Управление пользователями, синхронизированными из служб домен Active Directory в идентификатор Microsoft Entra с помощью рабочих процессов жизненного цикла
Рабочие процессы жизненного цикла поддерживают управление жизненным циклом удостоверений для учетных записей пользователей, синхронизированных из служб домен Active Directory (AD DS) с идентификатором Microsoft Entra. Для рабочих процессов жизненного цикла важно, чтобы учетная запись пользователя существовала в идентификаторе Microsoft Entra, но как была создана учетная запись или как вносятся изменения жизненного цикла в учетную запись, играет дополнительную роль при обработке рабочих процессов и связанных задач для учетной записи пользователя. Эта поддержка включает учетные записи и изменения, внесенные с помощью таких параметров, как подготовка на основе кадров, API Microsoft Graph, портал администрирования Microsoft Entra и изменения, синхронизированные Microsoft Entra Connect и Microsoft Cloud Sync.
В следующей таблице перечислены распространенные сценарии автоматизации для синхронизированных пользователей из AD DS с помощью Управление идентификацией Microsoft Entra:
| Сценарий для автоматизации | решение Управление идентификацией Microsoft Entra |
|---|---|
| Создание учетной записи пользователя в службах домен Active Directory | Подготовка на основе кадров |
| Предоставление начальных учетных данных или пароля для учетных записей пользователей | Создать временный проход доступа и отправить по электронной почте задаче руководителя пользователя можно использовать для настройки учетных данных без пароля. Для настройки обычного пароля Active Directory можно использовать самостоятельный сброс пароля Microsoft Entra. |
| Назначение лицензий | Задачу "Назначение лицензий для рабочего процесса жизненного цикла пользователя" можно использовать для назначения лицензий. Вы также можете назначать лицензии пользователям через группу. |
| Предоставление пользователям доступа к приложениям на основе групп Active Directory | Управление доступом к приложению локальная служба Active Directory (Kerberos) |
| Обновление атрибутов пользователей в Active Directory при перемещении организаций | Планирование фильтров области и сопоставления атрибутов |
| Перемещение пользователей в разные подразделения при перемещении организаций | Настройка назначения контейнеров подразделения Active Directory |
| Отключение пользователей в последний день | Задача "Отключить рабочий процесс жизненного цикла учетной записи пользователя" можно использовать для отключения учетной записи пользователя в последний день. |
| Удаление пользователей по заданному количеству дней после завершения | Задача "Удалить жизненный цикл пользователя" можно использовать в шаблоне рабочего процесса для удаления пользователей определенного числа дней после завершения работы. |
В этой статье вы узнаете, что необходимо учитывать, если вы хотите использовать рабочие процессы жизненного цикла для учетных записей пользователей, синхронизированных с AD DS с идентификатором Microsoft Entra.
Условия выполнения рабочего процесса с пользователями, синхронизированными из служб домен Active Directory (AD DS) с идентификатором Microsoft Entra
Рабочие процессы жизненного цикла обрабатываются для учетных записей пользователей, когда они соответствуют условиям выполнения рабочего процесса. Условия выполнения состоят из триггера и области. Триггер описывает событие, возникающее для учетной записи пользователя. Область позволяет дополнительно определить, для кого выполняется рабочий процесс при возникновении события.
