Gesynchroniseerde on-premises gebruikers beheren met levenscycluswerkstromen
Levenscycluswerkstromen ondersteunen het beheren van de identiteitslevenscyclus voor gebruikersaccounts die vanuit on-premises Active Directory-domein Services (AD-DS) met Microsoft Entra worden gesynchroniseerd. Voor levenscycluswerkstromen is het essentieel dat een gebruikersaccount bestaat in Microsoft Entra, maar hoe het account is gemaakt of hoe relevante wijzigingen in de levenscyclus van het account worden aangebracht, speelt een kleine rol als het gaat om het verwerken van werkstromen en bijbehorende taken voor het gebruikersaccount. De ondersteuning omvat accounts en wijzigingen die zijn aangebracht via paden zoals HR-gestuurde inrichting, Microsoft Graph-API's, de Microsoft Entra Beheer Portal, evenals wijzigingen die zijn gesynchroniseerd door Microsoft Entra Verbinding maken en MicrosoftCloud Sync.
In dit artikel leert u wat er moet worden overwogen als u levenscycluswerkstromen wilt gebruiken voor gebruikersaccounts die worden gesynchroniseerd vanuit on-premises Active Directory-domein Services (AD-DS) naar Microsoft Entra, aangeduid als 'gesynchroniseerde on-premises gebruikers'.
Uitvoeringsvoorwaarden voor werkstromen met gesynchroniseerde on-premises gebruikers
Levenscycluswerkstromen worden verwerkt voor gebruikersaccounts wanneer ze voldoen aan de uitvoeringsvoorwaarden voor werkstromen. Uitvoeringsvoorwaarden bestaan uit een trigger en een bereik. De trigger beschrijft de gebeurtenis die plaatsvindt voor een gebruikersaccount. Met het bereik kunt u verder definiëren voor wie de werkstroom begint wanneer de gebeurtenis plaatsvindt.
Werkstroomtriggers
In de volgende tabel ziet u wat er moet worden overwogen voor elke werkstroomtrigger wanneer deze wordt gebruikt met gesynchroniseerde on-premises gebruikers:
| Werkstroomtrigger | Vereisten |
|---|---|
| Kenmerkwijzigingen (preview) | Er is geen verdere configuratie nodig zolang kenmerken worden gesynchroniseerd. Zie voor meer informatie over gesynchroniseerde kenmerken: Kenmerktoewijzing in Microsoft Entra Cloud Sync en Microsoft Entra Verbinding maken Sync: Directory-extensies. Wanneer een wijziging wordt aangebracht in on-premises Active Directory, moet de synchronisatie via Microsoft Entra Cloud Sync of Microsoft Entra Verbinding maken Sync plaatsvinden voordat wijzigingen kunnen worden opgehaald uit levenscycluswerkstromen. |
| Groepslidmaatschap (preview) | Omdat elk type groep wordt ondersteund, is er geen verdere configuratie vereist. Als de groep afkomstig is van on-premises Active Directory, moet deze worden gesynchroniseerd met Microsoft Entra. De synchronisatie van Microsoft Entra Cloud Sync of Microsoft Entra Verbinding maken Sync moet plaatsvinden voordat wijzigingen kunnen worden opgehaald uit levenscycluswerkstromen. |
| Op aanvraag | Er is geen verdere configuratie nodig. |
| Op basis van tijd | employeeHireDate, employeeLeaveDateTime: deze kenmerken moeten worden gesynchroniseerd voordat ze worden gebruikt. Zie voor meer informatie over dit proces: Kenmerken synchroniseren voor levenscycluswerkstromen. createdDateTime: Er zijn geen verdere vereisten nodig. Deze datum is de dag waarop het gebruikersaccount wordt gesynchroniseerd met Microsoft Entra-id, niet wanneer ze zijn gemaakt in Active Directory. |
Bereik van werkstroom
Voor gebruikerskenmerken die worden gebruikt in de bereikmogelijkheden van de werkstroom, is er geen verdere configuratie nodig als de geselecteerde kenmerken al zijn gesynchroniseerd. Zie voor meer informatie over gesynchroniseerde kenmerken: Kenmerktoewijzing in Microsoft Entra Cloud Sync en Microsoft Entra Verbinding maken Sync: Directory-extensies. Wanneer een wijziging wordt aangebracht in on-premises Active Directory, moet de synchronisatie via Microsoft Entra Cloud Sync of Microsoft Entra Verbinding maken Sync plaatsvinden voordat wijzigingen kunnen worden opgehaald uit levenscycluswerkstromen.
Werkstroomtaken en gesynchroniseerde on-premises mogelijkheden
Alle werkstroomtaken voor levenscyclus werken voor zowel cloud- als gesynchroniseerde on-premises gebruikers, met uitzondering van beperkingen die verder in dit artikel worden vermeld voor specifieke taken. Zie voor meer informatie over alle levenscycluswerkstroomtaken: Ingebouwde taken voor de levenscycluswerkstroom.
Taken voor het beheren van groepslidmaatschappen
De taken voor levenscycluswerkstromen voor het beheren van groepslidmaatschappen kunnen niet worden gebruikt voor groepen die vanuit on-premises Active Directory met Microsoft Entra worden gesynchroniseerd. Microsoft Entra ID-governance kan echter worden gebruikt om toegang tot on-premises Active Directory-toepassingen (Kerberos) te beheren met groepen vanuit de cloud, die worden ondersteund binnen levenscycluswerkstromen.
Taken voor gebruikersaccounts (preview)
Aanvullende configuratie is vereist voor de taken van de levenscycluswerkstroom om gebruikersaccounts in te schakelen, uit te schakelen en te verwijderen voor gebruik met gesynchroniseerde on-premises gebruikers. De volgende vereisten moeten worden voltooid voordat u de taken kunt configureren voor het uitvoeren van acties in on-premises Active Directory.
- U moet de Microsoft Entra-inrichtingsagent hebben geïnstalleerd in uw omgeving. Voor vereisten voor het installeren van de Microsoft Entra-inrichtingsagent raadpleegt u: Vereisten voor cloudinrichtingsagent. Zie voor een stapsgewijze handleiding voor het installeren van de Microsoft Entra-inrichtingsagent: De Microsoft Entra-inrichtingsagent installeren. Kies tijdens de installatie 'INRICHTING op basis van HR/Microsoft Entra Verbinding maken Sync' als 'extensieconfiguratie'. U hoeft geen andere configuratie toe te voegen voor de inrichtingsagent, zoals de configuratie van de cloudsynchronisatie, en u kunt de inrichtingsagent installeren, zelfs niet als u momenteel ook Microsoft Entra Verbinding maken Sync gebruikt voor uw gebruikerssynchronisatie.
Notitie
De inrichtingsagent moet ten minste versie 1.1.1586.0 zijn, die op 13 mei 2024 is uitgebracht.
Zorg ervoor dat het beheerde serviceaccount (gMSA) dat door de inrichtingsagent wordt gebruikt, over de juiste machtigingen beschikt om bewerkingen uit te voeren op gebruikersaccounts .
Als u gebruikersaccounts wilt verwijderen, moet u de Prullenbak van Active Directory inschakelen. Zie voor een stapsgewijze handleiding voor het inschakelen van de Prullenbak van Active Directory stapsgewijs: Prullenbak van Active Directory.
Zie voor een stapsgewijze handleiding over het instellen van de vlag, zodat gebruikersaccounttaken worden uitgevoerd voor gesynchroniseerde on-premises gebruikers: Gesynchroniseerde on-premises gebruikers beheren met werkstromen (preview).<
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor