Szinkronizált helyszíni felhasználók kezelése életciklus-munkafolyamatokkal
Az életciklus-munkafolyamatok támogatják a helyi Active Directory Tartományi szolgáltatásokból (AD-DS) a Microsoft Entra-ba szinkronizált felhasználói fiókok identitáséletciklusát. Az életciklus-munkafolyamatok esetében alapvető fontosságú, hogy egy felhasználói fiók létezik a Microsoft Entrában, de a fiók létrehozásának vagy az életciklussal kapcsolatos módosításoknak a fiókban történő végrehajtása kisebb szerepet játszik a felhasználói fiók munkafolyamatainak és kapcsolódó feladatainak feldolgozásakor. A támogatás olyan útvonalakon végzett fiókokat és módosításokat tartalmaz, mint a HR-alapú kiépítés, a Microsoft Graph API-k, a Microsoft Entra Rendszergazda Portál, valamint a Microsoft Entra Csatlakozás és a MicrosoftCloud Sync által szinkronizált módosítások.
Ebben a cikkben megtudhatja, mit kell figyelembe vennie, ha életciklus-munkafolyamatokat szeretne használni a helyi Active Directory Tartományi szolgáltatásokból (AD-DS) a Microsoft Entra-ba szinkronizált felhasználói fiókokhoz, amelyeket "szinkronizált helyszíni felhasználóknak" nevezünk.
Munkafolyamat végrehajtási feltételei szinkronizált helyszíni felhasználókkal
Az életciklus-munkafolyamatokat a rendszer akkor dolgozza fel a felhasználói fiókokhoz, ha megfelelnek a munkafolyamatok végrehajtási feltételeinek. A végrehajtási feltételek eseményindítóból és hatókörből állnak. Az eseményindító egy felhasználói fiók eseményét írja le. A hatókörrel tovább határozhatja meg, hogy kitől indul el a munkafolyamat az esemény bekövetkezésekor.
Munkafolyamat-eseményindítók
Az alábbi táblázat azt mutatja be, hogy mit kell figyelembe venni az egyes munkafolyamat-eseményindítók esetében, amikor szinkronizált helyszíni felhasználókkal használják:
| Munkafolyamat-eseményindító | Követelmények |
|---|---|
| Attribútummódosítások (előzetes verzió) | Nincs szükség további konfigurációra, amíg az attribútumok szinkronizálva vannak. A szinkronizált attribútumokkal kapcsolatos információkért lásd: Attribútumleképezés a Microsoft Entra Cloud Syncben és a Microsoft Entra Csatlakozás Sync: Directory bővítményekben. Ha módosítás történik helyi Active Directory, a Microsoft Entra Cloud Sync vagy a Microsoft Entra Csatlakozás Szinkronizálás szinkronizálása szükséges ahhoz, hogy a módosítások átvehetők legyenek az életciklus-munkafolyamatokban. |
| Csoporttagság-alapú (előzetes verzió) | Mivel bármilyen típusú csoport támogatott, nincs szükség további konfigurációra. Ha a csoport helyi Active Directory származik, szinkronizálni kell a Microsoft Entra-ra. A Microsoft Entra Cloud Sync vagy a Microsoft Entra Csatlakozás Sync szinkronizálása előtt a módosításokat át kell venni az életciklus-munkafolyamatokból. |
| Igény szerinti | Nincs szükség további konfigurációra. |
| Időalapú | employeeHireDate, employeeLeaveDateTime: Ezeket az attribútumokat a használat előtt szinkronizálni kell. A folyamatról további információt a következő témakörben talál: Az életciklus-munkafolyamatok attribútumainak szinkronizálása. createdDateTime: Nincs szükség további követelményekre. Ez a dátum az a nap, amikor a felhasználói fiók szinkronizálva van a Microsoft Entra-azonosítóval, nem pedig az Active Directoryban való létrehozásukkor. |
Munkafolyamat hatókörének meghatározása
A munkafolyamat hatókörkezelési képességeiben használt felhasználói attribútumok esetében nincs szükség további konfigurációra, ha a kijelölt attribútumok már szinkronizálva vannak. A szinkronizált attribútumokkal kapcsolatos információkért lásd: Attribútumleképezés a Microsoft Entra Cloud Syncben és a Microsoft Entra Csatlakozás Sync: Directory bővítményekben. Ha módosítás történik helyi Active Directory, a Microsoft Entra Cloud Sync vagy a Microsoft Entra Csatlakozás Szinkronizálás szinkronizálása szükséges ahhoz, hogy a módosítások átvehetők legyenek az életciklus-munkafolyamatokban.
Munkafolyamat-feladatok és szinkronizált helyszíni képességek
Az életciklus-munkafolyamatok minden feladata a felhőben és a szinkronizált helyszíni környezetben is működik, a felhasználókat a dobozon kívülre kell sorolni, kivéve az ebben a cikkben szereplő konkrét feladatokra vonatkozó korlátozásokat. Az életciklus-munkafolyamat összes tevékenységéről további információt a következő témakörben talál: Életciklus munkafolyamat beépített feladatai.
Csoporttagságok szabályozására vonatkozó feladatok
A csoporttagságok szabályozására szolgáló életciklus-munkafolyamatok feladatai nem használhatók a helyi Active Directory és a Microsoft Entra között szinkronizált csoportokhoz. A Microsoft Entra ID-kezelés azonban helyi Active Directory (Kerberos) alkalmazáshozzáférés szabályozására használható a felhőből származó csoportokkal, amelyeket az életciklus-munkafolyamatok támogatnak.
Felhasználói fiók feladatai (előzetes verzió)
A felhasználói fiókok engedélyezéséhez, letiltásához és törléséhez további konfigurációra van szükség az életciklus-munkafolyamat feladataihoz a szinkronizált helyszíni felhasználókkal való együttműködéshez. A következő előfeltételeknek teljesülniük kell ahhoz, hogy konfigurálhassa a feladatokat a műveletek végrehajtására helyi Active Directory.
- A Környezetben telepítve kell lennie a Microsoft Entra kiépítési ügynöknek . A Microsoft Entra kiépítési ügynök telepítésének előfeltételeit lásd: Felhőkiépítési ügynök követelményei. A Microsoft Entra Provisioning-ügynök telepítéséről részletes útmutatót a következő témakörben talál: A Microsoft Entra Kiépítési ügynök telepítése. A telepítés során válassza a "HR-alapú kiépítés / Microsoft Entra Csatlakozás Sync" lehetőséget bővítménykonfigurációként. Nem kell más konfigurációt hozzáadnia a kiépítési ügynökhöz, például a felhőszinkronizálási konfigurációhoz, és akkor is telepítheti a kiépítési ügynököt, ha jelenleg a Microsoft Entra Csatlakozás Syncet is használja a felhasználói szinkronizáláshoz.
Feljegyzés
A telepített kiépítési ügynöknek legalább 1.1.1586.0-s verziónak kell lennie, amely 2024. május 13-án jelent meg.
Győződjön meg arról, hogy a kiépítési ügynök által használt csoportos felügyelt szolgáltatásfiók (gMSA) rendelkezik a felhasználói fiókok műveleteinek végrehajtásához szükséges engedélyekkel .
A felhasználói fiókok törléséhez engedélyeznie kell az Active Directory lomtárát. A lomtár engedélyezéséről részletes útmutatót az Active Directory Lomtár lépésről lépésre című témakörben talál.
A jelölő beállításával kapcsolatos részletes útmutatót a szinkronizált helyszíni felhasználók felhasználói fiókfeladatainak futtatásához a következő témakörben találja: Szinkronizált helyszíni felhasználók kezelése munkafolyamatokkal (előzetes verzió).
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: