Megosztás a következőn keresztül:

Felhasználói fiókok előkészítése életciklus-munkafolyamatokhoz – oktatóanyagok

  • Cikk

A be- és beszálláson kívüli oktatóanyagokhoz olyan fiókokra van szükség, amelyekhez a munkafolyamatok végrehajtásra kerülnek. Ez a szakasz segít előkészíteni ezeket a fiókokat, ha már rendelkezik az alábbi követelményeknek megfelelő tesztfiókokkal, közvetlenül folytathatja a be- és beszállásról szóló oktatóanyagokat. A beszállási oktatóanyagokhoz két fiókra van szükség, egy fiók az új alkalmazotthoz, egy másik pedig az új alkalmazott felettese. Az új bérlői fióknak a következő attribútumokkal kell rendelkeznie:

  • az employeeHireDate értéket ma kell beállítani
  • részleget értékesítési értékre kell állítani
  • a manager attribútumot be kell állítani, és a kezelői fióknak rendelkeznie kell egy postaládával az e-mailek fogadásához

A beszálláson kívüli oktatóanyagokhoz csak egy olyan fiók szükséges, amely csoport- és Teams-tagsággal rendelkezik, de a fiók törlődik az oktatóanyag során.

Előfeltételek

A funkció használatához Microsoft Entra ID-kezelés vagy Microsoft Entra Suite-licenc szükséges. A követelményeknek megfelelő licenc megtalálásához tekintse meg Microsoft Entra ID-kezelés licencelési alapjait.

  • Egy Microsoft Entra bérlő
  • A Microsoft Entra-bérlőhöz megfelelő engedélyekkel rendelkező rendszergazdai fiók. Ez a fiók a felhasználók és munkafolyamatok létrehozásához használható.

Mielőtt elkezdené

A felhasználók a legtöbb esetben egy helyszíni megoldásból (például a Microsoft Entra Connectből vagy a Felhőbeli szinkronizálásból) vagy egy HR-megoldásból lesznek kiépítve a Microsoft Entra-azonosítóra. Ezek a felhasználók a létrehozáskor töltik ki az attribútumokat és az értékeket. A felhasználók kiépítéséhez szükséges infrastruktúra beállítása az oktatóanyag hatókörén kívül esik. További információ : Oktatóanyag: Alapszintű Active Directory-környezet és oktatóanyag: Egyetlen erdő integrálása egyetlen Microsoft Entra-bérlővel.

Felhasználók létrehozása a Microsoft Entra-azonosítóban

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

A Graph Explorerrel gyorsan létrehozunk két felhasználót, aki az életciklus-munkafolyamatok végrehajtásához szükséges az oktatóanyagokban. Az egyik felhasználó az új alkalmazottat, a második pedig az új alkalmazott felettesét jelöli.

Szerkessze a POST-t, és cserélje le a <bérlő nevét itt> a bérlő nevére. Például: $UPN_manager = "bsimon@<your tenant name here>" to $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Feljegyzés

Vegye figyelembe, hogy a munkafolyamat nem aktiválódik, ha az alkalmazott felvételének dátuma (az eseménytől számított napok) a munkafolyamat létrehozásának dátuma előtt van. Az alkalmazottihiredátumot a jövőben tervezve kell beállítania. Az oktatóanyagban használt dátumok pillanatképek. Ezért ennek megfelelően módosítania kell a dátumokat, hogy alkalmazkodjanak ehhez a helyzethez.

Először létrehozzuk az alkalmazottunkat, Melva Prince-t.

  1. Lépjen a Graph Explorerre.
  2. Jelentkezzen be a Graph Explorerbe a bérlő felhasználói rendszergazdai fiókjával.
  3. Felül módosítsa a GET billentyűt POST-ra, és adja hozzá https://graph.microsoft.com/v1.0/users/ a mezőhöz.
  4. Másolja a következő kódot a kérelem törzsébe
  5. Cserélje le <your tenant here> a következő kódot a Microsoft Entra-bérlő értékére.
  6. Válassza a Lekérdezés futtatása lehetőséget
  7. Másolja ki az eredményekben visszaadott azonosítót. Ezt később használjuk egy vezető hozzárendeléséhez.
{
  "accountEnabled": true,
  "displayName": "Melva Prince",
  "mailNickname": "mprince",
  "department": "sales",
  "mail": "mprince@<your tenant name here>",
  "employeeHireDate": "2022-04-15T22:10:00Z",
  "userPrincipalName": "mprince@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "<Generated Password>"
  }
}

Képernyőkép a POST melva létrehozásáról a Graph Explorerben.

Most létrehozzuk Britta Simont. Ezt a fiókot használjuk vezetőnkként.

  1. Még mindig a Graph Explorerben.
  2. Győződjön meg arról, hogy a felső érték továbbra is POST értékre van állítva, és https://graph.microsoft.com/v1.0/users/ a mezőben van.
  3. Másolja a következő kódot a kérelem törzsébe
  4. Cserélje le <your tenant here> a következő kódot a Microsoft Entra-bérlő értékére.
  5. Válassza a Lekérdezés futtatása lehetőséget
  6. Másolja ki az eredményekben visszaadott azonosítót. Ezt az azonosítót később használjuk egy vezető hozzárendeléséhez. 
    {
  "accountEnabled": true,
  "displayName": "Britta Simon",
  "mailNickname": "bsimon",
  "department": "sales",
  "mail": "bsimon@<your tenant name here>",
  "employeeHireDate": "2021-01-15T22:10:00Z",
  "userPrincipalName": "bsimon@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "<Generated Password>"
  }
}

Feljegyzés

A kód ezen> szakaszában módosítania kell a <bérlő nevét, hogy megfeleljen a Microsoft Entra-bérlőnek.

Alternatív megoldásként az alábbi PowerShell-szkripttel gyorsan létrehozhat két felhasználót az életciklus-munkafolyamatok végrehajtásához. Az egyik felhasználó az új alkalmazottat, a második pedig az új alkalmazott felettesét jelöli.

Fontos

A következő PowerShell-szkripttel gyorsan létrehozhatja az oktatóanyaghoz szükséges két felhasználót. Ezek a felhasználók a Microsoft Entra Felügyeleti központban is létrehozhatók.

Ennek a lépésnek a létrehozásához mentse a következő PowerShell-szkriptet egy olyan számítógépre, amely hozzáfér az Azure-hoz.

Ezután szerkesztenie kell a szkriptet, és le kell cserélnie a <bérlő nevét itt> a bérlő nevére. Például: $UPN_manager = "bsimon@<your tenant name here>" to $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Ezt a műveletet $UPN_employee és $UPN_manager esetében is el kell végeznie

A szkript szerkesztése után mentse, és kövesse az alábbi lépéseket:

  1. Nyisson meg egy Rendszergazdai jogosultságokkal rendelkező Windows PowerShell-parancssort egy olyan gépről, amely hozzáfér a Microsoft Entra felügyeleti központjához.
  2. Keresse meg a mentett PowerShell-szkript helyét, és futtassa.
  3. Ha a rendszer kéri, válassza az Igen mindenkinek lehetőséget a PowerShell-modul telepítésekor.
  4. Amikor a rendszer kéri, jelentkezzen be a Microsoft Entra felügyeleti központba egy globális rendszergazdával a bérlőjéhez.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables

$Displayname_employee = "Melva Prince"
$UPN_employee = "mprince<your tenant name here>"
$Name_employee = "mprince"
$Password_employee = "Pass1w0rd"
$EmployeeHireDate_employee = "04/10/2022"
$Department_employee = "Sales"
$Displayname_manager = "Britta Simon"
$Name_manager = "bsimon"
$Password_manager = "Pass1w0rd"
$Department = "Sales"
$UPN_manager = "bsimon@<your tenant name here>"

Install-Module -Name AzureAD
Connect-MgGraph -Confirm

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "<Password>"
New-MgUser -DisplayName $Displayname_manager  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_manager -AccountEnabled $true -MailNickName $Name_manager -Department $Department
New-MgUser -DisplayName $Displayname_employee  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_employee -AccountEnabled $true -MailNickName $Name_employee -Department $Department

Miután a felhasználó vagy a felhasználók sikeresen létrejöttek a Microsoft Entra-azonosítóban, folytathatja a munkafolyamat létrehozásához szükséges életciklus-munkafolyamat-oktatóanyagokat.

Az előzményforgatókönyv további lépései

Vannak más lépések is, amelyeket érdemes figyelembe vennie, amikor a Microsoft Entra felügyeleti központ oktatóanyagával életciklus-munkafolyamatokkal teszteli a szervezetbe a beszálló felhasználókat, vagy az életciklus-munkafolyamatokat a Microsoft Graph oktatóanyagával a szervezetbe beszálló felhasználókat.

A felhasználói attribútumok szerkesztése a Microsoft Entra Felügyeleti központban

A bevezetés előtti oktatóanyaghoz szükséges attribútumok némelyike a Microsoft Entra felügyeleti központban érhető el, és itt állítható be.

Ezek az attribútumok a következők:

Attribútum Leírás Bekapcsolva
levélküldés Az új alkalmazottak ideiglenes hozzáférési engedélyének értesítésére szolgál Kezelő
manager Ez az életciklus-munkafolyamat által használt attribútum Alkalmazott

Az oktatóanyaghoz a levelezési attribútumot csak a felettesi fiókon kell beállítani, az alkalmazotti fiókban pedig a manager attribútumot. Ehhez a következő lépések szükségesek:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói rendszergazdaként.
  2. Tallózással keresse meg az >Identitásfelhasználók>>összes felhasználót.
  3. Válassza a Melva Prince lehetőséget.
  4. A lap tetején válassza a Szerkesztés lehetőséget.
  5. A felettes alatt válassza a Módosítás és a Britta Simon lehetőséget.
  6. Ezt követően válassza a fenti Mentés lehetőséget.
  7. Lépjen vissza a felhasználókhoz, és válassza a Britta Simon lehetőséget.
  8. A lap tetején válassza a Szerkesztés lehetőséget.
  9. Az E-mail csoportban adjon meg egy érvényes e-mail-címet.
  10. Válassza a Mentés lehetőséget.

Az employeeHireDate szerkesztése

Az employeeHireDate attribútum új a Microsoft Entra-azonosítóban. Nem érhető el a felhasználói felületen keresztül, és a Graph használatával kell frissíteni. Az attribútum szerkesztéséhez használhatjuk a Graph Explorert.

Feljegyzés

Vegye figyelembe, hogy a munkafolyamat nem aktiválódik, ha az alkalmazott felvételének dátuma (az eseménytől számított napok) a munkafolyamat létrehozásának dátuma előtt van. A jövőbeli beállításokat terv szerint kell beállítania employeeHireDate . Az oktatóanyagban használt dátumok pillanatképek. Ezért ennek megfelelően módosítania kell a dátumokat, hogy alkalmazkodjanak ehhez a helyzethez.

Ehhez le kell szereznünk a felhasználónk, Melva Prince objektumazonosítóját.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói rendszergazdaként.

  2. Tallózással keresse meg az >Identitásfelhasználók>>összes felhasználót.

  3. Válassza a Melva Prince lehetőséget.

  4. Válassza ki az objektumazonosító melletti másolási jelet.

  5. Lépjen a Graph Explorerre.

  6. Jelentkezzen be a Graph Explorerbe a bérlő globális rendszergazdai fiókjával.

  7. Felül módosítsa a GET elemet PATCH-ra, és adja hozzá https://graph.microsoft.com/v1.0/users/<id> a mezőhöz. Cserélje le <id> a korábban másolt értékre.

