Gestione degli utenti locali sincronizzati con flussi di lavoro del ciclo di vita
I flussi di lavoro del ciclo di vita supportano la governance del ciclo di vita delle identità per gli account utente sincronizzati da Active Directory locale Domain Services (AD-DS) a Microsoft Entra. Per i flussi di lavoro relativi al ciclo di vita, è essenziale che esista un account utente in Microsoft Entra, ma come è stato creato l'account o come vengono apportate modifiche rilevanti del ciclo di vita all'account svolge un ruolo secondario quando si tratta di elaborare flussi di lavoro e attività associate per l'account utente. Il supporto include account e modifiche apportate tramite percorsi come il provisioning basato sulle risorse umane, le API Microsoft Graph, microsoft Entra Amministrazione Portal, nonché le modifiche sincronizzate da Microsoft Entra Connessione e MicrosoftCloud Sync.
In questo articolo si apprenderà cosa deve essere considerato se si vogliono usare i flussi di lavoro del ciclo di vita per gli account utente sincronizzati da Active Directory locale Domain Services (AD-DS) a Microsoft Entra, definiti "utenti locali sincronizzati".
Condizioni di esecuzione del flusso di lavoro con utenti locali sincronizzati
I flussi di lavoro del ciclo di vita vengono elaborati per gli account utente quando soddisfano le condizioni di esecuzione dei flussi di lavoro. Le condizioni di esecuzione sono costituite da un trigger e un ambito. Il trigger descrive l'evento che si verifica per un account utente. L'ambito consente di definire ulteriormente per chi viene avviato il flusso di lavoro quando si verifica l'evento.
Trigger del flusso di lavoro
La tabella seguente illustra cosa considerare per ogni trigger del flusso di lavoro quando viene usato con gli utenti locali sincronizzati:
| Trigger flusso di lavoro | Requisiti |
|---|---|
| Modifiche degli attributi (anteprima) | Non sono necessarie altre configurazioni, purché gli attributi vengano sincronizzati. Per informazioni sugli attributi sincronizzati, vedere Mapping degli attributi in Microsoft Entra Cloud Sync e Microsoft Entra Connessione Sync: Estensioni della directory. Quando viene apportata una modifica in Active Directory locale, la sincronizzazione tramite Microsoft Entra Cloud Sync o Microsoft Entra Connessione Sync deve verificarsi prima che le modifiche possano essere prelevate dai flussi di lavoro del ciclo di vita. |
| Basata sull'appartenenza a gruppi (anteprima) | Poiché è supportato qualsiasi tipo di gruppo, non sono necessarie altre configurazioni. Se il gruppo ha origine da Active Directory locale, deve essere sincronizzato con Microsoft Entra. Microsoft Entra Cloud Sync o Microsoft Entra Connessione Sync, la sincronizzazione deve verificarsi prima che le modifiche possano essere prelevate dai flussi di lavoro del ciclo di vita. |
| Al bisogno | Non sono necessarie altre configurazioni. |
| Basato sul tempo | employeeHireDate, employeeLeaveDateTime: questi attributi devono essere sincronizzati prima di essere usati. Per altre informazioni su questo processo, vedere Come sincronizzare gli attributi per i flussi di lavoro del ciclo di vita. createdDateTime: non sono necessari altri requisiti. Questa data è il giorno in cui l'account utente viene sincronizzato con Microsoft Entra ID, non quando sono stati creati in Active Directory. |
Definizione dell'ambito del flusso di lavoro
Per gli attributi utente usati all'interno delle funzionalità di definizione dell'ambito del flusso di lavoro, non sono necessarie altre configurazioni se gli attributi selezionati sono già sincronizzati. Per informazioni sugli attributi sincronizzati, vedere Mapping degli attributi in Microsoft Entra Cloud Sync e Microsoft Entra Connessione Sync: Estensioni della directory. Quando viene apportata una modifica in Active Directory locale, la sincronizzazione tramite Microsoft Entra Cloud Sync o Microsoft Entra Connessione Sync deve verificarsi prima che le modifiche possano essere prelevate dai flussi di lavoro del ciclo di vita.
Attività del flusso di lavoro e funzionalità locali sincronizzate
Tutte le attività del flusso di lavoro del ciclo di vita funzionano sia per il cloud che per gli utenti locali sincronizzati, ad eccezione delle limitazioni elencate in attività specifiche in questo articolo. Per altre informazioni su tutte le attività del flusso di lavoro del ciclo di vita, vedere Attività predefinite del flusso di lavoro del ciclo di vita.
Attività per gestire le appartenenze ai gruppi
Le attività Flussi di lavoro del ciclo di vita per gestire le appartenenze ai gruppi non possono essere usate per i gruppi sincronizzati da Active Directory locale a Microsoft Entra. Tuttavia, è possibile usare Microsoft Entra ID Governance per gestire l'accesso alle applicazioni Active Directory locale (Kerberos) con i gruppi del cloud, supportati all'interno dei flussi di lavoro del ciclo di vita.
Attività dell'account utente (anteprima)
Per abilitare, disabilitare ed eliminare gli account utente con gli utenti locali sincronizzati, è necessaria una configurazione aggiuntiva per le attività del flusso di lavoro del ciclo di vita. Prima di poter configurare le attività per eseguire azioni in Active Directory locale, è necessario completare i prerequisiti seguenti.
- È necessario che nell'ambiente sia installato l'agente di provisioning Microsoft Entra. Per i prerequisiti per l'installazione dell'agente di provisioning di Microsoft Entra, vedere: Requisiti dell'agente di provisioning cloud. Per una guida dettagliata sull'installazione dell'agente di provisioning di Microsoft Entra, vedere: Installare Microsoft Entra Provisioning Agent. Durante l'installazione scegliere "Provisioning basato sulle risorse umane/Microsoft Entra Connessione Sync" come "configurazione dell'estensione". Non è necessario aggiungere altre configurazioni per l'agente di provisioning, ad esempio la configurazione di sincronizzazione cloud, ed è possibile installare l'agente di provisioning anche se attualmente si usa Microsoft Entra Connessione Sync per la sincronizzazione utente.
Nota
L'agente di provisioning installato deve essere almeno la versione 1.1.1586.0, rilasciata il 13 maggio 2024.
Verificare che l'account del servizio gestito del gruppo usato dall'agente di provisioning disponga delle autorizzazioni appropriate per eseguire operazioni sugli account utente.
Per eliminare gli account utente, è necessario abilitare il Cestino di Active Directory. Per una guida dettagliata sull'abilitazione del Cestino, vedere: Cestino di Active Directory procedura dettagliata.
Per una guida dettagliata sull'impostazione del flag in modo che le attività dell'account utente vengano eseguite per gli utenti locali sincronizzati, vedere Gestire gli utenti locali sincronizzati con flussi di lavoro (anteprima).
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per