Gebruikers beheren die vanuit Active Directory-domein Services zijn gesynchroniseerd met Microsoft Entra ID met levenscycluswerkstromen
Levenscycluswerkstromen ondersteunen het beheren van de identiteitslevenscyclus voor gebruikersaccounts die vanuit Active Directory-domein Services (AD DS) met Microsoft Entra-id worden gesynchroniseerd. Voor levenscycluswerkstromen is het essentieel dat een gebruikersaccount bestaat in Microsoft Entra-id, maar hoe het account is gemaakt, of hoe relevante wijzigingen in de levenscyclus in het account worden aangebracht, een secundaire rol speelt als het gaat om het verwerken van werkstromen en bijbehorende taken voor het gebruikersaccount. Deze ondersteuning omvat accounts en wijzigingen die zijn aangebracht via opties zoals HR-gestuurde inrichting, Microsoft Graph-API's, de Microsoft Entra-beheerportal en wijzigingen die worden gesynchroniseerd door Microsoft Entra Connect en Microsoft Cloud Sync.
De volgende tabel bevat algemene automatiseringsscenario's voor gesynchroniseerde gebruikers van AD DS met behulp van Microsoft Entra ID-governance:
| Te automatiseren scenario | Microsoft Entra ID-governance oplossing |
|---|---|
| Het gebruikersaccount maken in Active Directory-domein Services | Inrichting op basis van HR |
| De initiële referenties of het wachtwoord opgeven voor gebruikersaccounts | De tijdelijke toegangspas genereren en via e-mail verzenden naar de managertaak van de gebruiker kan worden gebruikt om referenties zonder wachtwoord in te stellen. Voor het instellen van een normaal Active Directory-wachtwoord kunt u selfservice voor wachtwoordherstel van Microsoft Entra gebruiken. |
| Licenties toewijzen | De werkstroomtaak Licenties toewijzen aan de levenscyclus van gebruikers kan worden gebruikt om licenties toe te wijzen. U kunt ook licenties toewijzen aan gebruikers via een groep. |
| Gebruikers toegang geven tot toepassingen op basis van active Directory-groepen | Toegang tot on-premises Active Directory-toepassingen (Kerberos) beheren |
| Gebruikerskenmerken bijwerken in Active Directory wanneer ze organisaties verplaatsen | Bereikfilters en kenmerktoewijzing plannen |
| Gebruikers verplaatsen naar verschillende organisatie-eenheden wanneer ze organisaties verplaatsen | OE-containertoewijzing voor Active Directory configureren |
| Gebruikers uitschakelen op de laatste dag | De werkstroomtaak Levenscyclus van gebruikersaccount uitschakelen kan worden gebruikt om een gebruikersaccount op de laatste dag uit te schakelen. |
| Gebruikers verwijderen op een bepaald aantal dagen na beëindiging | De werkstroomtaak levenscyclus van gebruikers verwijderen kan worden gebruikt in een werkstroomsjabloon om gebruikers een bepaald aantal dagen na hun beëindiging te verwijderen. |
In dit artikel leert u wat er moet worden overwogen als u levenscycluswerkstromen wilt gebruiken voor gebruikersaccounts die vanuit AD DS met Microsoft Entra-id worden gesynchroniseerd.
Uitvoeringsvoorwaarden voor werkstromen met gebruikers die vanuit Active Directory-domein Services (AD DS) zijn gesynchroniseerd met Microsoft Entra-id
Levenscycluswerkstromen worden verwerkt voor gebruikersaccounts wanneer ze voldoen aan de uitvoeringsvoorwaarden van de werkstroom. Uitvoeringsvoorwaarden bestaan uit een trigger en een bereik. De trigger beschrijft de gebeurtenis die plaatsvindt voor een gebruikersaccount. Met het bereik kunt u verder definiëren voor wie de werkstroom wordt uitgevoerd wanneer de gebeurtenis plaatsvindt.
Werkstroomtriggers
In de volgende tabel ziet u wat er moet worden overwogen voor elke werkstroomtrigger wanneer deze wordt gebruikt met gebruikers die zijn gesynchroniseerd vanuit AD DS:
| Werkstroomtrigger | Vereisten |
|---|---|
| Kenmerkwijzigingen | Er is geen verdere configuratie nodig zolang kenmerken worden gesynchroniseerd. Zie voor meer informatie over gesynchroniseerde kenmerken: Kenmerktoewijzing in Microsoft Entra Cloud Sync en Microsoft Entra Connect Sync: Directory-extensies. Wanneer een wijziging wordt aangebracht in Active Directory, moet de synchronisatie via Microsoft Entra Cloud Sync of Microsoft Entra Connect Sync plaatsvinden voordat wijzigingen kunnen worden opgehaald uit levenscycluswerkstromen. |
| Groepslidmaatschap gebaseerd | Omdat elk type groep wordt ondersteund, is er geen verdere configuratie vereist. Als de groep afkomstig is van Active Directory, moet deze worden gesynchroniseerd met Microsoft Entra. De Synchronisatie van Microsoft Entra Cloud Sync of Microsoft Entra Connect moet plaatsvinden voordat wijzigingen kunnen worden opgehaald uit levenscycluswerkstromen. |
| Op aanvraag | Er is geen verdere configuratie nodig. |
| Op basis van tijd | employeeHireDate, employeeLeaveDateTime: deze kenmerken moeten worden gesynchroniseerd voordat ze worden gebruikt. Zie voor meer informatie over dit proces: Kenmerken synchroniseren voor levenscycluswerkstromen. createdDateTime: Geen verdere configuratie nodig. Deze datum is de dag waarop het gebruikersaccount wordt gesynchroniseerd met Microsoft Entra-id, niet wanneer ze zijn gemaakt in Active Directory. |
Bereik van werkstroom
Voor gebruikerskenmerken die worden gebruikt in de bereikmogelijkheden van de werkstroom, is er geen verdere configuratie nodig als de geselecteerde kenmerken al zijn gesynchroniseerd. Zie voor meer informatie over gesynchroniseerde kenmerken: Kenmerktoewijzing in Microsoft Entra Cloud Sync en Microsoft Entra Connect Sync: Directory-extensies. Wanneer een wijziging wordt aangebracht in Active Directory, moet de synchronisatie via Microsoft Entra Cloud Sync of Microsoft Entra Connect Sync plaatsvinden voordat wijzigingen kunnen worden opgehaald uit levenscycluswerkstromen.
Werkstroomtaken voor gebruikers die vanuit Active Directory-domein Services zijn gesynchroniseerd met Microsoft Entra-id
Alle werkstroomtaken voor de levenscyclus werken voor zowel de cloud als gesynchroniseerd vanuit Active Directory, gebruikers die niet in het vak staan, met uitzondering van beperkingen die verder in dit artikel worden vermeld voor specifieke taken. Zie voor meer informatie over alle levenscycluswerkstroomtaken: Ingebouwde taken voor de levenscycluswerkstroom.
Taken voor het beheren van groepslidmaatschappen
Scenario: Wanneer u gebruikers van AD DS synchroniseert met Microsoft Entra ID, kunt u gebruikers toevoegen aan of verwijderen uit cloudbeveiligingsgroepen via groepstaken van de levenscycluswerkstroom. Hiermee kunt u groepslidmaatschap van de gesynchroniseerde gebruikers in de cloud beheren en deze groep ook weer toevoegen aan Active Directory met microsoft Entra Cloud Sync-groeps terugschrijven.
Voor groepen die vanuit AD DS met Microsoft Entra ID worden gesynchroniseerd, kunt u geen taken voor de levenscycluswerkstroomgroep gebruiken, zoals vermeld in het scenario. Microsoft Entra ID-governance kan echter worden gebruikt om toegang tot on-premises Active Directory-toepassingen (Kerberos) te beheren met groepen vanuit de cloud, die worden ondersteund binnen levenscycluswerkstromen.
Taken voor gebruikersaccounts
Aanvullende configuratie is vereist voor de taken van de levenscycluswerkstroom om gebruikersaccounts in te schakelen, uit te schakelen en te verwijderen zodat ze kunnen werken met gesynchroniseerd vanuit AD DS. De volgende vereisten moeten worden voltooid voordat u de taken kunt configureren voor het uitvoeren van acties in Active Directory.
- U moet de Microsoft Entra-inrichtingsagent hebben geïnstalleerd in uw omgeving. Voor vereisten voor het installeren van de Microsoft Entra-inrichtingsagent raadpleegt u: Vereisten voor cloudinrichtingsagent. Zie voor een stapsgewijze handleiding voor het installeren van de Microsoft Entra-inrichtingsagent: De Microsoft Entra-inrichtingsagent installeren. Kies tijdens de installatie 'INRICHTING op basis van HR/Microsoft Entra Connect Sync' als 'extensieconfiguratie'. U hoeft geen andere configuratie toe te voegen voor de inrichtingsagent, zoals de configuratie van de cloudsynchronisatie, en u kunt de inrichtingsagent installeren, zelfs niet als u momenteel ook Microsoft Entra Connect Sync gebruikt voor uw gebruikerssynchronisatie.
Notitie
De inrichtingsagent moet ten minste versie 1.1.1586.0 zijn, die op 13 mei 2024 is uitgebracht.
Zorg ervoor dat het beheerde serviceaccount (gMSA) dat door de inrichtingsagent wordt gebruikt, over de juiste machtigingen beschikt om bewerkingen uit te voeren op gebruikersaccounts .
Als u gebruikersaccounts wilt verwijderen, moet u de Prullenbak van Active Directory inschakelen. Zie voor een stapsgewijze handleiding voor het inschakelen van de Prullenbak van Active Directory stapsgewijs: Prullenbak van Active Directory.
Zie voor een stapsgewijze handleiding voor het instellen van de vlag, zodat gebruikersaccounttaken worden uitgevoerd voor gebruikers die zijn gesynchroniseerd vanuit Active Directory-domein Services: Gesynchroniseerd vanaf Active Directory-domein Services (AD DS) beheren met werkstromen.