Триггеры рабочего процесса
В следующей таблице показано, что следует учитывать для каждого триггера рабочего процесса при использовании с пользователями, синхронизированными с AD DS:
| Триггер рабочего процесса | Требования |
|---|---|
| Изменения атрибутов | Дополнительная конфигурация не требуется, пока атрибуты синхронизированы. Сведения о синхронизированных атрибутах см. в статье "Сопоставление атрибутов" в Microsoft Entra Cloud Sync и Microsoft Entra Connect Sync: расширения каталогов. При внесении изменений в Active Directory синхронизация с помощью Microsoft Entra Cloud Sync или Microsoft Entra Connect Sync должна произойти, прежде чем изменения можно будет забрать из рабочих процессов жизненного цикла. |
| Членство в группах на основе | Так как поддерживается любая группа, дополнительная конфигурация не требуется. Если группа исходит из Active Directory, она должна быть синхронизирована с Microsoft Entra. Microsoft Entra Cloud Sync или Microsoft Entra Connect Sync, синхронизация должна произойти, прежде чем изменения могут быть выбраны из рабочих процессов жизненного цикла. |
| По требованию | Дополнительная конфигурация не требуется. |
| Время на основе | employeeHireDate, employeeLeaveDateTime: перед использованием эти атрибуты необходимо синхронизировать. Дополнительные сведения об этом процессе см. в разделе "Синхронизация атрибутов для рабочих процессов жизненного цикла". createdDateTime: дополнительная конфигурация не требуется. Эта дата — это день, когда учетная запись пользователя синхронизируется с идентификатором Microsoft Entra, а не когда они были созданы в Active Directory. |
Области рабочего процесса
Для атрибутов пользователей, используемых в возможностях области рабочего процесса, дополнительная конфигурация не требуется, если выбранные атрибуты уже синхронизированы. Сведения о синхронизированных атрибутах см. в статье "Сопоставление атрибутов" в Microsoft Entra Cloud Sync и Microsoft Entra Connect Sync: расширения каталогов. При внесении изменений в Active Directory синхронизация с помощью Microsoft Entra Cloud Sync или Microsoft Entra Connect Sync должна произойти, прежде чем изменения можно будет забрать из рабочих процессов жизненного цикла.
Задачи рабочего процесса для пользователей, синхронизированных из служб домен Active Directory с идентификатором Microsoft Entra
Все задачи рабочего процесса жизненного цикла работают как для облака, так и для синхронизации из Active Directory, пользователи из поля, за исключением ограничений, перечисленных в конкретных задачах в этой статье. Дополнительные сведения обо всех задачах рабочего процесса жизненного цикла см. в статье "Встроенный рабочий процесс жизненного цикла".
Задачи для управления членством в группах
Сценарий. При синхронизации пользователей из AD DS с идентификатором Microsoft Entra ID вы можете добавлять или удалять пользователей из облачных групп безопасности с помощью задач группы рабочего процесса жизненного цикла. Это позволяет управлять членством в группах синхронизированных пользователей в облаке, а также добавлять эту группу обратно в Active Directory с помощью обратной записи группы microsoft Entra Cloud Sync.
Для групп, синхронизированных из AD DS с идентификатором Microsoft Entra ID, вы не сможете использовать задачи группы рабочих процессов жизненного цикла, как упоминалось в сценарии. Однако Управление идентификацией Microsoft Entra можно использовать для управления доступом приложений локальная служба Active Directory (Kerberos) с группами из облака, которые поддерживаются в рабочих процессах жизненного цикла.
Задачи учетной записи пользователя
Дополнительная конфигурация необходима для задач рабочего процесса жизненного цикла для включения, отключения и удаления учетных записей пользователей для работы с синхронизированными из AD DS. Прежде чем настроить задачи для выполнения действий в Active Directory, необходимо выполнить следующие предварительные требования.
- В вашей среде должен быть установлен агент подготовки Microsoft Entra. Предварительные требования для установки агента подготовки Microsoft Entra см. в разделе " Требования к агенту подготовки облака". Пошаговое руководство по установке агента подготовки Microsoft Entra см. в статье "Установка агента подготовки Microsoft Entra". Во время установки выберите "Подготовка на основе кадров / Microsoft Entra Connect Sync" в качестве конфигурации расширения. Вам не требуется добавить другую конфигурацию для агента подготовки, например конфигурацию облачной синхронизации, и вы можете установить агент подготовки, даже если вы также используете microsoft Entra Connect Sync для синхронизации пользователей.
Примечание.
Установленный агент подготовки должен иметь по крайней мере версию 1.1.1586.0, которая была выпущена 13 мая 2024 г.
Убедитесь, что у управляемой группы учетной записи службы (gMSA), используемой агентом подготовки, есть соответствующие разрешения для выполнения операций с учетными записями пользователей.
Чтобы удалить учетные записи пользователей, необходимо включить корзину Active Directory. Пошаговое руководство по включению корзины в Active Directory см . в пошаговом руководстве по включению корзины Active Directory.
Пошаговое руководство по настройке флага, чтобы задачи учетной записи пользователей выполнялись для пользователей, синхронизированных из служб домен Active Directory, см. в статье "Управление синхронизированными из служб домен Active Directory (AD DS) с рабочими процессами.