Tutoriels sur la préparation des comptes d’utilisateur pour les workflows de cycle de vie

Article
04/08/2024

Pour les tutoriels sur l’intégration et la révocation, vous avez besoin de comptes pour lesquels les workflows sont exécutés. Cette section vous permet de préparer ces comptes. Si vous avez déjà des comptes de test répondant aux exigences suivantes, vous pouvez passer directement aux didacticiels sur l'intégration et la révocation. Deux comptes sont requis pour les tutoriels d’intégration, un pour le nouvel employé et un autre pour son manager. Les attributs suivants doivent être définis pour le compte du nouvel employé :

employeeHireDate doit être défini sur la date du jour
department doit être défini sur le service des ventes
l’attribut manager doit être défini, et le compte du manager doit disposer d’une boîte aux lettres pour recevoir un e-mail

Les tutoriels de retrait ne requièrent qu’un seul compte avec appartenances à des groupes et à Teams, mais le compte est supprimé dans le cadre du tutoriel.

Prérequis

L’utilisation de cette fonctionnalité requiert des licences Microsoft Entra ID Governance. Pour trouver la licence adaptée à vos besoins, consultez Notions de base sur les licences Gouvernances des ID Microsoft Entra.

Un locataire Microsoft Entra
Un compte d’administrateur général pour le locataire Microsoft Entra. Ce compte servira à créer nos utilisateurs et nos workflows.

Avant de commencer

Dans la plupart des cas, les utilisateurs seront approvisionnés en Microsoft Entra ID soit à partir d'une solution sur site (telle que Microsoft Entra Connect ou Cloud sync), soit à partir d'une solution RH. Les attributs et valeurs de ces utilisateurs sont renseignés au moment de la création. La configuration de l’infrastructure pour l’approvisionnement des utilisateurs n’entre pas dans le cadre de ce tutoriel. Pour plus d’informations, consultez Tutoriel : Environnement Active Directory simple et Tutoriel : Intégrer une seule forêt à un seul locataire Microsoft Entra.

Créer des utilisateurs dans Microsoft Entra ID

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Nous utilisons l’Explorateur Graph pour créer rapidement deux utilisateurs nécessaires pour exécuter les workflows de cycle de vie dans les didacticiels. Un utilisateur représente notre nouvel employé et le second son manager.

Vous devez modifier le POST et remplacer la section <nom de votre locataire ici> par le nom de votre locataire. Par exemple : $UPN_manager = "bsimon@<nom de votre locataire ici>" par $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Notes

Sachez qu’un workflow ne se déclenchera pas si la date d’embauche de l’employé (jours à partir de l’événement) est antérieure à la date de création du workflow. Pour l’attribut employeeHiredate, vous devez définir une date future. Les dates utilisées dans ce tutoriel sont un instantané dans le temps. Vous devez donc les modifier pour les adapter à votre situation.

Nous créons d’abord notre employé, Melva Prince.

Accédez à l’Afficheur Graph.
Connectez-vous à l’Afficheur Graph avec le compte d’administrateur général de votre locataire.
En haut, remplacez GET par POST et ajoutez https://graph.microsoft.com/v1.0/users/ dans la zone.
Copiez le code suivant dans le Corps de la requête
Remplacez <your tenant here> le code suivant par la valeur de votre locataire Microsoft Entra.
Sélectionnez Exécuter la requête.
Copiez l’ID renvoyé dans les résultats. Celui-ci est utilisé ultérieurement pour l’attribution d’un manager.

{
  "accountEnabled": true,
  "displayName": "Melva Prince",
  "mailNickname": "mprince",
  "department": "sales",
  "mail": "mprince@<your tenant name here>",
  "employeeHireDate": "2022-04-15T22:10:00Z",
  "userPrincipalName": "mprince@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "xWwvJ]6NMw+bWH-d"
  }
}

Nous créons ensuite Britta Simon. Ce compte est utilisé comme responsable.

Toujours dans l’Afficheur Graph :
Assurez-vous que le haut est toujours défini sur POST et que https://graph.microsoft.com/v1.0/users/ apparaît dans la zone.
Copiez le code suivant dans le Corps de la requête
Remplacez <your tenant here> le code suivant par la valeur de votre locataire Microsoft Entra.
Sélectionnez Exécuter la requête.

Copiez l’ID renvoyé dans les résultats. Cet ID est utilisé ultérieurement pour affecter un gestionnaire.

{
  "accountEnabled": true,
  "displayName": "Britta Simon",
  "mailNickname": "bsimon",
  "department": "sales",
  "mail": "bsimon@<your tenant name here>",
  "employeeHireDate": "2021-01-15T22:10:00Z",
  "userPrincipalName": "bsimon@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "xWwvJ]6NMw+bWH-d"
  }
}

Remarque

Vous devez modifier la partie <nom de votre locataire ici> du code pour que le nom corresponde à votre locataire Microsoft Entra.

En guise d’alternative, le script PowerShell suivant peut également être utilisé pour créer rapidement deux utilisateurs nécessaires à l’exécution d’un workflow de cycle de vie. Un utilisateur représente notre nouvel employé et le second son manager.

Important

Le script PowerShell suivant est fourni pour créer rapidement les deux utilisateurs requis pour ce tutoriel. Vous pouvez également créer ces utilisateurs dans le centre d’administration Microsoft Entra.

Pour cette étape, enregistrez le script PowerShell suivant dans un emplacement sur un ordinateur ayant accès à Azure.

Vous devez ensuite modifier le script et remplacer la partie <nom de votre locataire ici> par le nom de votre locataire. Par exemple : $UPN_manager = "bsimon@<nom de votre locataire ici>" par $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Vous devez effectuer cette action pour $UPN_employee et $UPN_manager.

Après avoir modifié le script, enregistrez-le et suivez ces étapes :

Ouvrez une invite de commandes Windows PowerShell avec des privilèges Administrateur à partir d’un ordinateur qui a accès au centre d’administration Microsoft Entra.
Accédez à l’emplacement du script PowerShell enregistré et exécutez-le.
Si vous y êtes invité, sélectionnez Oui pour tout lors de l’installation du module PowerShell.
Quand vous y êtes invité, connectez-vous au centre d’administration Microsoft Entra avec un administrateur général pour votre locataire.

#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables

$Displayname_employee = "Melva Prince"
$UPN_employee = "mprince<your tenant name here>"
$Name_employee = "mprince"
$Password_employee = "Pass1w0rd"
$EmployeeHireDate_employee = "04/10/2022"
$Department_employee = "Sales"
$Displayname_manager = "Britta Simon"
$Name_manager = "bsimon"
$Password_manager = "Pass1w0rd"
$Department = "Sales"
$UPN_manager = "bsimon@<your tenant name here>"

Install-Module -Name AzureAD
Connect-MgGraph -Confirm

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "<Password>"
New-MgUser -DisplayName $Displayname_manager  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_manager -AccountEnabled $true -MailNickName $Name_manager -Department $Department
New-MgUser -DisplayName $Displayname_employee  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_employee -AccountEnabled $true -MailNickName $Name_employee -Department $Department

Une fois votre ou vos utilisateurs créés dans Microsoft Entra ID, vous pouvez suivre les tutoriels relatifs aux workflows de cycle de vie pour créer votre workflow.

Autres étapes pour le scénario de pré-embauche

Certaines étapes supplémentaires doivent être prises en compte lors du test du tutoriel Intégration d’utilisateurs dans votre organisation en utilisant des workflows de cycle de vie avec le centre d’administration Microsoft Entra ou du tutoriel Intégration d’utilisateurs dans votre organisation en utilisant des workflows de cycle de vie avec Microsoft Graph.

Modifier les attributs des utilisateurs à l’aide du Centre d’administration Microsoft Entra

Certains des attributs requis pour le tutoriel d’intégration pré-embauche sont exposés par le biais du centre d’administration Microsoft Entra et peuvent y être définis.

Ces attributs sont :

Attribut	Description	Défini sur
mail	Attribut utilisé pour informer le manager du passe d’accès temporaire du nouvel employé	Manager
manager	Attribut utilisé par le workflow de cycle de vie	Employee

Dans le cadre de ce tutoriel, l’attribut mail doit être défini sur le compte du manager et l’attribut manager sur celui de l’employé. Utiliser les étapes suivantes :

Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
Accédez à >Identité>Utilisateurs>Tous les utilisateurs.
Sélectionnez Melva Prince.
En haut, sélectionnez Modifier.
Sous le manager, sélectionnez Modifier, puis Britta Simon.
Sélectionnez Enregistrer en haut.
Revenez aux utilisateurs et sélectionnez Britta Simon.
En haut, sélectionnez Modifier.
Sous E-mail, entrez une adresse e-mail valide.
Sélectionnez Enregistrer.

