Vue d’ensemble des API de workflows de cycle de vie
Les workflows de cycle de vie sont un service de gouvernance des identités dans Microsoft Entra ID qui permet aux organisations d’automatiser les processus de cycle de vie de base pour leurs utilisateurs à trois niveaux :
- Joiner : lorsqu’un individu entre dans l’étendue d’un besoin d’accès ; par exemple, un nouvel employé qui rejoint une entreprise ou un organization.
- Mover : lorsqu’un individu se déplace entre les limites d’un organization ; par exemple, un utilisateur qui était en marketing est maintenant membre du organization des ventes. Ce déplacement peut nécessiter davantage d’accès ou d’autorisation, ou la révocation d’autres privilèges.
- Leaver : lorsqu’une personne quitte l’étendue du besoin d’accès, l’accès doit peut-être être révoqué et l’utilisateur déprovisionné. Par exemple, un employé qui prend sa retraite ou qui est licencié.
Pour cette raison, les workflows de cycle de vie peuvent être appelés flux de travail Joiner-Mover-Leaver (JML).
Les API de flux de vie dans Microsoft Graph vous permettent d’automatiser les fonctionnalités de flux de vie pour vos organization. Cet article a présenté l’ensemble des API qui activent le service Workflows de cycle de vie dans Microsoft Entra ID.
Les API des workflows de cycle de vie sont définies dans le sous-espace de nom OData, microsoft.graph.identityGovernance.
Remarque
Cet article explique comment exporter des données personnelles à partir d’un appareil ou d’un service. Ces étapes peuvent être utilisées pour prendre en charge vos obligations en vertu du Règlement général sur la protection des données (RGPD). Les administrateurs de locataires autorisés peuvent utiliser Microsoft Graph pour corriger, mettre à jour ou supprimer des informations d’identification sur les utilisateurs finaux, y compris les profils utilisateur des clients et des employés ou les données personnelles, telles que le nom, la fonction professionnelle, l’adresse ou le numéro de téléphone d’un utilisateur, dans votre environnement de Microsoft Entra ID.
Flux de travail
Les flux de travail sont des conteneurs pour les processus impliqués dans la gestion du cycle de vie des utilisateurs dans le organization. Les tâches et les conditions d’exécution sont à la base.
- Les tâches sont des actions spécifiques qui s’exécutent automatiquement lorsqu’un workflow est déclenché.
- Les conditions d’exécution définissent l’étendue de « qui » et le déclencheur de « quand » un workflow s’exécute.
Pour créer des flux de travail, nous vous recommandons d’utiliser l’un des modèles de flux de travail prédéfinis.
Modèles de flux de travail
Microsoft Entra ID fournit les modèles de flux de travail prédéfinis suivants qui définissent les modèles pour les combinaisons de tâches et de conditions d’exécution pouvant faire partie d’un workflow. Vous pouvez utiliser les modèles de flux de travail pour créer vos workflows par programmation.
| Type de modèle de flux de travail | Catégorie de cycle de vie |
|---|---|
| Intégrer un employé pré-embauché | Menuisier |
| Intégrer un nouvel employé | Menuisier |
| Post-intégration d’un nouvel employé | Menuisier |
| Changement d’employé en temps réel | Mover |
| Licenciement en temps réel d’un employé | Sortant |
| Pré-désintéglage d’un employé | Sortant |
| Désintégrer un employé | Sortant |
| Post-retrait d’un employé | Sortant |
Utilisez le type de ressource workflowTemplate et ses méthodes associées pour identifier les modèles préconfigurés, ainsi que les tâches et les conditions d’exécution qu’ils prennent en charge, puis copiez et utilisez les modèles pour créer vos workflows par programmation.
Informations générales sur les flux de travail
Chaque workflow contient des informations descriptives générales telles que son identificateur, son nom, sa description et s’il est activé pour s’exécuter comme planifié ou à la demande.
Tâches de flux de travail
Les tâches de flux de travail sont des actions spécifiques qui s’exécutent automatiquement lorsqu’un workflow est déclenché. Les workflows de cycle de vie définissent les tâches préconfigurées et en lecture seule suivantes autorisées pour les catégories de flux de travail spécifiées. Ces définitions de tâches affichent les paramètres du type de tâche, vous guidant lorsque vous créez des tâches pour votre workflow.
