario ou les scénarios que vous souhaitez déployer. Vous pouvez utiliser le tableau suivant pour afficher la liste actuelle des scénarios disponibles. Ceux-ci sont basés sur les modèles disponibles dans le portail et répertorient la tâche associée à chacun d’eux.
| Scénario | Tâches prédéfinies |
|---|---|
| Intégrer un employé pré-embauché | Générer le TAP et envoyer un e-mail |
| Intégrer un nouvel employé | Activer le compte d’utilisateur Envoyer un e-mail de bienvenue Ajouter l’utilisateur à des groupes |
| Retrait en temps réel d’un employé | Supprimer l’utilisateur de tous les groupes Supprimer l’utilisateur de toutes les équipes Supprimer un compte d’utilisateur |
| Préretrait d’un employé | Supprimer l’utilisateur des groupes sélectionnés Supprimer l’utilisateur du groupe Teams sélectionné |
| Retirer un employé | Désactiver le compte d’utilisateur Supprimer l’utilisateur de tous les groupes Supprimer l’utilisateur de toutes les équipes |
| Post-retrait d’un employé | Supprimer toutes les licences d’un utilisateur Supprimer un utilisateur de l’ensemble de Teams Supprimer un compte d’utilisateur |
| Mutation immédiate d’un employé | Exécuter une extension de tâche personnalisée |
| Modifications de l’appartenance aux groupes d’employés | Supprimer l’attribution de package d’accès pour l’utilisateur Supprimer l’utilisateur des équipes sélectionnées Envoyer une notification par e-mail au responsable à propos de la mutation de l’utilisateur |
| Modification du profil du poste de l’employé | Envoyer une notification par e-mail au responsable à propos de la mutation de l’utilisateur Supprimer l’utilisateur des équipes sélectionnées Supprimer l’utilisateur de l’attribution du package d’accès utilisateur de demande teams sélectionnée Demander une attribution de package d'accès pour un utilisateur |
Modifications de l’appartenance aux groupes d’employés
Pour plus d’informations sur les modèles intégrés, consultez Modèles de workflow de cycle de vie.
Déterminer les conditions d’exécution
Maintenant que vous avez déterminé vos scénarios, vous devez examiner les utilisateurs de votre organisation auxquels s’appliquent les scénarios.
Une condition d’exécution fait partie d’un workflow qui définit l’étendue qui et le déclencheur du moment d’exécution d’un workflow.
L’étendue détermine sur qui s’exécute le workflow. Ceci est défini par une règle qui filtre les utilisateurs en fonction d’une condition. Par exemple, la règle "rule": "(department eq 'sales')" n’exécute la tâche que sur les utilisateurs membres du service Ventes.
Le déclencheur détermine quand le workflow s’exécute. Cela peut être, à la demande (immédiat) ou selon une planification. La plupart des modèles prédéfinis dans le portail sont établis pour s’exécuter selon une planification lorsque leur déclencheur est atteint.
Informations sur les attributs
L’étendue d’un workflow utilise des attributs sous la section Règle. Vous pouvez ajouter les conditions supplémentaires suivantes pour affiner davantage la personne à laquelle les tâches sont appliquées.
- and
- And not
- ou
- Or not
Vous pouvez également choisir parmi les nombreux attributs utilisateur.
Toutefois, avant de sélectionner un attribut à utiliser dans votre condition d’exécution, vous devez vous assurer que l’attribut est rempli avec des données ou que vous pouvez commencer à le remplir avec les données requises.
Tous ces attributs ne sont pas remplis par défaut. Vous devez donc vérifier auprès de votre administrateur RH ou des administrateurs informatiques lors de l’approvisionnement entrant RH cloud uniquement, Microsoft Entra Connect ou la synchronisation cloud.
Informations basées sur l’heure
Voici quelques informations importantes sur les fuseaux horaires que vous devez connaître lors de la conception de workflow.
- Workday et SAP SF envoient toujours l’heure au format UTC (temps universel coordonné).
- Si vous êtes dans un fuseau horaire unique, il est recommandé de coder en dur la partie temporelle sur un fuseau horaire qui fonctionne pour vous. Par exemple, 5 h du matin pour les scénarios de nouvelle embauche et 22 h pour les scénarios de dernière journée de travail.
- Il est recommandé d’utiliser un passe d’accès temporaire (TAP) pour lequel vous définissez la durée de vie maximale sur 24 heures. Cela permet de s’assurer que le TAP n’a pas expiré après avoir été envoyé à un employé qui peut se trouver dans un autre fuseau horaire. Pour plus d’informations, consultez Configurer un passe d’accès temporaire dans Microsoft Entra ID pour inscrire des méthodes d’authentification sans mot de passe.