Modifier l’attribut employeeHireDate

L’attribut employeeHireDate est nouveau dans Microsoft Entra ID. Il n’est pas exposé via l’interface utilisateur et doit être mis à jour à l’aide de Graph. Pour modifier cet attribut, nous pouvons utiliser l’Afficheur Graph.

Notes

Sachez qu’un workflow ne se déclenchera pas si la date d’embauche de l’employé (jours à partir de l’événement) est antérieure à la date de création du workflow. Par conception, la date indiquée par employeeHireDate doit être définie dans le futur. Les dates utilisées dans ce tutoriel sont un instantané dans le temps. Vous devez donc les modifier pour les adapter à votre situation.

Pour ce faire, nous devons nous procurer l’ID d’objet de notre utilisateur, Melva Prince.

Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
Accédez à >Identité>Utilisateurs>Tous les utilisateurs.
Sélectionnez Melva Prince.
Sélectionnez le signe de copie en regard de l’ID d’objet.
Accédez à l’Afficheur Graph.
Connectez-vous à l’Afficheur Graph avec le compte d’administrateur général de votre locataire.
En haut, remplacez GET par PATCH et ajoutez https://graph.microsoft.com/v1.0/users/<id> dans la zone. Remplacez <id> par la valeur copiée précédemment.
Copiez ce qui suit dans le Corps de la demande et sélectionnez Exécuter la requête.
```
{
"employeeHireDate": "2022-04-15T22:10:00Z"
}
```
Vérifiez la modification en remplaçant PATCH par GET et v1.0 par beta. Sélectionnez Exécuter la requête. Vous devez alors voir les attributs définis de Melva.

Modifier l’attribut manager sur le compte de l’employé

L’attribut manager est utilisé pour les tâches de notification par e-mail. Il envoie par e-mail au responsable un mot de passe temporaire pour le nouvel employé. Suivez les étapes ci-dessous pour vérifier que vos utilisateurs Microsoft Entra disposent d’une valeur pour l’attribut manager.

Toujours dans l’Afficheur Graph :
Assurez-vous que le haut est toujours défini sur PUT et que https://graph.microsoft.com/v1.0/users/<id>/manager/$ref apparaît dans la zone. Remplacez <id> par l’ID de Melva Prince.
Copiez le code suivant dans le Corps de la demande
Remplacez <managerid> dans le code suivant par la valeur de l’ID de Britta Simons.

Sélectionnez Exécuter la requête.

{
  "@odata.id": "https://graph.microsoft.com/v1.0/users/<managerid>"
}

Nous pouvons maintenant vérifier que le manager a été correctement défini en remplaçant PUT par GET.
Assurez-vous que https://graph.microsoft.com/v1.0/users/<id>/manager/ figure dans la zone. L’<id> est toujours celui de Melva Prince.
Sélectionnez Exécuter la requête. Normalement, le nom de Britta Simon est renvoyé dans la réponse.

Pour plus d’informations sur la mise à jour des informations relatives au manager d’un utilisateur dans l’API Graph, consultez la documentation relative à l’attribution du manager. Vous pouvez également définir cet attribut dans le Centre d’administration Azure. Pour plus d’informations, consultez Ajouter ou modifier des informations de profil.

Activer le passe d’accès temporaire

Un passe d’accès temporaire est un passe à durée limitée délivré par un administrateur qui répond aux impératifs de l’authentification forte.

Dans ce scénario, nous utilisons cette fonctionnalité de Microsoft Entra ID afin de générer un passe d’accès temporaire pour notre nouvel employé. Celui-ci est envoyé par e-mail au manager de l’employé.

Cette fonctionnalité ne peut être utilisée que si elle est activée sur le locataire Microsoft Entra. Pour activer cette fonctionnalité, procédez comme suit :

Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur d’utilisateurs.
Accédez à Protection>Méthodes d’authentification>Passe d’accès temporaire.
Sélectionnez Oui pour activer la stratégie, ajoutez Britta Simon, puis sélectionnez les utilisateurs auxquels la stratégie doit être appliquée, ainsi que les éventuels paramètres généraux.

Considération pour le scénario du sortant

Il existe une étape supplémentaire à prendre en compte lors du test des tutoriels pour les utilisateurs hors intégration de votre organisation à l’aide de flux de travail de cycle de vie avec le tutoriel du Centre d’administration Microsoft Entra, ou avec Microsoft Graph.

Configurer l’utilisateur avec des groupes et Teams par le biais de l’appartenance à une équipe

Un utilisateur appartenant à des groupes et à Teams est requis pour suivre les tutoriels illustrant le départ d’un employé.