Les workflows de cycle de vie prennent actuellement en charge les tâches suivantes :
| Tâche | taskdefinitionID | Catégorie |
|---|---|---|
| Envoyer un e-mail de bienvenue à une nouvelle recrue | 70b29d51-b59a-4773-9280-8841dfd3f2ea | Menuisier |
| Envoyer un e-mail de rappel d’intégration | 3C860712-2D37-42A4-928F-5C93935D26A1 | Menuisier |
| Générer un pass d’accès temporaire et envoyer par e-mail au responsable de l’utilisateur | 1b555e50-7f65-41d5-b514-5894a026d10d | Menuisier |
| Demander l’attribution du package d’accès utilisateur | c1ec1e76-f374-4375-aaa6-0bb6bd4c60be | Joiner, Mover |
| Envoyer un e-mail pour avertir le responsable du déplacement de l’utilisateur | aab41899-9972-422a-9d97-f626014578b7 | Mover |
| Ajouter un utilisateur à des groupes | 22085229-5809-45e8-97fd-270d28d66910 | Joiner, Leaver, Mover |
| Ajouter un utilisateur à teams | e440ed8d-25a1-4618-84ce-091ed5be5594 | Joiner, Leaver, Mover |
| Activer un compte d’utilisateur | 6fc52c9d-398b-4305-9763-15f42c1676fc | Joiner, Leaver |
| Exécuter une extension de tâche personnalisée | 4262b724-8dba-4fad-afc3-43fcbb497a0e | Joiner, Leaver, Mover |
| Désactiver le compte d’utilisateur | 1dfdfcc7-52fa-4c2e-bf3a-e3919cc12950 | Sortant |
| Supprimer un utilisateur du groupe sélectionné | 1953a66c-751c-45e5-8bfe-01462c70da3c | Joiner, Leaver, Mover |
| Supprimer des utilisateurs de tous les groupes | b3a31406-2a15-4c9a-b25b-a658fa5f07fc | Sortant |
| Supprimer un utilisateur d’équipes | 06aa7acb-01af-4824-8899-b14e5ed788d6 | Joiner, Leaver, Mover |
| Supprimer un utilisateur de toutes les équipes | 81f7b200-2816-4b3b-8c5d-dc556f07b024 | Sortant |
| Supprimer toutes les attributions de licence de l’utilisateur | 8fa97d28-3e52-4985-b3a9-a1126f9b8b4e | Sortant |
| Supprimer l’attribution de package d’accès pour l’utilisateur | 4a0b64f2-c7ec-46ba-b117-18f262946c50 | Leaver, Mover |
| Supprimer toutes les attributions de package d’accès pour l’utilisateur | 42ae2956-193d-4f39-be06-691b8ac4fa1d | Sortant |
| Annuler toutes les demandes d’attribution de package d’accès en attente pour l’utilisateur | 498770d9-bab7-4e4c-b73d-5ded82a1d0b3 | Sortant |
| Supprimer un utilisateur | 8d18588d-9ad3-4c0f-99d0-ec215f0e3dff | Sortant |
| Envoyer un e-mail au responsable avant le dernier jour de l’utilisateur | 52853a3e-f4e5-4eb8-bb24-1ac09a1da935 | Sortant |
| Envoyer un e-mail aux utilisateurs le dernier jour | 9c0a1eaf-5bda-4392-9d9e-6e155bb57411 | Sortant |
| Envoyer un e-mail de désintégrage au responsable des utilisateurs après leur dernier jour | 6f22ddd4-b3a5-47a4-a846-0d7c201a49ce | Sortant |
Utilisez le type de ressource taskDefinition et ses méthodes associées pour découvrir toutes les tâches prédéfinies qui peuvent être configurées pour votre flux de travail et les paramètres des propriétés. Le type de ressource de tâche et les méthodes GET associées vous permettent d’afficher les tâches configurées pour votre workflow.
Conditions d’exécution
Pour chaque tâche de flux de travail, il existe une condition d’exécution qui définit l’étendue de « qui » et le déclencheur de « quand » un workflow et ses tâches associées s’exécutent. Par exemple, une condition d’exécution peut spécifier qu’un workflow s’exécute pour les employés qui quittent, sept jours avant leur date de fin d’emploi, s’ils se trouvent dans le service R&D. La tâche associée dans le flux de travail peut spécifier que l’utilisateur est supprimé des équipes et groupes R&D.
⁄⁄Sample snippet for the executionConditions object
"executionConditions": {
"@odata.type": "#microsoft.graph.identityGovernance.triggerAndScopeBasedConditions",
"scope": {
"@odata.type": "#microsoft.graph.identityGovernance.ruleBasedSubjectSet",
"rule": "department eq 'R&D'"
},
"trigger": {
"@odata.type": "#microsoft.graph.identityGovernance.timeBasedAttributeTrigger",
"timeBasedAttribute": "employeeLeaveDateTime",
"offsetInDays": -7
}
}
Lors de la création ou de la mise à jour d’un workflow, utilisez le type de ressource workflowExecutionConditions pour configurer les conditions d’exécution. Utilisez cet objet pour configurer également un workflow qui s’exécute uniquement à la demande.
Créer et gérer des flux de travail
Après avoir identifié les tâches et les conditions d’exécution que vous souhaitez définir pour votre flux de travail, utilisez le type de ressource de flux de travail et les méthodes associées pour créer et gérer le flux de travail. Vous pouvez créer jusqu’à 100 workflows dans un locataire. La catégorie de la tâche doit correspondre à la catégorie du flux de travail. Chaque workflow peut avoir jusqu’à 25 tâches. Donc:
- Une tâche prise en charge uniquement pour la catégorie de workflow « leaver » ne peut pas être spécifiée dans un scénario de flux de travail « joiner » ou « mover », et inversement.
- Une tâche prise en charge pour les catégories de flux de travail « joiner », « mover » et « leaver » peut être spécifiée dans un scénario de flux de travail « joiner », « mover » ou « leaver ».
Vous pouvez planifier l’exécution d’un workflow en fonction de la planification à l’échelle du locataire ou l’exécuter à la demande. La planification du locataire peut prendre en charge les nouvelles embauches et les résiliations planifiées, tandis que vous pouvez exécuter un workflow à la demande immédiatement pour mettre fin à l’accès d’un employé en cas d’événement sensible.
Versions de flux de travail
Pendant l’utilisation d’un workflow, vous devrez peut-être mettre à jour les conditions d’exécution et les tâches d’un workflow. Toutefois, les workflows de cycle de vie ne vous permettent pas de mettre à jour ces propriétés pour un flux de travail existant.
Au lieu de créer de nouveaux flux de travail, utilisez le type de ressource workflowVersion et ses méthodes associées pour créer et gérer une nouvelle version de workflow, basée sur un objet de flux de travail existant. La version du workflow peut avoir un ensemble similaire ou différent de tâches et de conditions d’exécution.
Rapports
Les workflows de cycle de vie prennent en charge des fonctionnalités de création de rapports étendues pour suivre les status de traitement des flux de travail au niveau de l’exécution du flux de travail, au niveau de la tâche et de l’utilisateur.
Pour plus d’informations sur les fonctionnalités de création de rapports pour les workflows de cycle de vie, consultez la vue d’ensemble des API de création de rapports des workflows de cycle de vie.
Extensions
Parfois, les tâches intégrées peuvent ne pas être suffisantes pour répondre à tous vos scénarios métier. Pour étendre vos scénarios de gestion du cycle de vie, les workflows de cycle de vie prennent en charge la définition de tâches personnalisées à intégrer à des systèmes externes via Azure Logic Apps. Par exemple, pour un scénario de « leaver », vous pouvez également accorder au responsable de l’utilisateur l’accès au compte de messagerie de l’utilisateur.
Utilisez le type de ressource customTaskExtension et ses méthodes associées pour définir les paramètres de votre application logique Azure.
Paramètres
Chaque locataire définit une planification à l’échelle du locataire lorsque tous les workflows planifiés sont exécutés. Le locataire peut adopter la planification par défaut définie par Microsoft Entra ID où les flux de travail sont exécutés toutes les trois heures, ou modifier la planification pour qu’elle s’exécute entre 1 heure et 24 heures.
Vérifications des licences
L’utilisation de cette fonctionnalité nécessite Gouvernance Microsoft Entra ID licences. Pour trouver la licence adaptée à vos besoins, consultez Comparer les fonctionnalités généralement disponibles de Microsoft Microsoft Entra ID.
Vérifications de l’autorisation des rôles et des autorisations d’application
Les rôles Microsoft Entra suivants sont requis pour qu’un utilisateur appelant gère les workflows de cycle de vie.
| Opération | Autorisations de l’application | Rôle d’annuaire requis de l’utilisateur appelant |
|---|---|---|
| Lecture | LifecycleWorkflows.Read.All ou LifecycleWorkflows.ReadWrite.All | Lecteur global ou administrateur de flux de vie |
| Créer, mettre à jour ou supprimer | LifecycleWorkflows.ReadWrite.All | Administrateur de workflows de cycle de vie |
Contenu connexe
- Que sont les workflows de cycle de vie ?
- Concepts dans les workflows de cycle de vie
- Tutoriel : Automatiser les tâches de retrait des employés après leur dernier jour de travail avec Microsoft Graph
- Tutoriel : Exécuter des tâches de retrait des employés en temps réel le dernier jour de leur travail avec Microsoft Graph
- Tutoriel : Automatiser les tâches d’intégration des employés avant leur premier jour de travail avec Microsoft Graph
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour