Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Alur Kerja Siklus Hidup mendukung pengaturan siklus hidup identitas untuk akun pengguna yang disinkronkan dari Active Directory Domain Services (AD DS) ke ID Microsoft Entra. Untuk Alur Kerja Siklus Hidup, sangat penting bahwa akun pengguna ada di ID Microsoft Entra, tetapi bagaimana akun dibuat, atau bagaimana perubahan relevan siklus hidup dibuat ke akun, memainkan peran kecil dalam hal memproses alur kerja dan tugas terkait untuk akun pengguna. Dukungan ini mencakup akun, dan perubahan, yang dibuat melalui opsi seperti provisi berbasis SDM, API Microsoft Graph, Portal Admin Microsoft Entra, dan perubahan yang disinkronkan oleh Microsoft Entra Connect dan Microsoft Cloud Sync.
Tabel berikut ini mencantumkan skenario otomatisasi umum untuk pengguna yang disinkronkan dari AD DS menggunakan Tata Kelola ID Microsoft Entra:
| Skenario untuk mengotomatiskan | solusi tata kelola ID Microsoft Entra |
|---|---|
| Membuat akun pengguna di Active Directory Domain Services | Provisi berbasis SDM |
| Memberikan kredensial awal atau kata sandi untuk akun pengguna | Tugas Generate Temporary Access Pass dan kirim melalui email ke manajer pengguna dapat digunakan untuk menyiapkan kredensial tanpa sandi. Untuk menyiapkan kata sandi biasa untuk Direktori Aktif, Anda dapat menggunakan pemulihan kata sandi mandiri Microsoft Entra. |
| Menetapkan lisensi | Tugas Tetapkan lisensi ke Alur Kerja Siklus Hidup pengguna dapat digunakan untuk menetapkan lisensi. Anda juga dapat menetapkan lisensi kepada pengguna melalui grup. |
| Memberi pengguna akses ke aplikasi berbasis grup Direktori Aktif | Mengatur akses aplikasi Active Directory lokal (Kerberos) |
| Memperbarui atribut pengguna di Direktori Aktif saat memindahkan organisasi | Merencanakan filter cakupan dan pemetaan atribut |
| Memindahkan pengguna ke OU yang berbeda saat mereka berpindah organisasi | Mengonfigurasi penugasan kontainer Active Directory OU |
| Menonaktifkan pengguna pada hari terakhir | Tugas Alur Kerja Siklus Hidup Nonaktifkan Akun Pengguna dapat digunakan untuk menonaktifkan akun pengguna pada hari terakhir siklus hidup mereka. |
| Menghapus pengguna pada jumlah hari yang ditetapkan setelah penghentian | Tugas Hapus Alur Kerja Siklus Hidup Pengguna dapat digunakan dalam templat alur kerja untuk menghapus pengguna dalam jumlah hari yang ditetapkan setelah penghentian mereka. |
Dalam artikel ini, Anda mempelajari apa yang perlu dipertimbangkan jika Anda ingin menggunakan Alur Kerja Siklus Hidup untuk akun pengguna yang disinkronkan dari AD DS ke ID Microsoft Entra.
Syarat atau kondisi eksekusi alur kerja dengan pengguna yang disinkronkan dari Active Directory Domain Services (AD DS) ke Microsoft Entra ID
Alur Kerja Siklus Hidup diproses bagi akun pengguna ketika memenuhi kondisi eksekusi alur kerja. Kondisi eksekusi terdiri dari pemicu dan cakupan. Pemicu menjelaskan peristiwa yang terjadi untuk akun pengguna. Cakupan memungkinkan Anda untuk lebih lanjut menentukan untuk siapa alur kerja berjalan ketika peristiwa terjadi.
Pemicu alur kerja
Tabel berikut ini memperlihatkan apa yang harus dipertimbangkan untuk setiap pemicu alur kerja saat digunakan dengan pengguna yang disinkronkan dari AD DS:
| Pemicu Alur Kerja | Persyaratan |
|---|---|
| Perubahan atribut | Tidak ada konfigurasi lebih lanjut yang diperlukan selama atribut disinkronkan. Untuk informasi tentang atribut yang disinkronkan, lihat: Pemetaan atribut di Microsoft Entra Cloud Sync dan Sinkronisasi Microsoft Entra Connect: Ekstensi direktori. Ketika perubahan dilakukan di Direktori Aktif, sinkronisasi melalui Sinkronisasi Microsoft Entra Cloud atau Sinkronisasi Microsoft Entra Connect perlu terjadi sebelum perubahan dapat diambil dari Alur Kerja Siklus Hidup. |
| Berbasis keanggotaan grup | Karena semua jenis grup didukung, tidak diperlukan konfigurasi lebih lanjut. Jika grup berasal dari Direktori Aktif, grup harus disinkronkan ke Microsoft Entra. Sinkronisasi Microsoft Entra Cloud atau Microsoft Entra Connect harus dilakukan sebelum dapat mengambil perubahan dari Alur Kerja Siklus Hidup. |
| Sesuai permintaan | Tidak diperlukan konfigurasi lebih lanjut. |
| Berbasis waktu |
employeeHireDate, employeeLeaveDateTime: Atribut ini harus disinkronkan sebelum digunakan. Untuk informasi selengkapnya tentang proses ini, lihat: Cara menyinkronkan atribut untuk alur kerja Siklus Hidup. createdDateTime: Tidak diperlukan konfigurasi lebih lanjut. Tanggal ini adalah hari akun pengguna disinkronkan ke ID Microsoft Entra, bukan saat dibuat dalam Direktori Aktif. |
Pencakupan alur kerja
Untuk atribut pengguna yang digunakan dalam kemampuan cakupan alur kerja, tidak diperlukan konfigurasi lebih lanjut jika atribut yang dipilih sudah disinkronkan. Untuk informasi tentang atribut yang disinkronkan, lihat: Pemetaan atribut di Microsoft Entra Cloud Sync dan Microsoft Entra Connect Sync: Ekstensi direktori. Ketika perubahan dilakukan di Direktori Aktif, sinkronisasi melalui Sinkronisasi Microsoft Entra Cloud atau Sinkronisasi Microsoft Entra Connect perlu terjadi sebelum perubahan dapat diambil dari Alur Kerja Siklus Hidup.
Tugas alur kerja untuk pengguna yang disinkronkan dari Active Directory Domain Services ke Microsoft Entra ID
Semua tugas alur kerja Siklus Hidup berfungsi untuk pengguna berbasis cloud serta yang disinkronkan dari Active Directory secara langsung, kecuali untuk batasan yang disebutkan pada tugas-tugas tertentu dalam artikel ini. Untuk informasi selengkapnya tentang semua tugas Alur Kerja Siklus Hidup, lihat: Tugas bawaan Alur Kerja Siklus Hidup.
Tugas untuk mengatur keanggotaan grup
Skenario: Saat Anda menyinkronkan pengguna dari AD DS ke ID Microsoft Entra, Anda dapat menambahkan, atau menghapus, pengguna dari grup keamanan berbasis cloud melalui tugas grup Alur Kerja Siklus Hidup. Ini memungkinkan Anda mengatur keanggotaan grup pengguna yang disinkronkan di cloud, dan juga menambahkan grup ini kembali ke Direktori Aktif menggunakan tulis balik grup Microsoft Entra Cloud Sync.
Untuk grup yang disinkronkan dari AD DS ke ID Microsoft Entra, Anda tidak akan dapat menggunakan tugas grup Alur Kerja Siklus Hidup seperti yang disebutkan dalam skenario. Namun, Tata Kelola ID Microsoft Entra dapat digunakan untuk mengatur akses aplikasi Active Directory lokal (Kerberos) dengan grup berbasis cloud, yang didukung dalam Alur Kerja Siklus Hidup.
Tugas akun pengguna
Konfigurasi tambahan diperlukan agar tugas Alur Kerja Siklus Hidup untuk mengaktifkan, menonaktifkan, dan menghapus akun pengguna dapat berfungsi dengan sinkronisasi dari AD DS. Prasyarat berikut harus diselesaikan sebelum Anda dapat mengonfigurasi tugas untuk melakukan tindakan di Direktori Aktif.
- Anda harus menginstal agen provisi Microsoft Entra di lingkungan Anda. Untuk prasyarat tentang menginstal agen provisi Microsoft Entra, lihat: Persyaratan agen provisi cloud. Untuk panduan langkah demi langkah tentang menginstal agen Provisi Microsoft Entra, lihat: Menginstal Microsoft Entra Provisioning Agent. Selama penginstalan, pilih "Provisi berbasis SDM/Sinkronisasi Microsoft Entra Connect" sebagai "konfigurasi ekstensi". Anda tidak diharuskan menambahkan konfigurasi lain untuk agen provisi, seperti konfigurasi sinkronisasi cloud, dan Anda dapat menginstal agen provisi meskipun saat ini Anda juga menggunakan Sinkronisasi Microsoft Entra Connect untuk sinkronisasi pengguna Anda.
Catatan
Agen Penyedia yang telah dipasang haruslah setidaknya versi 1.1.1586.0, yang dirilis pada 13 Mei 2024.
Pastikan Akun Layanan Terkelola Grup (gMSA) yang digunakan oleh agen provisi memiliki izin yang sesuai untuk melakukan operasi pada akun pengguna.
Untuk menghapus akun pengguna, Anda harus mengaktifkan keranjang sampah Direktori Aktif. Untuk panduan langkah demi langkah tentang mengaktifkan keranjang sampah, lihat: Keranjang Sampah Direktori Aktif langkah demi langkah.
Untuk panduan langkah-per-langkah tentang mengkonfigurasi bendera sehingga tugas akun pengguna berjalan untuk pengguna yang disinkronkan dari Active Directory Domain Services, lihat: Mengelola pengguna yang disinkronkan dari Active Directory Domain Services (AD DS) dengan alur kerja.