Cloud-HR-toepassing plannen voor inrichting van Microsoft Entra-gebruikers
It-medewerkers hebben in het verleden gebruikgemaakt van handmatige methoden om werknemers te maken, bij te werken en te verwijderen. Ze gebruikten methoden zoals het uploaden van CSV-bestanden of aangepaste scripts om gegevens van werknemers te synchroniseren. Deze inrichtingsprocessen zijn foutgevoelig, onveilig en moeilijk te beheren.
Voor het beheren van de identiteitslevenscyclus van werknemers, leveranciers of afhankelijke werknemers biedt Microsoft Entra-gebruikersinrichtingsservice integratie met HR-toepassingen (Human Resources) in de cloud. Voorbeelden van toepassingen zijn Workday en SuccessFactors.
Microsoft Entra ID maakt gebruik van deze integratie om de volgende processen voor hr-toepassingen in de cloud (app) in te schakelen:
- Gebruikers inrichten voor Active Directory: bepaalde sets gebruikers inrichten vanuit een HR-cloud-app in een of meer Active Directory-domeinen.
- Cloudgebruikers inrichten voor Microsoft Entra-id: In scenario's waarin Active Directory niet wordt gebruikt, richt u gebruikers rechtstreeks vanuit de cloud HR-app in op Microsoft Entra-id.
- Schrijf terug naar de cloud-HR-app: schrijf de e-mailadressen en gebruikersnaamkenmerken van Microsoft Entra terug naar de cloud-HR-app.
De volgende video bevat richtlijnen voor het plannen van uw hr-gestuurde inrichtingsintegraties.
Notitie
In dit implementatieplan ziet u hoe u uw CLOUD HR-app implementeert met microsoft Entra-gebruikersinrichting. Zie Een automatische implementatie van gebruikers inrichten plannen voor meer informatie over het implementeren van automatische inrichting van gebruikers in SaaS-apps (Software as a Service).
Ingeschakelde HR-scenario's
De Microsoft Entra-service voor het inrichten van gebruikers maakt automatisering mogelijk van de volgende op HR gebaseerde scenario's voor identiteitslevenscyclusbeheer:
- Nieuwe werknemers inhuren: Als u een werknemer toevoegt aan de cloud-HR-app, wordt automatisch een gebruiker gemaakt in Active Directory en Microsoft Entra ID. Het toevoegen van een gebruikersaccount bevat de optie om het e-mailadres en de gebruikersnaamkenmerken terug te schrijven naar de CLOUD HR-app.
- Updates van het kenmerk en profiel van werknemers: wanneer een werknemersrecord zoals naam, titel of manager wordt bijgewerkt in de CLOUD HR-app, wordt het gebruikersaccount automatisch bijgewerkt in Active Directory en Microsoft Entra ID.
- Beëindiging van werknemers: wanneer een werknemer wordt beëindigd in de cloud-HR-app, wordt hun gebruikersaccount automatisch uitgeschakeld in Active Directory en Microsoft Entra-id.
- Werknemers opnieuw in dienst nemen: wanneer een werknemer opnieuw wordt ingehuurd in de cloud-HR-app, kan hun oude account automatisch opnieuw worden geactiveerd of opnieuw worden ingesteld op Active Directory en Microsoft Entra ID.
Voor wie is deze integratie het meest geschikt?
De integratie van cloud-HR-apps met Microsoft Entra-gebruikersinrichting is ideaal voor organisaties die:
- Een vooraf ontwikkelde cloud-oplossing willen voor cloud-HR-gebruikersinrichting.
- Directe gebruikersinrichting van de cloud-HR-app vereisen voor Active Directory of Microsoft Entra-id.
- Vereisen dat gebruikers worden ingericht met behulp van gegevens die zijn verkregen uit de cloud-HR-app.
- Gebruikers synchroniseren die deelnemen aan, verplaatsen en verlaten. De synchronisatie vindt plaats tussen een of meer Active Directory-forests, domeinen en OE's op basis van wijzigingsinformatie die is gedetecteerd in de CLOUD HR-app.
- Gebruik Microsoft 365 voor e-mail.
Learn
Door het inrichten van gebruikers wordt een basis gemaakt voor doorlopend identiteitsbeheer. Het verbetert de kwaliteit van bedrijfsprocessen die afhankelijk zijn van gezaghebbende identiteitsgegevens.
Voorwaarden
In dit artikel worden deze volgende termen gebruikt:
- Bronsysteem: De opslagplaats van gebruikers waaruit Microsoft Entra ID voorziet. Een voorbeeld is een HR-app via de cloud, zoals Workday of SuccessFactors.
- Doelsysteem: de opslagplaats van gebruikers waarop de Microsoft Entra-id is ingesteld. Voorbeelden zijn Active Directory, Microsoft Entra ID, Microsoft 365 of andere SaaS-apps.
- Joiners-Movers-Leavers-proces: een term die wordt gebruikt voor nieuwe medewerkers, transfers en ontslag met een cloud HR-app als recordsysteem. Het proces wordt voltooid wanneer de service de benodigde kenmerken in het doelsysteem inricht.
Belangrijkste voordelen
Deze mogelijkheid van HR-aangestuurde IT-inrichting biedt de volgende belangrijke zakelijke voordelen:
- Productiviteit verhogen: u kunt nu de toewijzing van gebruikersaccounts en Microsoft 365-licenties automatiseren en toegang verlenen tot belangrijke groepen. Als u toewijzingen automatiseert, krijgen nieuwe medewerkers direct toegang tot de hulpprogramma's voor hun werk en wordt de productiviteit verhoogd.
- Risico's beheren: Automatiseer wijzigingen op basis van de werknemersstatus of groepslidmaatschap om de beveiliging te verbeteren. Deze automatisering zorgt ervoor dat gebruikersidentiteiten en toegang tot belangrijke apps automatisch worden bijgewerkt. Bijvoorbeeld een update in de HR-app wanneer een gebruiker overstapt of de organisatie automatisch verlaat.
- Adresnaleving en governance: Microsoft Entra ID ondersteunt systeemeigen auditlogboeken voor aanvragen van gebruikersinrichting die worden uitgevoerd door apps van zowel bron- als doelsystemen. Tijdens het controleren kunt u vanaf één scherm bijhouden wie toegang heeft tot de apps.
- Kosten beheren: automatische inrichting vermindert de kosten door inefficiëntie en menselijke fouten bij handmatige inrichting te voorkomen. Het vermindert de behoefte aan aangepaste, op maat ontwikkelde oplossingen voor gebruikersinrichting die in de loop van de tijd zijn gebouwd met behulp van verouderde platforms.
Licenties
Als u de cloud-HR-app wilt configureren voor microsoft Entra-gebruikersinrichtingsintegratie, hebt u een geldige Microsoft Entra ID P1- of P2-licentie en een licentie nodig voor de cloud-HR-app, zoals Workday of SuccessFactors.
U hebt ook een geldige Abonnementslicentie voor Microsoft Entra ID P1 of hoger nodig voor elke gebruiker die afkomstig is van de CLOUD HR-app en is ingericht voor Active Directory of Microsoft Entra ID.
Voor het gebruik van levenscycluswerkstromen en andere Microsoft Entra ID-governance functies in het inrichtingsproces is een Microsoft Entra ID-governance licentie vereist.
Vereisten
- De rol Hybride identiteit Beheer istrator voor het configureren van de Verbinding maken inrichtingsagent.
- Toepassingsrol Beheer istrator voor het configureren van de inrichtings-app.
- Een test- en productie-exemplaar van de HR-app via de cloud.
- Beheerdersmachtigingen in de HR-app via de cloud om een systeemintegratiegebruiker te maken en wijzigingen aan te brengen om werknemersgegevens te testen voor testdoeleinden.
- Voor het inrichten van gebruikers in Active Directory is een server met Windows Server 2016 of hoger vereist voor het hosten van de Microsoft Entra Verbinding maken inrichtingsagent. Deze server moet een server op laag 0 zijn gebaseerd op het model voor Active Directory-beheerlagen.
- Microsoft Entra Verbinding maken voor het synchroniseren van gebruikers tussen Active Directory en Microsoft Entra ID.
Trainingsmateriaal
Architectuur voor de oplossing
In deze sectie wordt de totale architectuur beschreven voor het inrichten van gebruikers voor gangbare hybride omgevingen en omvat:
- Stroom van gezaghebbende HR-gegevens van HR-app via de cloud naar Active Directory. In deze stroom wordt de HR-gebeurtenis (proces Joiners-Movers-Leavers) gestart in de tenant van de HR-app via de cloud. De Microsoft Entra-inrichtingsservice en Microsoft Entra Verbinding maken inrichtingsagent richten de gebruikersgegevens van de cloud-HR-app-tenant in in Active Directory. Afhankelijk van de gebeurtenis kan dit leiden tot het maken, bijwerken, inschakelen en uitschakelen van bewerkingen in Active Directory.
- Synchroniseer met Microsoft Entra-id en schrijf e-mail en gebruikersnaam van on-premises Active Directory terug naar de CLOUD HR-app. Nadat de accounts zijn bijgewerkt in Active Directory, wordt deze gesynchroniseerd met Microsoft Entra-id via Microsoft Entra Verbinding maken. Schrijf de e-mailadressen en de kenmerken van de gebruikersnamen van Azure AD in de HR-app via de cloud.
Beschrijving van het inrichtingsproces
De volgende belangrijke stappen worden aangegeven in het diagram:
- Het HR-team voert de transacties uit in de tenant van de HR-app via de cloud.
- De Microsoft Entra-inrichtingsservice voert de geplande cycli uit vanuit de tenant van de CLOUD HR-app en identificeert wijzigingen die moeten worden verwerkt voor synchronisatie met Active Directory.
- De Microsoft Entra-inrichtingsservice roept de Microsoft Entra-Verbinding maken inrichtingsagent aan met een nettolading van een aanvraag met bewerkingen voor het maken, bijwerken, inschakelen en uitschakelen van Active Directory-accounts.
- Microsoft Entra Verbinding maken inrichtingsagent maakt gebruik van een serviceaccount voor het beheren van Active Directory-accountgegevens.
- Microsoft Entra Verbinding maken voert deltasynchronisatieuit om updates op te halen in Active Directory.
- Active Directory-updates worden gesynchroniseerd met Microsoft Entra-id.
- De Microsoft Entra-inrichtingsservice schrijft het e-mailkenmerk en de gebruikersnaam van Microsoft Entra-id terug naar de tenant van de CLOUD HR-app.
Het implementatieproject plannen
Houd rekening met de behoeften van uw organisatie terwijl u de strategie voor deze implementatie in uw omgeving bepaalt.
De juiste belanghebbenden betrekken
Wanneer technologieprojecten mislukken, komt dit meestal door onterechte verwachtingen met betrekking tot de impact, resultaten en verantwoordelijkheden. U kunt deze valkuilen voorkomen door ervoor te zorgen dat u de juiste belanghebbenden inschakelt. Zorg er ook voor dat de rol van belanghebbenden in het project goed wordt begrepen. Documenteer de belanghebbenden en hun projectinvoer en verantwoordelijkheden.
Neem ook een vertegenwoordiger van de HR-organisatie op die invoer kan leveren voor bestaande HR-bedrijfsprocessen en werkrolidentiteit plus vereisten voor de verwerking van taakgegevens.
Communicatie plannen
Communicatie is essentieel voor het succes van elke nieuwe service. Communiceer proactief met uw gebruikers over wanneer en hoe hun ervaring verandert. Laat ze weten hoe ze ondersteuning kunnen krijgen als ze problemen ondervinden.
Een testfase plannen
Voor het integreren van HR-bedrijfsprocessen en identiteitswerkstromen vanuit de cloud-HR-app naar doelsystemen is een aanzienlijke hoeveelheid gegevensvalidatie, gegevenstransformatie, gegevensopschoning en complete tests vereist vóórdat u de oplossing in productie kunt implementeren.
Voer de eerste configuratie uit in een testomgeving voordat u deze naar alle gebruikers in productie schaalt.
Connector voor inrichting van HR-apps via de cloud selecteren
Als u het inrichten van Microsoft Entra vanuit de CLOUD HR-app in Active Directory wilt vergemakkelijken, kunt u meerdere inrichtingsconnector-apps toevoegen vanuit de Microsoft Entra-app-galerie:
- HR-app via de cloud voor Active Directory-gebruikersinrichting: deze app-connector voor inrichting vereenvoudigt het inrichten van gebruikersaccounts vanuit de cloud-HR-app in één Active Directory-domein. Als u meerdere domeinen hebt, kunt u één exemplaar van deze app toevoegen vanuit de Microsoft Entra-app-galerie voor elk Active Directory-domein waarnaar u moet inrichten.
- Cloud HR-app voor het inrichten van Microsoft Entra-gebruikers: Microsoft Entra Verbinding maken is het hulpprogramma dat wordt gebruikt om on-premises Active Directory-gebruikers te synchroniseren met Microsoft Entra-id. De Cloud HR-app voor microsoft Entra-inrichting van gebruikers is een connector die u gebruikt om cloudgebruikers van de cloud-HR-app in te richten op één Microsoft Entra-tenant.
- Write-back van cloud-HR-app: deze connector-app voor inrichting faciliteert de write-back van de e-mailadressen van de gebruiker van Microsoft Entra ID naar de cloud-HR-app.
In de volgende afbeelding ziet u bijvoorbeeld de Workday-connector-apps die beschikbaar zijn in de Microsoft Entra-app-galerie.
Stroomdiagram voor besluitvorming
Gebruik het volgende stroomdiagram voor besluitvorming om te bepalen welke HR-apps via de cloud voor inrichting relevant zijn voor uw scenario.
De implementatietopologie van de Microsoft Entra Verbinding maken inrichtingsagent ontwerpen
Voor de integratie van inrichting tussen de HR-app via de cloud en Active Directory zijn vier onderdelen vereist:
- Tenant van HR-app via de cloud
- Connector-app die inricht
- Microsoft Entra Verbinding maken inrichtingsagent
- Active Directory-domein
De implementatietopologie van de Microsoft Entra Verbinding maken inrichtingsagent is afhankelijk van het aantal tenants voor hr-apps in de cloud en onderliggende Active Directory-domeinen die u wilt integreren. Als u meerdere Active Directory-domeinen hebt, is dit afhankelijk van of de Active Directory-domeinen aangesloten of niet aangesloten zijn.
Kies op basis van uw beslissing een van de implementatiescenario's:
- Tenant voor één HR-app in de cloud:> richt zich op één of meerdere onderliggende Active Directory-domeinen in een vertrouwd forest
- Tenant voor één HR-app in de cloud:> richt zich op meerdere onderliggende domeinen in een niet-aangesloten Active Directory-forest
Tenant voor één HR-app in de cloud:> richt zich op één of meerdere onderliggende Active Directory-domeinen in een vertrouwd forest
U wordt aangeraden de volgende productieconfiguratie te configureren:
| Vereiste | Aanbeveling |
|---|---|
| Het aantal Microsoft Entra-Verbinding maken inrichtingsagents dat moet worden geïmplementeerd. | Twee (voor hoge beschikbaarheid en failover). |
| Het aantal inrichtingsconnector-apps dat moet worden geconfigureerd. | Eén app per onderliggend domein. |
| Serverhost voor Microsoft Entra Verbinding maken inrichtingsagent. | Windows Server 2016 met zicht op geolocated Active Directory-domeincontrollers. Kan naast Microsoft Entra Verbinding maken-service bestaan. |
Tenant voor één HR-app in de cloud:> richt zich op meerdere onderliggende domeinen in een niet-aangesloten Active Directory-forest
Dit scenario omvat het inrichten van gebruikers vanuit de HR-app via de cloud naar domeinen in niet-aangesloten Active Directory-forests.
U wordt aangeraden de volgende productieconfiguratie te configureren:
| Vereiste | Aanbeveling |
|---|---|
| Aantal Microsoft Entra Verbinding maken inrichtingsagents om on-premises te implementeren | Twee per niet-aaneengesloten Active Directory-forest. |
| Aantal connector-apps voor inrichting dat moet worden geconfigureerd | Eén app per onderliggend domein. |
| Serverhost voor Microsoft Entra Verbinding maken inrichtingsagent. | Windows Server 2016 met zicht op geolocated Active Directory-domeincontrollers. Kan naast Microsoft Entra Verbinding maken-service bestaan. |
Microsoft Entra Verbinding maken inrichtingsagentvereisten
Voor de cloud-HR-app voor de inrichtingsoplossing van Active Directory-gebruikers is de implementatie van een of meer Microsoft Entra-Verbinding maken inrichtingsagents vereist. Deze agents moeten worden geïmplementeerd op servers met Windows Server 2016 of hoger. De servers moeten minimaal 4 GB RAM en .NET 4.7.1+ runtime hebben. Zorg ervoor dat de hostserver netwerktoegang heeft tot het Active Directory-doeldomein.
Om de on-premises omgeving voor te bereiden, registreert de microsoft Entra Verbinding maken de configuratiewizard van de inrichtingsagent de agent bij uw Microsoft Entra-tenant, opent poorten, biedt toegang tot URL's en ondersteunt de uitgaande HTTPS-proxyconfiguratie.
De agent voor inrichting configureert een Global Managed Service Account (GMSA) om te communiceren met de Active Directory-domeinen.
U kunt domeincontrollers selecteren die inrichtingsaanvragen moeten verwerken. Als u meerdere geografisch gedistribueerde domeincontrollers hebt, installeert u de inrichtingsagent op dezelfde site als de domeincontrollers van uw voorkeur. Deze plaatsing verbetert de betrouwbaarheid en prestaties van complete oplossing.
Voor hoge beschikbaarheid kunt u meer dan één Microsoft Entra Verbinding maken inrichtingsagent implementeren. Registreer de agent om dezelfde set on-premises Active Directory domeinen te kunnen verwerken.
Topologie voor de implementatie van HR-apps voor inrichting ontwerpen
Afhankelijk van het aantal Active Directory-domeinen dat betrokken is bij de configuratie van inkomende gebruikersinrichting, kunt u een van de volgende implementatietopologieën overwegen. Elk topologiediagram maakt gebruik van een voorbeeld van een implementatiescenario om configuratieaspecten te markeren. Gebruik het voorbeeld dat lijkt op uw implementatievereiste om de configuratie te bepalen die aan uw behoeften voldoet.
Implementatietopologie één: één app voor het inrichten van alle gebruikers van Cloud HR naar één on-premises Active Directory-domein
Implementatietopologie één is de meest voorkomende implementatietopologie. Gebruik deze topologie als u alle gebruikers van HR in de cloud wilt inrichten voor één AD-domein en dezelfde inrichtingsregels van toepassing zijn op alle gebruikers.
Opvallende configuratieaspecten
- Stel twee knooppunten voor de agent voor inrichting in voor hoge beschikbaarheid en failover.
- Gebruik de configuratiewizard van de inrichtingsagent om uw AD-domein te registreren bij uw Microsoft Entra-tenant.
- Wanneer u de app voor inrichting configureert, selecteert u het AD-domein in de vervolgkeuzelijst met geregistreerde domeinen.
- Als u bereikfilters gebruikt, configureert u de vlag voor het overslaan van verwijderingen buiten het bereik om onbedoelde accountdeactivaties te voorkomen.
Implementatietopologie twee: Afzonderlijke apps voor het inrichten van afzonderlijke gebruikerssets van Cloud HR naar één on-premises Active Directory-domein
Deze topologie ondersteunt bedrijfsvereisten waarbij kenmerktoewijzings- en inrichtingslogica verschillen op basis van gebruikerstype (werknemer/contractant), gebruikerslocatie of bedrijfseenheid van de gebruiker. U kunt deze topologie ook gebruiken om het beheer en onderhoud van binnenkomende gebruikersinrichting te delegeren op basis van afdeling of land/regio.
Opvallende configuratieaspecten
- Stel twee knooppunten voor de agent voor inrichting in voor hoge beschikbaarheid en failover.
- Maak een app voor HR2AD-inrichting voor elke afzonderlijke gebruikersset die u wilt inrichten.
- Gebruik bereikfilters in de inrichtings-app om gebruikers te definiëren voor het verwerken van elke app.
- In het scenario waarin managerverwijzingen moeten worden omgezet in verschillende gebruikerssets, maakt u een afzonderlijke HR2AD-inrichtings-app. Bijvoorbeeld contractanten die rapporteren aan managers die werknemers zijn. Gebruik de afzonderlijke app om alleen het managerkenmerk bij te werken. Stel het bereik van deze app in op alle gebruikers.
- Als u bereikfilters gebruikt, configureert u de markering voor het overslaan van bereikverwijderingen om onbedoeld uitschakelen van accounts te voorkomen.
Notitie
Als u geen test-AD-domein hebt en een TEST OU-container in AD gebruikt, kunt u deze topologie gebruiken om twee afzonderlijke apps HR2AD (Prod) en HR2AD (Test) te maken. Gebruik de HR2AD-app (Test) om uw wijzigingen in kenmerktoewijzing te testen vóórdat u deze promoveerde naar de HR2AD-app (Prod ).
Implementatietopologie drie: Scheid apps om afzonderlijke gebruikerssets van Cloud HR in te richten op meerdere on-premises Active Directory-domeinen (geen zichtbaarheid tussen domeinen)
Gebruik topologie drie om meerdere onafhankelijke onderliggende AD-domeinen te beheren die behoren tot hetzelfde forest. Zorg ervoor dat managers altijd bestaan in hetzelfde domein als de gebruiker. Zorg er ook voor dat uw unieke regels voor het genereren van id's voor kenmerken zoals userPrincipalName, samAccountName en mail geen zoekactie voor de hele forest vereisen. Topologie drie biedt de flexibiliteit van het delegeren van het beheer van elke inrichtingstaak per domeingrens.
Bijvoorbeeld: In het diagram worden de inrichtingsapps ingesteld voor elke geografische regio: Noord-Amerika (NA), Europa, Midden-Oosten en Afrika (EMEA) en Azië en Stille Oceaan (APAC). Afhankelijk van de locatie worden gebruikers ingericht voor het respectieve AD-domein. Gedelegeerd beheer van de app voor inrichting is mogelijk, zodat EMEA-beheerders de inrichtingsconfiguratie van gebruikers die behoren tot de EMEA-regio onafhankelijk kunnen beheren.
Opvallende configuratieaspecten
- Stel twee knooppunten voor de agent voor inrichting in voor hoge beschikbaarheid en failover.
- Gebruik de configuratiewizard van de inrichtingsagent om alle onderliggende AD-domeinen te registreren bij uw Microsoft Entra-tenant.
- Maak een afzonderlijke app voor HR2AD-inrichting voor elk doeldomein.
- Wanneer u de app voor inrichting configureert, selecteert u het betreffende onderliggende AD-domein in de vervolgkeuzelijst met beschikbare AD-domeinen.
- Gebruik bereikfilters in de inrichtings-app om gebruikers te definiëren die door elke app worden verwerkt.
- Als u bereikfilters gebruikt, configureert u de markering voor het overslaan van bereikverwijderingen om onbedoeld uitschakelen van accounts te voorkomen.
Implementatietopologie vier: Scheid apps om afzonderlijke gebruikerssets in te richten van Cloud HR naar meerdere on-premises Active Directory-domeinen (met zichtbaarheid tussen domeinen)
Gebruik topologie vier om meerdere onafhankelijke onderliggende AD-domeinen te beheren die behoren tot hetzelfde forest. De manager van een gebruiker kan zich in een ander domein bevinden. Bovendien is voor uw unieke id-generatieregels voor kenmerken zoals userPrincipalName, samAccountName en mail een zoekactie voor het hele forest vereist.
Bijvoorbeeld: In het diagram worden de inrichtingsapps ingesteld voor elke geografische regio: Noord-Amerika (NA), Europa, Midden-Oosten en Afrika (EMEA) en Azië en Stille Oceaan (APAC). Afhankelijk van de locatie worden gebruikers ingericht voor het respectieve AD-domein. Verwijzingen voor meerdere domeinen en zoeken in forestbrede forests worden verwerkt door verwijzingen in te schakelen die op de inrichtingsagent worden achtervolgd.
Opvallende configuratieaspecten
- Stel twee knooppunten voor de agent voor inrichting in voor hoge beschikbaarheid en failover.
- Configureer verwijzingen opvolgen op de agent voor inrichting.
- Gebruik de configuratiewizard van de inrichtingsagent om het bovenliggende AD-domein en alle onderliggende AD-domeinen te registreren bij uw Microsoft Entra-tenant.
- Maak een afzonderlijke app voor HR2AD-inrichting voor elk doeldomein.
- Wanneer u elke app voor inrichting configureert, selecteert u het betreffende bovenliggende AD-domein in de vervolgkeuzelijst met beschikbare AD-domeinen. Als u het bovenliggende domein selecteert, zorgt u ervoor dat forestbrede zoekacties worden gegenereerd tijdens het genereren van unieke waarden voor kenmerken zoals userPrincipalName, samAccountName en mail.
- Gebruik parentDistinguishedName met expressietoewijzing om een gebruiker in het juiste onderliggende domein en de juiste OE-container dynamisch te maken.
- Gebruik bereikfilters in de inrichtings-app om gebruikers te definiëren die door elke app worden verwerkt.
- Als u verwijzingen tussen domeinbeheerders wilt oplossen, maakt u een afzonderlijke app voor HR2AD-inrichting voor het bijwerken van alleen het kenmerk manager. Stel het bereik van deze app in op alle gebruikers.
- Als u bereikfilters gebruikt, configureert u de markering voor het overslaan van bereikverwijderingen om onbedoeld uitschakelen van accounts te voorkomen.
Implementatietopologie 5: enkele apps om alle gebruikerssets in te richten van HR via de cloud tot meerdere on-premises Active Directory-domeinen (met zichtbaarheid van meerdere domeinen)
Gebruik deze topologie als u één app voor inrichting wilt gebruiken om gebruikers te beheren die behoren tot al uw bovenliggende en onderliggende AD-domeinen. Deze topologie wordt aanbevolen als inrichtingsregels consistent zijn in alle domeinen en er geen vereiste is voor gedelegeerd beheer van inrichtingstaken. Deze topologie biedt ondersteuning voor het omzetten van verwijzingen tussen domeinbeheer en kan een controle uitvoeren op uniekheid in forests.
Bijvoorbeeld: In het diagram beheert één inrichtings-app gebruikers die aanwezig zijn in drie verschillende onderliggende domeinen gegroepeerd per regio: Noord-Amerika (NA), Europa, Midden-Oosten en Afrika (EMEA) en Azië en Stille Oceaan (APAC). De kenmerktoewijzing voor parentDistinguishedName wordt gebruikt om dynamisch een gebruiker te maken in het juiste onderliggende domein. Verwijzingen voor meerdere domeinen en zoeken in forestbrede forests worden verwerkt door verwijzingen in te schakelen die op de inrichtingsagent worden achtervolgd.
Opvallende configuratieaspecten
- Stel twee knooppunten voor de agent voor inrichting in voor hoge beschikbaarheid en failover.
- Configureer verwijzingen opvolgen op de agent voor inrichting.
- Gebruik de configuratiewizard van de inrichtingsagent om het bovenliggende AD-domein en alle onderliggende AD-domeinen te registreren bij uw Microsoft Entra-tenant.
- Maak één app voor HR2AD-inrichting voor het hele forest.
- Wanneer u de app voor inrichting configureert, selecteert u het betreffende bovenliggende AD-domein in de vervolgkeuzelijst met beschikbare AD-domeinen. Als u het bovenliggende domein selecteert, zorgt u ervoor dat forestbrede zoekacties worden gegenereerd tijdens het genereren van unieke waarden voor kenmerken zoals userPrincipalName, samAccountName en mail.
- Gebruik parentDistinguishedName met expressietoewijzing om een gebruiker in het juiste onderliggende domein en de juiste OE-container dynamisch te maken.
- Als u bereikfilters gebruikt, configureert u de vlag voor het overslaan van verwijderingen buiten het bereik om onbedoelde accountdeactivaties te voorkomen.
Implementatietopologie 6: afzonderlijke apps om verschillende gebruikers in te richten van HR via de cloud naar niet-verbonden on-premises Active Directory-forests
Gebruik deze topologie als uw IT-infrastructuur de verbinding met AD-forests heeft verbroken/ontkoppeld en u gebruikers moet inrichten voor verschillende forests op basis van bedrijfsrelatie. Bijvoorbeeld: gebruikers die werken voor dochteronderneming Contoso moeten worden ingericht in het domein contoso.com, terwijl gebruikers die voor dochteronderneming Fabrikam werken, moeten worden ingericht in het domein fabrikam.com.
Opvallende configuratieaspecten
- Stel twee verschillende sets agenten voor inrichting in voor hoge beschikbaarheid en failover, één voor elk forest.
- Maak twee verschillende apps voor inrichting, één voor elk forest.
- Als u verwijzingen tussen domeinen in het forest wilt oplossen, schakelt u verwijzingen in die worden opgevolgd op de agent voor inrichting.
- Maak een afzonderlijke app voor HR2AD-inrichting voor elk doeldomein.
- Wanneer u elke app voor inrichting configureert, selecteert u het juiste bovenliggende AD-domein in de vervolgkeuzelijst met beschikbare AD-domeinnamen.
- Als u bereikfilters gebruikt, configureert u de markering voor het overslaan van bereikverwijderingen om onbedoeld uitschakelen van accounts te voorkomen.
Implementatietopologie 7: afzonderlijke apps om verschillende gebruikers in te richten van meerdere HR-apps via de cloud naar niet-verbonden on-premises Active Directory-forests
In grote organisaties is het niet ongewoon om meerdere HR-systemen te hebben. Tijdens bedrijfs-M&A-scenario's (fusies en overnames) is het mogelijk dat u uw on-premises Active Directory moet verbinden met meerdere HR-bronnen. We raden de topologie aan als u meerdere HR-bronnen hebt en de identiteitsgegevens van deze HR-bronnen wilt doorverzenden naar dezelfde of verschillende on-premises Active Directory-domeinen.
Opvallende configuratieaspecten
- Stel twee verschillende sets agenten voor inrichting in voor hoge beschikbaarheid en failover, één voor elk forest.
- Als u verwijzingen tussen domeinen in het forest wilt oplossen, schakelt u verwijzingen in die worden opgevolgd op de agent voor inrichting.
- Maak een afzonderlijke app voor HR2AD-inrichting voor elke combinatie van HR-systeem en on-premises Active Directory.
- Wanneer u elke app voor inrichting configureert, selecteert u het juiste bovenliggende AD-domein in de vervolgkeuzelijst met beschikbare AD-domeinnamen.
- Als u bereikfilters gebruikt, configureert u de markering voor het overslaan van bereikverwijderingen om onbedoeld uitschakelen van accounts te voorkomen.
Bereikfilters en kenmerktoewijzing plannen
Wanneer u inrichting vanuit de cloud-HR-app inschakelt voor Active Directory of Microsoft Entra ID, beheert Azure Portal de kenmerkwaarden via kenmerktoewijzing.
Bereikfilters toevoegen
Gebruik bereikfilters om de regels op basis van kenmerken te definiëren die bepalen welke gebruikers moeten worden ingericht vanuit de CLOUD HR-app voor Active Directory of Microsoft Entra-id.
Wanneer u het proces Joiners (nieuwe medewerkers) start, moet u de volgende vereisten verzamelen:
- Wordt de HR-app in de cloud gebruikt om zowel vaste werknemers als voorwaardelijke werknemers aan te nemen?
- Bent u van plan om de cloud-HR-app te gebruiken voor het inrichten van Microsoft Entra-gebruikers om zowel werknemers als afhankelijke werknemers te beheren?
- Wilt u de cloud-HR-app alleen implementeren voor Microsoft Entra-gebruikersinrichting voor een subset van de cloud-HR-app-gebruikers? Een voorbeeld kan alleen werknemers zijn.
Afhankelijk van uw vereisten kunt u, wanneer u kenmerktoewijzingen configureert, het veld Bereik van bronobjecten instellen om te selecteren welke sets gebruikers in de HR-app in de cloud binnen het bereik moeten vallen voor inrichting in Active Directory. Zie de zelfstudie over HR-apps in de cloud voor veelgebruikte bereikfilters voor meer informatie.
Overeenkomende kenmerken bepalen
Bij het inrichten krijgt u de mogelijkheid om bestaande accounts tussen het bron- en doelsysteem af te stemmen. Wanneer u de cloud-HR-app integreert met de Microsoft Entra-inrichtingsservice, kunt u kenmerktoewijzing configureren om te bepalen welke gebruikersgegevens van de cloud-HR-app naar Active Directory of Microsoft Entra-id moeten stromen.
Wanneer u het proces Joiners (nieuwe medewerkers) start, moet u de volgende vereisten verzamelen:
- Wat is de unieke id in deze HR-app via de cloud die wordt gebruikt om elke gebruiker te identificeren?
- Hoe verwerkt u het opnieuw aantrekken van eerder vertrokken medewerkers vanuit het perspectief van de levenscyclus van identiteiten? Behouden opnieuw aangetrokken, eerder vertrokken medewerkers hun oude werknemer-id's?
- Verwerkt u toekomstige medewerkers en maakt u vooraf Active Directory-accounts voor hen?
- Hoe gaat u vanuit het perspectief van de levenscyclus van identiteiten om met conversie van voorwaardelijke werknemers of anderszins?
- Behouden geconverteerde gebruikers hun oude Active Directory-accounts of krijgen ze nieuwe accounts?
Afhankelijk van uw vereisten ondersteunt Microsoft Entra ID directe kenmerk-naar-kenmerktoewijzing door constante waarden of schrijfexpressies voor kenmerktoewijzingen op te geven. Deze flexibiliteit biedt u de ultieme controle over wat er wordt ingevuld in het kenmerk van de doel-app. U kunt de Microsoft Graph API en Graph Explorer gebruiken om de kenmerktoewijzingen en het schema van uw gebruikersinrichtingskenmerken te exporteren naar een JSON-bestand en het terug te importeren in Microsoft Entra-id.
Standaard wordt het kenmerk in de cloud-HR-app die de unieke werknemer-id vertegenwoordigt, gebruikt als het overeenkomende kenmerk dat is toegewezen aan het unieke kenmerk in Active Directory. In het scenario van de Workday-app wordt het kenmerk WorkdayMedewerker-id bijvoorbeeld toegewezen aan het kenmerk Medewerker-id in Active Directory.
U kunt meerdere overeenkomende kenmerken instellen en een overeenkomende prioriteit toewijzen. Deze worden geëvalueerd op overeenkomende prioriteit. Zodra er een overeenkomst wordt gevonden, worden er geen verdere overeenkomende kenmerken geëvalueerd.
U kunt ook de standaardkenmerktoewijzingen aanpassen, zoals het wijzigen of verwijderen van bestaande kenmerktoewijzingen. U kunt ook nieuwe kenmerktoewijzingen maken op basis van uw bedrijfsbehoeften. Zie voor meer informatie de zelfstudie over HR-apps in de cloud (zoals Workday) voor een lijst met aangepaste kenmerken die u wilt toewijzen.
Status van het gebruikersaccount bepalen
De inrichtingsconnector-app wijst standaard de status van het HR-gebruikersprofiel toe aan de status van het gebruikersaccount. De status wordt gebruikt om te bepalen of het gebruikersaccount moet worden ingeschakeld of uitgeschakeld.
Wanneer u het proces Joiners-Leavers (nieuwe en vertrokken medewerkers) start, moet u de volgende vereisten verzamelen:
| Proces | Vereisten |
|---|---|
| Joiners (nieuwe werknemers) | Hoe verwerkt u het opnieuw aantrekken van eerder vertrokken medewerkers vanuit het perspectief van de levenscyclus van identiteiten? Behouden opnieuw aangetrokken, eerder vertrokken medewerkers hun oude werknemer-id's? |
| Verwerkt u toekomstige medewerkers en maakt u vooraf Active Directory-accounts voor hen? Zijn deze accounts gemaakt met de status Ingeschakeld of Uitgeschakeld? | |
| Hoe gaat u vanuit het perspectief van de levenscyclus van identiteiten om met conversie van voorwaardelijke werknemers of anderszins? | |
| Behouden geconverteerde gebruikers hun oude Active Directory-accounts of krijgen ze nieuwe accounts? | |
| Ontslagen | Worden ontslagen anders afgehandeld voor vaste werknemers en tijdelijke werknemers in Active Directory? |
| Welke ingangsdatums worden overwogen bij het verwerken van ontslagen van gebruikers? | |
| Hoe zijn conversies van vaste en tijdelijke werknemers van invloed op bestaande Active Directory-accounts? | |
| Hoe verwerkt u de bewerking van opnieuw aangenomen medewerkers in Active Directory? Bewerkingen voor opnieuw aangenomen medewerkers moeten worden afgehandeld als toekomstige medewerkers in Active Directory als onderdeel van het Joiner-proces (Nieuwe medewerkers). |
Afhankelijk van uw vereisten kunt u de toewijzingslogica aanpassen met behulp van Microsoft Entra-expressies , zodat het Active Directory-account is ingeschakeld of uitgeschakeld op basis van een combinatie van gegevenspunten.
HR-app in de cloud toewijzen aan Active Directory-gebruikerskenmerken
Elke HR-app in de cloud wordt geleverd met standaard HR-app in de cloud voor Active Directory-toewijzingen.
Wanneer u het proces Joiners-Movers-Leavers start, moet u de volgende vereisten verzamelen:
| Proces | Vereisten |
|---|---|
| Joiners (nieuwe werknemers) | Is het proces voor het maken van een Active Directory-account handmatig, geautomatiseerd of gedeeltelijk geautomatiseerd? |
| Wilt u aangepaste kenmerken van de HR-app via de cloud doorgeven aan Active Directory? | |
| Transfers | Welke kenmerken wilt u verwerken wanneer er een Movers-bewerking (transfers) plaatsvindt in de HR-app in de cloud? |
| Voert u specifieke kenmerkvalidaties uit op het moment van gebruikersupdates? Zo ja, geef dan details op. | |
| Ontslagen | Worden ontslagen anders afgehandeld voor vaste werknemers en tijdelijke werknemers in Active Directory? |
| Welke ingangsdatums worden overwogen bij het verwerken van ontslagen van gebruikers? | |
| Hoe zijn conversies van vaste en tijdelijke werknemers van invloed op bestaande Active Directory-accounts? |
Afhankelijk van uw vereisten kunt u de toewijzingen wijzigen om te voldoen aan uw integratiedoelen. Zie voor meer informatie de zelfstudie over bepaalde HR-apps in de cloud (zoals Workday) voor een lijst met aangepaste kenmerken die u wilt toewijzen.
Een unieke kenmerkwaarde genereren
Kenmerken zoals CN, samAccountName en de UPN hebben unieke beperkingen. Mogelijk moet u unieke kenmerkwaarden genereren wanneer u het joiners-proces start.
De functie Microsoft Entra ID SelectUniqueValues evalueert elke regel en controleert vervolgens de waarde die is gegenereerd op uniekheid in het doelsysteem. Zie voor een voorbeeld Unieke waarde genereren voor het kenmerk userPrincipalName (UPN).
Notitie
Deze functie wordt momenteel alleen ondersteund voor gebruikersinrichting van Workday naar Active Directory en SAP en gebruikersinrichting van SuccessFactors naar Active Directory. De functie kan niet worden gebruikt met andere apps voor inrichting.
Toewijzing van OE-container van Active Directory configureren
Dit betreft een algemene vereiste om Active Directory-gebruikersaccounts in containers te plaatsen op basis van bedrijfseenheden, locaties en afdelingen. Wanneer u een Movers-proces initieert en er een wijziging in de toezichthoudende organisatie is, moet u de gebruiker mogelijk van de ene organisatie-eenheid naar de andere verplaatsen in Active Directory.
Gebruik de functie Switch() om de bedrijfslogica voor de OE-toewijzing te configureren en deze toe te wijzen aan het active Directory-kenmerk parentDistinguishedName.
Als u bijvoorbeeld gebruikers wilt maken in de OE op basis van het HR-kenmerk Gemeente, kunt u de volgende expressie gebruiken:
Switch([Municipality], "OU=Default,OU=Users,DC=contoso,DC=com", "Dallas", "OU=Dallas,OU=Users,DC=contoso,DC=com", "Austin", "OU=Austin,OU=Users,DC=contoso,DC=com", "Seattle", "OU=Seattle,OU=Users,DC=contoso,DC=com", "London", "OU=London,OU=Users,DC=contoso,DC=com")
Als de waarde van de gemeente Dallas, Austin, Seattle of Londen is, wordt met deze expressie het gebruikersaccount gemaakt in de bijbehorende organisatie-eenheid. Als er geen overeenkomst is, wordt het account gemaakt in de standaard organisatie-eenheid.
Plannen voor wachtwoordlevering van nieuwe gebruikersaccounts
Wanneer u het Joiners-proces initieert, moet u een tijdelijk wachtwoord voor nieuwe gebruikersaccounts instellen en leveren. Met inrichting van cloud-HR voor Microsoft Entra-gebruikers kunt u de selfservice voor wachtwoordherstel (SSPR) van Microsoft Entra ID implementeren voor de gebruiker op dag één.
Self-service voor wachtwoordherstel (SSPR) biedt IT-beheerders een eenvoudige manier om gebruikers zelf hun eigen wachtwoord of account opnieuw in te laten stellen of te ontgrendelen. U kunt het kenmerk Mobile Number van de cloud HR-app inrichten in Active Directory en deze synchroniseren met Microsoft Entra-id. Nadat het kenmerk Mobile Number zich in Microsoft Entra ID bevindt, kunt u SSPR inschakelen voor het account van de gebruiker. Vervolgens kan de nieuwe gebruiker op dag één het geregistreerde en geverifieerde mobiele nummer gebruiken voor verificatie. Raadpleeg de SSPR-documentatie voor meer informatie over het vooraf vullen van contactgegevens voor verificatie.
Plannen voor de eerste cyclus
Wanneer de Microsoft Entra-inrichtingsservice voor het eerst wordt uitgevoerd, wordt er een eerste cyclus uitgevoerd voor de cloud-HR-app om een momentopname te maken van alle gebruikersobjecten in de cloud-HR-app. De tijd die nodig is voor de eerste cycli is rechtstreeks afhankelijk van het aantal gebruikers dat aanwezig is in het bronsysteem. De eerste cyclus kan voor sommige tenants van de HR-app in de cloud met meer dan 100.000 gebruikers lang duren.
Voor grote tenants voor HR-apps in de cloud (>30.000 gebruikers) voert u de eerste cyclus uit in progressieve fasen. Start de incrementele updates pas nadat u hebt gevalideerd dat de juiste kenmerken zijn ingesteld in Active Directory voor verschillende scenario's voor het inrichten van gebruikers. Volg de hier aangegeven volgorde.
- Voer de eerste cyclus alleen uit voor een beperkte set gebruikers door het bereikfilter in te stellen.
- Controleer de inrichting van Active Directory-accounts en de kenmerkwaarden die zijn ingesteld voor de gebruikers die voor de eerste uitvoering zijn geselecteerd. Als het resultaat aan uw verwachtingen voldoet, vouwt u het bereikfilter uit om geleidelijk meer gebruikers op te nemen en de resultaten voor de tweede uitvoering te controleren.
Zodra u tevreden bent met de resultaten van de eerste cyclus voor testgebruikers, start u de incrementele updates.
Testen en beveiliging plannen
Een implementatie bestaat uit fasen, variërend van de eerste testfase tot het inschakelen van gebruikersinrichting. Zorg ervoor dat u in elke fase test op verwachte resultaten. Controleer ook de inrichtingscycli.
Testen plannen
Nadat u de cloud-HR-app hebt geconfigureerd voor het inrichten van Microsoft Entra-gebruikers, voert u testcases uit om te controleren of deze oplossing voldoet aan de vereisten van uw organisatie.
| Scenario's | Verwachte resultaten |
|---|---|
| Nieuwe werknemer wordt aangenomen in de HR-app in de cloud. | - Het gebruikersaccount is ingericht in Active Directory. - De gebruiker kan zich aanmelden bij Active Directory-domein-apps en de gewenste acties uitvoeren. - Als Microsoft Entra Verbinding maken Sync is geconfigureerd, wordt het gebruikersaccount ook gemaakt in Microsoft Entra-id. |
| De gebruiker wordt beëindigd in de HR-app in de cloud. | - Het gebruikersaccount is uitgeschakeld in Active Directory. - De gebruiker kan zich niet aanmelden bij bedrijfsapps die worden beveiligd door Active Directory. |
| De organisatie van gebruikerstoezicht wordt bijgewerkt in de HR-app in de cloud. | Op basis van de kenmerktoewijzing wordt het gebruikersaccount van de ene organisatie-eenheid naar de andere in Active Directory verplaatst. |
| HR werkt de manager van de gebruiker bij in de HR-app in de cloud. | Het veld Manager in Active Directory wordt bijgewerkt met de naam van de nieuwe manager. |
| HR neemt een werknemer opnieuw aan in een nieuwe rol. | Gedrag is afhankelijk van hoe de CLOUD HR-app is geconfigureerd voor het genereren van werknemer-id's. Als de oude werknemer-id wordt gebruikt voor een nieuwe werknemer, schakelt de connector het bestaande Active Directory-account voor de gebruiker in. Als de opnieuw ingehuurde werknemer een nieuwe werknemer-id krijgt, maakt de connector een nieuw Active Directory-account voor de gebruiker. |
| HR converteert de werknemer naar een contractmedewerker of omgekeerd. | Er wordt een nieuw Active Directory-account gemaakt voor de nieuwe persoonsgegevens en het oude account wordt uitgeschakeld op de ingangsdatum van de conversie. |
Gebruik de vorige resultaten om te bepalen hoe u de implementatie van uw automatische gebruikersinrichting naar productie overgaat op basis van uw vastgestelde tijdlijnen.
