Gerenciando usuários locais sincronizados com fluxos de trabalho do ciclo de vida
Os Fluxos de Trabalho do Ciclo de Vida suportam a gestão do ciclo de vida da identidade para contas de utilizador sincronizadas dos Serviços de Domínio Ative Directory (AD-DS) no local para o Microsoft Entra. Para fluxos de trabalho de ciclo de vida, é essencial que exista uma conta de usuário no Microsoft Entra, mas como a conta foi criada ou como as alterações relevantes do ciclo de vida estão sendo feitas na conta desempenha um papel menor quando se trata de processar fluxos de trabalho e tarefas associadas para a conta de usuário. O suporte inclui contas e alterações feitas por meio de caminhos como provisionamento orientado por RH, APIs do Microsoft Graph, o Portal de Administração do Microsoft Entra, bem como alterações sincronizadas pelo Microsoft Entra Connect e pelo MicrosoftCloud Sync.
Neste artigo, você aprenderá o que precisa ser considerado se quiser usar os Fluxos de Trabalho do Ciclo de Vida para contas de usuário sincronizadas dos Serviços de Domínio Ative Directory (AD-DS) locais para o Microsoft Entra, conhecidos como "usuários locais sincronizados".
Condições de execução do fluxo de trabalho com usuários locais sincronizados
Os fluxos de trabalho do ciclo de vida são processados para contas de usuário quando atendem às condições de execução dos fluxos de trabalho. As condições de execução são compostas por um gatilho e escopo. O gatilho descreve o evento que ocorre para uma conta de usuário. O escopo permite definir melhor para quem o fluxo de trabalho começa quando o evento ocorre.
Gatilhos de fluxo de trabalho
A tabela a seguir mostra o que deve ser considerado para cada gatilho de fluxo de trabalho quando usado com usuários locais sincronizados:
| Gatilho de fluxo de trabalho | Requisitos |
|---|---|
| Alterações de atributos (visualização) | Nenhuma configuração adicional é necessária, desde que os atributos estejam sincronizados. Para obter informações sobre atributos sincronizados, consulte: Mapeamento de atributos no Microsoft Entra Cloud Sync e Microsoft Entra Connect Sync: extensões de diretório. Quando uma alteração é feita no Ative Directory local, a sincronização por meio do Microsoft Entra Cloud Sync ou do Microsoft Entra Connect Sync precisa ocorrer antes que as alterações possam ser retiradas dos Fluxos de Trabalho do Ciclo de Vida. |
| Associação de grupo com base (visualização) | Como qualquer tipo de grupo é suportado, nenhuma configuração adicional é necessária. Se o grupo for originado do Ative Directory local, ele deverá ser sincronizado com o Microsoft Entra. A sincronização do Microsoft Entra Cloud Sync, ou Microsoft Entra Connect Sync, precisa ocorrer antes que as alterações possam ser retiradas dos Fluxos de Trabalho do Ciclo de Vida. |
| A pedido | Nenhuma configuração adicional necessária. |
| Com base no tempo | employeeHireDate, employeeLeaveDateTime: Esses atributos devem ser sincronizados antes de serem usados. Para obter mais informações sobre esse processo, consulte: Como sincronizar atributos para fluxos de trabalho do ciclo de vida. createdDateTime: Não são necessários mais requisitos. Essa data é o dia em que a conta de usuário é sincronizada com a ID do Microsoft Entra, não quando eles foram criados no Ative Directory. |
Escopo do fluxo de trabalho
Para atributos de usuário usados nos recursos de escopo do fluxo de trabalho, nenhuma configuração adicional será necessária se os atributos selecionados já estiverem sincronizados. Para obter informações sobre atributos sincronizados, consulte: Mapeamento de atributos no Microsoft Entra Cloud Sync e Microsoft Entra Connect Sync: extensões de diretório. Quando uma alteração é feita no Ative Directory local, a sincronização por meio do Microsoft Entra Cloud Sync ou do Microsoft Entra Connect Sync precisa ocorrer antes que as alterações possam ser retiradas dos Fluxos de Trabalho do Ciclo de Vida.
Tarefas de fluxo de trabalho e recursos locais sincronizados
Todas as tarefas de fluxo de trabalho do Ciclo de Vida funcionam para usuários na nuvem e sincronizados no local, prontos para uso, exceto para as limitações listadas em tarefas específicas mais adiante neste artigo. Para obter mais informações sobre todas as tarefas do Lifecycle Workflow, consulte: Lifecycle Workflow built-in tasks.
Tarefas para governar associações de grupo
As tarefas de Fluxos de Trabalho do Ciclo de Vida para controlar associações de grupo não podem ser usadas para grupos sincronizados do Ative Directory local para o Microsoft Entra. No entanto, a Governança de ID do Microsoft Entra pode ser usada para controlar o acesso a aplicativos locais do Ative Directory (Kerberos) com grupos da nuvem, que são suportados nos Fluxos de Trabalho do Ciclo de Vida.
Tarefas da conta de utilizador (pré-visualização)
É necessária uma configuração adicional para que as tarefas do Fluxo de Vida habilitem, desabilitem e excluam contas de usuário para trabalhar com usuários locais sincronizados. Os pré-requisitos a seguir devem ser concluídos antes que você possa configurar as tarefas para executar ações no Ative Directory local.
- Você deve ter o agente de provisionamento do Microsoft Entra instalado em seu ambiente. Para obter os pré-requisitos sobre a instalação do agente de provisionamento do Microsoft Entra, consulte: Requisitos do agente de provisionamento de nuvem. Para obter um guia passo a passo sobre como instalar o agente de provisionamento do Microsoft Entra, consulte: Instalar o agente de provisionamento do Microsoft Entra. Durante a instalação, escolha "HR-driven provisioning / Microsoft Entra Connect Sync" como "configuração de extensão". Não é necessário adicionar nenhuma outra configuração para o agente de provisionamento, como a configuração de sincronização na nuvem, e você pode instalar o agente de provisionamento mesmo se também estiver usando o Microsoft Entra Connect Sync para a sincronização do usuário.
Nota
O agente de provisionamento instalado deve ser pelo menos a versão 1.1.1586.0, que foi lançada em 13 de maio de 2024.
Verifique se a Conta de Serviço Gerenciado de Grupo (gMSA) usada pelo agente de provisionamento tem as permissões apropriadas para executar operações em contas de usuário.
Para excluir contas de usuários, você deve habilitar a lixeira do Ative Directory. Para obter um guia passo a passo sobre como habilitar a lixeira, consulte: Lixeira do Ative Directory passo a passo.
Para obter um guia passo a passo sobre como definir o sinalizador para que as tarefas da conta de usuário sejam executadas para usuários locais sincronizados, consulte: Gerenciar usuários locais sincronizados com fluxos de trabalho (visualização).
Próximos passos
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários