Como sincronizar os atributos dos fluxos de trabalho do ciclo de vida
Fluxos de trabalho contêm tarefas específicas, as quais podem ser executadas automaticamente para os usuários com base nas condições de execução especificadas. Há suporte para o agendamento automático de fluxos de trabalho com base nos atributos de usuário employeeHireDate e employeeLeaveDateTime no Microsoft Entra ID.
Para aproveitar ao máximo os fluxos de trabalho do ciclo de vida, o provisionamento de usuários deve ser automatizado e os atributos de agendamento relevantes devem ser sincronizados.
Agendar atributos relevantes
A tabela a seguir mostra os atributos relevantes de agendamento (gatilho) e os métodos de sincronização com suporte.
| Atributo | Tipo | Com suporte no provisionamento de entrada de RH | Suporte à sincronização na nuvem do Microsoft Entra Connect | Suporte à sincronização do Microsoft Entra Connect |
|---|---|---|---|---|
| employeeHireDate | DateTimeOffset | Sim | Sim | Sim |
| employeeLeaveDateTime | DateTimeOffset | Sim | Sim | Sim |
Observação
Definir manualmente o employeeLeaveDateTime para usuários somente na nuvem requer permissões especiais. Para obter mais informações, confira: Configurar a propriedade employeeLeaveDateTime para um usuário
Este documento explica como configurar a sincronização da sincronização na nuvem do Microsoft Entra Connect local ou do Microsoft Entra Connect para os atributos necessários.
Observação
Não há nenhum atributo EmployeeHireDate ou EmployeeLeaveDateTime correspondente no Active Directory. Se você estiver sincronizando a partir do AD local, será necessário identificar um atributo no AD que possa ser usado. Esse atributo deve ser uma cadeia de caracteres.
Noções básicas sobre a formatação de EmployeeHireDate e EmployeeLeaveDateTime
EmployeeHireDate e EmployeeLeaveDateTime contêm datas e horas que devem ser formatadas de maneira específica. Isso significa que talvez você precise usar uma expressão para converter o valor do atributo da sua origem em um formato que será aceito pelos recursos EmployeeHireDate ou EmployeeLeaveDateTime. A tabela a seguir descreve o formato esperado e fornece uma expressão de exemplo sobre como converter os valores.
| Cenário | Expressão/Formato | Destino | Mais informações |
|---|---|---|---|
| Provisionamento de Usuário do Workday para o Active Directory | FormatDateTime([StatusHireDate], ,"yyyy-MM-ddzzz", "yyyyMMddHHmmss.fZ") | Atributo de cadeia de caracteres do AD local | Mapeamentos de atributos para o Workday |
| SuccessFactors para o Provisionamento de Usuário do Active Directory | FormatDateTime([endDate], ,"M/d/yyyy hh:mm:ss tt","yyyyMMddHHmmss.fZ") | Atributo de cadeia de caracteres do AD local | Mapeamentos de atributos para SAP SuccessFactors |
| Importação personalizada para o Active Directory | Deve estar no formato "yyyyMMddHHmmss.fZ" | Atributo de cadeia de caracteres do AD local | Mapeamentos de atributo para qualquer outro sistema de registro |
| API de Usuário do Microsoft Graph | Deve estar no formato "YYYY-MM-DDThh:mm:ssZ" | EmployeeHireDate e EmployeeLeaveDateTime | |
| Provisionamento de usuário do Workday para o Microsoft Entra | Pode usar um mapeamento direto. Nenhuma expressão é necessária, mas você pode usá-las para ajustar a parte da hora em EmployeeHireDate e EmployeeLeaveDateTime | EmployeeHireDate e EmployeeLeaveDateTime | |
| Provisionamento de usuário do SuccessFactors para o Microsoft Entra | Pode usar um mapeamento direto. Nenhuma expressão é necessária, mas você pode usá-las para ajustar a parte da hora em EmployeeHireDate e EmployeeLeaveDateTime | EmployeeHireDate e EmployeeLeaveDateTime |
Para obter mais informações sobre expressões, confira Referência para escrever expressões para mapeamentos de atributos no Microsoft Entra ID.
Os exemplos de expressão na tabela usam endDate para SAP e StatusHireDate para o Workday. No entanto, você pode optar por usar atributos diferentes.
Por exemplo, você pode usar StatusContinuousFirstDayOfWork em vez de StatusHireDate para o Workday. Nessa instância, sua expressão seria:
FormatDateTime([StatusContinuousFirstDayOfWork], , "yyyy-MM-ddzzz", "yyyyMMddHHmmss.fZ")
A tabela a seguir tem uma lista de atributos sugeridos e suas recomendações de cenário.
| Atributo de RH | Sistema de RH | Cenário | Atributo Microsoft Entra |
|---|---|---|---|
| StatusHireDate | Workday | Entrada | EmployeeHireDate |
| StatusContinuousFirstDayOfWork | Workday | Entrada | EmployeeHireDate |
| StatusDateEnteredWorkforce | Workday | Entrada | EmployeeHireDate |
| StatusOriginalHireDate | Workday | Entrada | EmployeeHireDate |
| StatusEndEmploymentDate | Workday | Saída | EmployeeLeaveDateTime |
| StatusResignationDate | Workday | Saída | EmployeeLeaveDateTime |
| StatusRetirementDate | Workday | Saída | EmployeeLeaveDateTime |
| StatusTerminationDate | Workday | Saída | EmployeeLeaveDateTime |
| startDate | SAP SF | Entrada | EmployeeHireDate |
| firstDateWorked | SAP SF | Entrada | EmployeeHireDate |
| lastDateWorked | SAP SF | Saída | EmployeeLeaveDateTime |
| endDate | SAP SF | Saída | EmployeeLeaveDateTime |
Para obter mais atributos, confira Referência de atributo do Workday e Referência de atributo do SAP SuccessFactors.
Importância da hora
Para garantir a precisão horária dos fluxos de trabalho agendados, é crucial considerar:
- A parte da hora do atributo deve ser definida adequadamente, por exemplo,
employeeHireDatedeve ter uma hora no início do dia, como 1h ou 5h, eemployeeLeaveDateTimedeve ter a hora no final do dia, como 21h ou 23h - Os fluxos de trabalho não serão executados antes da hora especificada no atributo, mas o agendamento do locatário (padrão 3h) pode atrasar a execução do fluxo de trabalho. Por exemplo, se você definir
employeeHireDatecomo 8h, mas o agendamento do locatário não for executado até 9h, o fluxo de trabalho não será processado até lá. Se uma nova contratação estiver começando às 8h, seria correto definir a hora em algo como (hora de início − agendamento do locatário) para garantir que seja executada antes da chegada do funcionário. - É recomendável, se você estiver usando TAP (senha de acesso temporária), definir a vida útil máxima para 24 horas. Isso ajudará a garantir que o TAP não expire após ser enviado a um funcionário que talvez esteja em um fuso horário diferente. Para obter mais informações, consulte: Como configurar senha de acesso temporária no Microsoft Entra ID para registrar métodos de autenticação sem senha.
- Ao importar os dados, você deve entender se e como a origem fornece informações de fuso horário para que os usuários possam fazer ajustes possíveis para garantir a precisão horária.
Criar uma regra de sincronização personalizada na sincronização na nuvem do Microsoft Entra Connect para EmployeeHireDate
As etapas a seguir orientam você na criação de uma regra de sincronização usando a sincronização na nuvem.
- No centro de administração do Microsoft Entra, navegue até >Gerenciamento híbrido>Microsoft Entra Connect.
- Selecione Gerenciar sincronização de nuvem do Microsoft Entra Connect.
- Em Configuração, selecione sua configuração.
- Selecione Clique para editar mapeamentos. Esse link abre a tela Mapeamenots de atributo.
- Selecione Adicionar Atributo.
- Preencha as seguintes informações:
- Tipo de mapeamento: direto
- Atributo de origem: msDS-cloudExtensionAttribute1
- Valor padrão: deixar em branco
- Atributo de destino: employeeHireDate
- Aplicar esse mapeamento: sempre
- Escolha Aplicar.
- De volta à tela Mapeamentos de atributo, você deverá ver o novo mapeamento de atributo.
- Selecione Salvar esquema.
Para obter mais informações sobre atributos, consulte Mapeamento de atributos na sincronização na nuvem do Microsoft Entra Connect.
Como criar uma regra de sincronização personalizada no Microsoft Entra Connect para EmployeeHireDate
O exemplo a seguir orienta você passo a passo na configuração de uma regra de sincronização personalizada que sincroniza o atributo do Active Directory com o atributo employeeHireDate no Microsoft Entra ID.
- Abra uma janela do PowerShell como administrador e execute
Set-ADSyncScheduler -SyncCycleEnabled $falsepara desabilitar o agendador. - Vá para Iniciar\Microsoft Entra Connect\ e abra o Editor de Regras de Sincronização
- Verifique se a direção na parte superior está definida como Entrada.
- Selecione Adicionar Regra.
- Na tela Criar regra de sincronização de entrada, insira as informações a seguir e selecione Avançar.
- Nome: Entrada no AD − EmployeeHireDate
- Sistema Conectado: contoso.com
- Tipo de objeto do sistema conectado: usuário
- Tipo de objeto do Metaverso: pessoa
- Precedência: 20
- Na tela Filtro de escopo, clique em Avançar.
- Na tela Regras de ingresso, selecione Avançar.
- Na tela Transformações, em Adicionar transformações, insira as informações a seguir.
- FlowType: direto
- Atributo de destino: employeeHireDate
- Origem: msDS-cloudExtensionAttribute1
- Selecione Adicionar.
- No Editor de Regras de Sincronização, verifique se a direção na parte superior está definida como Saída.
- Selecione Adicionar Regra.
- Na tela Criar regra de sincronização de saída, insira as informações a seguir e selecione Avançar.
- Nome: saída para o Microsoft Entra ID – EmployeeHireDate
- Sistema Conectado: <seu locatário>
- Tipo de objeto do sistema conectado: usuário
- Tipo de objeto do Metaverso: pessoa
- Precedência: 21
- Na tela Filtro de escopo, clique em Avançar.
- Na tela Regras de ingresso, selecione Avançar.
- Na tela Transformações, em Adicionar transformações, insira as informações a seguir.
- FlowType: direto
- Atributo de destino: employeeHireDate
- Origem: employeeHireDate
- Selecione Adicionar.
- Feche o Editor de Regras de Sincronização
- Habilite o agendador novamente executando
Set-ADSyncScheduler -SyncCycleEnabled $true.
Observação
- msDS-cloudExtensionAttribute1 é uma fonte de exemplo.
- A partir do Microsoft Entra Connect 2.0.3.0,
employeeHireDateé adicionado à regra padrão "Saída para o Microsoft Entra ID", portanto, as etapas de 10 a 16 não são necessárias. - A partir do Microsoft Entra Connect 2.1.19.0,
employeeLeaveDateTimeé adicionado à regra padrão "Saída para o Microsoft Entra ID", portanto, as etapas de 10 a 16 não são necessárias.
Para obter mais informações, consulte Como personalizar uma regra de sincronização e Fazer uma alteração na configuração padrão.
Editar mapeamento de atributo no aplicativo de provisionamento
Depois de configurar o aplicativo de provisionamento, editar o mapeamento de atributo. Quando o aplicativo é criado, você obtém uma lista de mapeamentos padrão entre o HRM e o Active Directory. A partir daí, edite o mapeamento existente ou adicione um novo mapeamento.
Para atualizar esse mapeamento, você faria o seguinte:
Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador global.
Navegue até Identidade>Aplicativos>Aplicativos empresariais.
Abra seu aplicativo provisionado.
Selecione Provisionamento e, em seguida, selecione Editar mapeamento de atributo.
Selecione Mostrar opções avançadas e, em seguida, edite Lista de atributos para o Active Directory Local.
Adicione o atributo da sua origem ou atributos criados como o Tipo Cadeia de Caracteres e marque-os na Caixa de Seleção como obrigatórios.
Observação
O número e o nome dos atributos de origem adicionados dependerão de quais atributos você está sincronizando a partir do Active Directory.
Selecione Salvar.
A partir daí, mapeie os atributos HRM para os atributos adicionados do Active Directory. Para fazer isso, adicione novo mapeamento usando uma expressão.
Sua expressão deve corresponder à formatação encontrada na seção Reconhecimento da formatação EmployeeHireDate e EmployeeLeaveDateTime.
Selecione Ok.
Como verificar esses valores de atributo em Microsoft Entra ID
Para examinar os valores definidos nessas propriedades em objetos de usuário no Microsoft Entra ID, use o SDK do PowerShell do Microsoft Graph. Por exemplo:
# Import Module
Import-Module Microsoft.Graph.Users
# Define the necessary scopes
$Scopes =@("User.Read.All", "User-LifeCycleInfo.Read.All")
# Connect using the scopes defined and select the Beta API Version
Connect-MgGraph -Scopes $Scopes
# Query a user, using its user ID, and return the desired properties
$user = Get-MgUser -UserID "9093a415-2968-48b5-808b-a1a6f006f7a3" -Property EmployeeLeaveDateTime
$User.EmployeeLeaveDateTime
