Delen via

Zelfstudies voor het voorbereiden van gebruikersaccounts voor levenscycluswerkstromen

  • Artikel

Voor de onboarding- en off-boarding-zelfstudies hebt u accounts nodig waarvoor de werkstromen worden uitgevoerd. Deze sectie helpt u bij het voorbereiden van deze accounts, als u al testaccounts hebt die voldoen aan de volgende vereisten, kunt u rechtstreeks doorgaan naar de zelfstudies voor onboarding en off-boarding. Er zijn twee accounts vereist voor de zelfstudies voor onboarding, één account voor de nieuwe huur en een ander account dat als manager van de nieuwe verhuur fungeert. Voor het nieuwe huuraccount moeten de volgende kenmerken zijn ingesteld:

  • employeeHireDate moet zijn ingesteld op vandaag
  • afdeling moet worden ingesteld op verkoop
  • het kenmerk manager moet worden ingesteld en het manageraccount moet een postvak hebben om een e-mail te ontvangen

Voor de zelfstudies is slechts één account met groepslidmaatschappen en Teams-lidmaatschappen vereist, maar het account wordt tijdens de zelfstudie verwijderd.

Vereisten

Voor het gebruik van deze functie zijn Microsoft Entra ID-governance licenties vereist. Zie Microsoft Entra ID-governance basisprincipes van licenties om de juiste licentie voor uw vereisten te vinden.

  • Een Microsoft Entra-tenant
  • Een beheerdersaccount met de juiste machtigingen voor de Microsoft Entra-tenant. Dit account wordt gebruikt om onze gebruikers en werkstromen te maken.

Voordat u begint

In de meeste gevallen worden gebruikers ingericht voor Microsoft Entra-id vanuit een on-premises oplossing (zoals Microsoft Entra Verbinding maken of Cloudsynchronisatie) of met een HR-oplossing. Deze gebruikers hebben de kenmerken en waarden ingevuld op het moment van maken. Het instellen van de infrastructuur voor het inrichten van gebruikers valt buiten het bereik van deze zelfstudie. Zie Zelfstudie: Basic Active Directory-omgeving en zelfstudie: Één forest integreren met één Microsoft Entra-tenant voor meer informatie.

Gebruikers maken in Microsoft Entra-id

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

We gebruiken Graph Explorer om snel twee gebruikers te maken die nodig zijn om de levenscycluswerkstromen uit te voeren in de zelfstudies. Eén gebruiker vertegenwoordigt onze nieuwe werknemer en de tweede vertegenwoordigt de manager van de nieuwe werknemer.

U moet de POST bewerken en de <naam van uw tenant hier> vervangen door de naam van uw tenant. Bijvoorbeeld: $UPN_manager = "bsimon@<yy tenant name here>" to $UPN_manager = "bsimon@contoso.onmicrosoft.com".

Notitie

Houd er rekening mee dat een werkstroom niet wordt geactiveerd wanneer de aanstellingsdatum van de werknemer (dagen vanaf gebeurtenis) vóór de aanmaakdatum van de werkstroom valt. U moet in de toekomst een werknemer Ingehuurd instellen. De datums die in deze zelfstudie worden gebruikt, zijn een momentopname in de tijd. Daarom moet u de datums dienovereenkomstig wijzigen om aan deze situatie tegemoet te komen.

Eerst maken we onze werknemer, Melva Prince.

  1. Navigeer nu naar Graph Explorer.
  2. Meld u aan bij Graph Explorer met het gebruikersbeheerdersaccount voor uw tenant.
  3. Bovenaan wijzigt u GET in POST en voegt u deze toe https://graph.microsoft.com/v1.0/users/ aan het vak.
  4. Kopieer de volgende code naar de hoofdtekst van de aanvraag
  5. Vervang <your tenant here> in de volgende code door de waarde van uw Microsoft Entra-tenant.
  6. Query uitvoeren selecteren
  7. Kopieer de id die wordt geretourneerd in de resultaten. Dit wordt later gebruikt om een manager toe te wijzen.
{
  "accountEnabled": true,
  "displayName": "Melva Prince",
  "mailNickname": "mprince",
  "department": "sales",
  "mail": "mprince@<your tenant name here>",
  "employeeHireDate": "2022-04-15T22:10:00Z",
  "userPrincipalName": "mprince@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "xWwvJ]6NMw+bWH-d"
  }
}

Schermopname van POST create Melva in Graph Explorer.

Vervolgens maken we Britta Simon. Dit account wordt gebruikt als onze manager.

  1. Nog steeds in Graph Explorer.
  2. Zorg ervoor dat de bovenkant nog steeds is ingesteld op POST en https://graph.microsoft.com/v1.0/users/ in het vak staat.
  3. Kopieer de volgende code naar de hoofdtekst van de aanvraag
  4. Vervang <your tenant here> in de volgende code door de waarde van uw Microsoft Entra-tenant.
  5. Query uitvoeren selecteren
  6. Kopieer de id die wordt geretourneerd in de resultaten. Deze id wordt later gebruikt om een manager toe te wijzen. 
    {
  "accountEnabled": true,
  "displayName": "Britta Simon",
  "mailNickname": "bsimon",
  "department": "sales",
  "mail": "bsimon@<your tenant name here>",
  "employeeHireDate": "2021-01-15T22:10:00Z",
  "userPrincipalName": "bsimon@<your tenant name here>",
  "passwordProfile" : {
    "forceChangePasswordNextSignIn": true,
    "password": "xWwvJ]6NMw+bWH-d"
  }
}

Notitie

U moet de naam van uw <tenant hier> wijzigen in de sectie van de code zodat deze overeenkomt met uw Microsoft Entra-tenant.

Als alternatief kan het volgende PowerShell-script ook worden gebruikt om snel twee gebruikers te maken die nodig zijn om een levenscycluswerkstroom uit te voeren. Eén gebruiker vertegenwoordigt onze nieuwe werknemer en de tweede vertegenwoordigt de manager van de nieuwe werknemer.

Belangrijk

Het volgende PowerShell-script is beschikbaar om snel de twee gebruikers te maken die nodig zijn voor deze zelfstudie. Deze gebruikers kunnen ook worden gemaakt in het Microsoft Entra Beheer center.

Als u deze stap wilt maken, slaat u het volgende PowerShell-script op een locatie op een computer die toegang heeft tot Azure.

Vervolgens moet u het script bewerken en de <naam van uw tenant hier> vervangen door de naam van uw tenant. Bijvoorbeeld: $UPN_manager = "bsimon@<yy tenant name here>" to $UPN_manager = "bsimon@contoso.onmicrosoft.com".

U moet deze actie uitvoeren voor zowel $UPN_employee als $UPN_manager

Nadat u het script hebt bewerkt, slaat u het op en volgt u deze stappen:

  1. Open een Windows PowerShell-opdrachtprompt met Beheer bevoegdheden vanaf een computer die toegang heeft tot het Microsoft Entra-beheercentrum.
  2. Navigeer naar de opgeslagen PowerShell-scriptlocatie en voer deze uit.
  3. Als u hierom wordt gevraagd, selecteert u Ja voor alles bij het installeren van de PowerShell-module.
  4. Meld u bij het Microsoft Entra-beheercentrum aan met een globale beheerder voor uw tenant wanneer u hierom wordt gevraagd.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables

$Displayname_employee = "Melva Prince"
$UPN_employee = "mprince<your tenant name here>"
$Name_employee = "mprince"
$Password_employee = "Pass1w0rd"
$EmployeeHireDate_employee = "04/10/2022"
$Department_employee = "Sales"
$Displayname_manager = "Britta Simon"
$Name_manager = "bsimon"
$Password_manager = "Pass1w0rd"
$Department = "Sales"
$UPN_manager = "bsimon@<your tenant name here>"

Install-Module -Name AzureAD
Connect-MgGraph -Confirm

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "<Password>"
New-MgUser -DisplayName $Displayname_manager  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_manager -AccountEnabled $true -MailNickName $Name_manager -Department $Department
New-MgUser -DisplayName $Displayname_employee  -PasswordProfile $PasswordProfile -UserPrincipalName $UPN_employee -AccountEnabled $true -MailNickName $Name_employee -Department $Department

Zodra uw gebruiker of gebruikers zijn gemaakt in Microsoft Entra ID, kunt u doorgaan met het volgen van de zelfstudies voor de levenscycluswerkstroom voor het maken van uw werkstroom.

Andere stappen voor prehire-scenario

Er zijn enkele andere stappen waar u rekening mee moet houden bij het testen van de instapgebruikers naar uw organisatie met behulp van levenscycluswerkstromen met de zelfstudie Microsoft Entra Beheer Center of de onboarding van gebruikers in uw organisatie met behulp van levenscycluswerkstromen met Microsoft Graph.

De gebruikerskenmerken bewerken met het Microsoft Entra-beheercentrum

Sommige van de kenmerken die vereist zijn voor de prehire-zelfstudie voor onboarding, worden weergegeven via het Microsoft Entra-beheercentrum en kunnen daar worden ingesteld.

Deze kenmerken zijn:

Kenmerk Beschrijving Instellen op
e-mail Wordt gebruikt om manager op de hoogte te stellen van de tijdelijke toegangspas voor nieuwe werknemers Manager
manager Dit kenmerk dat wordt gebruikt door de levenscycluswerkstroom Werknemer

Voor de zelfstudie hoeft het e-mailkenmerk alleen te worden ingesteld voor het manageraccount en het managerkenmerk dat is ingesteld op het werknemersaccount. Voer de volgende stappen uit:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruiker Beheer istrator.
  2. Blader naar >identiteitsgebruikers>>alle gebruikers.
  3. Selecteer Melva Prince.
  4. Selecteer Bovenaan bewerken.
  5. Selecteer Onder manager Change en Select Britta Simon.
  6. Selecteer bovenaan de optie Opslaan.
  7. Ga terug naar gebruikers en selecteer Britta Simon.
  8. Selecteer Bovenaan bewerken.
  9. Voer onder E-mail een geldig e-mailadres in.
  10. Selecteer Opslaan.

EmployeeHireDate bewerken

Het kenmerk employeeHireDate is nieuw voor Microsoft Entra-id. Deze wordt niet weergegeven via de gebruikersinterface en moet worden bijgewerkt met Behulp van Graph. Als u dit kenmerk wilt bewerken, kunnen we Graph Explorer gebruiken.

Notitie

Houd er rekening mee dat een werkstroom niet wordt geactiveerd wanneer de aanstellingsdatum van de werknemer (dagen vanaf gebeurtenis) vóór de aanmaakdatum van de werkstroom valt. U moet een employeeHireDate in de toekomst ontwerpen. De datums die in deze zelfstudie worden gebruikt, zijn een momentopname in de tijd. Daarom moet u de datums dienovereenkomstig wijzigen om aan deze situatie tegemoet te komen.

Hiervoor moeten we de object-id voor onze gebruiker Melva Prince ophalen.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruiker Beheer istrator.

  2. Blader naar >identiteitsgebruikers>>alle gebruikers.

  3. Selecteer Melva Prince.

  4. Selecteer het kopieerteken naast de object-id.

  5. Navigeer nu naar Graph Explorer.

  6. Meld u aan bij Graph Explorer met het globale beheerdersaccount voor uw tenant.

  7. Bovenaan wijzigt u GET in PATCH en voegt u deze toe https://graph.microsoft.com/v1.0/users/<id> aan het vak. Vervang <id> door de waarde die we eerder hebben gekopieerd.

  8. Kopieer het volgende naar de hoofdtekst van de aanvraag en selecteer Query uitvoeren

    {
"employeeHireDate": "2022-04-15T22:10:00Z"
}

    Schermopname van patch employeeHireDate.

  9. Controleer de wijziging door PATCH weer te wijzigen in GET en v1.0 in bèta. Selecteer Query uitvoeren. U ziet de kenmerken voor Melva set.
    Schermopname van get employeeHireDate.

Het managerkenmerk bewerken in het werknemersaccount

Het kenmerk Manager wordt gebruikt voor e-mailmeldingstaken. De manager wordt een tijdelijk wachtwoord voor de nieuwe werknemer per e-mail verzonden. Gebruik de volgende stappen om ervoor te zorgen dat uw Microsoft Entra-gebruikers een waarde hebben voor het kenmerk Manager.

  1. Nog steeds in Graph Explorer.

  2. Zorg ervoor dat de bovenkant nog steeds is ingesteld op PUT en https://graph.microsoft.com/v1.0/users/<id>/manager/$ref in het vak staat. Ga naar <id> de id van Melva Prince.

  3. Kopieer de volgende code naar de aanvraagbody

  4. Vervang <managerid> in de volgende code door de waarde van Britta Simons ID.

  5. Query uitvoeren selecteren

    {
  "@odata.id": "https://graph.microsoft.com/v1.0/users/<managerid>"
}

    Schermopname van het toevoegen van een manager in Graph Explorer.

  6. Nu kunnen we controleren of de manager juist is ingesteld door de PUT te wijzigen in GET.

  7. Zorg ervoor dat https://graph.microsoft.com/v1.0/users/<id>/manager/ deze in het vak staat. Het <id> is nog steeds dat van Melva Prince.

  8. Selecteer Query uitvoeren. Als het goed is, ziet u dat Britta Simon is geretourneerd in het antwoord.

    Schermopname van het ophalen van een manager in Graph Explorer.

Zie de documentatie voor beheerders toewijzen voor meer informatie over het bijwerken van managergegevens voor een gebruiker in Graph API. U kunt dit kenmerk ook instellen in het Azure Beheer center. Zie profielgegevens toevoegen of wijzigen voor meer informatie.

De tijdelijke toegangspas inschakelen (TAP)

Een tijdelijke toegangspas is een tijdslimiet die is uitgegeven door een beheerder die voldoet aan sterke verificatievereisten.

In dit scenario gebruiken we deze functie van Microsoft Entra ID om een tijdelijke toegangspas te genereren voor onze nieuwe werknemer. Het wordt per e-mail naar de manager van de werknemer verstuurd.

Als u deze functie wilt gebruiken, moet deze zijn ingeschakeld op onze Microsoft Entra-tenant. Gebruik de volgende stappen om deze functie in te schakelen.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleid Beheer istrator.
  2. Bladeren naar beveiligingsverificatiemethoden>>voor tijdelijke toegangspas
  3. Selecteer Ja om het beleid in te schakelen en Britta Simon toe te voegen en te selecteren welke gebruikers het beleid hebben toegepast en eventuele algemene instellingen.

Overweging voor verlofscenario

Er is een extra stap waar u rekening mee moet houden bij het testen van de zelfstudies voor de off-boarding-gebruikers van uw organisatie met behulp van levenscycluswerkstromen met de zelfstudie voor het Microsoft Entra-beheercentrum of met Microsoft Graph.

Gebruiker instellen met groepen en Teams met teamlidmaatschap

Een gebruiker met groepen en Teams-lidmaatschappen is vereist voordat u begint met de zelfstudies voor het verlofscenario.

Volgende stappen