Tip
Gebruik technieken zoals gegevensreductie en opschonen van gegevens wanneer u de testomgeving vernieuwt met productiegegevens om gevoelige persoonsgegevens te verwijderen of te maskeren om te voldoen aan privacy- en beveiligingsnormen.
Beveiliging plannen
Het is gebruikelijk dat een beveiligingsbeoordeling wordt vereist als onderdeel van de implementatie van een nieuwe service. Als een beveiligingsbeoordeling vereist is of niet is uitgevoerd, raadpleegt u de vele technische documenten van Microsoft Entra ID die een overzicht geven van de identiteit als een service.
Terugdraaien plannen
De implementatie van het inrichten van HR-gebruikers in de cloud werkt mogelijk niet naar wens in de productieomgeving. Zo ja, dan kunnen de volgende stappen voor terugdraaien u helpen om terug te keren naar een eerdere bekende juiste status.
- Controleer de logboeken over inrichting om te bepalen welke onjuiste bewerkingen zijn uitgevoerd op de betrokken gebruikers of groepen. Zie Beheren van inrichten van gebruikers in de HR-app in de cloud voor meer informatie over het overzichtsrapport en de logboeken over inrichting.
- De laatst bekende goede status van de betrokken gebruikers of groepen kan worden bepaald via de auditlogboeken van de inrichting of door de doelsystemen (Microsoft Entra ID of Active Directory) te controleren.
- Werk samen met de eigenaar van de app om de betrokken gebruikers of groepen rechtstreeks in de app bij te werken met de laatst bekende juiste statuswaarden.
De HR-app in de cloud implementeren
Kies de HR-app in de cloud die overeenkomt met uw oplossingsvereisten.
Workday: Zie de zelfstudie: Workday configureren voor automatische inrichting van gebruikers om werkprofielen uit Workday te importeren in Active Directory en Microsoft Entra-id. U kunt desgewenst het e-mailadres, de gebruikersnaam en het telefoonnummer terugschrijven naar Workday.
SAP SuccessFactors: Als u werkrolprofielen uit SuccessFactors wilt importeren in Active Directory en Microsoft Entra ID, raadpleegt u de zelfstudie: SAP SuccessFactors configureren voor automatische inrichting van gebruikers. U kunt desgewenst het e-mailadres en de gebruikersnaam terugschrijven naar SuccessFactors.
Uw configuratie beheren
Microsoft Entra ID biedt meer inzicht in het gebruik en de operationele status van gebruikersinrichting van uw organisatie via auditlogboeken en -rapporten.
Inzichten verkrijgen uit rapporten en logboeken
Na een geslaagde eerste cyclus blijft de Microsoft Entra-inrichtingsservice incrementele updates voor onbepaalde tijd uitvoeren, met intervallen die zijn gedefinieerd in de zelfstudies die specifiek zijn voor elke app, totdat een van de volgende gebeurtenissen plaatsvindt:
- De service wordt handmatig stopgezet. Er wordt een nieuwe initiële cyclus geactiveerd met behulp van het Microsoft Entra-beheercentrum of de juiste Microsoft Graph API-opdracht .
- Een nieuwe initiële cyclus wordt geactiveerd vanwege een wijziging in kenmerktoewijzingen of bereikfilters.
- De inrichting wordt in quarantaine geplaatst vanwege een hoog foutpercentage. Deze blijft langer dan vier weken in quarantaine, en wordt dan automatisch uitgeschakeld.
Als u deze gebeurtenissen en alle andere activiteiten wilt bekijken die door de service voor inrichting worden uitgevoerd, leert u hoe u logboeken kunt bekijken en rapporten over de inrichtingsactiviteit kunt ophalen.
Azure Monitor-logboeken
Alle activiteiten die door de inrichtingsservice worden uitgevoerd, worden vastgelegd in de Auditlogboeken van Microsoft Entra. U kunt Auditlogboeken van Microsoft Entra omleiden naar Azure Monitor-logboeken voor verdere analyse. Met Azure Monitor-logboeken (ook wel Log Analytics-werkruimte genoemd) kunt u query's uitvoeren op gegevens om gebeurtenissen te vinden, trends te analyseren en correlatie uit te voeren in verschillende gegevensbronnen. Bekijk deze video voor meer informatie over de voordelen van het gebruik van Azure Monitor-logboeken voor Microsoft Entra-logboeken in praktische gebruikersscenario's.
Installeer de log analytics-weergaven voor activiteitenlogboeken van Microsoft Entra om toegang te krijgen tot vooraf samengestelde rapporten over inrichtingsgebeurtenissen in uw omgeving.
Zie voor meer informatie hoe u de Activiteitenlogboeken van Microsoft Entra kunt analyseren met uw Azure Monitor-logboeken.
Persoonlijke gegevens beheren
De Microsoft Entra Verbinding maken inrichtingsagent die op de Windows-server is geïnstalleerd, maakt logboeken in het Windows-gebeurtenislogboek dat mogelijk persoonlijke gegevens bevat, afhankelijk van uw HR-cloud-app voor toewijzingen van Active Directory-kenmerken. Als u wilt voldoen aan de privacyverplichtingen van gebruikers, stelt u een geplande Windows-taak in om het gebeurtenislogboek te wissen en om ervoor te zorgen dat er na 48 uur geen gegevens worden bewaard.
De Microsoft Entra-inrichtingsservice genereert geen rapporten, voert analyses uit of biedt geen inzichten meer dan 30 dagen omdat de service geen gegevens meer dan 30 dagen opslaat, verwerkt of bewaart.
Problemen oplossen
Raadpleeg de volgende artikelen om eventuele problemen op te lossen die tijdens het inrichten kunnen optreden:
- Probleem bij het configureren van gebruikersinrichting voor een Microsoft Entra Gallery-toepassing
- Een kenmerk van uw on-premises Active Directory synchroniseren met Microsoft Entra-id voor het inrichten van een toepassing
- Probleem bij het opslaan van beheerdersreferenties tijdens het configureren van gebruikersinrichting voor een Microsoft Entra Gallery-toepassing
- Er worden geen gebruikers ingericht voor een Microsoft Entra Gallery-toepassing
- Verkeerde set gebruikers wordt ingericht voor een Microsoft Entra Gallery-toepassing
- Windows Logboeken instellen voor het oplossen van problemen met agenten
- Auditlogboeken instellen voor het oplossen van problemen met services
- Informatie over logboeken over het maken van AD-gebruikersaccounts
- Informatie over logboeken over het bijwerken van managers
- Veelvoorkomende fouten oplossen