Pour plus d’informations, consultez Comment synchroniser les attributs pour les workflows de cycle de vie.
Passer en revue les tâches
Maintenant que nous avons déterminé le scénario, ainsi que le concerné et la chronologie, vous devez déterminer si les tâches prédéfinies sont suffisantes ou si vous avez besoin de tâches supplémentaires. Le tableau suivant contient la liste des tâches prédéfinies se trouvant actuellement dans le portail. Utilisez ce tableau pour déterminer si vous souhaitez ajouter d’autres tâches.
| Tâche | Description | Scénarios pertinents |
|---|---|---|
| Ajouter un utilisateur à des groupes | Ajouter un utilisateur aux groupes sélectionnés | Intégration, Départ, Mutation |
| Ajouter un utilisateur aux équipes sélectionnées | Ajouter un utilisateur à Teams | Intégration, Départ, Mutation |
| Attribuer des licences aux utilisateurs | Attribuer des licences à un utilisateur | Intégration-Mutation |
| Supprimer un compte d’utilisateur | Supprimer un compte utilisateur dans Microsoft Entra ID | Sortant |
| Désactiver un compte d’utilisateur | Désactiver le compte d’utilisateur dans le répertoire | Nouveau - Sortant |
| Activer un compte d’utilisateur | Activer le compte d’utilisateur dans le répertoire | Nouveau - Sortant |
| Générer le TAP et envoyer un e-mail | Générer une passe d’accès temporaire et envoyer par e-mail au manager de l’utilisateur | Nouveau |
| Supprimer toutes les licences de l’utilisateur | Supprimer toutes les licences attribuées à l’utilisateur | Sortant |
| Supprimer un utilisateur de tous les groupes | Supprimez l’utilisateur de toutes les appartenances aux groupes Microsoft Entra | Sortant |
| Supprimer l’utilisateur de tout Teams | Supprimer l’utilisateur de toutes les appartenances Teams | Sortant |
| Supprimer l’utilisateur des groupes sélectionnés | Supprimer l'utilisateur de l'adhésion aux groupes Microsoft Entra sélectionnés | Intégration, Départ, Mutation |
| Supprimer l’utilisateur des équipes sélectionnées | Supprimer l’utilisateur de l’appartenance à Teams sélectionnée | Intégration, Départ, Mutation |
| Exécuter une extension de tâche personnalisée | Exécuter une extension de tâche personnalisée pour appeler un système externe | Intégration, Départ, Mutation |
| Envoyer un e-mail après le dernier jour de l’utilisateur | Envoyer un e-mail de retrait au responsable de l’utilisateur après le dernier jour de travail | Sortant |
| Envoyer un e-mail avant le dernier jour de l’utilisateur | Envoyer un e-mail de retrait au responsable de l’utilisateur avant le dernier jour de travail | Sortant |
| Envoyer un e-mail le dernier jour de l’utilisateur | Envoyer un e-mail de retrait au responsable de l’utilisateur lors du dernier jour de travail | Sortant |
| Envoyer un e-mail de bienvenue | Envoyer un e-mail de bienvenue au nouvel employé | Nouveau |
| Envoyer un e-mail de rappel d’intégration | Envoyer un e-mail de rappel d’intégration au manager de l’utilisateur | Nouveau |
| Demander une attribution de package d’accès pour un utilisateur | Demander l’attribution d’utilisateurs aux packages d’accès sélectionnés | Intégration-Mutation |
| Supprimer l’attribution de package d’accès pour l’utilisateur | Supprimer l’attribution d’utilisateur des packages d’accès sélectionnés | Départ-Mutation |
| Supprimer toutes les attributions de package d’accès pour l’utilisateur | Supprimer tous les packages d’accès attribués à l’utilisateur | Sortant |
| Supprimer les attributions de licence sélectionnées de l’utilisateur | Supprimer l’attribution de licence sélectionnée de l’utilisateur | Départ-Mutation |
| Annuler toutes les demandes d’attribution de package d’accès en attente pour l’utilisateur | Annuler toutes les demandes d’attribution de package d’accès en attente pour l’utilisateur | Sortant |
Pour plus d’informations sur les tâches, consultez Tâches de workflow de cycle de vie.
Tâches de groupe et d’équipe
Si vous utilisez une tâche de groupe ou d’équipe, le workflow exige que vous spécifiiez le groupe ou les groupes. Dans la capture d’écran suivante, le triangle jaune sur la tâche indique qu’il manque des informations.