  8. Másolja a következőt a Kérelem törzsébe, és válassza a Lekérdezés futtatása lehetőséget 

    {
"employeeHireDate": "2022-04-15T22:10:00Z"
}

    Képernyőkép a PATCH employeeHireDate-ről.

  9. Ellenőrizze a módosítást a PATCH get és az 1.0-s verzió bétaverzióra való visszaállításával. Válassza a Lekérdezés futtatása lehetőséget. Látnia kell a Melva-készlet attribútumait.
    Képernyőkép a GET employeeHireDate-ről.

Az alkalmazotti fiók felettes attribútumának szerkesztése

A kezelő attribútum az e-mail-értesítési feladatokhoz használatos. Az új alkalmazott ideiglenes jelszavát e-mailben küldi el a felettesnek. Az alábbi lépéseket követve győződjön meg arról, hogy a Microsoft Entra-felhasználók rendelkeznek a manager attribútummal.

  1. Még mindig a Graph Explorerben.

  2. Győződjön meg arról, hogy a felső még mindig PUT értékre van állítva, és https://graph.microsoft.com/v1.0/users/<id>/manager/$ref a mezőben van. Váltson <id> Melva Prince azonosítójára.

  3. Másolja a következő kódot a Kérelem törzsébe

  4. Cserélje le <managerid> a következő kódot Britta Simons-azonosító értékre.

  5. Válassza a Lekérdezés futtatása lehetőséget 

    {
  "@odata.id": "https://graph.microsoft.com/v1.0/users/<managerid>"
}

    Képernyőkép: Kezelő hozzáadása a Graph Explorerben.

  6. Most ellenőrizheti, hogy a kezelő megfelelően van-e beállítva, ha a PUT értéket GET értékre módosítja.

  7. Győződjön meg róla, hogy https://graph.microsoft.com/v1.0/users/<id>/manager/ a dobozban van. Még <id> mindig Melva Princeé.

  8. Válassza a Lekérdezés futtatása lehetőséget. A Válaszban britta Simonnak kell megjelennie.

    Képernyőkép egy vezető lekéréséről a Graph Explorerben.

Ha többet szeretne tudni egy felhasználó felettesi adatainak frissítéséről a Graph API-ban, tekintse meg a Kezelő hozzárendelése dokumentációját. Ezt az attribútumot az Azure Felügyeleti központban is beállíthatja. További információ: Profiladatok hozzáadása vagy módosítása.

Az ideiglenes hozzáférési engedély engedélyezése (TAP)

Az ideiglenes hozzáférési bérlet egy rendszergazda által kiadott korlátozott időkorlátos hozzáférési engedély, amely megfelel az erős hitelesítési követelményeknek.

Ebben a forgatókönyvben a Microsoft Entra ID ezen funkciójával hozunk létre ideiglenes hozzáférési bérletet az új alkalmazott számára. Az alkalmazott igazgatójának küldik.

A funkció használatához engedélyezni kell a Microsoft Entra-bérlőn. A funkció engedélyezéséhez kövesse az alábbi lépéseket.

  1. Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább hitelesítési házirend-rendszergazdaként.
  2. A védelmi>hitelesítési módszerek>megkeresése az ideiglenes hozzáférési passzhoz
  3. A szabályzat engedélyezéséhez és Britta Simon hozzáadásához válassza az Igen lehetőséget, és válassza ki, hogy mely felhasználók alkalmazzák a szabályzatot, valamint az általános beállításokat.

A kilépési forgatókönyv megfontolandó szempontja

Van egy további lépés, amellyel tisztában kell lennie, amikor a Microsoft Entra felügyeleti központ oktatóanyagával vagy a Microsoft Graph használatával teszteli a szervezetből a beszálláson kívüli felhasználók oktatóanyagait életciklus-munkafolyamatokkal.

Felhasználó beállítása csoportokkal és csoporttagságú Teams-csoportokkal

A kilépési forgatókönyv oktatóanyagainak megkezdése előtt egy csoportokkal és Teams-tagsággal rendelkező felhasználóra van szükség.

Következő lépések