En sélectionnant la tâche, une barre de navigation s’affiche et permet d’ajouter ou de supprimer des groupes. Sélectionnez le lien « x groupes sélectionnés » pour ajouter des groupes.
Extensions de tâches personnalisées
Les workflows de cycle de vie vous permettent de créer des workflows qui peuvent être déclenchés en fonction des scénarios (embauche, mutation ou départ). Bien que les workflows de cycle de vie fournissent plusieurs tâches intégrées pour automatiser des scénarios courants tout au long du cycle de vie des utilisateurs, vous pourriez éventuellement atteindre les limites de ces tâches intégrées. Avec la fonctionnalité d’extensibilité, vous pouvez utiliser le concept d’extensions de tâche personnalisées pour appeler des systèmes externes dans le cadre d’un workflow de cycle de vie.
Les scénarios pour comment une extension de tâche personnalisée interagit avec les workflows de cycle de vie peuvent se dérouler d’une des trois manières suivantes :
- Scénario fire-and-forget : l’application logique est démarrée et l’exécution séquentielle de la tâche continue immédiatement sans réponse attendue à partir de l’application logique.
- Exécution de tâche séquentielle en attente de réponse de l’application logique : l’application logique est démarrée et l’exécution de tâche séquentielle attend la réponse de l’application logique.
- Exécution de tâche séquentielle en attente de la réponse d’un système tiers : l’application logique est démarrée, et l’exécution de tâche séquentielle attend la réponse d’un système tiers qui déclenche l’application logique pour indiquer à l’extension de tâche personnalisée si l’exécution a réussi ou non.
- Pour plus d’informations sur les extensions personnalisées, consultez Extensibilité du workflow de cycle de vie
Créer votre workflow
Maintenant que vous avez conçu et planifié votre workflow, vous pouvez le créer dans le portail. Pour plus d’informations sur la création d’un workflow, consultez Créer un workflow de cycle de vie.
Prévoir un pilote
Nous encourageons les clients à piloter initialement des workflows de cycle de vie avec un petit groupe d’utilisateurs ou un seul utilisateur de test. Le pilotage peut vous aider à ajuster les processus et les communications en fonction des besoins. Il peut vous aider à augmenter la capacité des utilisateurs et des réviseurs à répondre aux exigences de sécurité et de conformité.
Dans votre pilote, nous vous recommandons d’effectuer les tâches suivantes :
- Commencez par les workflows de cycle de vie où les résultats sont appliqués à un petit sous-ensemble d’utilisateurs.
- Analysez les journaux d’audit pour vous assurer que tous les événements sont correctement audités.
Pour plus d’informations, consultez les meilleures pratiques pour un pilote.
Tester et exécuter le workflow
Une fois que vous avez créé un workflow, vous devez le tester en exécutant le workflow à la demande.
L’utilisation de la fonctionnalité à la demande vous permet de tester et d’évaluer si le workflow de cycle de vie fonctionne comme prévu.
Une fois que vous avez effectué des tests, vous pouvez retravailler le workflow de cycle de vie ou vous préparer à une distribution plus large.
Journaux d’audit
Vous pouvez également obtenir plus d’informations à partir des journaux d’audit. Ces journaux sont accessibles dans le portail sous Microsoft Entra ID/Monitoring. Pour plus d’informations, consultez Journaux d’audit dans Microsoft Entra ID et Historique des workflows de cycle de vie.
Exemple de plan de workflow de cycle de vie
| Étape | Description |
|---|---|
| Déterminer le scénario | Un workflow de pré-embauche qui envoie un e-mail au nouveau manager. |
| Déterminer les conditions d’exécution | Le workflow s’exécute sur les nouveaux employés du service Ventes, deux (2) jours avant la employeeHireDate. |
| Passez en revue les tâches. | Nous utilisons les tâches prédéfinies dans le workflow. Aucune tâche supplémentaire n'est ajoutée. |
| Créer le workflow dans le portail | Utilisez le modèle prédéfini pour une nouvelle embauche dans le portail. |
| Créer et tester le workflow | Utilisez la fonctionnalité à la demande pour tester le workflow sur un utilisateur. |
| Vérifier les résultats des tests | Passez en revue les résultats des tests et vérifiez que le workflow de cycle de vie fonctionne comme prévu. |
| Déployer le workflow sur un public plus large | Communiquez avec les parties prenantes, en leur indiquant que le workflow va être activé que les RH n’auront plus besoin d’envoyer un e-mail au manager d’embauche. |
Étapes suivantes
En savoir plus sur les technologies associées suivantes :